Isabelle Falque-Pierrotin, vient d'être élue présidente de la Commission nationale de l'informatique et des libertés (Cnil) pour un mandat de cinq ans. Après avoir dirigé pendant dix ans, le défunt Forum des droits sur Internet.
Quel est votre priorité à la tête de la Cnil ?
Isabelle Falque-Pierrotin. La Cnil doit prendre le virage du numérique. Dans les années 80, protéger la vie privée était simple, il suffisait de contrôler un petit nombre de fichiers publics. Ces dernières années, notre tâche s'est complexifiée, les données sont partout, nous devons faire face à un univers très fragmenté, décentralisé. Il nous faut nous adapter à cette nouvelle donne.
Comment comptez-vous vous y prendre, au vu des moyens modestes de la Cnil ?
I.F-P. Notre budget n'est pas négligeable, il était de 16 millions d'euros en 2011 et devrait être en légère augmentation en 2012. Les effectifs (160 à 170 salariés) pourraient également croître l'an prochain avec douze embauches supplémentaires.
Mais pour mener à bien ce chantier du numérique, nous allons beaucoup nous appuyer sur les acteurs économiques, comme les entreprises ou les fédérations professionnelles, pour qu'ils prennent leur part dans la régulation. L'idée est de lancer début 2012 des labels qui se baseront sur un référentiel en matière de protection des données et de respect de la vie privée. Si elles remplissent ces critères, les sociétés pourront prétendre à l'obtention de ce label. Ce type d'outils contractuels, plus souples et plus simples que les lois, nous permettra de décliner nos principes dans les entreprises.
Et vous allez poursuivre vos contrôles ?
I.F-P. Oui, en parallèle nous continuons nos contrôles : il y en a 300 par an, de toute nature. Il nous a fallu ainsi dix huit mois d'enquête pour mettre au jour l'affaire Google street view [en mars dernier la Cnil a prononcé une amende de 100 000 euros contre Google pour différents manquements dans le respect de la vie privée].
Et en matière de protection des données personnelles ?
I.F-P. Nous devons faire en sorte que l'individu qui a dévoilé ses données personnelles, le fasse en toute connaissance de cause et que les conditions d'utilisations en soient claires. Ce n'était pas du tout le cas par exemple dans «l'affaire Pages jaunes» où la société présentait dans les résultats de recherche les profils des internautes sur les réseaux sociaux. Nous avons adressé un avertissement à la société, et elle a suspendu son dispositif d'aspiration de données. Quand un internaute dépose des informations pour une finalité, ce n'est pas normal que l'on s'en serve pour autre chose. D'ailleurs, nous réfléchissons à lancer une campagne de sensibilisation du public sur les dangers des réseaux sociaux, avec un site Internet pour la relayer.
Peut-on encore croire que le droit à l'oubli est possible sur Internet?
I.F-P. Oui ce droit fondamental est en passe d'être consacré dans le cadre de la révision de la Directive européenne sur la protection des données. Mais il ne faut pas l'entendre comme un droit de rectification personnel. Nous devons faire en sorte que l'univers numérique, qui n'est pas construit pour cela, oublie davantage. Autrement dit, il faut créer de la discontinuité dans la mémoire numérique. Il y a plusieurs façons d'y parvenir : travailler sur la durée de conservation et prévoir qu'à l'expiration du délai, la donnée disparaisse vraiment.
Ensuite au niveau européen il faut que l'on planche avec les moteurs de recherche car ils continuent à indexer les données même si elles n'existent plus. La commissaire européenne en charge de la justice, Viviane Reding, est très mobilisée sur ce sujet.
Ciblage publicitaire, cookies... les consommateurs sont ils bien protégés ?
I.F-P. J'estime que les textes sont assez protecteurs en consacrant l' «opt-in» [consentement préalable avec une case à cocher]. D'autant que le système est complexe car si les internautes consomment des services gratuits en ligne, c'est parce que c'est financé par la publicité.
La géolocalisation des salariés explose. Ce phénomène est-il suffisamment encadré ?
I. F-P. Pour l'instant une simple déclaration suffit, et cela nous paraît un peu court. Si demain tous les dispositifs qui comprennent de la géolocalisation devaient être soumis à une autorisation, je crois bien que dix Cnil ne suffiraient pas à faire le travail. Mais nous devons trouver une solution médiane pour tenter de limiter le traçage des salariés.
Après l'affaire de l'application «juif ou pas juif», quel contrôle opère la Cnil sur les galeries d'applications en ligne ?
I.F-P. Il est vrai que dans ces galeries d'applications l'encadrement est faible. Je suis tombée récemment sur une application de GPS. Si vous la chargez sur votre téléphone, vous consentez en échange à partager votre carnet d'adresses avec le développeur. Nous pensons que les opérateurs de téléphonie mobiles doivent jouer eux-aussi le rôle de relais de la Cnil et souhaitons travailler davantage avec eux.
Le «cloud computing» [informatique en nuage] ne représente-t-il pas un nouveau danger pour les données personnelles ?
I.F-P. L'enjeu est absolument fondamental pour nous, car cela ne doit pas aboutir à un abaissement de la protection en matière de données personnelles. Nous étudions actuellement toutes les questions que le «cloud computing» pose au regard de la loi informatique et libertés : droit applicable, responsable de traitement, droit des individus... Puis nous allons nous rapprocher des offreurs privés de «cloud» pour élaborer avec eux des chartes d'utilisation.
