Politique Internationale — Où en est la bataille pour la protection des données personnelles ?
Sophie Nerbonne — En utilisant le terme de « bataille », vous mettez le doigt sur les enjeux de la géopolitique de l’internet. Cette question se rattache, en effet, au contrôle de la souveraineté numérique tant des États que des entreprises ou des citoyens. dans la « guerre économique » qui fait rage au niveau mondial, L’Europe peut être fière d’avoir adopté le RGPD (Règlement général sur la protection des données) qui définit à la fois une stratégie et un mode opératoire. Depuis qu’il a été mis en application, il y a à peine dix-huit mois, il a fait la preuve de son efficacité, même s’il reste encore beaucoup de chemin à parcourir. Avec le RGPD, l’Europe s’est dotée d’un cadre de développement pour l’innovation responsable, qui propose une alternative aux modèles américain et chinois. Ce texte a un double objectif : d’une part, regagner de la souveraineté numérique en imposant des règles aux acteurs, où qu’ils soient dans le monde, qui ciblent des ressortissants européens ; d’autre part, rétablir l’équilibre entre les acteurs économiques et faire émerger une conception des produits et services numériques qui intègre les droits des personnes. C’est une avancée fondamentale.
P. I. — Qu’est-ce que le RGPD a changé pour les personnes privées ?
S. N. — Le texte reprend les droits déjà existants et en crée de nouveaux. Le droit à l’information sur le traitement des données, le droit de s’opposer ou de consentir audit traitement, d’exercer ses droits d’accès, de rectification ou d’effacement existaient depuis quarante ans en France. Mais ils ont été réaffirmés car beaucoup les ignoraient et, plus important, ils ont été renforcés afin de faire l’objet d’un usage effectif. Ll’objectif est de donner à chacun d’entre nous le pouvoir de contrôler et de maîtriser les informations qui nous concernent. Parmi les droits nouveaux, le droit à la portabilité de ses données personnelles doit permettre la création de nouveaux services innovants en créant une circulation des données plus fluide, à la main des usagers.
P. I. — Est-il nécessaire d’avoir une vision quasi guerrière sur ces sujets ?
S. N. — À l’heure où l’Europe prend conscience de la nécessité de son autonomie stratégique, les questions relatives au numérique, à sa réglementation et aux enjeux de concurrence associés doivent bien évidemment être prises en compte pour assurer sa défense. Le RGPD met en place le Comité européen de protection des données (CEPD). Il ne s’agit pas d’un simple groupe de travail, mais d’un organe de gouvernance chargé de formuler des avis contraignants afin d’assurer la cohérence du mécanisme de coopération européenne en matière d’informatique et libertés.
P. I. — Comment définir les données personnelles ?
S. N. — Il s’agit de toutes les informations qui permettent, directement ou indirectement, d’identifier une personne physique, que ce soit par référence à un numéro d’identification, par exemple le numéro de sécurité sociale, par son nom et son prénom, sa date de naissance, ou encore au moyen d’éléments biométriques comme des empreintes digitales. Vous voyez que le champ d’application de cette notion est très large.
P. I. — L’Europe s’exprime-t-elle d’une même voix sur le sujet de la protection des données personnelles ?
S. N. — Oui, le système de gouvernance fonctionne, et il permet en effet d’aller tous dans le même sens. En dix-huit mois, le CEPD a déjà produit une doctrine consolidée importante sur les principales notions. Cela prouve qu’il existe une interprétation commune des 28 autorités de contrôle sur les principes du règlement.
P. I. — Quelle est la marge d’interprétation de la CNIL par rapport au règlement européen sur la protection des données ?
S. N. — Le RGPD laisse aux gouvernements une marge de manœuvre pour une cinquantaine de dispositions, mais la France, comme les autres pays, n’en a fait qu’un usage modéré et a préféré conserver un régime d’autorisation préalable, notamment dans le secteur de la santé. Nous avons récemment publié la liste des traitements qui, selon nous, n’ont pas à faire l’objet d’analyses d’impact. C’est le cas des dispositifs de paie du personnel ou des contrôles d’accès aux bâtiments, sauf si des données biométriques sont collectées. Ces listes nationales ont toutefois été soumises à un contrôle de cohérence au niveau du comité européen.
P. I. — De quels moyens disposez-vous ?
S. N. — La CNIL est une autorité administrative indépendante qui a été créée en 1978. Nous comptons 215 agents dans les services, des juristes et des ingénieurs dans la mesure où le travail se fait en binôme, mais aussi des prospectivistes. Nos effectifs ont progressé mais ils restent insuffisants face à l’ampleur de la tâche qui est la nôtre et des enjeux. Notre site cnil.fr reçoit 8 millions de visites par an. Cette forte fréquentation s’explique par le fait que nous touchons tous les secteurs d’activité : le secteur privé avec ses 4 millions d’entreprises aussi bien que le secteur public avec ses 36 000 communes, sans compter les autres collectivités, établissements publics ou ministères qui sont nos interlocuteurs. Depuis notre création, nous avons développé une expertise unique que nous souhaitons déployer en direction des acteurs professionnels et de la société civile, en France et en Europe. Notre objectif n’est pas de nous enfermer dans une tour d’ivoire mais de pratiquer une co-régulation ancrée dans les besoins et en prise avec la réalité.
P. I. — Les assureurs font partie des professionnels qui collectent un grand nombre de données sur leurs assurés. Le traitement de ces données peut être utile en matière de prévention des maladies par exemple. Comment protéger les données personnelles sans brider les innovations ?
S. N. — Il est légitime que les assureurs collectent beaucoup de données, puisqu’ils sont par définition une industrie du traitement de l’information et de l’analyse du risque. Nous avons travaillé avec eux pour élaborer en 2016 un pack de conformité mettant à plat tous les traitements nécessaires à la gestion des clients, qu’il s’agisse de la tarification en fonction de l’analyse des risques, du marketing, des modalités d’indemnisation, facilitées par la reconnaissance d’images, de la lutte contre la fraude... Certains de ces traitements suscitent des inquiétudes du fait de la précision des données collectées sur les habitudes de vie et des risques d’atteintes à la vie privée. La multiplication des objets connectés au domicile des assurés ou dans leur véhicule permet aux assureurs d’en savoir toujours plus. Certains incitent même leurs clients à s’équiper de bracelets connectés pour faire de l’exercice physique et mieux prendre soin d’eux. Toute la question est de savoir dans quelle mesure ces données sont nécessaires, si elles sont acceptées par les usagers, si elles sont correctement utilisées et dans quelle mesure elles sont sécurisées. Sur tous ces points, une bonne information est indispensable.
P. I. — La CNIL s’était pourtant opposée il y a quelques années à la mise en place d’un boîtier dans les voitures. Quel était le problème ?
S. N. — Le premier boîtier imaginé par un assureur donnait la possibilité d’un profilage du conducteur en fonction de son style de conduite. Pplus spécialement destinée aux jeunes conducteurs, cette boîte noire les encourageait à ne pas dépasser une vitesse donnée et fonctionnait comme un radar. Or le radar, c’est une prérogative des forces de l’ordre, pas de l’assureur. D’où le refus de la CNIL. Tout cela s’est affiné au fil des années et on est ainsi passé du « pay as you drive » au « pay how you drive », c’est- à-dire à une tarification liée au mode de conduite. Les assureurs disposent de davantage de remontées d’informations qu’autrefois sur la manière dont leurs assurés se comportent au volant. Ils ont revu leur façon de travailler avec nous. Ils ont compris qu’avant de lancer un mécanisme mieux valait d’abord nous contacter pour voir comment agréger des données tout en respectant les droits.
P. I. — Comment fonctionnent désormais les boîtiers connectés des automobiles ?
S. N. — Les boîtiers actuels enregistrent par exemple la manière dont le conducteur braque, freine, accélère par à-coups... Grâce à ces informations, les assureurs peuvent prévenir les dommages et engager des actions de prévention pour mettre en garde les conducteurs contre les comportements à risque. nous avons également traité de la question spécifique des véhicules connectés avec l’ensemble de la filière : les assureurs, mais aussi les constructeurs, les équipementiers, les industriels de l’électronique. Ce pack de conformité a été porté au niveau européen afin d’aboutir, début 2020, à une prise de position de l’ensemble des CNIL européennes.
P. I. — En matière de santé, quelles sont les avancées possibles ?
S. N. — L’utilisation des données de santé, qui sont des données sensibles, est particulièrement protégée par le RGPD (consentement des personnes concernées, sécurisation renforcée des dispositifs). En France, ces informations très fournies sont collectées par le Système national des données de santé (SNDS), qui fait l’objet d’un accompagnement poussé par la CNIL (avis sur les projets de texte, examen des analyses d’impact, participation aux réunions et aux groupes de travail). Un des chantiers en cours est la mise en place d’un « health data hub ». Ce projet gouvernemental, qui figure dans le projet de loi « Ma santé 2022 » à la suite du rapport Villani de 2018, consiste à rendre possible l’accès aux données de santé pour les projets de recherches, qu’il s’agisse de données publiques telles que les remboursements effectués par la sécurité sociale ou privées comme les comptes rendus des hôpitaux. Des règles de partage de données doivent être établies, dans le respect des droits des personnes. La mission santé 2022 se propose également d’utiliser le numérique pour changer les pratiques médicales. Le ministère de la santé veut notamment encourager la télémédecine, les examens médicaux à distance. Là encore, la CNIL est à la manœuvre pour créer des cadres de confiance sur l’utilisation de ces données.
P. I. — Le hacking de données médicales, voire les attaques contre des hôpitaux empêchés de fonctionner s’ils ne paient pas une rançon, comme cela s’est produit récemment aux États-Unis, font frémir. Les données sont-elles devenues une proie pour des groupes malintentionnés ?
S. N. — Tout à fait. en entrant dans la société numérique, il faut prendre en compte les nouveaux risques, et la cyber-criminalité en fait partie. La CNIL a développé de nombreux guides pratiques et recommandations (sur les mots de passe, par exemple) sur la cyber-sécurité, et ne ménage pas ses efforts pour sensibiliser le public, les PME, les TPE, les collectivités locales. Tel est le cas aussi des assureurs, qui prêtent de plus en plus d’attention au cyber-risque et à sa prévention.
P. I. — Les ménages vous paraissent-ils suffisamment informés de leurs droits ? Ont-ils conscience de la masse de données qui sont collectées sur eux lorsqu’ils se servent d’Internet ?
S. N. — Si cette information a indéniablement progressé ces dernières années, force est de constater que l’opacité reste très forte sur les conditions de traitement des données collectées. Les efforts visant à informer le grand public doivent utiliser de nouveaux vecteurs (vidéos, jeux...).
P. I. — Comment un particulier peut-il vous contacter s’il a une question sur le traitement de ses données personnelles ?
S. N. — Via notre site, soit en passant par le portail destiné aux particuliers, soit directement à partir de notre page d’accueil en cliquant sur « agir » puis « adresser une plainte » ou « besoin d’aide ». L’an dernier, les plaintes des particuliers portaient pour la plupart sur la diffusion de leurs données sur internet, qu’il s’agisse de demandes de suppression de certains contenus, de prospection commerciale, de télésurveillance au travail ou de difficultés pour exercer leur droit d’accès...
P. I. — Comment mieux sensibiliser encore les Français et les Européens ?
S. N. — Certainement au travers de ce qui touche le plus concrètement la vie des gens, notamment les assistants numériques qui se déploient massivement et sur lesquels la CNIL publiera des recommandations en 2020. La CNIL, dans ses objectifs stratégiques 2019-2021, a décidé d’enrichir son offre éditoriale à destination des particuliers et de renforcer sa pédagogie, plus spécialement à l’égard des jeunes. Elle cherche aussi à simplifier sa parole pour la rendre plus lisible. des réponses clés en main, des recommandations pratiques et des outils numériques sur les questions qui les préoccupent seront mis à la disposition des particuliers afin de leur permettre de se protéger efficacement dans leur vie numérique de tous les jours. La CNIL doit également anticiper, dès la conception d’une production qui le justifie, la communication publique qui en découle, en direction des particuliers ainsi que des professionnels qui traitent leurs données afin de mieux les sensibiliser.
P. I. — Quels conseils pratiques pouvez-vous donner aux particuliers pour se protéger ? Faut-il que les parents mettent en garde leurs enfants qui surfent de plus en plus jeunes sur Internet ?
S. N. — Il faut faire comprendre aux enfants et aux adolescents qu’ils ne doivent pas tout dire sur Internet. Qu’ils ne doivent pas communiquer leurs opinions politiques, leur religion ou leur numéro de téléphone dans n’importe quelles conditions. Apprendre à paramétrer les réseaux sociaux pour rester maître des informations que l’on partage vaut pour les jeunes comme pour leurs parents. Il faut réfléchir avant de publier des informations, des opinions ou des photos. Un conseil qui n’est pas encore assez suivi consiste à se créer plusieurs adresses e-mail : une pour les réseaux sociaux et les jeux, une autre pour les amis. Taper régulièrement son nom dans un moteur de recherche est aussi un moyen simple de savoir ce qui circule sur soi sur Internet. Enfin, effacer régulièrement ses historiques de recherche ou utiliser la navigation privée sur un ordinateur qui n’est pas le sien est aussi une bonne démarche, qui doit devenir une pratique aussi naturelle que de se laver les dents ! Le collectif de l’éducation au numérique réuni par la CNIL œuvre en ce sens.