Commission des affaires économiques, de l'environnement et du territoire
La commission des affaires économiques, de l'environnement et du territoire a entendu M. Alex Türk, président de la CNIL.
Le président Patrick Ollier a accueilli M. Alex Türk, président de la CNIL et sénateur du Nord. Après avoir précisé que son audition avait été demandée par l'ensemble des groupes parlementaires de la commission, il a souligné son importance en raison des difficultés majeures liées aux sujets informatiques, qu'il s'agit de résoudre dans de multiples domaines : le domaine informatique bien sûr, mais aussi le domaine économique, comme cela est apparu au moment de l'examen du texte présenté par le secrétaire d'État chargé de la consommation et du tourisme, M. Luc Chatel.
Depuis 1978, année où la loi « Informatique et libertés » a été votée, les technologies de l'information n'ont cessé de se développer. La CNIL, autorité administrative indépendante, dispose d'un pouvoir de régulation croissant, qui s'exerce aussi sur les entreprises. Comment appréhender les évolutions technologiques en cours, dans un contexte de mondialisation accrue ? Le Parlement s'est interrogé, par exemple, à propos des « fichiers positifs ».
La loi du 6 août 2004 modifie les modalités d'intervention de la CNIL : simplification des formalités déclaratives, accroissement de ses pouvoirs d'intervention. La commission souhaiterait que lui soit présenté un premier bilan des réformes engagées. Est-on allé trop loin dans les simplifications ? Pourrait-on, au contraire, progresser dans ce sens ? Dans ce cas, le projet de loi de simplification de l'environnement des entreprises pourrait en être l'occasion.
Sur les fichiers positifs, un débat s'impose. Quelle est la position de la CNIL ? On parle de l'utilisation d'un tel fichier pour éviter que certains se retrouvent dans la spirale infernale du surendettement, mais le dispositif utilisé risque aussi d'aboutir à l'inverse du résultat souhaité.
Le président Patrick Ollier a aussi salué l'expérience personnelle de M. Türk, ainsi que son action et son autorité, reconnues par tous. Il a suggéré de donner des suites à cette audition publique dans un format plus réduit, associant majorité et opposition, comme cela se passe dans de nombreux groupes de travail qui se penchent sur des problèmes de société, d'intérêt général. Cette formule de coopération et de partenariat permettrait sans doute d'anticiper des problèmes et de trouver de bonnes solutions.
a remercié la commission d'avoir bien voulu l'accueillir. Il a souligné le caractère symbolique de cette audition, dans la mesure où c'est la première fois que le président de la CNIL est reçu en tant que tel par une commission de l'Assemblée nationale pour un tour d'horizon général. Les représentants de la CNIL se rendent déjà depuis un an devant trois des commissions du Sénat. La CNIL souhaite établir davantage de relations avec le Parlement.
La loi de 2004 a occasionné un bouleversement beaucoup plus important que ce qu'on avait pu imaginer : bouleversement des méthodes, des problématiques et des objectifs de la CNIL. Celui-ci s'est accompagné d'un accroissement des moyens.
La CNIL comptera, à la fin de l'année, 17 commissaires et une équipe de 120 salariés environ. L'homologue allemand de la CNIL, qui a le même domaine de compétences, compte 400 personnes, la canadienne 300, l'anglaise 250, la polonaise 110 tandis que la CNIL roumaine compte le même effectif qu'en France. Notre pays est donc en retard ; mais il est sur la bonne voie puisque 40 postes, soit la moitié de l'effectif de départ, ont été créés en trois ans pour faire face aux nouvelles missions de la CNIL.
Jusqu'en 2004, la CNIL était une organisation de médiation et de conseil, essentiellement chargée d'examiner les déclarations des sociétés et des institutions qui mettaient en place de nouveaux traitements de données personnelles. Depuis 2004, cette mission a été considérablement réduite, passant à 20 % de son activité.
La CNIL exerce maintenant des fonctions de régulation économique, des missions d'expertise technologique et des fonctions juridictionnelles. Ce fut un bouleversement pour l'ensemble de son personnel, auquel il convient de rendre hommage : de nouveaux métiers se sont en effet mis en place progressivement.
L'idée du législateur consistait à libérer les énergies et à laisser se développer les projets de manière beaucoup plus souple tout en accentuant en contrepartie le travail de contrôle exercé par la CNIL dans les entreprises, les collectivités locales et les administrations de l'État. L'objet du contrôle en revanche n'a pas changé : il s'agit pour la CNIL d'assurer l'équilibre entre d'un côté les nécessités du progrès économique, social, du progrès de la recherche, de la sécurité des personnes et des biens et, de l'autre, le nécessaire respect des droits fondamentaux, notamment le droit à la vie privée, dont fait partie le droit à l'intimité et le droit à la protection de l'identité.
La CNIL refuse de juger les technologies nouvelles a priori de façon négative ou positive. Elle analyse les projets qui lui parviennent en fonction des principes fixés par le législateur, sur la base de la proportionnalité entre leur finalité et les moyens mis en oeuvre. Un tel travail lui permet d'élaborer des politiques de contrôle, cadrées par les exigences manifestées par le législateur.
Depuis 2004, les méthodes ont fondamentalement changé. Il fallait absolument mettre l'accent sur la pédagogie, l'information et la communication.
Le droit à la protection des données personnelles est devenu un droit fondamental reconnu par le droit positif français et européen ; il est désormais inscrit à côté de la liberté de la presse ou la liberté d'aller et venir. Pourtant, selon les études, moins d'un Français sur trois est conscient d'être titulaire de ce nouveau droit. La pédagogie est donc nécessaire, si l'on veut que les Français soient conscients qu'ils ont un droit nouveau qui doit être protégé et qu'ils sachent comment il doit l'être.
Cela a amené la CNIL à se tourner vers tous les partenaires, en commençant par le milieu de l'enseignement et le milieu parlementaire.
Ce travail de pédagogie et d'information se fait en utilisant toutes les techniques classiques : participation à des colloques et à des réunions, travail avec la presse, organisation, tous les deux mois, de rencontres régionales. La quinzième « rencontre régionale » débutera cet après-midi, dans la région Aquitaine, et durera trois jours. Pendant ces rencontres, la CNIL organise, avec les entreprises, des ateliers qui durent toute une matinée, en liaison avec les chambres de commerce et d'industrie ; elle rencontre le secteur éducatif, le secteur de la santé, les collectivités locales, l'administration préfectorale, les magistrats, les avocats. Il s'agit d'expliquer quelles sont les données essentielles de cette loi nouvelle.
La CNIL s'adresse aussi aux parlementaires, comme c'est le cas aujourd'hui. En effet, le travail d'information et de communication auprès du Parlement n'est pas encore suffisant.
Dans le domaine économique, un tel travail signifie assurer une relation régulière avec les chambres de commerce et d'industrie dans le cadre des conventions passées avec elles et une relation régulière avec les différents secteurs économiques, tels que la distribution, le secteur bancaire, le secteur des nouvelles technologies.
Pour conduire ses missions, il faut aussi que la CNIL dispose d'une grande capacité d'expertise technologique. La CNIL a donc bâti un service d'expertise technologique digne de ce nom, composé d'ingénieurs de très haut niveau capables de parler d'égal à égal avec les ingénieurs des grandes sociétés informatiques telles que Microsoft, Google ou Hewlett Packard. La CNIL doit travailler avec les entreprises qui développent des logiciels ; elle doit savoir analyser ceux-ci et savoir quand intervenir sur le plan juridique.
La CNIL essaie par ailleurs de développer le travail en amont chaque fois que cela est possible, aussi bien avec le Parlement qu'avec le secteur privé ou les ministères. Elle ne veut plus être une institution qui attend que les dossiers lui parviennent. Elle est désormais toujours disponible pour travailler avec un rapporteur pour l'informer dans le domaine dans lequel elle est compétente.
Ce travail en amont est absolument nécessaire. Par exemple, en matière de RFID (identification par radiofréquences) et de géolocalisation des biens et des personnes, elle a pris contact avec les pôles de compétitivité qui travaillent sur ces questions. La CNIL souhaite aussi travailler avec les industries, par exemple celles du secteur de la grande distribution. Ainsi, le moment venu, lorsque les dossiers arriveront devant la CNIL, l'essentiel des points litigieux possibles aura déjà été résolu.
Une autre de ses missions est la recherche de propositions et de solutions. La biométrie, par exemple, connaît un développement considérable dans les entreprises et les collectivités locales. La CNIL a adopté en la matière une position simple et équilibrée : l'usage de la biométrie n'est ni bonne ni mauvaise, la question est l'usage qu'on veut en faire. Il faut faire à chaque fois une analyse coûtavantage, pour vérifier dans quelle mesure une certaine intrusion dans la vie privée peut être justifiée par un enjeu majeur en termes de sécurité. Cela concerne en premier lieu les entreprises, notamment celles qui travaillent dans le domaine des transports aériens, dans le domaine de la chimie. Chacun comprend bien qu'on ne peut pas avoir la même position concernant une autorisation en matière de biométrie lorsqu'il s'agit d'autoriser l'accès au tarmac de Roissy ou à un laboratoire qui manipule des produits toxiques, ou lorsqu'il s'agit d'autoriser l'accès au réfectoire d'un lycée.
La loi de 2004 a aussi confié à la CNIL des missions qui sont devenues déterminantes.
La première est une mission de contrôle. Désormais, la CNIL doit accentuer son travail en la matière. Voilà pourquoi l'effectif de son service des contrôles sera doublé cette année. Avant 2004, la CNIL effectuait, sur la totalité du territoire français, deux contrôles par mois, soit une vingtaine par an. Maintenant, elle en fait près de 200, et elle souhaite en faire entre 350 et 400 l'année prochaine. En Espagne, qui compte 15 millions d'habitants de moins que la France, il y a trois fois plus de contrôles.
Ces contrôles portent sur des entreprises, sur des collectivités locales, sur l'administration de l'État. Il s'agit de vérifier si les droits fondamentaux des citoyens sont respectés dans les traitements de données mis en oeuvre. Ces contrôles se passent de manière simple mais ferme : les contrôleurs arrivent un matin, à 9 heures, par exemple dans une entreprise, et demandent accès à la totalité des systèmes informatiques. Les contrôles font intervenir les experts, les contrôleurs et les juristes de la CNIL, munis des agréments et autorisations nécessaires. Le contrôle débouche sur un rapport, qui est soumis à la CNIL, laquelle peut alors enclencher d'éventuelles sanctions, de nature financière, jusqu'à 300 000 euros, ou pénale, avec la transmission du dossier au Parquet. La CNIL peut aussi donner des avertissements, qui seront ou non rendus public, publiés ou non dans la presse.
La CNIL a ainsi prononcé un certain nombre de sanctions à l'égard d'entreprises, dans le secteur bancaire par exemple, mais aussi dans celui de l'immobilier, voire pour des études d'huissier.
Si l'arrivée des contrôleurs de la CNIL provoque parfois des réactions d'hostilité, en particulier du chef d'entreprise, on constate pour autant qu'il y a chaque fois un effet pédagogique de la sanction. Par exemple, la CNIL a été amenée à sanctionner assez lourdement une grande banque de détail française en raison de la tenue de ses fichiers d'incidents de paiement. Certaines personnes se voyaient placées dans l'impossibilité d'obtenir des crédits immobiliers parce qu'elles se trouvaient dans ces fichiers de manière non justifiée. A la suite de cette sanction, les organisations professionnelles du secteur bancaire ont informé leurs adhérents de la sanction et leur ont demandé de corriger leur fonctionnement, ce qui a été fait.
Enfin, s'agissant des méthodes, le législateur de 2004 a institué des correspondants « informatique et libertés » dans les entreprises, les collectivités. C'est un instrument utile. Pour l'instant, 2 000 correspondants « informatique et libertés » ont été notifiés à la CNIL. Cela représente, certes, quelques millions de salariés, mais 60 communes seulement, sur les 36 700, s'en dont dotées. Or ce correspondant, qui se trouve à l'intérieur de la structure, est un intercesseur qui peut intervenir quotidiennement et en temps réel avec la CNIL. Il est là pour éviter toutes les chausse trappes au responsable final du traitement des dossiers, le maire ou le chef d'entreprise. Il est absolument nécessaire de mettre en place ces correspondants. La CNIL assure gratuitement leur formation. Enfin, leur présence dans une structure dispense le maire ou le chef d'entreprise de toute une série de formalités préalables.
Telles sont les nouvelles méthodes mises en place. Maintenant, quelles sont les problématiques majeures dans le domaine économique ?
La première est le traçage des personnes. Aujourd'hui, les entreprises utilisent ces techniques : la biométrie pour conditionner l'accès à certains locaux ; la vidéo surveillance pour assurer la sécurité à l'intérieur des locaux ; certaines techniques de géolocalisation, surtout dans le domaine des transports.
La CNIL est donc en contact permanent à la fois avec les entreprises qui vendent ces produits technologiques nouveaux et avec celles qui les acquièrent. Elle essaie d'aider ces dernières à utiliser ces outils d'une manière raisonnable et raisonnée, dans le cadre strict de la loi : il est en effet tout à fait possible de recourir à ces technologies dans le respect intégral des droits des salariés.
Développer des règles de bonne pratique est un enjeu important pour la CNIL elle-même. En effet, elle est submergée de dossiers en matière de géolocalisation, de biométrie et, dans une moindre mesure, de vidéo surveillance.
La deuxième problématique est celle des centrales positives. On appelle fichier positif, de manière d'ailleurs un peu curieuse, un dossier qui regroupe tous les éléments concernant les clients des banques ; ces éléments ne sont pas seulement les éléments négatifs, comme les incidents de paiement : le fichier peut comporter des éléments d'information concernant leur vie par rapport à la banque. Or plus un fichier contient d'éléments positifs, plus il est intrusif par rapport à la vie privée du client.
La CNIL, après avoir beaucoup travaillé sur la question, considère aujourd'hui qu'elle ne peut pas aller plus loin en l'état actuel des textes, en ce qui concerne le développement de ces fichiers. C'est au législateur de se saisir de la question s'il le juge nécessaire. En revanche, dans cette hypothèse, la CNIL peut jouer un rôle de conseiller technique si le Parlement le lui propose.
La troisième problématique concerne les rapports entre les États-Unis et l'Europe dans le domaine du transfert de données personnelles.
La directive de 1995 prévoit qu'on ne peut pas transférer des données personnelles d'un pays membre de l'Union européenne vers un pays non membre si celui-ci ne justifie pas qu'il accorde un niveau de protection à ses données équivalent au niveau de protection adopté en Europe. Or, outre les vingt-sept pays de l'Union européenne, des pays comme l'Australie, la Nouvelle-Zélande, la Suisse, l'Argentine accordent ce niveau de protection : en tout, c'est une quarantaine de pays qui regroupent 500 ou 600 millions d'habitants ; les autres pays de la planète ne présentent pas les conditions requises : la Russie, la Chine, l'Inde, presque toute l'Asie, et presque toute l'Afrique et aussi les États-Unis.
La difficulté la plus importante concerne les États-Unis qui constituent le principal partenaire dans le développement du commerce international avec l'Union européenne. Cela pose des difficultés considérables sur le plan juridique. Comment arriver à gérer et à cadrer juridiquement les transferts de données personnelles ? Chaque jour, ces transferts se chiffrent par milliards dans le commerce international. Il s'agit encore d'un enjeu majeur.
Il est un deuxième problème entre les États-Unis et l'Europe ; il est constitué par la SWIFT, ou Society for worldwide interbank financial communication. C'est une grande organisation de l'ensemble des banques mondiales, qui s'efforce de résoudre les problèmes de flux et de transactions financières, à partir de deux centres, l'un se trouvant aux États-Unis et l'autre aux Pays-Bas. La totalité des transactions bancaires passe par ces deux centres.
Les États-Unis ont demandé et obtenu la possibilité d'assurer un contrôle sur les transactions dans le souci de lutter contre le terrorisme. Cela répond à la volonté de débusquer d'éventuels transferts de fonds liés à une activité terroriste. Le problème posé à la CNIL et à ses homologues de l'Union européenne était qu'il n'y avait aucune garantie sur le fait que les États-Unis se limiteraient à ce type d'informations et ne s'intéresseraient pas à d'autres informations de nature purement commerciale, auquel cas se posait un autre problème, celui de l'espionnage économique.
La CNIL est intervenue vivement auprès de la Banque de France et auprès de l'ensemble des banques. Le G 29, c'est-à-dire l'organisation européenne des CNIL, qui se trouve à Bruxelles, a également pris position en la matière. A ainsi été obtenu un double premier résultat très important.
D'abord, un deuxième centre sera mis en place en Europe. L'existence de deux centres se justifie : en cas d'agression et de destruction d'un centre unique, c'est la fin de toutes les transactions bancaires dans le monde pendant plusieurs mois ! L'ennui est que le deuxième centre se trouvant aux États-Unis, ceux-ci peuvent avoir accès aux transactions commerciales européennes, y compris les transactions commerciales entre Européens. D'où l'idée d'un deuxième centre sur le territoire européen, idée qui a été adoptée. C'est un succès de la CNIL et de ses homologues. Ce centre devrait être localisé en Suisse. De cette façon, les transactions entre seuls pays européens ne seront plus accessibles aux États-Unis.
Ensuite, il a été obtenu qu'un contrôleur européen soit nommé auprès du centre américain pour contrôler l'usage qui y est fait du contrôle des transactions. C'est le juge Bruguière qui a été nommé à ce poste.
La question était essentielle. Des banques avaient alerté la CNIL, car elles se demandaient par exemple si, en matière aéronautique, les États-Unis ne se trouvaient pas en situation, en contrôlant les transactions bancaires, d'accéder à des informations telles que les tarifs de vente réels des avions d'une compagnie comme Airbus.
En revanche, la CNIL et ses homologues ont enregistré un échec fort en ce qui concerne les PNL, c'est-à-dire le système qui oblige les compagnies aériennes européennes à transférer les informations, nombreuses et intrusives, concernant les voyageurs européens, aux services de sécurité américains. Un accord avait été conclu il y a cinq ou six ans. Or il a été revu au détriment incontestable de l'Union européenne. Aujourd'hui, les instances européennes n'ont pas de contrôle sur les destinataires, sur le territoire américain, des informations concernant les passagers européens. Or il existe 18 000 autorités qui ont aujourd'hui compétence en matière de sécurité sur le territoire américain. Cela signifie que des informations concernant les personnes, dont certaines sont très intrusives, circulent sans contrôle européen aux États-Unis et peuvent même être transférées par les États-Unis à des pays tiers.
Cela constitue un échec pour les CNIL et pour le Parlement européen ; en revanche, la Commission européenne et le Conseil ont accepté la position américaine.
Un nouvel accord du même ordre va être mis en place au sein de l'Union européenne. La CNIL n'y est pas favorable en l'état. Il y aura de nouveau un débat sur cette question. Il faut espérer qu'elle sera mieux entendue.
Le troisième problème avec les États-Unis concerne les dispositifs d'alerte professionnels. Il s'agit de la possibilité, pour les États-Unis, d'obliger les sociétés françaises cotées à la Bourse de New York, ou les filiales européennes de sociétés américaines, à créer des mécanismes de dénonciation interne et à en transférer les résultats aux États-Unis.
Aux États-Unis, ces mécanismes peuvent prévoir la dénonciation de comportements considérés par certains salariés comme néfastes au développement de l'entreprise, ce qui constitue évidemment un cadre totalement subjectif. La CNIL a obtenu que le mécanisme soit limité au blanchiment, à la gestion de l'expertise, au commissariat aux comptes. On ne s'intéresse ainsi, en fait, qu'à tout ce qui touche à des obligations légales et financières de l'entreprise. On peut mieux concevoir la nécessité de dénoncer, car il y va du respect de la loi et de la survie de l'entreprise. Cela dit, bien que cela pose, déjà, un problème de principe aux Européens, les États-Unis exercent une pression constante pour aller plus loin en la matière.
Le quatrième problème est relatif au système Discovery. Les Américains considèrent que le régime accusatoire qu'ils utilisent dans le cadre de leurs procédures pénales doit leur permettre d'obtenir le transfert aux États-Unis d'informations – c'est-à-dire de disques durs – détenues par des salariés français travaillant dans des sociétés se trouvant sur le territoire français. Dans le cadre de la procédure accusatoire, les parties ont en effet l'obligation de verser au dossier la totalité des informations qui permettront ensuite au juge d'être éclairé.
La CNIL a mis en place sur ce sujet un groupe de travail présidé par un parlementaire et un magistrat. Elle transmettra à la commission le rapport que ce groupe va élaborer sur cette question déterminante. A force d'empiler des contraintes de ce type, on s'aperçoit qu'il n'y a pratiquement plus aucune garantie en matière de protection des données personnelles des salariés français.
La CNIL se soucie enfin de la question de l'externalisation. Lorsque l'on transfère des données personnelles d'un État membre de l'Union européenne vers un pays non membre, il faut que ce dernier présente un niveau de protection adéquat. Or, actuellement, un certain nombre de sociétés françaises développent des politiques d'externalisation consistant à faire traiter leur secrétariat ou leur comptabilité dans les pays du Maghreb ou de l'ancienne Afrique francophone. Au Maroc, cela représente 15 000 emplois ; à Dakar, 2 000 emplois ; au Burkina Faso, une centaine, sans oublier le Gabon, le Bénin, le Mali…
Le problème est qu'aujourd'hui cette démarche est totalement illégale, dans la mesure où ces pays ne présentent pas un niveau de protection suffisant pour que l'on puisse transférer des données depuis la France vers eux. Or, elle permet aussi à ces pays de développer des emplois sur place et d'éviter à leurs jeunes actifs de devoir émigrer pour en trouver.
Par ailleurs, ces pays sont francophones. Il est donc intéressant, pour eux comme pour les sociétés françaises, que de tels services puissent s'y développer. Pour y parvenir, il faut convaincre les autorités publiques de ces pays de se doter des éléments de protection nécessaires pour justifier du niveau de protection demandé : l'existence d'une CNIL indépendante et d'une loi fondamentale sur les garanties des personnes privées du type de la loi de 1978 modifiée en 2004.
Aujourd'hui, le Burkina Faso a fait le nécessaire. Le Mali est en train d'élaborer une loi sur ce sujet, de même que le Sénégal. M. Türk rencontrera les autorités du Maroc la semaine prochaine. Ces mises en règle permettront d'éviter que, demain, dans le cadre des contrôles qu'il va falloir développer, la CNIL sanctionne des entreprises françaises pour cause de démarches illégales. Ces dernières seraient alors amenées à rompre le contrat passé avec des sociétés comme celle de Dakar, qui emploie 2 000 salariés et qui devront sinon fermer leurs portes du jour au lendemain. Sur le plan économique, l'enjeu est donc très important.
Par ailleurs, le fait d'être doté d'une CNIL indépendante et d'une loi fondamentale protégeant les droits des citoyens correspond à deux des critères permettant d'adhérer à l'Union européenne. Le comité présidé par M. Edouard Balladur a proposé de mettre en place un défenseur des droits fondamentaux dont les compétences seraient constituées en partie des compétences de la HALDE, du contrôleur des prisons, du défenseur des enfants, du Médiateur et de certaines compétences de la CNIL.
La CNIL n'y est pas favorable. Premièrement, la CNIL ne saurait être en lien de dépendance avec une autre institution. Si tel était le cas, les deux critères qui viennent d'être évoqués disparaîtraient et la France serait en faute vis-à-vis de la Commission de Bruxelles. L'Espagne qui a mis en place un défenseur des droits fondamentaux, s'est bien gardée de toucher à l'homologue espagnole de la CNIL pour cette raison.
Deuxièmement, la CNIL a une activité juridictionnelle. Un défenseur des droits fondamentaux qui serait un médiateur au sens de l'ombudsman scandinave n'a pas de compétence juridictionnelle.
Troisièmement, l'aspect collégial de la CNIL est indispensable.
Quatrièmement, la CNIL a un pouvoir de régulation économique qui est également antinomique avec un rôle de médiation. 70 % de l'activité de la CNIL est maintenant tournée vers le secteur privé, contre 10 % il y a une dizaine d'années.
M. Alex Türk a donc demandé à la commission de bien vouloir être vigilante sur cette question.
Le président Patrick Ollier a salué la qualité de l'audition et la portée des thèmes évoqués. Il a ensuite exposé que sous réserve de l'accord des différents groupes politiques de la commission des affaires économiques, son président était prêt à écrire au Premier ministre afin de lui demander officiellement de soutenir la position de la CNIL sur le respect de sa spécificité et de son indépendance. Les compétences juridictionnelles sont en effet incompatibles avec un rôle de médiateur. S'agissant du transfert des données personnelles, il a demandé comment le Parlement pouvait aider la CNIL afin qu'elle puisse mieux défendre ses positions face aux États-Unis. Il a enfin demandé des précisions sur le groupe de travail d'ores et déjà constitué.
a répondu que le groupe de travail concernait l'externalisation. S'agissant des transferts de données, le sénateur Nogrix et M. Peyrat, magistrat à la Cour de Cassation, travaillent sur le dispositif Discovery. La réflexion globale sur cette question est menée dans le cadre du « Groupe 29 » qui regroupe les 27 CNIL européennes. La CNIL est très favorable à l'idée de mettre en place un groupe de travail comprenant des parlementaires sur l'ensemble de ces problématiques.
Le président Patrick Ollier a souligné combien ce partenariat, dont il reste à examiner les modalités, pourrait permettre de renforcer le travail de la CNIL. Pour traiter par exemple les problèmes avec les États-Unis, il serait sans doute bienvenu d'engager une démarche politique plutôt que de se cantonner au domaine strictement juridique.
a jugé l'exposé très intéressant et a souligné que le groupe socialiste, radical et citoyen était très attaché au travail de la CNIL, particulièrement nécessaire dans un monde où l'informatique est devenu un outil universel.
Il a demandé si la CNIL disposait des moyens lui permettant de remplir sa mission, notamment dans le contexte du développement d'Internet, si les dispositions concernant la libéralisation des marchés ne l'amputaient pas d'une partie de ses prérogatives, et si la CNIL souhaitait des évolutions législatives.
Il a enfin exposé, sans préjuger de la décision de son groupe, qu'un consensus pourrait sans doute se dégager au sein de la commission afin de soutenir la position de la CNIL et de participer à ses groupes de réflexion.
Le président Patrick Ollier a remercié M. Plisson pour sa démarche constructive et s'est félicité de la capacité de la commission à dégager des consensus dans le sens de l'intérêt général.
a félicité M. Alex Türk pour son exposé et a considéré que sur ces questions, en effet, un consensus pouvait être dégagé.
Il a demandé si, compte tenu de l'évolution technologique, la mission de la CNIL n'était pas toujours plus difficile à conduire.
S'agissant de la question du fichier positif ou de la centrale positive, il a considéré que le point crucial était de savoir quelles sont les données accessibles et pour qui. La Belgique a mis en place un système qui semble convenable, en confiant ce fichier à un organisme habilité permettant au vendeur de savoir seulement qu'il ne doit pas accorder un crédit à un acheteur.
Enfin, il convient de se préoccuper de la modernisation des fichiers afin, par exemple, de limiter le nombre de formulaires à remplir auprès d'administrations différentes.
a remercié M. Türk pour son exposé. Elle a ensuite salué l'initiative de la CNIL qui a récemment mis en place sur son site Internet un guide d'information à destination des collectivités locales. Cela est très important pour tous les élus car de nombreuses questions se posent chaque jour quant aux possibilités de consultation de fichiers informatiques par des tiers. Si les communes les plus importantes disposent de services juridiques et de correspondants informatiques, il n'en va pas de même pour les plus petites. Or ce sont elles qu'il faut aider en priorité. Cependant des communes de l'Ariège, par exemple, n'ont pas même accès à Internet. La CNIL ne pourrait-elle pas diffuser une version papier de ce guide ?
Elle s'est ensuite félicité que la CNIL ait un pouvoir de sanction même si, en dépit de l'augmentation des contrôles – 200, cette année – et des sanctions prononcées, celui-ci demeure insuffisant.
Elle a enfin demandé quelles sont les préconisations de la CNIL concernant Facebook ?
s'est félicité de la présentation de M. Türk. Il a ensuite demandé si, à l'heure de la mondialisation et alors que les nouvelles technologies informatiques se multiplient, le rôle de la CNIL n'était pas singulièrement limité. La CNIL ne doit-elle pas aussi s'impliquer encore plus dans les questions liées au développement de la biométrie, qui sont cruciales sur un plan éthique ? Enfin, depuis la loi de 1978 jusqu'à celle de 2004, l'informatique s'est transformée puisque son usage n'est plus seulement professionnel mais est également devenu domestique. Or, que peut la CNIL face à des individus qui sont parfois enclins à utiliser des fichiers professionnels dans un cadre qui, lui, ne l'est pas ?
r a remercié M. Türk pour son intervention. Il s'est ensuite interrogé sur la question du fichier positif : le fichier positif doit certes permettre d'alerter les prêteurs en cas de surendettement ; mais ces prêteurs qui proposent des crédits notamment des crédits à la consommation lors de l'achat, ne sont-ils pas responsables du surendettement ? La loi, en outre, a favorisé le développement du crédit revolving au lieu de l'encadrer. La CNIL pourrait-elle intervenir s'agissant de l'utilisation de fichiers permettant ce type de crédits ? Les entreprises, par ailleurs, procèdent de plus en plus à des croisements de fichiers afin d'établir des profils de consommateurs. Qu'en est-il, dans ce cas-là, du respect de la vie privée ? Comment la CNIL peut-elle intervenir en matière de conservation des données personnelles de ce type ?
a répondu que les moyens dont dispose la CNIL étaient insuffisants même si le Gouvernement a fait des efforts ; quinze postes ont été créés, le budget de fonctionnement a augmenté de façon significative ; mais il ne met la CNIL qu'au niveau de son homologue slovène. Les efforts doivent donc être poursuivis. Ils doivent porter sur la présence de la CNIL en région. Si l'effectif du personnel est suffisant à Paris, il est nécessaire de créer des postes en région afin de pouvoir effectuer des contrôles, enregistrer des plaintes et mener des opérations de conseil.
Autre difficulté, celle liée au traitement des informations du Système de traitement des infractions constatées (STIC) de la police. Une demande d'emploi dans le secteur de la sécurité implique une vérification de la situation du postulant au STIC ; or celle-ci ne peut le plus souvent avoir lieu que des mois après la requête, laissant ainsi fort peu de chances au postulant d'obtenir un emploi s'il figure dans le fichier par erreur. A ce jour, on dénombre 2 000 à 3 000 dossiers en retard. Il faut procéder à des recrutements afin de clarifier la situation.
A cela s'ajoute que la CNIL attend la parution de décrets d'application de la loi de 2004, en particulier quant à la labellisation de sociétés développant de nouveaux systèmes ; une telle labellisation permettra en effet de dispenser la CNIL de traiter les projets au coup par coup.
En raison de ces problèmes de moyens, le champ d'action de la CNIL était limité, notamment s'agissant du nombre de contrôles, lesquels requièrent parfois beaucoup de temps et de personnels. A court terme, l'objectif est de les doubler en les portant à 350 ou 400, sachant que les Espagnols en réalisent 600 à 700 chaque année.
Des évolutions législatives sont de surcroît souhaitables. Tous les transferts de données impliquent une autorisation de la CNIL. Or les seules transmissions de données transfrontalières ayant considérablement augmenté, la charge de travail est d'ores et déjà considérable. Des simplifications pourraient être sans doute envisagées.
M. Alex Türk a également proposé au Premier ministre de modifier le système de financement de la CNIL afin de la rendre plus indépendante et d'accroître ses moyens. Il s'agit de l'autoriser à faire payer un droit d'inscription à son registre. Le montant pourrait par exemple s'élever à 40 euros par an pour les entreprises et entre 15 et 50 euros pour les communes, en fonction de leur taille. En contrepartie, il faudrait que le président de la CNIL soit obligé de présenter le rapport de bilan de la CNIL une fois par an devant les deux assemblées et de répondre aux questions des parlementaires afin que le pouvoir de contrôle du Parlement soit maintenu.
Il est vrai que les missions de la CNIL impliquent un certain « donquichottisme ». Certains décrets d'application de la loi de 2004 ne sont pas encore parus. Face à ses faibles moyens, ce sont des évolutions considérables qui sont en cours. Personne ne sait aujourd'hui ce que sera la société française en 2015 sur le plan de l'informatique. Le développement considérable de la biométrie, de la géolocalisation, de la vidéosurveillance et, surtout, des nanotechnologies transformeront la société à très court terme. Il est à craindre, dans ces conditions, que l'environnement personnel de chacun souffre : quid de l'intimité, de l'identité des personnes ? Des études d'impact très sérieuses doivent être réalisées. Ce n'est pas parce qu'une technologie existe qu'il faut l'appliquer tout de suite et de manière uniforme. L'action de la CNIL doit être particulièrement pédagogique.
Nombre de pays de l'Union européenne ont mis en place des systèmes de fichiers positifs. Certes, cela permet d'en savoir davantage sur les personnes, mais jusqu'où faut-il aller ? En la matière, c'est au législateur de prendre ses responsabilités : faut-il privilégier la lutte contre le surendettement ou favoriser le développement du crédit sous la maîtrise bancaire ?
Le guide des collectivités locales a été présenté hier à la presse. Il sera diffusé à tous les parlementaires, mais la CNIL n'a pas les moyens de le diffuser à tous les maires et présidents de conseils généraux et régionaux. En revanche, il faut souligner que la loi permet aux très petites communes de se grouper pour avoir un correspondant Informatique et libertés. Ce système devrait d'ailleurs être rendu obligatoire par la loi.
La CNIL utilise son pouvoir de sanction avec fermeté, mais aussi avec neutralité, tout en essayant de lui donner un sens pédagogique. Le Crédit Lyonnais, par exemple, a été condamné à 45 000 euros d'amende avec publication du jugement dans la presse. La formation qui traite de ces questions est composée de six membres, dont des magistrats, des universitaires et un syndicaliste, ce qui permet d'avoir une vision équilibrée des différentes situations. Il ne s'agit pas de se livrer à une absurde « chasse aux entreprises ».
Facebook entraîne une transformation radicale de notre société : des millions de personnes sont inscrites ; la vie politique, religieuse ou amoureuse des internautes peut être connue des utilisateurs qui sont, pour la plupart, très jeunes et qui n'ont aucun sens de ce qu'est l'intimité, laquelle doit être pourtant préservée. Là encore, un travail pédagogique est nécessaire mais, cette fois, au sein des familles.
La mise en place d'un contrôle biométrique nécessite une autorisation.
L'informatique domestique a été bouleversée par les progrès technologiques, ce qui implique une grande prudence de chacun et une conscience claire de sa vulnérabilité.
Le président Patrick Ollier a rappelé qu'il avait demandé à M. Luc Chatel, secrétaire d'État chargé de la consommation et du tourisme, un engagement précis afin que les questions du surendettement et du fichier positif soient réglées lors de l'examen d'un texte sur la consommation prévu après les élections municipales. L'objectif principal est de lutter contre le surendettement. Les parlementaires ont toute confiance dans les préconisations que fera la CNIL mais il faut aller vite.
a indiqué que la CNIL dispose depuis 2004 d'un pouvoir en matière de crédits à travers les logiciels d'aide à l'octroi de crédits revolving. Elle a eu ainsi l'occasion d'intervenir en faveur de personnes auxquelles un crédit avait été refusé en raison de leur nationalité.
La CNIL peut en outre intervenir à propos de l'octroi des cartes de fidélité liées à l'ouverture d'une ligne de crédit dont la personne n'est pas toujours demandeuse : pourquoi collecter tel ou tel type d'informations ? Quelles sont les données vraiment nécessaires à l'obtention d'une carte de fidélité ? Enfin, les travaux d'ores et déjà réalisés par la CNIL sur la question de la centrale positive permettent de dégager un certain nombre d'axes afin que cette dernière serve exclusivement à lutter contre le surendettement et non à mettre en place des prospections commerciales. La CNIL et le Parlement doivent pouvoir travailler rapidement ensemble afin de limiter le champ et la nature des informations contenus dans ce fichier.
Sur le problème de Facebook et la problématique posée par les grandes sociétés comme Google ou Microsoft, M. Alex Türk a fait remarquer qu'il n'y avait pas de réponse française à ces questions : la réponse est au moins européenne voire mondiale. Ces questions constitueront une priorité de sa présidence du G29, l'organisme des CNIL européennes à laquelle il devrait être élu dans quelques semaines.
Le maintien des normes actuelles de protection de la vie privée n'est pas acquis. Il faudra se battre. Les États-Unis essaient de convaincre l'Asie d'opter pour des standards de protection de la vie privée nettement inférieurs à ceux qui sont mis en application en Europe. L'enjeu est donc la détermination de ces standards internationaux de protection des données personnelles des individus.
La CNIL va travailler à une position commune des pays européens, même si cela risque d'être difficile, avant d'engager un débat triangulaire entre les États-Unis, l'Asie et l'Europe, pour tenter de maintenir au niveau le plus élevé possible des standards de protection.
Il est évident qu'elle aura besoin de l'aide des parlements et des gouvernements. Le moment venu, c'est le poids des autorités publiques qui jouera.
La difficulté est en Asie. Actuellement, les États asiatiques hésitent. Certains, comme Hong Kong, sont intéressés par la philosophie européenne et française. D'autres penchent pour la solution américaine. La Chine considère qu'elle a son mot à dire sur la définition des standards internationaux ; il reste qu'à Pékin 5 000 fonctionnaires sont chargés de surveiller à plein-temps Internet. Les Canadiens, quant à eux, sont plutôt sur des positions proches de celles des Européens.
Il faut enfin signaler que la CNIL et son homologue allemande ont été choisies pour organiser la conférence mondiale Informatique et libertés à Strasbourg et à Offenburg, les 15, 16 et 17 octobre prochain. Les travaux devraient être ouverts par le Président de la République française et la Chancelière fédérale allemande. A la conférence de Strasbourg, on discutera des standards internationaux, le thème choisi étant précisément « La vie privée et les frontières ». Le monde actuel est globalisé en la matière et il convient d'être extrêmement vigilants.
Le président Patrick Ollier a remercié M. Alex Türk pour cette audition de très grande qualité. La commission a pu bénéficier d'une vision d'ensemble des problèmes et elle se mettra rapidement au travail avec la CNIL afin de parvenir par exemple à des propositions de loi. Il est par ailleurs regrettable qu'un rapport sur l'exécution de la loi de 2004 ne permette pas de savoir pourquoi certains décrets n'ont pas été publiés.
a demandé s'il ne serait pas opportun de mettre en place une mission d'information sur ces sujets.
Le président Patrick Ollier a répondu qu'il n'y était pas défavorable mais que, d'une part, cette structure est un peu lourde et que, d'autre part, M. Tourtelier pourra bien entendu participer au groupe de travail qui sera mis en place.