Intervention de Marie-Laure Denis

C'est un honneur pour moi d'être devant vous. L'invitation à m'exprimer pour ma première audition en tant que Présidente de la CNIL me semble particulièrement opportune. Depuis février dernier, je préside une autorité dont les missions et le champ d'action ont connu un changement d'échelle majeur, étroitement lié aux développements européens, et en particulier l'adoption du règlement général sur la protection des données (RGPD). Avec celui-ci, l'Europe devient le nouvel horizon de notre régulation de la donnée, à trois égards au moins.

D'abord, nous sommes entrés dans une régulation véritablement européenne, avec un cadre juridique commun, un réseau de régulateurs, un nouvel organe européen respectueux de la subsidiarité. Autrement dit, le RGPD est un laboratoire de nouvelles formes de régulation articulant de manière inédite le niveau national et le niveau européen.

Ensuite, le RGPD est un formidable acte de souveraineté de la part d'une Europe qui assume ses valeurs tout en restant ouverte au monde. Il s'agit d'une norme comportant une dose assumée d'extraterritorialité, c'est un standard scruté sur tous les continents, avec un encadrement exigeant mais dynamique des transferts internationaux. Le RGPD est la pierre angulaire de la diplomatie internationale de la donnée.

Enfin, je tiens à souligner à quel point le RGPD doit être la colonne vertébrale de la politique européenne du numérique, dans le respect des valeurs humanistes qui sous-tendent le droit français et européen, pour que la régulation globale du numérique soit plus robuste et plus durable.

La mise en oeuvre du RGPD s'est traduite par une européanisation des missions de la CNIL. L'application effective du RGPD au 25 mai 2018 a confirmé que lorsque de nouveaux droits sont créés, ou lorsque ces droits sont mieux explicités et leur exercice est facilité, nos concitoyens s'en emparent. Entre mai 2018 et mai 2019, nous avons constaté une augmentation considérable des plaintes adressées à la CNIL : près de 12 000 plaintes, représentant une augmentation de 30 % par rapport à l'année précédente, et 144 376 plaintes au niveau européen. 70 % des Français se disent aujourd'hui plus sensibles aux problématiques de protection des données. Certains appellent de leurs voeux une Europe qui protège mieux. Avec le RGPD, nous avons un exemple de réalisation concrète pour répondre à cette aspiration à plus de confiance, qui est la clé de voûte d'un développement soutenable de l'économie numérique.

Cette prise de conscience inédite s'est traduite auprès des professionnels qui ont dû s'approprier ce nouveau cadre juridique, et envers lesquels une stratégie d'accompagnement dédiée a été développée et mise en oeuvre par la CNIL, avec la promotion de nombreux outils, notamment un guide pour les PME et TPE. Mais les professionnels ont déjà commencé à s'approprier les obligations du RGPD, puisqu'en un an plus de 2000 organismes ont notifié des violations de données à la CNIL, celle-ci étant chargée ensuite d'analyser si elle doit demander à ces organismes d'informer les personnes dont les données ont été violées. Près de 19 000 délégués à la protection des données ont été désignés dans plus de 53 000 organismes.

La CNIL a aussi pu faire usage de la nouvelle dimension dissuasive issue du cadre juridique européen, avec des premières sanctions pour violation du nouveau règlement européen. La sanction de 50 millions d'euros prononcée en janvier dernier à l'encontre de Google a notamment traduit ce changement.

Enfin, le 25 mai 2018 a également concrétisé un changement profond pour la CNIL dans ses processus et ses méthodes de travail, défi que la Commission s'est attachée à préparer depuis plusieurs années. Le RGPD a mis en place un nouveau modèle de gouvernance de la régulation, inédit au niveau européen. Lorsque les traitements de données concernent des individus dans plusieurs États membres, chaque autorité ne décide plus seule, mais doit agir de concert avec les autres autorités concernées par le biais d'un mécanisme de guichet unique, que l'on appelle le « one stop shop », afin de prononcer une décision applicable pour l'ensemble de l'Union. Pour ce faire, les autorités de protection de données coopèrent au sein d'un nouvel organe de l'Union, doté de la personnalité juridique : le Comité européen de la protection des données (CEPD). C'est en son sein que se prennent les décisions structurantes et que s'opère la distribution des rôles dans l'instruction des plaintes transnationales. 20 % des plaintes reçues à la CNIL sont maintenant traitées à cette échelle transnationale pour déterminer quelle autorité sera cheffe de file.

Cette forme novatrice de régulation européenne, en réseau, repose sur deux principes directeurs : la coopération et la cohérence. Ces principes sont essentiels à la mise en oeuvre harmonisée de ce règlement européen, pour éviter toute éventuelle velléité d'évitement, ou « forum shopping » au niveau de l'Union de la part de certains acteurs. Au niveau européen, une nouvelle mécanique réglementaire s'est mise en place, mais il reste à en apprécier l'efficacité et l'effectivité. Nous n'avons pas encore actionné tous les leviers de cette coopération. Les chiffres montrent en tout cas que la mise en oeuvre de ce nouveau modèle est plus qu'enclenchée, avec par exemple près de mille procédures de désignation d'autorités chefs de file et plus de 160 procédures de guichet unique en cours. La CNIL fait partie des quatre autorités de l'Union qui sont le plus souvent désignées comme chef de file et elle est également autorité dite « concernée » dans près de 600 cas transfrontaliers.

Pour bien des travaux, la CNIL agit en tant que rapporteur ou co-rapporteur au niveau européen. Nous assurons par exemple le rôle de coordinateur de trois groupes d'experts au sein du CEPD : le groupe « technologie », le groupe « transferts internationaux » et le groupe « réseaux sociaux ». Car au-delà de son rôle essentiel pour la mise en oeuvre du RGPD, le CEDP contribue aussi au développement d'une véritable doctrine européenne en matière de protection des données. Concrètement, de manière quasi-hebdomadaire, plusieurs de nos agents sont mobilisés à Bruxelles pour les réunions de groupes d'experts ainsi que pour la réunion du CEPD lui-même qui se tient tous les mois et à laquelle je me rends, en compagnie d'un autre membre du collège. À Paris également, nos services s'impliquent quotidiennement dans le suivi des travaux au niveau européen et nos homologues constatent la même évolution. Le CEPD a donc véritablement concrétisé l'européanisation des activités des autorités nationales en matière de protection des données. Cette dynamique découlant du RGPD pose la question du dimensionnement de nos moyens et surtout de nos effectifs.

Au-delà de l'aggiornamento de notre cadre juridique commun, le RGPD est aussi un signal fort de l'Union dans l'affirmation d'une souveraineté numérique européenne, sujet sur lequel vos homologues du Sénat se penchent actuellement avec la création d'une commission d'enquête, dont le Rapporteur est M. Gérard Longuet. Il ne s'agit pas ici de protectionnisme mais bien de l'affirmation de notre modèle de régulation, basé sur la défense du droit des personnes. Le champ d'application territorial élargi du RGPD, s'appliquant à toute entreprise établie hors de l'Union dès lors qu'elle cible des utilisateurs sur le territoire de l'Union, permet de remettre sur un pied d'égalité les acteurs européens et non européens. En assurant la protection du droit des personnes, quelle que soit la localisation du traitement, le règlement permet à l'Europe de prendre toute sa place dans l'économie numérique globale.

La régulation des GAFAM, dans bien des domaines, est au coeur des discussions nationales et européennes. D'aucuns craignaient que le RGPD ne favorise les grands acteurs du numérique, au détriment de plus petites plateformes qui n'arriveraient pas à émerger, en raison d'un cadre juridique trop lourd, contraignant et coûteux. Force est de constater que ce n'est pas le cas aujourd'hui, car le RGPD est fondé sur le risque présenté par les traitements, que ce soit en termes de volume ou de sensibilité des données traitées. Donc plus un acteur est important, plus l'écosystème numérique repose sur le traitement des données personnelles et plus il aura d'obligations et de responsabilités.

Le RGPD a également introduit plusieurs innovations juridiques, avec notamment le droit à la portabilité pour les personnes, qui peut permettre à des petits acteurs de venir défier les plus grands en facilitant le transfert des données des clients d'un service à l'autre et en mettant fin à l'effet captif ressenti sur certaines plateformes. L'application effective d'un cadre robuste en matière de protection des données est également un des éléments qui permettra de renforcer notre résilience au niveau européen en matière de cyber-sécurité, mais aussi contre les stratégies de désinformations ou contre les menaces faites à l'intégrité des processus électoraux en Europe. Du succès de l'application du RGPD dépendra aussi l'avenirde la régulation internationale.

Si le RGPD a monopolisé l'attention, il a parfois été considéré comme une source d'inspiration. Il faut toutefois se garder de tout triomphalisme. Aux États-Unis et en Asie, d'autres approches sont à l'oeuvre, avec une certaine concurrence des modèles. Il faut donc nous engager dans une véritable « diplomatie de la donnée », afin de préserver nos acquis et de diffuser notre conception du droit. S'agissant d'un point plus précis, la question des flux des données personnelles est à prendre en compte dans le cadre d'un éventuel Brexit.

Enfin, il est question de souveraineté numérique lorsque nous discutons avec nos homologues européens de l'impact du « Cloud Act » ou du futur protocole additionnel de la Convention du Conseil de l'Europe sur la cybercriminalité, dite « Convention de Budapest ». Des travaux sont également en cours au niveau européen, avec une proposition de règlement dite « évidence ». La question de l'accès transfrontalier aux données par les autorités des pays tiers se fait de plus en plus pressante au niveau européen et international et il est essentiel d'apporter une réponse à ces problématiques. Les enjeux juridiques dans le domaine du numérique ne sont plus nationaux, ils sont européens voire internationaux et le but est d'assurer une cohérence dans le domaine règlementaire. Pour ce faire, il faut dialoguer au niveau européen et national.

Au-delà du RGPD, de nombreux développements vont redéfinir le cadre juridique applicable à l'écosystème numérique et méritent une attention particulière. Présentée en mai 2015 comme le chantier prioritaire de la Commission Juncker, la stratégie pour un marché unique du numérique a fait l'objet de trente propositions législatives, dont vingt-huit ont été adoptées ou ont fait l'objet d'un accord interinstitutionnel à ce jour. Plusieurs de ces textes sont des directives, impliquant un rôle majeur des parlements nationaux. Le cadre européen en matière de protection des données est un prérequis sur lequel le marché unique du numérique doit se fonder et ce marché doit être mis en oeuvre en cohérence avec les dispositions du RGPD. Il revient aux Parlements nationaux d'être vigilant lors de la phase de transposition.

Mais ce marché unique du numérique n'est pas totalement achevé : en matière de protection de la vie privée, un chaînon essentiel est manquant : il s'agit de la proposition de règlement sur le respect de la vie privée et de la protection des données dans les communications électroniques, destiné à remplacer l'actuelle directive « e-privacy ». Ce futur règlement qui doit compléter le RGPD vise à garantir une protection harmonisée et renforcée aux données de communications électroniques, celles-ci pouvant en effet révéler des informations très sensibles. Cette proposition a été présentée en janvier 2017, le Parlement européen a adopté sa position à la fin de l'année 2017, les discussions au Conseil se poursuivent depuis plus de deux ans. La CNIL et le CEPD ont appelé les co-législateurs à conclure au plus vite les discussions sur ce texte, en rappelant que le futur règlement ne doit en aucun cas réduire le niveau de protection de la directive actuelle, et doit fournir des garanties supplémentaires pour tous les types de communications électroniques. La France pourrait ici jouer un rôle moteur en relayant ce message, afin que les gouvernements s'accordent enfin sur une approche générale.

Le Conseil de l'Union européenne a récemment adopté des conclusions sur le futur de l'Europe numérique après 2020. Les États membres ont rappelé à quel point il était important de soutenir l'innovation, et d'encourager les technologies numériques clés européennes, mais aussi de respecter les principes de valeurs d'éthiques, notamment dans le domaine de l'intelligence artificielle, et des liens sont possibles avec les travaux de votre Assemblée et ceux de l'Assemblée parlementaire franco-allemande.

La loi pour une République numérique a confié à la CNIL la mission de mener une réflexion sur les questions de société et d'éthique posées par les technologies numériques. La CNIL a ainsi coordonné et animé en 2017 un débat public sur les algorithmes et l'intelligence artificielle, sur la base duquel elle a produit un rapport en décembre 2017, avec deux principes fondateurs qui se sont dégagés : la loyauté et la vigilance. Nous avons pu poursuivre le débat au niveau international, dans le cadre du réseau mondial des autorités de protection des données ; une déclaration commune sur l'éthique et la protection des données dans l'intelligence artificielle a été adoptée en octobre dernier. Les enjeux sont multiples et complexes, mais ce qui compte est la cohérence des instruments du droit pour conforter la confiance dans l'économie numérique. Les parlements nationaux peuvent jouer un rôle moteur et facilitateur pour que le dialogue au niveau européen soit effectif et bénéfique.

Pour conclure, je souhaiterais mentionner la modernisation de la Convention 108 du Conseil de l'Europe, sur la protection des données. La France a signé cette convention, dite « 108 plus », et l'Assemblée nationale devrait prochainement être impliquée dans le processus de ratification. Je voudrais répéter l'importance des enjeux à appréhender et la pertinence de l'échelle européenne pour cela. La CNIL sera disponible pour toute contribution dans le cadre de vos travaux. Elle a rendu 120 avis sur des projets de loi ou de décret, et a été auditionnée une trentaine de fois devant le Parlement.