Création d'un marché unique de la donnée, lutte contre les pratiques de Google et Facebook et projet de règlement européen : à la tête de la Cnil, Isabelle Falque-Pierrotin est sur tous les fronts. Et frappe fort. Entretien.
Données personnelles: des amendes de 3% à 5% du CA?
Décideurs. Les entreprises se soucient plus d’innover que de la protection des données personnelles. Comprenez-vous qu’elles déplorent une sur-régulation ?
Isabelle Falque-Pierrotin. C’est une idée reçue qui est souvent utilisée pour excuser nos faiblesses en innovation, par facilité. Il faut la combattre et la tuer. Alors que l’Europe a un cadre unifié en la matière depuis 1995, nous mettons en place un règlement qui va permettre l’émergence d’un marché unique de la donnée. C’est inédit ! Même les Américains n’en sont pas là, leur système étant parcellisé entre les différents États. Cela rend leur marché difficile d’accès aux Européens…
Décideurs. La protection des données comme levier d’innovation ?
I. F.-P. La protection des données personnelles devient une arme de compétitivité. Je voudrais insister sur l’importance de favoriser une innovation durable, celle qui fidélise les clients sans forcément tenter de conquérir des parts de marché en un temps record. L’entreprise qui s’affranchit des règles de données personnelles sera moins pérenne, moins solide. Des acteurs européens commencent d’ailleurs à se différencier dans le paysage des start-up. Au CES de Las Vegas, certaines initiatives françaises ont été très remarquées, que ce soit dans le domaine du cloud ou de la vidéosurveillance. Je pense par exemple à ce projet de caméra qui stocke toutes les images en mémoire et ne les diffuse qu’à la personne qui vient les collecter.
Décideurs. Il a souvent été reproché à la Cnil de disposer de moyens dérisoires face aux géants du Net. Qu’en est-il aujourd’hui ?
I. F.-P. À l’époque où les Google cars siphonnaient les adresses IP en parcourant les rues, les sanctions ont été prises sans concertation entre les différentes Cnil européennes. Ce n’était pas une bonne solution, et nous en avons tiré les enseignements. Ainsi, le contentieux relatif à la Google Privacy Policy a été géré de concert par six Cnil européennes. Les Pays-Bas ont prononcé des mesures d’astreinte très efficaces et l’Espagne a sanctionné l’entreprise d’une amende de 900 000 euros. Elle sont en France plafonnées à 150 000 euros, mais nous avons obtenu que Google publie la condamnation sur sa page d’accueil pendant quarante-huit heures. La portée symbolique était très forte. Cette réponse collective nous a aussi permis d’entamer un dialogue constructif avec Google : nous sommes depuis entrés dans une phase de mise en conformité.
Décideurs. Quel sera l’impact du règlement pour les entreprises extracommunautaires ?
I. F.-P. En premier lieu, le projet de règlement compte une disposition majeure qui permet de soumettre les entreprises au droit de l’Union européenne dès lors qu’elles vendent un bien ou un service à des Européens. En matière de sanctions ensuite, l’évolution est considérable : le projet de règlement prévoit des amendes pouvant représenter de 3 % à 5 % du chiffre d’affaires mondial des entreprises concernées.
Décideurs. Pouvez-vous préciser, au fond, quel est votre objectif avec ce projet de règlement ?
I. F.-P. Ce projet est un élément clé de la crédibilité de l’Union. Fidèles à la liberté qui nous caractérise et à notre mission de modernisation, nous basculons dans une nouvelle ère : celle du marché des données. Vous voyez bien le changement par rapport à 1978, on ne parle même plus de fichiers informatiques, tout cela est dépassé. Les données ont aujourd’hui un usage multiple qu’il convient de réguler. Je crois beaucoup à l’Europe de la donnée, et à des avancées à la fois très concrètes et aussi éthico-philosophiques
Décideurs. Quelles sont ces avancées concrètes pour les entreprises ?
I. F.-P. Un certain nombre d’outils vont être mis à leur disposition. Nous souhaitons rendre les programmes de conformité accessibles à toutes les entreprises, les grands groupes ayant déjà une culture de la compliance et des process. De la même façon, le rôle des correspondants informatique et libertés (Cil) va évoluer et leur nombre augmenter. Le Cil aura la responsabilité de faire en sorte que tous les compartiments de l’entreprise soient concernés, du marketing à la R&D. Enfin, les formalités préalables et déclaratives vont être considérablement allégées.
Décideurs. L’adoption du règlement fait l’objet de débats musclés. Quelles sont les forces en présence ?
I. F.-P. Les négociations sont très délicates car les données sont au cœur de l’économie, et pas seulement celles des Gafa (Google, Amazon, Facebook, Apple)… Elles sont devenues vitales pour les assureurs, les hôteliers, et la plupart des industries. Par ailleurs, ces données touchent à la vie quotidienne des gens. On ne peut pas légiférer sur le sujet comme on le ferait avec des produits financiers sophistiqués. Le règlement fait donc l’objet d’un lobbying considérable. Les sociétés extracommunautaires ont peur que l’on constitue une barrière à l’entrée du marché. Contre une prétendue forteresse Europe, elles sont donc les plus virulentes.
Les réticences sont aussi venues d’États membres qui ont fait des données personnelles un élément clé de leur modèle économique. Face à ces stratégies nationales divergentes, mon travail à la présidence du G29* consiste à rassembler les Cnil européennes autour d’un projet commun : donner un haut niveau de protection aux consommateurs et aux entreprises. C’est un projet qui rassemble tout le monde, et même de nombreux extracommunautaires : vu de l’extérieur, il n’y a plus qu’un seul niveau de régulation !
Décideurs. Les révélations sur la surveillance des citoyens par les services de renseignement se multiplient à travers le monde. Que peut faire la Cnil dans ce cadre ?
I. F.-P. Nous jouons un rôle de contre-pouvoir et il n’est pas anormal que nous ne soyons pas toujours en accord avec les autorités sur certains sujets. Ces problèmes intéressent les services de renseignement et les citoyens. La collecte massive et indiscriminée de données n’est pas acceptable au regard du droit européen. Elle doit être ciblée. À l’occasion d’une conférence internationale en décembre 2014, le G29 a adopté une déclaration politique à ce sujet. C’est un problème de démocratie auquel il faut donner une réponse collective, qui permette de concilier innovation, liberté et sécurité.
Nous ne sommes pas naïfs. La société de surveillance est présente et nous vivons avec la technologie. Il faut que nous trouvions des leviers techniques, juridiques et philosophiques pour être à la hauteur des enjeux. Aux États-Unis, où ces questions se posent également, j’ai été frappée de constater que les Américains venaient chercher des solutions chez nous, affirmant que l’UE était mieux placée pour concilier innovation et protection des données personnelles.
Décideurs. Les citoyens sont-ils eux-mêmes à la hauteur des enjeux ?
I. F.-P. On entend souvent dire : «Je n’ai rien à cacher, donc ces problèmes de protection des données personnelles ne me concernent pas». La vraie liberté ne se limite pas à avoir la possibilité de cacher des choses ! C’est celle de faire ce dont on a envie.
Décideurs. Quels enseignements tirez-vous de votre expérience à la tête de la Cnil et du G29 ?
I. F.-P. La Cnil a elle-même dû faire sa transition numérique, ce qui implique une remise en question organisationnelle, technique et intellectuelle. Il fallait que l’on se transforme pour être à la hauteur des enjeux. Le chantier n’est pas terminé, il prend du temps car notre institution a une identité très forte. Mais, au bout de quatre ans, les résultats commencent à se voir. C’est le temps qu’il faut pour y parvenir. Les entreprises le savent bien, il ne suffit pas de claquer des doigts pour se transformer de la sorte.
Ce raisonnement peut s’appliquer à l’Union européenne : l’adaptation des structures est possible ! Je voudrais que l’UE s’inspire de la culture d’Internet. Plutôt qu’à la centralisation, je crois à une Union distribuée et agile, composée de plusieurs strates. Les autorités nationales de protection coopèrent entre elles, et l’échelon européen est celui de la médiation. Les responsabilités ainsi distribuées et les outils communs correctement intégrés nous pourrons gagner en cohésion. Les données personnelles sont un bon test pour l’Europe.
* Le G29 est un groupe de travail européen rassemblant les représentants de chaque autorité indépendante de protection des données nationales.
Entretien réalisé par Pierre-Henri Kuhn et Marianne Briand
Crédit photo : Viktor Sekularac
Isabelle Falque-Pierrotin. C’est une idée reçue qui est souvent utilisée pour excuser nos faiblesses en innovation, par facilité. Il faut la combattre et la tuer. Alors que l’Europe a un cadre unifié en la matière depuis 1995, nous mettons en place un règlement qui va permettre l’émergence d’un marché unique de la donnée. C’est inédit ! Même les Américains n’en sont pas là, leur système étant parcellisé entre les différents États. Cela rend leur marché difficile d’accès aux Européens…
Décideurs. La protection des données comme levier d’innovation ?
I. F.-P. La protection des données personnelles devient une arme de compétitivité. Je voudrais insister sur l’importance de favoriser une innovation durable, celle qui fidélise les clients sans forcément tenter de conquérir des parts de marché en un temps record. L’entreprise qui s’affranchit des règles de données personnelles sera moins pérenne, moins solide. Des acteurs européens commencent d’ailleurs à se différencier dans le paysage des start-up. Au CES de Las Vegas, certaines initiatives françaises ont été très remarquées, que ce soit dans le domaine du cloud ou de la vidéosurveillance. Je pense par exemple à ce projet de caméra qui stocke toutes les images en mémoire et ne les diffuse qu’à la personne qui vient les collecter.
Décideurs. Il a souvent été reproché à la Cnil de disposer de moyens dérisoires face aux géants du Net. Qu’en est-il aujourd’hui ?
I. F.-P. À l’époque où les Google cars siphonnaient les adresses IP en parcourant les rues, les sanctions ont été prises sans concertation entre les différentes Cnil européennes. Ce n’était pas une bonne solution, et nous en avons tiré les enseignements. Ainsi, le contentieux relatif à la Google Privacy Policy a été géré de concert par six Cnil européennes. Les Pays-Bas ont prononcé des mesures d’astreinte très efficaces et l’Espagne a sanctionné l’entreprise d’une amende de 900 000 euros. Elle sont en France plafonnées à 150 000 euros, mais nous avons obtenu que Google publie la condamnation sur sa page d’accueil pendant quarante-huit heures. La portée symbolique était très forte. Cette réponse collective nous a aussi permis d’entamer un dialogue constructif avec Google : nous sommes depuis entrés dans une phase de mise en conformité.
Décideurs. Quel sera l’impact du règlement pour les entreprises extracommunautaires ?
I. F.-P. En premier lieu, le projet de règlement compte une disposition majeure qui permet de soumettre les entreprises au droit de l’Union européenne dès lors qu’elles vendent un bien ou un service à des Européens. En matière de sanctions ensuite, l’évolution est considérable : le projet de règlement prévoit des amendes pouvant représenter de 3 % à 5 % du chiffre d’affaires mondial des entreprises concernées.
Décideurs. Pouvez-vous préciser, au fond, quel est votre objectif avec ce projet de règlement ?
I. F.-P. Ce projet est un élément clé de la crédibilité de l’Union. Fidèles à la liberté qui nous caractérise et à notre mission de modernisation, nous basculons dans une nouvelle ère : celle du marché des données. Vous voyez bien le changement par rapport à 1978, on ne parle même plus de fichiers informatiques, tout cela est dépassé. Les données ont aujourd’hui un usage multiple qu’il convient de réguler. Je crois beaucoup à l’Europe de la donnée, et à des avancées à la fois très concrètes et aussi éthico-philosophiques
Décideurs. Quelles sont ces avancées concrètes pour les entreprises ?
I. F.-P. Un certain nombre d’outils vont être mis à leur disposition. Nous souhaitons rendre les programmes de conformité accessibles à toutes les entreprises, les grands groupes ayant déjà une culture de la compliance et des process. De la même façon, le rôle des correspondants informatique et libertés (Cil) va évoluer et leur nombre augmenter. Le Cil aura la responsabilité de faire en sorte que tous les compartiments de l’entreprise soient concernés, du marketing à la R&D. Enfin, les formalités préalables et déclaratives vont être considérablement allégées.
Décideurs. L’adoption du règlement fait l’objet de débats musclés. Quelles sont les forces en présence ?
I. F.-P. Les négociations sont très délicates car les données sont au cœur de l’économie, et pas seulement celles des Gafa (Google, Amazon, Facebook, Apple)… Elles sont devenues vitales pour les assureurs, les hôteliers, et la plupart des industries. Par ailleurs, ces données touchent à la vie quotidienne des gens. On ne peut pas légiférer sur le sujet comme on le ferait avec des produits financiers sophistiqués. Le règlement fait donc l’objet d’un lobbying considérable. Les sociétés extracommunautaires ont peur que l’on constitue une barrière à l’entrée du marché. Contre une prétendue forteresse Europe, elles sont donc les plus virulentes.
Les réticences sont aussi venues d’États membres qui ont fait des données personnelles un élément clé de leur modèle économique. Face à ces stratégies nationales divergentes, mon travail à la présidence du G29* consiste à rassembler les Cnil européennes autour d’un projet commun : donner un haut niveau de protection aux consommateurs et aux entreprises. C’est un projet qui rassemble tout le monde, et même de nombreux extracommunautaires : vu de l’extérieur, il n’y a plus qu’un seul niveau de régulation !
Décideurs. Les révélations sur la surveillance des citoyens par les services de renseignement se multiplient à travers le monde. Que peut faire la Cnil dans ce cadre ?
I. F.-P. Nous jouons un rôle de contre-pouvoir et il n’est pas anormal que nous ne soyons pas toujours en accord avec les autorités sur certains sujets. Ces problèmes intéressent les services de renseignement et les citoyens. La collecte massive et indiscriminée de données n’est pas acceptable au regard du droit européen. Elle doit être ciblée. À l’occasion d’une conférence internationale en décembre 2014, le G29 a adopté une déclaration politique à ce sujet. C’est un problème de démocratie auquel il faut donner une réponse collective, qui permette de concilier innovation, liberté et sécurité.
Nous ne sommes pas naïfs. La société de surveillance est présente et nous vivons avec la technologie. Il faut que nous trouvions des leviers techniques, juridiques et philosophiques pour être à la hauteur des enjeux. Aux États-Unis, où ces questions se posent également, j’ai été frappée de constater que les Américains venaient chercher des solutions chez nous, affirmant que l’UE était mieux placée pour concilier innovation et protection des données personnelles.
Décideurs. Les citoyens sont-ils eux-mêmes à la hauteur des enjeux ?
I. F.-P. On entend souvent dire : «Je n’ai rien à cacher, donc ces problèmes de protection des données personnelles ne me concernent pas». La vraie liberté ne se limite pas à avoir la possibilité de cacher des choses ! C’est celle de faire ce dont on a envie.
Décideurs. Quels enseignements tirez-vous de votre expérience à la tête de la Cnil et du G29 ?
I. F.-P. La Cnil a elle-même dû faire sa transition numérique, ce qui implique une remise en question organisationnelle, technique et intellectuelle. Il fallait que l’on se transforme pour être à la hauteur des enjeux. Le chantier n’est pas terminé, il prend du temps car notre institution a une identité très forte. Mais, au bout de quatre ans, les résultats commencent à se voir. C’est le temps qu’il faut pour y parvenir. Les entreprises le savent bien, il ne suffit pas de claquer des doigts pour se transformer de la sorte.
Ce raisonnement peut s’appliquer à l’Union européenne : l’adaptation des structures est possible ! Je voudrais que l’UE s’inspire de la culture d’Internet. Plutôt qu’à la centralisation, je crois à une Union distribuée et agile, composée de plusieurs strates. Les autorités nationales de protection coopèrent entre elles, et l’échelon européen est celui de la médiation. Les responsabilités ainsi distribuées et les outils communs correctement intégrés nous pourrons gagner en cohésion. Les données personnelles sont un bon test pour l’Europe.
* Le G29 est un groupe de travail européen rassemblant les représentants de chaque autorité indépendante de protection des données nationales.
Entretien réalisé par Pierre-Henri Kuhn et Marianne Briand
Crédit photo : Viktor Sekularac
