Isabelle FALQUE-PIERROTIN
Présidente de la CNIL (Commission nationale de l’informatique et des libertés) et du G29 (groupe de travail des CNIL européennes auprès de la Commission européenne
Aucun accord n’a encore été trouvé entre Bruxelles et Washington sur la question de la protection des données personnelles mais l’Union européenne joue la fermeté. Il n’est plus question de laisser la NSA (National Security Agency) piocher dans les données des Européens, pratiques révélées par Edward Snowden. Retour sur ce dossier plus large de la gestion des données qui alimente bien des débats – tant économiques que politiques et sociétaux.
Après 4 années de débats, l’Union européenne est parvenue à un accord pour renforcer la protection des données personnelles. Principe de portabilité des données, consécration du droit à l’oubli, mais aussi amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires des entreprises en cas d’infraction en sont des points clés. Quel jugement portez-vous sur cet accord ?
L’accord trouvé par le Parlement européen, le Conseil et la Commission européenne sur la réforme européenne de la protection des données marque l’une des dernières étapes vers l’adoption finale des textes. Le G29, l’organisation qui rassemble l’ensemble des CNIL européennes, considère ce consensus comme une décision majeure pour la crédibilité européenne sur la scène internationale. Par cet accord, l’Europe marque sa détermination à être un acteur majeur du numérique tout en préservant les valeurs humanistes qui sont les nôtres. C’est un signal envoyé à tous les acteurs mondiaux qui veulent venir opérer en Europe. Si toutes les conséquences de cet accord ne peuvent encore être mesurées, deux éléments importants peuvent déjà être soulignés. D’une part, le niveau de protection des données des citoyens et consommateurs européens devra rester au moins équivalent à celui garanti par le règlement pour toute entreprise qui vise des utilisateurs situés dans l’Union européenne. D’autre part, un nouveau droit vient compenser la dissymétrie qui s’était installée entre individus et grandes entreprises qui collectent des données : le droit à la portabilité permet de récupérer les données communiquées à une plate-forme (réseau social, fournisseur d’accès à internet, site de streaming) et de les transmettre à une autre plus privacy friendly.
En tant que régulateur, nous avons deux ans pour nous préparer à ce nouveau cadre juridique et pour préparer les entreprises privées, publiques et les administrations au changement.
A l’initiative allemande, a été introduit un amendement sur la possibilité pour les entreprises d’utiliser le potentiel du big data en supprimant l’identité de la personne (anonymisation). Pensez-vous que cette disposition permette de respecter un équilibre entre protection et liberté d’innovation ?
Avant de revenir sur l’un des principaux enjeux du big data en matière de données personnelles, rappelons que le big data ne repose pas uniquement sur des données personnelles mais aussi sur des données sans aucun lien avec un individu.
Les promesses liées aux traitements massifs de données dans le cadre du big data sont énormes. Le big data conduit notamment à des recoupements nombreux de données permettant des profilages toujours plus fins qui peuvent être utilisés dans la santé, l’assurance ou le crédit à la consommation. Par là, des données que l’on peut penser vraiment anonymes peuvent être ré-identifiables grâce à des capacités de calculs et de croisements. Réduire, voire éliminer la possibilité de ré-identification est donc indispensable et nécessite la définition de méthodologies d’anonymisation robustes. Le G29, comme chacune des autorités de protection, souhaite donc accompagner le développement du big data en ce sens et a d’ailleurs défini des principes d’anonymisation dès avril 2014.
A titre d’exemple d’intégration du big data dès la conception du produit, la CNIL a travaillé en France avec la société Orange pour mettre en place le dispositif Flux Vision. Ce service permet de convertir en temps réel des millions d’informations techniques provenant du réseau mobile en indicateurs statistiques, pour analyser la fréquentation de zones géographiques et les déplacements de population, qui peuvent être utilisés dans le domaine du tourisme, de l’aménagement du territoire ou du trafic routier. L’offre repose sur un procédé d’anonymisation développé en concertation avec la CNIL, qui supprime toute possibilité d’identifier les clients de l’opérateur. Dans le cadre du développement des smart cities, ce type dispositif innovant permet de respecter la vie privée des usagers et de répondre aux attentes des collectivités locales souhaitant proposer un service plus adapté.
Les techniques d’anonymisation peuvent donc ouvrir des voies opérationnelles de traitement des données dans le cadre du big data et concilier innovation et respect des libertés.
Pensez-vous qu’un juste équilibre entre protection et liberté d’innovation est atteint ? Que répondez-vous aux détracteurs des instances de régulation qui estiment que de telles mesures « tuent l’innovation en Europe » ?
Considérer que la régulation tue l’innovation est un raisonnement à court terme. De nombreuses affaires de fuites de données personnelles ont éclaté l’an passé : site canadien de rencontre, sites et applications d’entreprises de jouets connectés, comptes d’agents fédéraux, données des salariés d’un groupe mondial de musique. Ces événements contribuent à l’émergence d’une conscience publique sur les enjeux liés à l’usage des données personnelles, notamment en matière de sécurité. La récurrence des scandales pourrait mener à une crise de confiance entre usagers et services (publics ou privés). L’eurobaromètre de juin 2015 démontre une certaine inquiétude des citoyens à cet égard.
Mais l’enjeu va au-delà de la gestion du risque : je suis convaincue que la protection des données est désormais un avantage compétitif et que les entreprises ou organisations peuvent faire valoir leur engagement en matière de protection des données auprès de leurs utilisateurs, client ou salariés. Les personnes y sont, dans le contexte post Snowden, beaucoup plus sensibles et certains grands acteurs de l’Internet l’ont bien compris.
Evidemment, le régulateur doit s’adapter et offrir aux entreprises ou aux administrations des outils plus souples de conformité, accompagnant ces usages beaucoup plus intensifs des données. A cet égard, depuis plusieurs années, et le règlement le conforte, certaines autorités européennes (dont la CNIL) misent sur des outils comme les « packs de conformité ». Ceux-ci, mis en place en concertation avec les professionnels (ex : compteurs d’énergie communicants ou logement social), définissent un cadre juridique clair et évolutif pour un secteur et simplifient les formalités administratives du dit secteur. Dans un cadre de responsabilisation accrue, les audits vie privée rendus obligatoires par le règlement européen constituent également un moyen de régulation. Des services « privacy friendly » se développent déjà en Europe ; le moteur de recherche DUckDuckGo qui ne collecte ni cookie ni adresse IP des utilisateurs en est une bonne illustration.
Finalement, le règlement traduit une nouvelle étape dans la protection des données personnelles : loin de constituer une contrainte, celle-ci constitue désormais un investissement pour les acteurs numériques. Ce positionnement permet de retrouver un équilibre dans lequel émergeront peut-être de nouveaux acteurs, avec à la clef des créations d’emploi.
Dernier point, il importe de rappeler que l’Europe n’est pas la seule à soutenir la régulation. Contrairement aux idées reçues, cette culture est forte aux États-Unis également, le pays des actuels géants de l’Internet. Et nous sommes regardés avec envie, par exemple par la société civile américaine, sur le droit au déréférencement.
Opposer innovation et protection des données est une posture stérile. Non seulement ces principes ne s’opposent pas mais au contraire ils enclenchent un cercle vertueux, un cercle de confiance, clé de voûte d’un numérique durable.
Suite à l’invalidation, par la Cour de Justice de l’Union européenne, de l’accord Safe Harbor en octobre 2015, les autorités européennes sont confrontées à une crise profonde. Comment le G29 aborde-t-il cette situation ?
Cet arrêt est un véritable coup de tonnerre. Il ne nous a pas surpris car plusieurs prises de position du G29 vont dans ce sens mais il nécessite que chacun prenne ses responsabilités. Face à cette situation, la responsabilité des autorités de protection des données est très claire. Elles doivent faire respecter la loi, bien sûr de façon réaliste et coordonnée. De concert, les CNIL européennes, au sein du G29, ont décidé d’accorder trois mois aux autorités américaines et européennes pour trouver les voies d’un nouvel accord ; le G29 quant à lui va évaluer la solidité juridique des autres outils de transferts et, au terme de la période de transition, nous prendrons une décision concertée sur les suites à donner au jugement. Compte tenu des enjeux économiques et sociétaux liés aux transferts de données, celle-ci sera historique.
Questions de Carole Ulmer, directrice des études à Confrontations Europe
Ce groupe de travail, qui rassemble les représentants de chaque autorité indépendante de protection des données nationales, a été institué par l’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation.
Edward Snowden, ancien employé de la Central Intelligence Agency (CIA) et de la National Security Agency (NSA), a révélé les détails de plusieurs programmes de surveillance de masse américains et britanniques. Inculpé en 2013 par le gouvernement américain sous les chefs d’accusation d’espionnage, vol et utilisation illégale de biens gouvernementaux, il est actuellement en exil en Russie.
Le « Safe Harbor » (« sphère de sécurité ») est une décision de la Commission européenne, datant de 2000, qui affirme que le transfert de données personnelles d’Europe vers les Etats-Unis est possible car ce pays présente des garanties suffisantes pour la protection de la vie privée. Controversé, cet accord a été mis à mal par les révélations d’Edward Snowden de 2013.