Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nouvelle Présidente, nouveaux Commissaires : la CNIL se réinvente

février 2019 par Texte collectif rédigé sous la direction de Bruno Rasle par Patrick Blum, Laurent Caron et Bruno Rasle, Administrateurs de l’AFCDP et Grégoire Delette, Chargé de mission AFCDP détaché à Bruxelles.

Avec plusieurs nouveaux Commissaires et une nouvelle Présidente en la personne de Marie-Laure Denis, la Commission Nationale de l’Informatique et des Libertés vient de renouveler la moitié de son personnel dirigeant. L’amorce d’une nouvelle ère, celle de la maturité du RGPD ?

Dix mois après l’entrée en application du RGPD, la CNIL vient de renouveler plus de la moitié de ses Commissaires et de changer de présidente. La CNIL se compose d’un collège pluraliste de dix-huit personnalités nommées pour cinq ans renouvelables une fois, les Commissaires.

Le renouvellement est défini par la loi Informatique et Libertés, selon, les règles suivantes, précisées dans le décret 2018-232 du 30 mars 2018 :
 Deux députés et deux sénateurs sont désignés par leur assemblée respective. Ils sont en poste jusqu’à la fin de leur mandat électif. Il n’y a donc pas de renouvellement pour Sylvie Robert (Sénatrice d’Ille-et-Vilaine, jusqu’en septembre 2020), Albane Gaillot (Députée du Val-de-Marne, jusqu’en juin 2022), Philippe Gosselin (Député de la Manche, jusqu’en juin 2022) et Loïc Hervé (Sénateur de la Haute-Savoie, jusqu’en septembre 2020) ;
 Deux membres du Conseil Social et Environnemental (CSE), Éric Peres et Mme Dominique Castera, dont les sièges seront renouvelables en décembre 2020 ;
 Le Président de la CADA, Marc Dandelot (ajouté par la loi pour une République numérique de 2016) ;
 Deux membres du Conseil d’État, deux membres de la Cour de cassation, deux membres de la Cour des comptes, élus au sein de leur corps (renouvelés le 2 février 2019, pour cinq ans, ou pour deux ans et demi dans chaque couple) ;
 Deux personnalités qualifiées désignées par le Président de l’Assemblée nationale et le Président du Sénat ;
 Trois « personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles », nommées par décret (par le Président de la République). Marie-Laure Denis est l’une d’entre elles.

Ont ainsi été nommés ces derniers jours : en tant que « personnes qualifiées », Mme Anne Debet (professeur de droit privé à l’Université Paris Descartes) et M. Christian Kert (homme politique de centre-droit) ; par la Cour de Cassation, Mme Sophie Lambremon (conseiller à la Cour de cassation) ; par la Cour des comptes, M. Philippe Cabourdin (Magistrat à la Cour des comptes, recteur de l’académie de Caen) et Mme Sylvie Lemmet (conseiller maître) ; par le Conseil d’État, M. Bertrand du Marais et Mme Christine Maugüe. Ont été reconduits M. Alexandre Linden, Mme Valérie Peugeot et M. François Pellegrini. Le nouveau Collège se réunira, pour la première fois, à l’occasion de la séance plénière du 14 février 2019.

Alors que les précédents présidents de la CNIL avaient été élus par les Commissaires, la loi n°2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, par son article 40, a modifié le mode de désignation du président de la CNIL en stipulant qu’il est désormais désigné par décret du Président de la République parmi les membres de la Commission. Et c’est par un communiqué de l’Élysée en date du 18 janvier 2019 que la désignation de Marie-Laure Denis a été annoncée.

En revanche, les modalités de désignation du Vice-président et du Vice-président délégué sont restées inchangées : ils seront élus à ces fonctions par leurs pairs le 21 février 2019.

Avant de découvrir les orientations annoncées par la nouvelle équipe et la nouvelle Présidente – notamment concernant le soutien de la CNIL aux DPO – revenons sur les épisodes précédents…

Née de SAFARI, la CNIL est la première autorité administrative indépendante créée

Le 21 mars 1974, la révélation par le quotidien Le Monde d’un projet gouvernemental tendant à regrouper dans un seul fichier toutes les informations que l’Administration détenait sur les citoyens provoqua une vive émotion dans l’opinion publique et faisait craindre un fichage général de la population. La dénomination retenue pour ce projet (SAFARI, pour Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) a peut-être participé à cet émoi et a permis au journaliste Philippe Boucher (décédé en mars 2018) de trouver un titre-choc : Safari, ou la chasse aux Français.

Cette inquiétude a conduit le gouvernement à créer une commission afin qu’elle propose des mesures garantissant que le développement de l’informatique se réalise dans le respect de la vie privée, des libertés individuelles et publiques. Il fut proposé, après de larges consultations et débats, de créer une autorité indépendante. C’est ce que fit la loi du 6 janvier 1978 en instituant la Commission nationale de l’informatique et des libertés, la CNIL. En 2018, cette institution a fêté ses quarante ans.

Alex Türk, le « père » du CIL, préfigurateur du DPO

Durant moins d’un an (du 5 décembre 1978 au 27 novembre 1979), Pierre Bellet fut le premier Président de la CNIL. Le plus long mandat fut celui de Jacques Fauvet (de juin 1984 à janvier 1999). Marie-Laure Denis est le huitième Président de la Commission nationale de l’Informatique et des Libertés et la deuxième femme à occuper ce poste.

Plus récemment, Alex Türk a notablement marqué l’histoire de la CNIL. Élu sénateur en 1992, réélu en 2001 et 2011, il devint vice-président de la CNIL en 2002, puis président le 3 février 2004, en pleine transposition de la directive 95/46CE qui allait aboutir à la loi « Informatique et Libertés » d’août 2004. C’est sur son initiative que la France a opté pour la formule du « Correspondant à la protection des données à caractère personnel », inspiré du modèle allemand.
Dans l’interview qu’il avait accordée en 2014 à l’AFCDP, Alex Türk avait évoqué les difficultés qu’il avait rencontrées pour que soit accepté le Correspondant Informatique et Libertés (CIL) : « Il ne faut pas oublier que, lors de la première lecture à l’Assemblée, le rapporteur ne l’avait pas souhaité. Le texte ne contenait rien à ce sujet, mais j’étais persuadé qu’il fallait y venir - à l’époque j’étais le rapporteur au Sénat, je n’étais pas encore le Président de la CNIL. La difficulté que j’ai rencontrée, c’est que l’on me disait « Ça n’est pas possible, personne n’en voudra ». Je suis donc allé voir le Ministre qui était en charge à l’époque, c’est-à-dire le garde des Sceaux, Monsieur Dominique Perben. Il m’a d’abord confié que son cabinet lui disait que c’est « compliqué », que c’était contraire à la culture, à la tradition française… ».

La présidence d’Alex Türk, longue de huit ans, est marquée par l’entrée en application de la loi Informatique et Libertés dans sa version d’août 2004 qui transpose la directive européenne de 1995. Cette loi introduit pour la CNIL un pouvoir d’autorisation a priori pour certains traitements sensibles et renforce son pouvoir de contrôle. Alors qu’elle n’avait effectué qu’environ 300 missions de contrôle depuis sa création, les missions vont passer de 40 en 2004 à 510 en 2015 (l’année record, 341 contrôles ayant été effectués en 2017).
Sous son mandat, M. Türk obtiendra des différents gouvernements en place un renforcement notable des effectifs de la CNIL (le nombre des agents de l’autorité a doublé, passant de 80 à 160, augmentation arrachée de haute lutte pour assurer l’indépendance de l’institution. Il faut se souvenir qu’en novembre 2006, la CNIL était confrontée à un déficit de plus de 500 ?000 euros, mettant en danger son fonctionnement normal), ce qui lui permet notamment de créer un service destiné à l’activité de contrôle et de renforcer l’expertise informatique de l’autorité. Il s’engage également afin que la CNIL soit plus proche du terrain, notamment en multipliant les déplacements en régions (les anciens CIL se souviendront du « Tour de France » organisée par la CNIL courant 2005).

La vie privée en péril ?

Alex Türk est l’auteur, en 2011, d’un ouvrage La vie privée en péril (Éditions Odile Jacob) dans lequel il expose notamment les menaces qui pèsent sur l’avenir de la protection des données personnelles. Il y raconte les circonstances de son entrée à la CNIL : en octobre 1992, alors qu’il venait d’être élu au Sénat, à peine entré à la Commission des lois, il fut saisi par un tonnerre d’applaudissements et demandait au président de la commission ce qui lui valait un tel accueil. « Vous venez, cher collègue, d’être élu à la CNIL », « Mais je n’étais pas candidat ! », « Précisément, c’était là votre première qualité... Il faut bien que quelqu’un se dévoue, or vous n’étiez pas là pour vous défendre. Vous êtes le benjamin de la commission, vous enseignez le droit public... tout cela a joué en votre faveur, ou... contre vous, c’est selon ».
Dans cet ouvrage, il y raconte sans fard la désignation dans le cours de l’été 2008 par la Commission européenne d’un groupe de cinq experts chargé de réfléchir à la révision de la Directive de 1995... C’est-à-dire le texte qui allait aboutir au RGPD. Abasourdi, le Président de la CNIL découvre que ce groupe compte un seul Européen pour quatre Américains ou représentants des intérêts américains ! « À l’incrédulité a succédé l’indignation. J’ai résumé la situation devant la presse en disant ceci : Si, demain, le Président Obama décide de confier la réflexion sur l’élaboration d’une loi générale de protection des données personnelles des États-Unis à un groupe de travail composé de quatre Européens et un Américain, je mangerai mon chapeau ! ». Dès qu’il eût mesuré l’inanité de cette décision, le Vice-président Barrot prit la décision qui s’imposait : la dissolution du groupe. Et l’auteur de préciser, amer, que cette brillante idée émanait d’un fonctionnaire européen... de nationalité française.

Succédant à Monsieur Türk, Isabelle Falque-Pierrotin fut la première femme à présider la Commission. Conseillère d’État, elle devient vice-présidente de la CNIL en février 2009 avant d’en être élue présidente en septembre 2011. Elle fut réélue à la tête de la CNIL le 4 février 2014 pour un mandat de 5 ans. Son concurrent le plus sérieux était Philippe Lemoine, ex codirigeant des Galeries Lafayette, qui venait d’être mandaté par le gouvernement de l’époque pour diriger une mission sur le numérique et l’économie française.
C’est sous sa présidence que la CNIL a préparé activement l’arrivée du RGPD.
« Une CNIL de combat »

C’est ainsi que s’ouvrait le premier rapport annuel de sa présidence, en 2011.
La Commission devait faire face à une étape décisive de son évolution marquée par des mutations structurelles liées au développement de la société numérique nécessitant de renouveler l’action de l’autorité administrative indépendante. Le chemin engagé par la nouvelle présidente a permis à la CNIL de se positionner comme une autorité de régulation incontournable et de préparer l’arrivée du RGPD. Madame Falque-Pierrotin transmet à son successeur une autorité de contrôle écoutée et entendue.

Au crédit de cette présidence, on peut notamment porter la création du LINC (Laboratoire d’Innovation Numérique de la CNIL), dote ? de moyens dédiés, afin de renforcer la capacité prospective et d’expertise de la Commission, la publication des Cahiers IP, l’ouverture de grands chantiers (sur des sujets tels que le Cloud Computing, les compteurs communicants, les cookies, les Smart Cities, la mort numérique, etc.), la publication de packs de conformité – conçus en synergie avec les secteurs concernés -, les premiers labels.
Plus récemment, le succès de l’outil PIA, traduit en dix-huit langues et téléchargé déjà à plus de 140 ?000 exemplaires, est une vraie réussite.
Isabelle Falque-Pierrotin a aussi une dimension internationale et a également présidé le G29, organisme remplacé depuis le 25 mai 2018 par le CEPD (Comité Européen de la Protection des Données). Le 27 septembre 2017, elle était élue à Hong Kong présidente de la Conférence mondiale des autorités de protection de données (Conference of Data Protection and Privacy Commissioners) pour un an, symbole fort du rôle que prend l’Europe dans ce domaine. Elle est aussi devenue une interlocutrice privilégiée des GAFAM et des BATX. Mi-janvier 2019, Matignon confirmait qu’Isabelle Falque-Pierrotin était nommée pour être l’une des cinq personnalités « garante » du Grand Débat national voulu par le Président de la République.

Président de la CNIL, un emploi à temps plein

Depuis le 1er septembre 2012 et l’adoption des lois organiques et ordinaires relatives au Défenseur des droits, la fonction de Président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.

Madame Denis fait partie des nouvelles « personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, nommées par décret ».

Diplômée de l’Institut d’études politiques de Paris, licenciée en droit (Paris X), diplômée de l’ENA (1990–1991), auditeur au Conseil d’État (1992), maître des requêtes (1995), directeur adjoint du cabinet du maire de Paris pour la culture, éducation, jeunesse et sports (1995-1998), maître de conférences à l’Institut d’études politiques de Paris (1999-2001), vice-président des jurys de recrutement des magistrats (École nationale de la magistrature) (1999-2001), directeur du cabinet du ministre délégué à la famille Christian Jacob ; Directeur adjoint du cabinet du ministre de la Santé, de la famille et des personnes handicapées Jean-François Mattei (2002-mars 2004), membre du Conseil supérieur de l’audiovisuel depuis mars 2004, Marie-Laure Denis connaît bien les enjeux du numérique, comme le confiait au Monde Sébastien Soriano, le président de l’ARCEP, « C’est quelqu’un d’extrêmement solide. Elle connaît les problématiques télécoms, médias, numérique, dans lesquelles elle a baigné depuis dix ans ».

On notera que Marie-Laure Denis a déjà exercé au sein de trois autorités administratives indépendantes : le CSA, l’ARCEP et la CRE (Commission de Régulation de l’Énergie) où elle a pu mesurer l’importance – et parfois la difficulté – des fonctions de régulateur.

Avant que le choix se porte sur la nouvelle présidente, plusieurs noms avaient circulé, dont ceux de Benoît Thieulin, ancien directeur du Conseil national du numérique (CNNum), Axelle Lemaire, ex-secrétaire d’État au Numérique de François Hollande, Didier Casas, secrétaire général de Bouygues Telecom (société qui vient d’être épinglée par la CNIL), Francis Donnat, secrétaire général à France Télévisions (qui a travaillé plusieurs années chez l’un des GAFAM), Edouard Geffray, ancien secrétaire général de la CNIL… et même Gilles Babinet (selon le Canard Enchaîné) qui avait pourtant déclaré à la presse en 2013 « Il faut fermer la CNIL, c’est un ennemi de la Nation ». Selon le Figaro, c’est Fabrice Aubert, le conseiller « Institutions » de l’Élysée, qui avait préparé la « short list » : « Compte tenu de l’importance politique que prend le numérique pour la France, rien n’est laissé au hasard » indiquait une source proche du dossier.

Commissaire, un rôle important

Les Commissaires de la CNIL se réunissent en séances plénières généralement une fois par semaine sur un ordre du jour établi à l’initiative de son Président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le Gouvernement. C’est également durant ces séances que sont examinées les rares demandes d’autorisation qui subsistent.

La loi du 6 août 2004 a créé la « formation restreinte », qui est la formation contentieuse de la commission. Composée de six membres, c’est elle qui prononce les sanctions à l’encontre des responsables de traitement ne respectant pas la loi. Elle est dirigée par président distinct de celui de la formation plénière et de cinq autres membres élus par les dix-huit membres du Collège.

En dehors des séances, les Commissaires sont chargés de suivre plus particulièrement les secteurs qui leur sont attribués par le Président (travail, industrie, transports, énergie, collectivités territoriales, vidéoprotection, administration électronique, etc.) en liaison avec les services de la CNIL. Les Commissaires peuvent être chargés de représenter la CNIL dans diverses réunions ou instances, et participer à des missions de contrôle (mais en observateurs seulement).

Durant son audition devant le Sénat, Mme Denis a clairement indiqué qu’elle voulait s’appuyer sur les membres du Collège de la CNIL.

Avec le RGPD, la CNIL doit réussir son « passage à l’échelle »

L’enjeu principal auquel devra faire face Marie-Laure Denis tient en quatre lettres – RGPD – et l’accompagnement des responsables de traitement dans leur mise en conformité est évidemment le premier chantier qui occupera la Commission pour l’année 2019. La CNIL devra également poursuivre l’instruction des milliers de plaintes individuelles qui lui parviennent depuis l’entrée en application du Règlement européen - les plaintes collectives dont elle a été saisie à l’encontre de plusieurs GAFAM par NOYB et La Quadrature du Net ayant été traitées juste avant l’arrivée de la nouvelle présidente par une sanction financière de cinquante-millions d’Euros prononcée à l’encontre de Google LLC (l’entreprise a décidé de contester cette sanction devant le Conseil d’État).
Mais ce n’est pas le seul chantier qui attend la nouvelle présidente : le projet de règlement e-Privacy qui doit remettre à jour les règles en matière de communication électronique, devrait également mobiliser les services de la CNIL.
Il est trop tôt pour dire si la stratégie de la Commission subira une inflexion. Verrons-nous ressurgir l’un des projets d’Alex Türk, qui militait pour l’ouverture d’antennes de la CNIL en régions afin de rapprocher la commission des citoyens ?

Lors de son audition devant la commission des lois de l’Assemblée nationale, Marie-Laure Denis a évoqué une continuité pour la CNIL : accompagnement des responsables de traitement, formalisation de packs de conformité sectoriels, rôle moteur au niveau européen pour défendre la vision française, vigilance sur le Privacy Shield et le Cloud Act, poursuite des réflexions éthiques. On note également sa volonté de « promouvoir l’utilisation du chiffrement des données » : pour rappel, l’article 34.3.a du RGPD exonère les responsables de traitement de communication auprès des personnes concernées en cas de violation de données susceptibles d’engendrer des risques élevés pour ces dernières si les données avaient été préalablement rendues incompréhensibles, notamment grâce à du chiffrement mis en œuvre dans le respect de l’état de l’art.

Une CNIL très ferme dans son rôle de surveillance

Selon Les Échos, Marie-Laure Denis veut une CNIL « très ferme » dans son rôle de surveillance : « si la CNIL doit avoir une attitude ouverte et constructive, elle doit aussi se montrer très ferme dans son rôle de surveillance ».
Concernant les sanctions, Mme Denis les veut « efficaces » et évoque la prise en compte, pour les appliquer, « de l’existence ou non d’un avantage économique du manquement commis ». Elle précise que « La CNIL devrait contribuer à faire évoluer le modèle d’affaires et les comportements d’un certain nombre d’acteurs professionnels qui comprendront que leur intérêt économique passe désormais par des pratiques plus responsables ».

De quels moyens disposera la nouvelle présidente ?

Le budget de la CNIL était en 2018 de 17,1 millions d’euros. Il devrait augmenter de 400 ?000 € et les effectifs passer de 200 à 215 agents (Le Président de la CNIL recrute librement ses collaborateurs, qui ont le statut d’agent contractuel). La comparaison avec les autorités européennes similaires montre que la Commission prend clairement sa part dans l’effort national d’économie générale : l’ICO britannique compte 565 collaborateurs (mais elle assure également les missions assumées en France par la CADA), les autorités allemandes regroupent 600 personnes, l’autorité polonaise compte 300 agents et celle des Pays-Bas 200 salariés, pour une population moins nombreuse. Déjà, en février 2018, l’ancienne présidente s’était émue de ce constat : « Nos moyens sont clairement insuffisants pour faire face à la marche très importante que le RGPD impose de gravir. L’an dernier, nous avions demandé des moyens supplémentaires. Nous avons obtenu deux créations de poste. Nous sommes aujourd’hui 200 personnes à la CNIL alors que les régulateurs comparables sont beaucoup plus nombreux. Mais nous ne sommes pas au bon étiage ». Le Président de l’AFCDP, Paul-Olivier Gibert, le déplore dans une interview donnée au journal le Monde, « La CNIL fait face à un changement d’échelle dans son activité, mais il n’y a pas de multiplication de son effectif ».

Comme l’indiquait Jean Lessi, secrétaire général de la CNIL, lors de la 13e Université des DPO qu’a organisée l’AFCDP le 16 janvier 2019, c’est pour tenir compte de ces moyens contraints et réussir le passage à l’échelle que la CNIL a mis en œuvre une stratégie de « têtes de réseaux ». Une nouvelle direction a d’ailleurs été créée pour piloter cet axe.

Vers une fusion de la CNIL dans un « grand tout » ?

Madame Denis verra-t-elle ressurgir un projet de fusion de la CNIL et de la CADA, comme cela avait été évoqué un temps ? Les deux institutions sont désormais réunies dans un même immeuble, rue de Ségur, ce qui facilite sans doute une collaboration plus étroite, mais leur éventuelle fusion ne semblait plus à l’ordre du jour.

La rumeur d’une fusion du CSA et de la CNIL avait également couru, avec Isabelle Falque-Pierrotin comme présidente du nouvel ensemble. Une union des deux institutions qui « aurait du sens », disait-on au ministère de la Culture. Il se serait agi de créer un « super régulateur » aux pouvoirs étendus et chargé de veiller sur l’univers numérique, les libertés individuelles, la vie privée, les données personnelles et l’équilibre économique et éditorial du secteur de l’audiovisuel. Notons qu’une telle fusion nécessiterait de modifier une nouvelle fois la Loi Informatique et Libertés, dont l’encre est à peine sèche.
Enfin, d’après le journal Le Monde, « La France réfléchit actuellement à l’éventualité d’un rapprochement des différents régulateurs dont le numérique apparait dans leur portefeuille : CNIL, mais aussi Autorité de la régulation des communications électroniques et des postes, Conseil supérieur de l’audiovisuel, etc. ». Pour le journal, « L’arrivée à la tête de la CNIL de Mme Denis, qui a travaillé une large partie de sa carrière à l’Arcep et au CSA » ne serait pas anodine.


Voir les articles précédents

    

Voir les articles suivants