Votre question, Madame la Présidente, sur la propriété des données, rejoint la première préoccupation exprimée par Mme Hennion. Il existe en effet un débat à ce sujet. Au sein de la CNIL, nous avons tendance à penser que si nos données personnelles ne nous appartiennent pas, nous sommes propriétaires, en revanche, des droits qui leur sont attachés. Je comprends très bien le postulat qui consiste à dire que nous sommes des « travailleurs du clic », qui travaillent gratuitement au profit de ceux qui utilisent nos données. Pour être complet, il faut cependant ajouter que cela nous permet d'accéder à des services gratuits. Cela dit, nous constatons l'essor, dans certains pays, de propositions en vue de la vente des données personnelles : aux États-Unis, une société propose ainsi à des femmes enceintes de renseigner un certain nombre d'informations relatives à leur grossesse en contrepartie de l'accès à des soins partiellement gratuits. De la même manière, des consommateurs communiquant des informations sur leur mode de consommation peuvent bénéficier de bons de réduction. Cela peut présenter un risque social, au préjudice des personnes les plus défavorisées, contraintes en définitive de vendre leurs données. Autre conséquence : l'on a d'ores et déjà observé l'émergence de silos géographiques sur internet, on pourrait voir s'y développer à terme, de manière plus globale, des silos de nature sociologique, avec un internet pour les riches dépourvu de publicité et un internet des pauvres où l'on vendrait ses données.
La CNIL, réservée sur ce sujet, considère que la donnée individuelle n'a pas de valeur en soi, à l'inverse de la goutte de pétrole. L'on entend souvent dire en effet que la donnée est le pétrole de l'économie numérique. La réalité est plus complexe : la donnée s'apparente à un terreau, sa valeur tient à l'analyse collective, agrégée, à son enrichissement par d'autres données transmises à des tiers. C'est donc un tel ensemble qui donne sa valeur à la donnée. En définitive, vendre des données individuelles dont la valeur est somme toute assez difficile à déterminer avec les conséquences sociales que je viens d'évoquer, en perdant par voie de conséquence les droits qui y sont associés (droits de rectification, d'opposition à leur diffusion) nous paraîtrait donc très préjudiciable. Il est néanmoins parfaitement compréhensible que le débat ait lieu.
J'en viens à votre lutte personnelle, Mme la présidente, sur votre ordinateur, tablette ou téléphone intelligent. En janvier dernier, La CNIL a prononcé à l'encontre de Google la plus grosse sanction jamais constatée à l'échelle européenne, grâce à l'accroissement de ses pouvoirs résultant du RGPD, la sanction pouvant désormais atteindre 4 % du chiffre d'affaires mondial de l'entreprise, précisément sur les sujets que plusieurs d'entre vous ont évoqué : le manque de transparence, l'insuffisance d'informations sur les conditions de collecte et d'utilisation des données. Peut-être cela n'est-il du reste pas encore suffisant. De manière plus générale, pour aborder un sujet proche de celui mentionné par Mme Bono-Vandorme, se pose la question de la lassitude du consentement ou d'un consentement qui n'est peut-être pas toujours libre ou entièrement éclairé. Cette question nous préoccupe bien évidemment. À titre personnel, je m'astreins également à une certaine hygiène et refuse à peu près systématiquement les « cookies » ou traceurs qui sont déposés sur nos appareils dans le but de dessiner notre profil à partir de nos données, en vue d'un ciblage publicitaire. Cela requiert du temps et une certaine ténacité. En 2013, la CNIL avait adopté une recommandation sur les « cookies » prévoyant que le fait de dérouler une page internet, que l'on nomme le « scroll », valait consentement. Depuis l'entrée en vigueur du RGPD, plus contraignant en matière de consentement, il nous semble qu'il faut modifier cette recommandation dans un sens plus exigeant. Tel est l'objectif des travaux entrepris en concertation avec les professionnels du secteur du marketing digital et des publicitaires. Après les avoir réunis avec un membre du collège le 25 avril dernier, nous devrions vraisemblablement, lors de la réunion plénière du mois de juillet, adopter des lignes directrices rappelant le droit applicable au titre du RGPD en matière de consentement et abroger la recommandation précitée de 2013. Nous pourrons ensuite travailler, toujours en liaison avec les professionnels, compte tenu de l'importance des enjeux économiques, à l'élaboration d'une nouvelle recommandation susceptible d'être adoptée d'ici la fin de l'année 2019, en accordant un délai de six mois pour sa mise en oeuvre. Si bien que, d'ici un an environ, moyennant un travail indispensable avec les professionnels, nous devrions pouvoir disposer de règles de consentement en matière de « cookies » plus strictes et plus conformes au RGPD.
La CNIL a pour souci permanent de faire en sorte que les individus aient bien conscience de leurs droits : ils y sont certes plus sensibilisés qu'avant, mais pas encore assez, et on note en particulier des disparités en fonction des catégories sociales. Nous avons des outils – notre service de relation avec le public, avec plusieurs centaines de milliers d'appels par an ; le site Internet, avec 8 millions de visiteurs par an et une fréquentation en hausse de 80 % sur un an – mais une meilleure protection naîtra de l'éducation au numérique, c'est fondamental. Depuis 2013, la CNIL fédère ainsi un collectif de 70 acteurs qui a par exemple à son actif la diffusion dans les collèges d'un numéro des Incollables ou bien le financement d'une vidéo destinée aux adolescents, avec plus de 6 millions de vues. Pour les prochaines Journées du patrimoine, nous avons imaginé un parcours sur la protection des données en ville, à Poitiers, la « capitale » du numérique.
S'agissant des disparités d'application liées aux marges de manoeuvre laissées aux États membres, en matière de protection des mineurs et de rôle des parents, Mme Hennion, la France a fixé à 15 ans le seuil en dessous duquel une autorisation parentale est nécessaire pour certaines actions sur les réseaux sociaux. Ailleurs c'est 13 ou 16 ans – dans un nombre équivalent de pays d'ailleurs. Un besoin de clarification juridique nous apparaît nécessaire sur le rôle des parents, sur la cybersurveillance à l'école et sur la question des « traces » laissées sur Internet. Les trois priorités pour notre programme de contrôle 2019 sont d'ailleurs ce sujet du rôle des parents, ainsi que le partage de la responsabilité entre donneurs d'ordres et sous-traitants – la prise en compte de l'asymétrie entre ces deux acteurs est l'une des innovations du RGPD – et la vérification de l'effectivité des droits individuels.
Cette diversité de situation des États membres se vérifie aussi dans le domaine de la recherche, ce qui pose par exemple question en matière de recherche médicale, dans le cas de cohortes transfrontières de malades. La Commission, gardienne des Traités, devra veiller à la bonne articulation de ces règles nationales.
L'expertise de la CNIL est reconnue, elle est aujourd'hui sollicitée pour accompagner des millions d'entreprises, rendre des avis sur des centaines de textes, traiter 12 000 plaintes par an. Or les effectifs sont très en dessous de ceux d'autorités homologues placées dans des situations similaires – et les pouvoirs publics en ont conscience. Nous avons reçu un renfort de 15 agents en 2019, mais il faut poursuivre cette montée en puissance des effectifs.
Les questions de piratage et de cybersécurité, soulevées par M. Pueyo, « irriguent » le RGPD à partir de l'article 32 qui impose une obligation de sécurité. Les notifications de violation de données sont plus nombreuses dans les autres États membres, signe sans doute d'une sous-notification ici… Or ces questions de sécurité sont centrales, les experts nous avertissant de la survenue certaine d'un incident de forte ampleur, intentionnel ou pas. Chacun de nos contrôles révèle des failles en ce domaine, il faut donc promouvoir des solutions simples et compréhensibles par tout le monde, notamment en matière de sécurisation de l'accès via des mots de passe. Le RGPD introduit également une protection des données personnelles contre leur divulgation non autorisée, à l'article 48, qui précise que leur accès ne peut être autorisé qu'en vertu d'un accord international, tel un accord d'entraide judiciaire.
La grande nouveauté du RGPD réside dans son caractère extraterritorial. Toutes les entreprises, même non établies dans l'Union européenne, sont concernées à partir du moment où elles ciblent des données des Européens, et les données des Européens qui sortent de l'Union européenne sont, elles aussi, protégées. Pour les États-Unis, c'est dans le cadre de l'accord Privacy Schield de 2016. La CNIL participe d'ailleurs activement aux revues annuelles de garantie dans ce cadre, la prochaine étant programmée pour septembre.
L'instruction des plaintes transfrontalières, Monsieur Chassaigne, se fait via un système de guichet unique, avec un outil informatique. Une plainte peut être déposée auprès de la CNIL en France contre une entreprise établie dans un autre État membre, et nous échangerons avec notre homologue, selon des modalités qui dépendent de notre statut, chef de file ou autorité concernée. Nous avons la possibilité de faire une objection à la proposition de décision proposée, ce qui est à mon sens une garantie de neutralité du processus. Le processus de mise en oeuvre a pris un peu de temps mais ce mécanisme collaboratif européen fonctionne et de premières sanctions devraient être prononcées prochainement.
En matière de souveraineté, outre le Privacy Shield, nous sommes aussi très attentifs au Cloud Act. Cette loi facilite un accès direct par les autorités américaines aux données stockées hors du territoire américain dans les cas ne relevant pas d'une procédure judiciaire classique, et assure une réciprocité pour les autorités européennes. Or l'article 48 du RGPD n'autorise un tel transfert de données que dans le cadre d'un accord international ou une procédure d'entraide judiciaire. Si le Cloud Act est de nature à faciliter un accès rapide des autorités à des données utiles pour des enquêtes, nous avons toutefois des inquiétudes en termes de souveraineté numérique, de protection des données des entreprises et des personnes, et c'est donc un fort point de vigilance.
Ce point suscite quand même beaucoup d'interrogations. De nombreux acteurs institutionnels sont mobilisés : c'est le cas du Comité européen de la protection des données (CEPD), qui a été récemment saisi d'une demande d'avis du Parlement européen. Le Comité va se prononcer très prochainement à propos du Cloud Act. C'est aussi le cas de la Commission européenne, qui a obtenu un mandat de la part des États membres pour négocier un accord international avec les États-Unis. Les questions qui se posent sont celles de l'effectivité de la réciprocité des informations relatives aux personnes dont les données sont recherchées, et celle de la souveraineté liée au stockage des données (question qui n'entre pas dans le domaine de compétence de la CNIL).
À propos du « populisme », nous sommes très attentifs à la dimension citoyenne impliquée par la protection des données. Par exemple, nous veillons au respect des règles qui valent en matière électorale (prospection par sms, par téléphone, anonymat…). Ces règles sont complémentaires de celles qui sont mises en avant par le CSA en matière audiovisuelle (pluralisme, répartition des temps de parole…). Le CEPD a aussi rappelé les règles de transparence et de sécurité. Pour les élections européennes, nous avons reçu quelques centaines de signalements, portant surtout sur des pratiques classiques (messages de campagne laissés sur des messageries de téléphone fixe…). À l'approche des élections municipales, nous avons décidé avec les membres du Collège de renforcer la visibilité de nos actions et nos règles de doctrine sur ce sujet. Le CNIL dispose également d'un observatoire de la vie politique. Au deuxième semestre 2019, nous allons organiser un colloque avec le CESE sur les CivicTechs. Nous sommes donc concernés par les thématiques liées au « populisme », même si nous ne sommes pas directement concernées par la législation sur les fausses informations ou les contenus haineux en ligne (qui relèvent plutôt du CSA).