Par un décret, Emmanuel Macron a définitivement entériné, jeudi 31 janvier, l’arrivée de Marie-Laure Denis à la tête de la Commission nationale de l’informatique et des libertés (CNIL). Mercredi, les commissions des lois de l’Assemblée nationale et du Sénat avaient donné, par 48 voix contre 7, un avis favorable à la nomination de cette conseillère d’Etat de 51 ans pour succéder à Isabelle Falque-Pierrotin.
Cette dernière a pris les rênes de l’autorité indépendante au moment où les missions de la CNIL ont été bouleversées : initialement créée pour limiter les abus de l’Etat en matière de fichiers, elle doit désormais surtout s’assurer du respect des données personnelles, nouveau carburant d’un monde numérisé. Mme Falque-Pierrotin laisse logiquement à sa successrice un enjeu de taille, qui se résume en quatre lettres : RGPD, sigle du règlement général sur la protection des données personnelles, un texte européen entré en application au printemps.
Faire respecter le RGPD dans tous les secteurs
C’est la CNIL qui doit s’assurer du respect du RGPD en France, et ce pour tous les acteurs quelle que soit leur taille, des entreprises aux administrations. La CNIL sera-t-elle sévère avec les gros et compréhensive avec les plus petits ? Usera-t-elle de ses pouvoirs de sanctions sans précédent, notamment jusqu’à 4 % du chiffre d’affaires des entreprises qui ne respecteraient pas les règles ? De sa politique dépendra la crédibilité de ce texte européen complexe et ambitieux.
« La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement », a expliqué Marie-Laure Denis aux députés qui l’auditionnaient, soulignant la nécessité « de s’adapter aux spécificités des acteurs qui n’ont pas tous les mêmes moyens », tout en relevant « les dérives qui mettent en cause les libertés individuelles » à l’œuvre au sein de certaines entreprises du numérique sans les accuser nommément.
Elle hérite d’ailleurs d’un cadeau laissé par Mme Falque-Pierrotin dans son sillage : la sanction à 50 millions d’euros visant Google pour manquement au respect des données. L’entreprise a décidé de contester cette sanction ; la première prise par la CNIL sous l’empire du RGPD devant le Conseil d’Etat.
La Commission devra aussi lever certaines ambiguïtés sur la manière dont elle compte faire respecter le RGPD. C’est le cas du secteur, très sensible, de la publicité en ligne. « La décision Google ne clarifie pas la régulation de ce secteur d’activités qui est celui qui s’est senti le plus impacté et le plus inquiet par le RGPD. Dans sa décision Google, la CNIL ne s’est pas prononcée sur la base légale », qui permet aux entreprises du numérique de proposer de la publicité ciblée sur la base de données personnelles, relève par exemple Merav Griguer, avocate spécialisée de Bird & Bird.
L’afflux de plaintes relance la question, déjà lancinante, des moyens alloués à la CNIL
La CNIL devra aussi continuer à gérer le net afflux de réclamations et de plaintes qui lui parviennent depuis l’entrée en application du RGPD : 11 000 en 2018, soit un tiers de plus que l’année précédente. Et elle devra le faire avec peu, l’ampleur de ses missions ayant relancé la question, lancinante, de ses moyens. « La CNIL fait face à un changement d’échelle dans son activité, mais il n’y a pas de multiplication de son effectif », déplore Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP). Les effectifs de la CNIL ont augmenté en 2018 de quinze personnes, pour atteindre 208 agents. Mme Denis a noté devant les députés « un décalage » entre ses nouveaux effectifs et ceux d’autorités comparables en Europe et a souligné « une mise en tension » de la CNIL compte tenu de ses larges responsabilités.
L’enjeu européen
Au-delà de la scène nationale, c’est au niveau européen que Marie-Laure Denis devra batailler pour la crédibilité du RGPD. Pour Olivia Tambou, maîtresse de conférences à l’université de Paris-Dauphine, il s’agit même là de son « premier chantier ». « Le RGPD est un texte compliqué, peu clair, appliqué par des autorités de protection qui ont des cultures et des manières de travailler différentes : l’enjeu est d’arriver à les faire travailler dans le même sens », explique-t-elle.
Mme Denis devra rapidement prendre la mesure des différents interlocuteurs européens si elle veut faire perdurer l’activisme de sa prédécessrice et la doctrine de la CNIL, plus rigoureuse que nombre de ses homologues européennes en matière de protection des données. Le RGPD prévoyant que l’autorité de protection des données responsable de l’instruction d’une plainte d’un citoyen est – théoriquement – celle du pays où est installée l’entreprise visée, certains craignent par exemple que les procédures aillent s’enterrer à Dublin ou à Luxembourg, où les autorités sont réputées plus laxistes et où sont installés de nombreux grandes entreprises du Web.
Les « CNIL » européennes devront se pencher sur le transfert des données vers les Etats-Unis
Sous le mandat de Mme Denis, la CNIL devra, avec ses homologues, lever certaines questions liées aux transferts de données vers les Etats-Unis. Le Privacy Shield, l’accord qui permet le transfert des données des citoyens européens à travers l’Atlantique, est-il compatible avec le RGPD ? Il s’agit de faire preuve, a expliqué Mme Denis devant les députés, d’« une grande vigilance ». Autre point tendu, l’entrée en vigueur aux Etats-Unis du Cloud Act, qui permet aux autorités judiciaires de récupérer des données personnelles de citoyens européens, procédure en contradiction avec le principe du RGPD.
La question régalienne
La nouvelle présidente de la CNIL devra aussi s’atteler à ce que les experts appellent l’« interrégulation », c’est-à-dire le fait que sur un nombre croissant de sujets numériques, la CNIL n’est pas la seule autorité ayant vocation à intervenir. La France réfléchit actuellement à l’éventualité d’un rapprochement des différents régulateurs dont le numérique apparaît dans leur portefeuille (CNIL mais aussi Autorité de régulation des communications électroniques et des postes, Conseil supérieur de l’audiovisuel, etc.). L’arrivée à la tête de la CNIL de Mme Denis, qui a travaillé une large partie de sa carrière à l’Arcep et au CSA, n’est donc pas anodine.
La CNIL à nouveau contournée sur les sujets régaliens ?
La relation de la CNIL avec l’Etat sera aussi un enjeu du mandat de Mme Denis. Ces dernières années, la CNIL s’est posée en « poil à gratter » du gouvernement sur certains projets, comme le fichier biométrique TES ou le projet de loi sur le renseignement. Mais la tendance lourde est le contournement de la CNIL sur nombre de sujets régaliens. Des sujets brûlants se profilent pourtant, comme les nombreux projets de « villes intelligentes », où le recours à la vidéo et aux données est omniprésent, ou encore l’utilisation de la vidéosurveillance intelligente, qui commence à apparaître dans certains discours politiques.
« La CNIL est très à l’aise pour se poser en protecteur de la population contre les Gafam, mais se poser contre l’Etat est une tradition qu’elle est contente d’avoir perdu », cingle Arthur Messaud, de La Quadrature du Net, la principale association de défense des libertés numériques en France. En choisissant une juriste habituée des coulisses des régulateurs plutôt que certains noms qui circulaient encore il y a quelques semaines, comme celui de l’ancienne secrétaire d’Etat au numérique Axelle Lemaire, Emmanuel Macron semble avoir fait, sur ce terrain, le choix de la continuité.
Voir les contributions
Réutiliser ce contenu
