Effectivement, monsieur le rapporteur, dans le nouveau cadre juridique, les CNIL européennes traitent ensemble des plaintes transfrontalières avec une autorité, chef de file, et les autorités concernées. Pour vous donner un ordre de grandeur, il y a aujourd'hui, à peu près, depuis la mise en oeuvre du RGPD, six cents plaintes transfrontalières, dont quatre cents qui concernent la France et quinze pour lesquelles la France est une autorité dite chef de file.
S'agissant de l'harmonisation des sanctions ou de la coordination entre les différentes autorités, il reste beaucoup de choses en devenir ou à construire. Si la CNIL a cru pouvoir infliger une sanction à Google, d'après ce que j'ai lu de la décision, qui est publique, il ressort très clairement que c'est parce que Google, à l'époque très récente où cette sanction a été prise, n'avait pas confié à son siège de Dublin la responsabilité du traitement des données personnelles, ce qu'elle a fait depuis le prononcé de la sanction par la CNIL.
Pour répondre concrètement à votre question, à mon avis, la CNIL doit travailler de façon très coordonnée avec ses homologues, mais elle doit aussi veiller à ce que les marges de manoeuvre, laissées par le règlement aux différents pays pour assouplir ou durcir la réglementation en matière de protection des données, ne deviennent pas un facteur qui risque d'entraîner une sorte de compétition, en termes d'attractivité sur la protection des données, entre les différents pays, comme c'est déjà le cas, par exemple, en matière fiscale.
Il existe déjà une base extrêmement positive, une culture commune partagée par ces autorités qui ont l'habitude de travailler ensemble, une volonté réelle d'élaborer une doctrine au-delà des seules plaintes ; mais un certain nombre de questions se posent. La France doit, me semble-t-il, faire valoir ses positions, qui font montre d'un assez haut standard en termes de protection des données dans cette instance.