Intervention de Alex Türk

Merci de me donner l'occasion de faire le point sur notre activité.

Beaucoup de questions se posent à nous désormais dans le domaine économique. C'est assez nouveau : avant la loi du 6 août 2004 – qui a réformé celle du 6 janvier 1978 –, l'activité de la CNIL était tournée à hauteur de 85 % vers le secteur public ; aujourd'hui, elle l'est à hauteur de 90 % vers le secteur privé. C'est un bouleversement considérable.

En ce domaine, nous sommes sous la pression américaine. Je pense notamment au développement des dispositifs d'alerte professionnelle dans les entreprises, à la stratégie dite « discovery » qui permet aux juridictions américaines d'exiger la production de pièces venant d'entreprises françaises, ou encore, s'agissant du fonctionnement des réseaux, au fait que les entreprises américaines considèrent ne pas être soumises au droit européen – ce qui pose non seulement un problème de protection des données personnelles, mais aussi un problème de concurrence : dans le domaine des réseaux sociaux et surtout des moteurs de recherche, les entreprises de taille moyenne pâtissent de la liberté d'action dont bénéficient les grands acteurs venant des États-Unis.

Parmi les sujets les plus brûlants, il y a tout d'abord, bien sûr, la problématique des centrales de crédit. Les choses avancent, le Parlement a pris des initiatives, un délai a été fixé ; la CNIL s'en félicite, ayant clairement dit que pour aller plus loin, il fallait changer le cadre législatif. Nous sommes bien entendu à votre disposition pour éclairer vos travaux.

Un deuxième sujet très important est la normalisation en matière de protection des données. Les entreprises ont besoin d'y voir clair. Dans le cadre du groupe « Article 29 », c'est-à-dire du groupe des « CNIL » européennes, nous avons fait un très gros travail, mais cela n'a pas été sans mal. Il y a environ un an, nous nous étions rendu compte que l'organisme de normalisation ISO travaillait, pour établir des normes à vocation mondiale, sur la base des réflexions de l'Organisation de coopération économique Asie-Pacifique (APEC) – dont font partie les États-Unis et le Canada – et des Lignes de l'OCDE, alors que le niveau de protection des données personnelles y est beaucoup moins élevé que dans la directive européenne et les lois des Vingt-sept. Après quelques démêlés avec la Commission européenne sur lesquels je ne m'attarderai pas, l'un de nos collaborateurs, chef du service d'expertise technologique de la CNIL, a été désigné par le groupe de l'Article 29 pour participer à l'ensemble des travaux et faire valoir les positions européennes. Il ne s'agit évidemment pas de bloquer les activités économiques, mais de protéger les libertés individuelles : les normes techniques doivent assurer l'équilibre entre le progrès des premières et le respect des secondes.

Troisième sujet : la problématique de l'externalisation, sur laquelle le Gouvernement a engagé une réflexion. La démarche consiste, pour des entreprises françaises, à passer des contrats avec des entreprises situées à l'étranger, par exemple au Maroc, en Tunisie, au Sénégal ou au Burkina-Faso, afin d'externaliser certaines fonctions comme la gestion comptable ou le secrétariat. Pour ces pays, c'est un enjeu tant économique que social : j'ai visité à Dakar une entreprise où travaillaient 2 200 jeunes de la région, qui avaient ainsi trouvé un emploi ; quant à nos amis marocains, ils développent un plan appelé « Émergence » qui prévoit 120 000 emplois résultant d'externalisation à l'échéance 2012 – contre un peu plus de 50 000 actuellement. Le rôle de la CNIL n'est pas de prendre une position sur l'externalisation en tant qu'option économique, mais de rappeler que si elle a lieu, ce doit être dans un cadre juridique visant tant à protéger les données qu'à éviter les distorsions de concurrence. Je me suis rendu dans beaucoup des pays concernés, dont nous avons en général réussi à convaincre les gouvernements de la nécessité de créer une « CNIL » et de prendre les dispositions législatives nécessaires. Nous leur demandons d'offrir un niveau de protection équivalent à celui demandé par la directive européenne, afin que les entreprises françaises soient autorisées à transférer des données personnelles. Je rappelle que 98 % du commerce international repose sur du transfert de données.

Je voudrais aussi évoquer le processus de labellisation par la CNIL. La loi de 2004 lui avait donné compétence en la matière, mais c'est un article inséré dans la loi de simplification du droit du 12 mai 2009 qui lui donne la possibilité d'avancer de manière concrète. Nous allons donc mettre en place des labels, comme les entreprises françaises nous le réclament afin d'assurer leur développement dans un cadre juridique non vulnérable. Nous allons commencer, très prochainement, par les domaines de la formation et de l'audit. Si tout se passe bien, nous passerons dans un an ou deux à un sujet beaucoup plus difficile, la labellisation de sites Internet et de produits logiciels. Mais nous devons prendre garde : les entreprises attendent de nous des labels qui soient reconnus et offrent un gage de stabilité. Nous sommes au début de ce travail ; si vous me faites le plaisir de m'inviter à nouveau l'année prochaine, sans doute pourrai-je vous parler des premières labellisations.

Je terminerai par le sujet le plus préoccupant. Le développement de la biométrie, celui de la vidéosurveillance ou vidéoprotection, le développement prévisible des nanotechnologies dans le domaine des systèmes d'information, notamment pour la géolocalisation des personnes et des biens, le développement du réseau, c'est-à-dire des moteurs de recherche et des réseaux sociaux, sont en train de bouleverser totalement notre conception de la protection des libertés individuelles. J'avoue être extrêmement inquiet et assez pessimiste – car les choses vont tellement vite que nous aurons beaucoup de mal à réagir. Beaucoup de ces systèmes sont mis en place par des entreprises, mais pas tous ; certains le sont par des institutions régaliennes.

La vidéosurveillance ou vidéoprotection et la biométrie ne sont pas ce qui m'inquiète le plus car leur technologie peut en être maîtrisée et, surtout, le problème du passage invisible des frontières ne se pose pas. Le développement de la géolocalisation et celui des réseaux sont beaucoup plus angoissants ; en la matière, même si nous prenons des initiatives en France, rien ne nous assure que nous serons suivis.

Force est de constater que le hiatus entre les conceptions américaine et européenne de la protection juridique des données personnelles s'aggrave. L'inscription au Safe Harbor était, pour des entreprises américaines, une manière de donner aux Européens la garantie qu'elles respecteraient les règles européennes dans les transferts de données vers l'Union. Or l'Australie, qui n'est pas suspecte d'être plus proche de l'Europe que des États-Unis, vient de faire savoir qu'elle ne croyait plus en cette solution, étant désormais persuadée que les entreprises américaines ne respectent pas les règles – ce dont, pour ma part, je suis convaincu depuis longtemps. Quant au système des BCR, permettant aux grands groupes internationaux de mettre en place un système juridique assurant, à l'intérieur de l'ensemble de leurs filiales, l'adéquation avec le niveau de protection des données européen, c'était une solution qui nous paraissait intelligente ; mais nos amis britanniques et néerlandais sont en train de lui donner un coup de frein. Bref, les quelques systèmes qui avaient été trouvés pour compenser l'absence d'une législation américaine comparable à la législation européenne sont en train de se déliter.

Il y a un an à Madrid, à une soixantaine de délégations, nous avons réussi à nous mettre d'accord sur un corpus de principes fondamentaux, ou « standards internationaux », l'objectif étant d'avoir des standards communs à l'Europe, aux États-Unis et à l'Asie. Nous avons pu les définir dans leur contenu mais, bien entendu, il ne nous appartient pas de le faire dans leur valeur juridique contraignante. C'est l'une des raisons pour lesquelles je suis très heureux d'être aujourd'hui devant vous : les « CNIL » européennes considèrent qu'il revient maintenant aux pouvoirs publics des États, et notamment aux Parlements, de passer à la deuxième étape, la mise en place des standards de valeur juridique contraignante équivalents en Europe, en Asie et aux États-Unis. Pour y parvenir, il faut probablement s'orienter vers une convention internationale.

Ce que nos homologues espagnols ont obtenu du Parlement de leur pays, et que sont également en train de le demander nos homologues allemands, nous nous permettons de vous le suggérer. Nous sommes prêts à vous adresser tous les documents nécessaires à votre réflexion. Il nous paraît urgent que le Parlement français adopte une résolution pour attirer l'attention du Gouvernement sur la nécessité de mettre en place ce corpus de principes à valeur juridique contraignante. C'est un enjeu majeur pour nous : les « CNIL » ont le sentiment d'être arrivées au bout de ce qu'elles peuvent faire ; aux pouvoirs publics de prendre le relais.