Étant donné le nombre de questions, permettez-moi d'y répondre en les regroupant par thèmes et, sur certains points précis, de compléter ultérieurement mon propos par des réponses écrites.
Premier thème abordé : le droit à l'oubli.
Au niveau national, la proposition de loi Détraigne-Escoffier, adoptée par le Sénat, permet d'avancer. Je crois savoir qu'une réflexion est menée à l'Assemblée nationale dans le même esprit. Nous espérons donc que ce dossier va aboutir.
Mais l'élément déterminant sera la directive européenne. Le débat est engagé, tous les jours des collaborateurs de la CNIL participent aux réunions à Bruxelles. En ce qui concerne le comité d'experts, voici ce qui s'est passé : il y a un peu plus d'un an, alors que je présidais le groupe des 27 « CNIL » européennes, la Commission européenne m'avait demandé de désigner l'un des cinq membres d'un groupe de travail chargé de réfléchir à la directive ; j'ai désigné mon vice-président de l'époque, le président de la « CNIL » néerlandaise. J'ai appris ensuite à l'occasion d'une réunion à Barcelone, dans un couloir, que les quatre autres membres étaient américains. Particulièrement mécontent, je suis allé voir M. Fillon, Premier ministre, ainsi que M. Barrot, vice-président de la Commission, qui tous deux ont immédiatement réagi. Le groupe a été dissous. Dans cette affaire, je ne critique pas les Américains, mais les Européens : il m'avait paru invraisemblable – et c'était un fonctionnaire français qui en avait eu l'idée – qu'ils puissent demander à quatre Américains de réfléchir au droit européen ! M. Obama chargerait-il des Européens de proposer une législation pour les États-Unis ?
Il reste que la plupart des problèmes ne trouveront leur solution qu'au niveau international. Actuellement, les pays dotés d'une loi protectrice des personnes à l'égard du traitement des données ainsi que d'une autorité chargée de veiller à cette protection représentent moins de 500 millions d'habitants. Les États-Unis, la Russie, la Chine, l'Inde, le Japon n'en font pas partie. Néanmoins, la réunion à Madrid, en novembre 2009, de la cinquantaine de « CNIL » existant dans le monde a abouti au « processus de Madrid » : ces autorités se sont mises d'accord sur des principes. Pour qu'ils soient inscrits dans le droit positif, il faut évidemment que le relais soit pris par les pouvoirs publics, à commencer par les Parlements nationaux. C'est la raison pour laquelle j'ai été auditionné par la Commission des affaires économiques de votre Assemblée, où une proposition de résolution a été déposée – proposition de résolution de M. Patrick Ollier et plusieurs de ses collègues visant à apporter le soutien de l'Assemblée nationale à l'élaboration d'une convention internationale relative à la protection de la vie privée et des données personnelles – ainsi que par les commissions compétentes du Sénat, où il en a été de même. Permettez-moi d'insister pour que le sujet soit inscrit à l'ordre du jour, de telle manière que le Gouvernement soit lui-même saisi, à l'instar de ce qui s'est passé en Allemagne et en Espagne. Si les Gouvernements français, allemand et espagnol poussaient ensemble l'Union européenne à agir, on peut imaginer que celle-ci se saisirait du sujet et se tournerait vers prioritairement vers les États-Unis et la Chine pour les convaincre de la nécessité d'une régulation. En disant cela, je réponds aussi à la question sur les spam – dont la résolution suppose d'agir au niveau international.
Il faut maintenant, donc, donner une valeur juridique contraignante à des principes dont nous, autorités de protection, n'avons pu que définir le contenu : tel est le volet juridique de la réponse à apporter aux problèmes actuels, à côté du volet pédagogique et du volet technologique.
Mais il existe une différence de fond entre la conception européenne – de « l'internaute » – et la conception américaine – du « client ». À ce client, je souhaite qu'on donne au moins les droits d'un consommateur : il faut ramener la relation entre Google ou Facebook et l'individu sur un terrain juridique connu, celui du droit de la consommation. Les Américains considèrent que les données personnelles peuvent être analysées comme un bien marchand, alors que dans la logique européenne, issue du droit latin, ces données sont un attribut de la personnalité. Ces deux systèmes juridiques sont, en réalité, intellectuellement incompatibles. Les Américains considèrent l'identité comme une variable et la personnalité comme une constante, alors que nous faisons le contraire : les Européens considèrent que l'identité est intangible ; elle est le socle sur lequel nous exprimons notre personnalité qui, elle, évolue. Aux États-Unis, on admet l'idée de « séquences d'identité », ce qui signifie que l'identité n'est pas considérée comme un socle intangible ; quant au fait de ne pas reconnaître le droit à l'oubli, il signifie qu'on dénie à quelqu'un la capacité d'évoluer cours de sa vie. Dans la conception européenne, l'identité est intangible – et elle doit l'être également sur les réseaux ; en revanche, on juge légitime que chacun puisse évoluer.
Bien entendu, le droit à l'oubli ne veut pas dire l'absence de responsabilité : celui qui a prononcé des paroles diffamatoires doit les assumer, de même que la trace d'actes répréhensibles peut être conservée dans le casier judiciaire. En revanche, on ne peut pas admettre que des données, par exemple des photos, soient utilisées à l'insu de la personne. Le droit à l'oubli me paraît donc pouvoir se développer, avec plus de circonspection lorsqu'il s'agit d'informations fournies par la personne elle-même pour des informations données à son insu. Il faut considérer ce droit à l'oubli comme une méthode permettant de « limiter la casse » dans un domaine qui n'a jamais fait l'objet d'une réflexion juridique approfondie – le réseau étant une sorte de no man's land entre la vie privée et la vie publique.
Dans les établissements scolaires – où il faut de même expliquer le statut des SMS envoyés sur les téléphones portables, à mi-chemin entre l'oral et l'écrit –, il faut réapprendre aux élèves le sens du mot « intimité ». Il faut leur dire qu'elle est un bien sacré, qu'il convient de protéger. Cela signifie que le citoyen doit avoir droit à l'opacité : il ne faut pas que le pouvoir voie en lui ou à travers lui. Or ses deux éléments d'opacité sont l'identité – d'où la volonté de beaucoup de pays africains de créer un système d'identité, car il n'y a pas de citoyenneté sans identité – et l'intimité, cette carapace invisible qui protège de l'extérieur. Le travail de pédagogie est urgent ; pour notre part, nous y contribuons notamment à travers les « rencontres régionales » que nous organisons, ainsi qu'à travers les informations que nous mettons sur notre site.
J'ai voté la loi HADOPI, mais comme chacun des membres de la CNIL, j'étais déchiré. La CNIL elle-même ne s'est exprimée ni pour, ni contre puisqu'elle ne fait qu'émettre des avis circonstanciés. Sur le fond, nous avons une très grande inquiétude sur un point précis : le fait que la HADOPI ne considère pas l'adresse IP comme une donnée personnelle est à nos yeux une catastrophe. Dans les pays des vingt-six autres autorités, il n'y a aucun doute sur le sujet. Remettre en question ce principe, c'est enlever à la protection des données personnelles un de ses piliers. Je suis en train d'entrer en relation à ce sujet avec Mme Marais, présidente de la HADOPI. On fait référence à un arrêt de la Cour de cassation qui, à notre sens, n'a pas tranché la question. Il y a là un enjeu considérable pour nous.
En ce qui concerne le passe Navigo, le dialogue que nous avons eu avec la RATP a été jusqu'à présent infructueux. Nous considérons qu'il n'est pas normal de devoir payer pour préserver son anonymat. Pour nous, chacun devrait pouvoir choisir entre un passe donnant certains avantages mais assorti d'une géolocalisation et un autre offrant moins d'avantages et dépourvu des mêmes effets géolocalisants. Nous désapprouvons le fait qu'il faille payer cinq euros pour rester – comme cela devrait être naturel – incognito.
La charte sur le droit à l'oubli, qui n'a pas été signée par les grands groupes, ne l'a pas été non plus par la CNIL. Nous ne voulons pas en effet d'une charte dont les signataires ne prendraient pas l'engagement de se doter de correspondants Informatique et libertés.
S'agissant du contenu de la législation nécessaire en matière de géolocalisation, la question du consentement est évidemment au coeur du problème. Il en va de même pour les réseaux, avec le débat sur le système opt-in, opt-out. Je suis très choqué que Street View puisse introduire dans le système des références concernant l'habitation d'une personne sans avoir recueilli son consentement. Pour l'entrée dans le système, le consentement doit être nécessaire. À l'étape suivante, il faut assurer la transparence – c'est-à-dire l'information : quand je suis dans le système – Facebook ou Google par exemple –, je dois disposer de l'information relative à l'usage fait par le système des données que je lui ai confiées. Enfin, au sortir du système, il faut assurer un droit à l'oubli – droit non absolu, mais relatif, qu'il convient de définir. En respectant ces règles – consentement, information, oubli –, on arrive à une relation quasi-contractuelle. À défaut de l'un des trois éléments, la construction est bancale.
Or aujourd'hui, les grandes sociétés américaines ne reconnaissent pas l'applicabilité du droit européen en Europe. Il n'y a pourtant pas de raison que nous Européens supportions d'être soumis au droit du comté de Santa Clara en Californie pour les problèmes que nous pouvons avoir avec Google ou Facebook, alors qu'une société française ou allemande aux États-Unis est soumise au droit américain. L'Union européenne doit avoir le courage politique de résoudre cette question avec les États-Unis. La situation actuelle pose également problème au regard de la concurrence : elle a abouti à la création de deux mastodontes, en face desquels les acteurs européens ont bien du mal à exister.
Quelles sont les réponses du ministère de l'éducation nationale à nos demandes ? Il a fallu un peu de temps, mais les choses commencent à bouger. Le ministère perçoit l'ampleur de la tâche : il faut à la fois former les enseignants, préciser le rôle des chefs d'établissement, établir des liens avec les parents…
Les moyens de la CNIL ont été considérablement développés : alors que nous étions 70 quand je suis arrivé à la présidence, nous serons 160 dans quelques semaines ; le budget a également beaucoup progressé. Sans être dans le peloton de tête européen – l'autorité allemande compte 400 personnes, l'anglaise 240 –, notre institution est vraiment opérationnelle. Nous avons mis en place ces jours-ci une quatrième direction, dite de l'innovation et de la prospective, ainsi que des budgets autonomes de recherche. En effet le temps démocratique de l'élaboration du droit est toujours plus long que le temps du développement technologique.
Dans les établissements scolaires, nous croyons beaucoup au rôle des correspondants Informatique et libertés. La formule se développe fortement dans les collectivités locales et les entreprises ; on en est à plus de 7000 en France. En revanche l'administration centrale est rétive – et nous espérons qu'elle évoluera. Nous sommes également favorables aux commissions locales Informatique et libertés – qui pourraient rendre de très grands services à l'intérieur des établissements scolaires. Actuellement, il n'en existe qu'une – sur 10 000 établissements ; une autre a disparu parce que le proviseur a changé d'affectation. Cette formule permet à tous – élèves, professeurs, parents d'élèves, rectorat… – de réfléchir ensemble et de retenir les meilleures solutions.
Le guide à destination des collectivités locales est prêt. Nous sommes en train de passer avec l'AMF une convention qui devrait permettre à chaque maire de le recevoir au mois de juin.
Je ne répondrai pas à la question sur la fusion entre la CNIL et la CADA, par déontologie. Il revient au Parlement de décider.
La question sur les constructeurs d'ordinateurs me fait revenir sur le volet technologique de la réponse à apporter aux problèmes actuels, c'est-à-dire à l'utilisation de la technologie pour juguler les effets néfastes de la technologie – selon le concept de Privacy by Design, protection des données et de la vie privée dès la conception de nouvelles technologies. Tous les ingénieurs nous disent que c'est possible ; le problème est celui du financement : les grandes sociétés aptes à financer les recherches n'ont pas forcément intérêt à le faire.
En ce qui concerne le contrôle sur les réseaux sociaux et la lutte contre les utilisations frauduleuses, il faut savoir que tout le monde n'est pas d'accord. En France même, certains journalistes déclarent que le fait de mettre sur le réseau des informations sur une autre personne relève de la liberté d'expression. Pour ma part, je suis outré par ce type de comportement. Le Parlement devrait réfléchir également à cette question, vitale pour les années à venir.
En Allemagne, on ne réagit pas nécessairement plus vivement qu'en France : s'agissant de Google Street View, la CNIL, saisie à la suite de plaintes, a fait un contrôle sur place ; la procédure interne suit son cours et dans une quinzaine de jours, la CNIL rendra publique sa première prise de position contentieuse.
Je rappelle par ailleurs que nous contrôlons tous les fichiers de police. Notre contrôle du STIC (Système de traitement des infractions constatées) a duré un an. Tous les jours, les membres magistrats de la CNIL se rendent au ministère et dans les commissariats pour procéder à des contrôles de droit d'accès – mais les demandes de nos concitoyens s'étant multipliées, il peut y avoir un peu de retard.
Dans l'affaire Ali Soumaré, nous sommes intervenus aussi vite qu'il était possible pour nous : en jours francs, au bout de quarante-huit heures. Nos contrôleurs passant leur temps à sillonner la France, il a fallu rappeler une équipe. Nous avons rendu publiques les constatations qui ont été faites ; il s'est avéré que le problème relevait moins du ministère de l'intérieur que du tribunal de Bobigny – et Mme le procureur a traité le sujet avec nous.
S'agissant du contrôle de la Cour des comptes, le rapport définitif va sortir ces jours-ci. Une grande partie de ce qui avait été initialement affirmé a été retirée. Pour ma part, lorsque j'ai été convoqué devant la quatrième chambre, j'ai clairement dit que si on m'avait demandé mon point de vue, je l'aurais donné. Alors que va sortir chez Odile Jacob dans trois semaines le livre de 270 pages que je consacre à l'ensemble de ces problématiques, je n'ai pas bien compris les reproches qui m'étaient adressés quant à une absence éventuelle de vision stratégique ! Il est vrai que le contrôle a eu lieu pendant le mois d'août, époque de l'année où la CNIL n'est sans doute pas la plus performante… Le rapport définitif de la Cour nous donne acte des réponses que nous avons apportées.
Sachez enfin qu'en ce qui concerne les indemnités, le président de la CNIL n'est pas seul en cause : tous les membres de la CNIL, et même ses anciens membres, sont visés. Le problème vient de ce que le fonctionnement financier de la CNIL n'a pas été révisé depuis douze ans. J'ai en conséquence demandé à notre direction financière de prendre contact avec Matignon pour obtenir des revalorisations ; mais, semble-t-il, je n'ai pas choisi la bonne procédure juridique. De manière à ne pas être attaqué, j'ai remboursé, en souscrivant il y a quelques semaines un prêt bancaire, les 52 000 euros correspondant aux trois années d'indemnités que l'on me reproche. Et maintenant, la Cour des comptes me demande de poursuivre mes collègues et les anciens membres de la CNIL qui ont pu bénéficier du même système ! Il ne me paraît pourtant pas aberrant qu'un collègue qui se lève à 5 heures du matin pour aller travailler une journée entière à Lyon touche 221 euros… Quant au reproche que l'on m'a fait d'avoir un déjeuner par semaine au titre de mes activités de président, chacun en jugera. Il en inquiète d'autres… Mais je réduis encore le nombre de déjeuners !