Le rôle de la Cnil, institution longtemps méconnue, a-t-il évolué durant cette dernière décennie ?
Marie-Laure Denis. Disons que la protection de leurs données préoccupe de plus en plus les Français et que le règlement général sur la protection des données (RGPD) est aujourd’hui mieux appréhendé du fait d’une sensibilisation croissante. C’est d’ailleurs ce que traduit l’augmentation notable des plaintes que nous recevons. En 2019, avec plus de 14 000 saisines, nous avons enregistré une hausse de 27 % par rapport à l’année précédente, et de 80 % si l’on remonte cinq ans en arrière.
Le point de bascule reste donc le RGPD…
Il renforce le pouvoir répressif de la Cnil, qui est complété par un accompagnement de la mise en conformité pour des organismes privés et publics. Tout l’intérêt de notre régulation repose sur la complémentarité entre ces deux approches. L’autre point majeur porte sur la coopération nouvelle entre les autorités de protection des données des pays de l’Union européenne. Elle harmonise l’application des textes, tout en élargissant la portée des plaintes, puisque nous sommes saisis dès lors que nos concitoyens sont impactés. Cette coopération a permis de rendre 79 décisions collégiales en 2019, la Cnil ayant été impliquée dans la moitié de ces décisions et cheffe de file pour dix d’entre elles.
Deux ans après l’entrée en vigueur du RGPD, les entreprises ont-elles réussi leur mise en conformité ?
Le tableau des 4 millions d’entreprises présente forcément une situation hétérogène. Mais les sanctions étant plus importantes, les sociétés sont nombreuses à faire des efforts. Néanmoins, il faut prévenir un risque de relâchement de l’attention à la protection des données face aux évolutions continues du numérique, nécessitant un travail permanent pour ceux qui les traitent.
Le 1er octobre, le collège de la Cnil publiait de nouvelles recommandations relatives au dépôt de traceurs. Peut-on en résumer l’esprit ?
La Cnil s’intéresse depuis longtemps à cette problématique liée à la navigation en ligne ou à l’utilisation d’applications. Dès 2013, elle avait émis une recommandation prônant le besoin d’informer les internautes préalablement au dépôt de traceurs. Le RGPD ayant accru les exigences en matière de recueil du consentement, nous devions clarifier le cadre juridique. Mais ces préconisations ont été contestées par des acteurs du marché publicitaire devant le Conseil d’État. Nous en avons donc tiré les conséquences en remaniant les lignes directrices et la recommandation, en concertation avec l’interprofession. Dans ces nouveaux textes, nous rappelons trois points fondamentaux quant à l’expression valide d’un consentement : l’internaute doit être clairement informé de la finalité du traceur avant son dépôt, la poursuite de la navigation ne vaut pas acceptation et enfin il doit être aussi facile de refuser le dépôt d’un traceur que de l’accepter. Nous préconisons aussi différentes modalités pratiques du recueil de consentement, nous dressons une liste des traceurs non concernés car essentiels à l’activité et nous prévoyons, sauf manquement particulièrement grave à la vie privée, un délai de six mois pour permettre à chacun de se mettre en conformité avec les nouvelles obligations.
Ce fameux cookie reste une pierre angulaire de la monétisation de la publicité digitale. Certains arguent donc que de telles règles creusent le déséquilibre avec les Gafa. Quelles sont vos réponses à ces critiques ?
L’objet de cette action de régulation n’est pas de se positionner pour ou contre les traceurs, mais bien de préciser la volonté du législateur avec, pour finalité ultime, la possibilité de donner plus de contrôle aux utilisateurs sur leurs données personnelles. Cet objectif demeure notre priorité. Tous les acteurs, français, européens ou étrangers, demeurent soumis aux mêmes règles. Et ces lignes directrices n’accroissent ni ne réduisent les distorsions de concurrence, puisque nous ne créons pas de règles mais clarifions des principes juridiques existants. Elles ne sont pas une anticipation du futur règlement européen e-Privacy actuellement discuté à Bruxelles, mais bien l’application des textes en vigueur dans l’Union. Il existe toutefois des problématiques réelles qui relèvent du droit de la concurrence, puisque Google et Facebook captent une grande partie de la valeur sur le marché de la publicité digitale, en raison de différents facteurs tenant au choix de modèles économiques, à la masse des données traitées ou à l’attraction qu’ils peuvent exercer.
Le 21 janvier 2019, la Cnil prononçait une amende d’un montant de 50 millions d’euros à l’encontre de Google LLC pour manque de transparence et absence de consentement valable. Cette sanction a-t-elle changé le cours des choses ?
Le montant est à ce stade le plus important qui ait été signifié au sein de l’Union. Cela montre qu’il n’y a aucun tabou à prononcer des sanctions dont le plafond a été relevé par le RGPD, même si nous souhaitons le faire avec discernement. Cette décision a eu un écho en dehors de l’Union européenne même. Nous constatons ainsi que de nombreux pays, comme le Brésil ou l’Inde, cherchent à élever leurs standards de protection des données, pour se rapprocher des exigences du RGPD et disposer ainsi d’un cadre facilitant les transferts de celles-ci. Le caractère extraterritorial est donc puissant, tendant à imposer ce règlement comme la référence mondiale en matière de protection des données. C’est un acte fort de souveraineté européenne.
Dans un registre similaire, l’organisme régulateur irlandais a exigé en juillet dernier de Facebook qu’il suspende ses transferts de données vers les États-Unis, en raison de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne. Quelle est votre position sur cette décision ?
L’arrêt Schrems II a en effet remis en cause les conditions dans lesquelles les données personnelles des Européens peuvent être transférées aux États-Unis. La Cnil rappelle que cet arrêt implique en l’état l’interruption d’un certain nombre de transferts. Au sein du comité européen de la Protection des données, nous étudions cette question pour être en mesure d’accompagner au mieux les entreprises.
Le ciblage publicitaire télévisuel fait ses premiers pas en France. Que pense la Cnil de cette nouveauté ?
Un récent décret offre aux chaînes de télévision la possibilité de diffuser des publicités différentes selon les téléspectateurs visés, répondant ainsi à la demande des éditeurs français de lutter à armes égales avec les géants du numérique. Ce marché publicitaire s’est en effet contracté de 17% entre 2000 et 2017. La Cnil n’a pas à se prononcer sur le modèle en vigueur, le régulateur du secteur étant le CSA. Mais la publicité ciblée impliquant à terme une perte d’anonymat pour le téléspectateur, elle demeurera vigilante sur le traitement des données par toute la chaîne publicitaire. Dans le respect du RGPD, l’utilisateur devra être informé de la finalité de la collecte de données et des destinataires de celles-ci. Il devra par ailleurs consentir aux traitements les plus intrusifs et pouvoir retirer son consentement. Une question centrale est également liée au partage de la valeur des données entre ceux qui les collectent, les opérateurs,
et ceux qui les utilisent, les éditeurs. Si la Cnil n’a pas vocation à participer à ce débat, elle veillera à ce que les droits des téléspectateurs soient respectés.
Autre sujet, celui des assistants vocaux. Vous venez de publier un livre blanc. Quels en sont les objectifs ?
Il explore les enjeux éthiques, techniques et juridiques de ces assistants. La voix devient une nouvelle interface d’échange avec des systèmes informatiques de plus en plus nombreux. Or, elle est porteuse d’informations relatives à l’âge, aux origines, au sexe, à l’état émotionnel… Cette tendance appelle donc des réponses pour comprendre comment sont traitées les données, pour quels objectifs, mais aussi avec quel niveau d’information pour l’utilisateur, d’autant que ces interfaces sont souvent conçues pour être quasi invisibles en minimisant les interactions avec ce dernier. Il faut, là encore, débattre, non pas d’un modèle économique, mais d’un modèle de société qui doit faire l’objet d’échanges éclairés.
Pour conclure, par quels grands postulats pensez-vous que le sujet de la protection de la donnée personnelle passera dans les prochaines années ?
Nous ressentons fortement une aspiration des internautes à plus de transparence et de compréhension pour contrôler leurs données. Études, sondages et augmentation des plaintes le prouvent. La mise en conformité au RGPD dépasse dès lors l’enjeu juridique pour devenir une valeur commerciale, avec un réel intérêt stratégique à entretenir son patrimoine informationnel dans les règles de l’art. Les entreprises qui font ce choix peuvent tirer parti d’un avantage concurrentiel, à l’inverse de celles qui prennent un risque de réputation via un traitement qui n’est pas assez sécurisé. Au-delà du respect du droit, le développement durable de l’économie numérique reposera sur cette valeur de confiance de ses utilisateurs.
