LA TRIBUNE – Rarement un règlement européen a autant déchaîné les passions que le RGPD, qui était abordé soit avec un grand enthousiasme, soit avec énormément de craintes, lorsqu’il est entré en application il y a cinq ans. Quel bilan en tirez-vous ?
Marie-Laure DENIS – Pour moi, il est extrêmement positif. Avant l’entrée en vigueur du RGPD, l’enjeu des données personnelles -leur protection, leur valeur, leur utilisation par les nombreux organismes et entreprises qui les traitent- n’était pas une préoccupation pour les entreprises et les décideurs. Pourtant, la loi Informatique et Libertés, qui a donné lieu à la création de la Cnil, date de 1978 et imposait déjà la plupart des obligations du RGPD, sauf que la loi était moins connue et moins appliquée.
Le RGPD a changé le paradigme car il a harmonisé toutes les régulations nationales et généralisé de nouveaux droits comme la portabilité des données ou le droit à l’oubli. Surtout, il a amplifié les sanctions contre ceux qui ne respecteraient pas ses principes, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une entreprise.
L’enjeu des données personnelles a donc changé d’échelle. Le RGPD a permis de responsabiliser tous les acteurs qui traitent des données, qu’il s’agisse d’entreprises, d’administrations et aussi les individus. L’un de ses principaux apports est qu’il impose non seulement de veiller à avoir une certaine hygiène des systèmes d’information, mais aussi de veiller à leur sécurité. Le RGPD est donc l’un des socles de la prise de conscience générale autour des enjeux cyber. C’est le premier texte européen qui a demandé des analyses d’impact pour le traitement des données les plus sensibles ou encore la tenue de registres en matière d’incidents de sécurité impliquant des données. L’explosion des cyberattaques ces dernières années, et leurs conséquences parfois dramatiques notamment quand celles-ci touchent des hôpitaux ou acculent des entreprises à la faillite, souligne à quel point le RGPD est important.
Le RGPD est aussi la première loi extraterritoriale de l’Europe dans le domaine du numérique, ce qui n’est pas sans avoir causé des tensions avec les Etats-Unis…
Le RGPD a enfin permis d’assumer le principe d’une régulation extraterritoriale. C’est une illustration concrète de la troisième voie européenne. L’Europe défend un droit à la protection des données pour ses citoyens, alors que la régulation américaine repose plutôt sur une régulation qui est le fait des entreprises et des consommateurs. De son côté, la Chine applique une vision autoritaire et utilise les données personnelles à des fins de contrôle social.
Vis-à-vis des géants américains [les fameux Gafam -Google, Apple, Facebook devenu Meta, Amazon et Microsoft, Ndlr], qui dominent la plupart des marchés numériques et qui traitent en masse les données personnelles des Européens, le RGPD leur envoie le signal qu’il faut désormais jouer selon nos règles. Concrètement, ils sont contraints à s’adapter à nos valeurs pour continuer à proposer leurs services et produits aux 450 millions de consommateurs européens. L’interdiction de l’utilisation de Google Analytics par la Cnil, suite à des plaintes que nous avions reçues, en est un exemple. Par ricochet, le RGPD impose une culture de la donnée qui tend à devenir la norme dans de plus en plus de pays dans le monde.
Les géants américains sont-ils les cibles principales du RGPD ?
Depuis cinq ans, un dialogue s’est noué entre l’Union européenne et ces géants du numérique, mais quand nous avons constaté des abus, des sanctions conséquentes ont été décidées. Comme les sanctions sont proportionnelles au chiffre d’affaires, elles sont particulièrement importantes pour ces acteurs. Sur environ 5 milliards d’euros d’amendes au titre du RGPD prononcées depuis 2018 par les différents régulateurs des données en Europe, plus de 3 milliards d’euros concernent uniquement les cinq géants américains, et notamment trois d’entre eux, Meta [maison-mère de Facebook, Instagram et WhatsApp, Ndlr], Google et Amazon.
En France, 80% des sanctions de la Cnil concernent également ces gros acteurs, sur la base d’un autre texte européen [la directive e-privacy, Ndlr]. Elles sont le résultat de la régulation systémique que nous avons menée sur les cookies, ces traceurs qui pistent l’activité des internautes. Cette régulation permet aux individus de refuser les cookies dès le premier écran, aussi facilement que de les accepter. La régulation de la Cnil sur les cookies est par ailleurs une méthode emblématique de ce que nous souhaitons faire, et que nous allons reproduire avec les applications mobiles.
Dans quel sens ?
La philosophie de la Cnil -et par extension de l’UE avec le RGPD et les autres textes sur le numérique en préparation- est d’être à la fois le régulateur, c’est-à-dire celui qui contrôle et peut sanctionner, mais aussi et surtout d’anticiper les usages et d’accompagner le marché pour créer une innovation vertueuse. Sur les cookies par exemple, la Cnil a établi une doctrine, a créé de la sécurité juridique pour les acteurs du marketing digital de l’industrie publicitaire, puis leur a expliqué concrètement ce qui est attendu d’eux. Nous leur avons ensuite laissé un temps d’adaptation aux nouvelles règles pour modifier leurs interfaces puis, et une fois ce temps écoulé, nous avons procédé à des contrôles et adopté des sanctions si nécessaire.
Nous sommes en train de reproduire cette méthode pour les applications mobiles. Le smartphone est devenu le premier vecteur d’accès au numérique. Les Français passent quatre fois plus de temps quotidien sur les applications mobiles qu’il y a quatre ans, et les applis traitent des données très sensibles de géolocalisation ou de santé par exemple, qui nécessitent une meilleure information et un consentement éclairé des utilisateurs.
Les montants des amendes infligées aux Gafam sont spectaculaires sur le papier –1,2 milliard d’euros contre Meta en mai 2023, 746 millions contre Amazon en décembre 2021…- mais elles pèsent une fraction infime de leurs profits, sont prononcées très tard, et ne remettent pas, ou marginalement, en question leur modèle de fonctionnement. Certaines procédures, qui s’étalent sur des années et font l’objet de nombreux échanges avec les régulateurs, aboutissent sur une amende en raison du refus de ces entreprises de changer leurs pratiques, ce qui laisse supposer que payer l’amende leur semble préférable. Les sanctions du RGPD sont-elles assez efficaces ?
Il est vrai qu’un très gros acteur du numérique peut, en quelque sorte, avoir la tentation d’ « acheter » sa non-conformité pendant quelques années, mais il est faux de dire que les amendes sont inefficaces car les pratiques sont vraiment en train de changer. D’abord, il y a un enjeu de réputation : les amendes dégradent l’image de ces entreprises. Ensuite, la vie privée est, pour certains d’entre eux [Apple, Ndlr], un argument de différenciation concurrentielle important [même si Apple est lui-même l’objet de plaintes au titre de la réglementation sur les traceurs et cookies pour ne pas appliquer à ses propres services les règles qu’il impose aux développeurs d’applications, Ndlr]. Enfin, les amendes contre les Gafam sont, la plupart du temps, assorties d’injonctions à modifier les traitements de données problématiques, comme on l’a vu avec les cookies. On ne peut donc pas dire que les amendes sont sans effet, loin de là.
Leur efficacité dépend aussi de notre réactivité. C’est une des limites de l’arme des sanctions. Un règlement européen est d’ailleurs prévu pour harmoniser les procédures nationales sur le plan répressif, pour aller plus vite et donc éviter qu’une procédure s’étale sur des années. Plus les amendes sont prononcées rapidement, plus on multiplie les amendes, plus elles deviennent dissuasives.
S’agissant des grands acteurs, la difficulté réside aussi dans la multiplicité des traitements de données. L’amende porte sur un ou quelques traitements de données, qui doivent ensuite être corrigés, mais de nombreux autres sont possiblement en non-conformité. Meta, par exemple, en est à sa cinquième sanction depuis la mise en œuvre du RGPD, et dépasse les 2 milliards d’euros d’amendes à lui seul.
Vous dites que les amendes ternissent la réputation, mais les parts de marché des Gafam, malgré les amendes, ne cessent de s’étendre en Europe. Certaines études montrent que pour le grand public, le RGPD est surtout synonyme d’invasion de fenêtres pop-up réclamant le consentement pour exploiter les données, mais un sentiment d’impuissance demeure.
Le fameux « privacy paradox » existe toujours. Les gens aimeraient que leurs données soient protégées mais ils n’en tirent pas toutes les conséquences pour eux-mêmes et ne voient pas d’inconvénient à ce que les géants du numérique détiennent une grande partie de leurs données.
Pour autant, le nombre de plaintes déposées auprès de la Cnil a été multiplié par deux depuis 2018. De plus en plus d’entreprises nous sollicitent pour être accompagnées dans leur conformité et le sujet est désormais monté au niveau de la gouvernance de la plupart des entreprises qui traitent massivement des données. La prise de conscience de l’importance de la maîtrise de ses données personnelles a énormément progressé. Les parents sont soucieux de pouvoir actionner le droit à l’oubli pour leurs enfants sur les réseaux sociaux par exemple.
Le RGPD nécessite encore de la pédagogie et nous déployons beaucoup d’énergie à faire des lignes directrices pour les entreprises dans tous les secteurs d’activité, et à publier de la documentation pour le grand public. Les ressources pédagogiques pour les 8-10 que nous avons lancées, en plus de nombreuses actions de prévention, en sont un exemple. Il y a deux ans, seulement 45% des Français savaient ce qu’est un cookie, désormais ce taux est monté à 95%. Le RGPD a fait émerger une prise de conscience et a rendu visible des choses qui ne l’étaient pas. Il a donné de nouveaux droits et permis de les activer.
Le RGPD a-t-il pris sa pleine mesure ? Il est présenté comme la première étape d’un paquet législatif numérique, mais les autres textes censés le compléter sont soit très récents (Digital Markets Act, Digital Services Act) soit encore en préparation (Data Act, Data Governance Act, IA Act).
Effectivement, le RGPD va devoir s’articuler avec le paquet numérique européen qui a vocation à réguler davantage les contenus -c’est le Digital Services Act-, la concurrence -c’est le Digital Markets Act-, et favoriser la circulation de la donnée -ce sont les Data Act, Data Governance Act et aussi avec l’IA Act-. Ces textes ne se substituent pas au RGPD mais viennent le compléter. L’enjeu de coordination et de cohérence est donc crucial pour que les exigences posées par ces textes soient lisibles, comprises par tous et de nature à stimuler une l’innovation européenne conforme à nos valeurs. Une fois que tous ces textes seront appliqués, l’Europe aura un arsenal réglementaire puissant et cohérent, qui permettra la pleine expression de certains droits du RGPD. Par exemple, la portabilité des données est inscrite dans le RGPD mais sa mise en place concrète a dû être précisée dans le DMA car c’est à la fois un sujet de données personnelles et de concurrence.
Vous dites que le RGPD porte la vision d’une Europe qui place la régulation au service de l’innovation, mais le texte a été très critiqué à son entrée en vigueur, et l’est encore aujourd’hui par de nombreux grands groupes et secteurs d’activités, car il compliquerait l’innovation en fixant des règles contraignantes concernant l’exploitation des données. Le RGPD est-il trop strict ?
Je ne pense pas du tout que la régulation et l’innovation soient antinomiques. Je rappelle que le RGPD est agnostique sur les technologies. Il ne s’intéresse qu’aux usages. Quand je parlais de la nécessité d’avoir une hygiène informatique, c’est en soi un vecteur d’innovation. Des entreprises européennes gagnent des marchés car leurs clients ont l’assurance qu’elles sont sérieuses sur la protection juridique et informatique des données. Pour certains usages et services, je suis convaincue que la protection de la vie privée est un déterminant concurrentiel au même titre que le prix ou la qualité du service.
Le RGPD fixe le principe de la privacy by design, c’est-à-dire la prise en compte de la protection des données dès la conception. Ce principe est analysé par notre laboratoire d’innovation numérique, le Linc, qui vise à anticiper les usages non pas pour les interdire mais pour mieux les accompagner et si nécessaire pour les encadrer. Nos livres blancs sur les assistants vocaux et les moyens de paiement, publiés en 2020 et 2021, sont des boîtes à outils pour les acteurs économiques et rencontrent un vif succès.
La Cnil a adapté sa stratégie d’accompagnement justement pour mettre la régulation au service de l’innovation. Nous répondons à 50.000 appels par an, à environ 1.500 demandes de conseil des têtes de réseaux |les fédérations d’entreprises et de secteurs, Ndlr], notre Mooc a été téléchargé plus de 170.000 fois en trois ans, et notre site internet a été consulté 11 millions de fois en 2022.
Nous avons aussi créé deux nouvelles formes d’accompagnement. La première est un bac à sable depuis deux ans qui, sans s’affranchir de la législation, permet d’innover dans un cadre sécurisé. Ses deux premières éditions portaient sur le numérique en santé et les outils numériques éducatifs. En 2023, nous nous intéresserons aux expérimentations menées par les administrations qui utiliseraient de l’intelligence artificielle pour leurs relations avec les usagers. La deuxième est l’accompagnement personnalisé de certaines sociétés (en l’occurrence Huggingface et Contentsquare dans l’intelligence artificielle et Lifen dans la e-santé), pour leur apporter un appui juridique et technique pendant six mois, auditer leur système d’information en matière de protection des données et sensibiliser leurs collaborateurs à cet enjeu. Notre but est de concilier l’innovation et la régulation, pour une innovation respectueuse des valeurs de l’Europe.
Le ministre de la Transition numérique, Jean-Noël Barrot, a déclaré à La Tribune en avril dernier que ChatGPT n’est pas compatible avec le RGPD, et que par conséquent il faudra certainement « revenir sur certaines dimensions » du texte. Qu’en pensez-vous ? L’intelligence artificielle, qui a besoin d’un volume considérable de données pour entraîner ses algorithmes, est-elle soluble dans le RGPD ?
Je ne pense pas qu’il faille faire évoluer le RGPD à ce stade. D’ailleurs, sa prochaine évaluation par la Commission européenne est prévue en 2024. Sur l’intelligence artificielle, notre position est qu’il faut clarifier la doctrine sur les modalités d’usages de l’IA, et accompagner les acteurs du secteur. C’est d’ailleurs le but du futur règlement européen sur l’intelligence artificielle, l’IA Act, qui vise à fixer le cadre pour une IA éthique et respectueuse des données personnelles.
L’intelligence artificielle est très consommatrice en données personnelles pour entraîner les modèles d’algorithmes. La version 3 de ChatGPT repose sur 175 milliards de paramètres, et encore c’est la version antérieure à celle qui est actuellement en vigueur… Parmi ces données, il y a des données personnelles. Par conséquent, les individus doivent pouvoir exercer les droits qui s’appliquent sur leurs données : accès, effacement, opposition… Se pose alors la question de l’effectivité de ces droits, c’est-à-dire comment on contrôle leur application.
Exiger une IA éthique et conforme au RGPD n’est pas un frein à l’innovation. Pour moi, c’est même la condition de l’acceptabilité et de la fiabilité des IA, à la fois pour les entreprises et pour les individus. ChatGPT a pris le monde par surprise, mais les IA, et particulièrement les IA génératives qui reposent sur des interactions avec des individus, ne sont pas exemptes de biais. Par ailleurs sont pointés du doigt le manque de fiabilité de certains résultats. Les risques de cybersécurité sont accentués par les IA génératives car il est plus aisé de créer de nouvelles campagnes d’hameçonnage. Par ailleurs, la création de fausses photos et textes peuvent nourrir une manipulation de l’information. Le secteur a donc besoin d’une régulation pour éviter ces écueils.
La Cnil italienne a accusé ChatGPT de s’être construit en violation des principes du RGPD, et a interdit l’utilisation du service le temps qu’OpenAi réalise quelques changements, ce qu’il a fait. Qu’en est-il en France ?
Je ne peux m’exprimer davantage sur ChatGPT car la Cnil instruit actuellement cinq plaintes à son encontre. Toutefois, le collège de la Cnil s’est saisi du sujet de l’IA et j’ai créé un service dédié dont la mission est de l’aider à élaborer une doctrine sur l’IA, que nous soumettrons ensuite à consultation publique. L’idée est de définir comment on doit entraîner les algorithmes pour qu’ils respectent la vie privée, et fixer des règles pour le moissonnage de données ou scrapping [l’utilisation des sources ouvertes sur le web, Ndlr] de manière à respecter nos droits.
La force du RGPD est sa neutralité technologique, donc il appartient au régulateur, qui peut agir plus rapidement que le législateur, de préciser les lignes rouges et les points d’attention. Je tiens également à relever que la Cnil accompagne de nombreux acteurs de l’IA depuis des années. Et que nous avons déjà une action répressive sur certains usages. Il y a les plaintes en cours contre ChatGPT, mais nous menons aussi des contrôles sur les organismes qui utilisent l’IA pour traquer la fraude sociale en raison des possibles biais discriminatoires, ou encore sur des collectivités qui utilisent l’IA dans leurs caméras de surveillance.
Le principal coup d’éclat du RGPD à ce jour est l’annulation, en 2020 par la Cour de justice européenne, du Privacy Shield, l’accord qui régissait les transferts de données entre l’UE et les Etats-Unis, en raison de l’incompatibilité juridique profonde entre le RGPD et les lois extraterritoriales américaines. Ce fossé vous a également conduit à déclarer illégale en 2021 l’utilisation de Google Analytics, et a abouti à l’amende de 1,2 milliard d’euros prononcée le 22 mai 2023 contre Meta par la Cnil irlandaise. Est-il possible de régler le problème des transferts de données sans que les Etats-Unis ne modifient leurs lois extraterritoriales, ou que l’UE affaiblisse le RGPD ?
Le président américain a pris un executive order en octobre dernier qui donne des garanties supplémentaires en termes de protection des données, vis-à-vis de la manière dont les données sont traitées par les agences de renseignement américaines. La commission européenne a rédigé un projet de décision d’adéquation qui pourrait être adopté en juin prochain, ce qui signifie que le cadre juridique pourrait être clarifié très prochainement, même si cet éventuel accord pourrait être suivi d’un nouveau contentieux.
Ceci dit, l’ambition européenne de souveraineté numérique passe par l’identification de nos dépendances économiques et technologiques, pour chercher à les réduire. Si la Cnil a un point de focalisation, c’est sur la nécessité de localiser les données les plus sensibles en France et en Europe, donc que l’hébergement de ces données sensibles soit uniquement sur des serveurs soumis au droit européen, auxquels les puissances étrangères n’ont pas accès. Nous avons travaillé avec l’Anssi pour que la future certification SecNumCloud intègre dans sa dernière version cette exigence en matière de localisation des données. Cela doit conduire à effectuer un travail sur ce qu’est une donnée sensible. C’est dans cette optique que nous discutons depuis des années avec le gouvernement sur l’hébergement des données de santé des Français sur le Health Data Hub [confié sans appel d’offres spécifique à Microsoft, Ndlr], car le collège de la Cnil souhaite que ces données soient hébergées de façon souveraine.
Il faut aussi privilégier des mesures techniques, comme le chiffrement, pour faire en sorte que les données sensibles soient inaccessibles ou illisibles par des acteurs étrangers. Les solutions ne sont pas uniquement juridiques mais aussi technologiques.
Considérant que les transferts de données sont illégaux depuis 2020, que le Cloud Act et la loi FISA s’appliquent aussi aux entreprises étrangères utilisant du logiciel américain, et que la Cnil a déclaré Google Analytics illégal en raison des transferts de données nécessaires pour que le service fonctionne, l’utilisation des clouds d’Amazon Web Services, Google Cloud et Microsoft Azure est-elle compatible avec le RGPD ? Encore plus que Google Analytics, les clouds américains opérant en France ont besoin d’effectuer, pour fonctionner de manière optimale, des milliers d’opérations quotidiennes de mises à jour techniques et transferts de données…
Le fait d’avoir des hébergeurs cloud qui répondent exclusivement au droit français et européen est une préoccupation essentielle de la Cnil. C’est pour cela que nous voyons d’un bon œil les partenariats ou projets de partenariats comme ceux de Google/Thales et Microsoft/Orange-Capgemini, qui montrent qu’on peut continuer à utiliser des services américains sans qu’ils aient accès aux données. Mais pour cela il faut que tout ce qui relève des mises à jour, clés de chiffrement/déchiffrement, soit traité en France et en Europe.
Considérez-vous que les avis et les recommandations de la Cnil sont suffisamment pris en compte par l’Etat ?
La Cnil est très sollicitée par les pouvoirs publics. Nous rendons des avis sur une centaine de décrets et de projets de lois par an. La Cnil a été auditionnée 17 fois par le Parlement en 2022, et nous avons répondu à 18 questionnaires parlementaires l’an dernier. La Cnil a la capacité, par ses avis, de faire en sorte que le Conseil d’Etat, s’il le souhaite, prenne en compte nos observations. De plus, nos avis sont publics donc ils nourrissent le débat public et parlementaire, donc je crois qu’on a une influence certaine.
Au sujet de la loi sur les Jeux Olympiques de 2024, vous avez appelé les parlementaires en janvier dernier à refuser la reconnaissance faciale dans les dispositifs de surveillance vidéo. Le texte a été voté en mars sans la reconnaissance faciale, mais avec l’utilisation d’algorithmes d’IA pour déceler des situations éventuellement problématiques. Les oppositions dénoncent des ajustements cosmétiques et estiment que ce texte ouvre grand la porte à l’usage prochain de la reconnaissance faciale. Qu’en pensez-vous ?
Vous soulignez à juste titre que les caméras augmentées n’embarqueront pas de reconnaissance faciale et sont une aide à la décision pour les forces de l’ordre pour leur permettre d’identifier non pas des individus mais des situations. Il n’y aura pas non plus de captation du son, conformément à notre requête.
La Cnil a anticipé le débat sur les caméras augmentées en publiant sa position dès juillet 2022, c’est-à-dire bien en amont du texte sur les Jeux-Olympiques. Le gouvernement a très largement repris les garanties que nous demandions, c’est-à-dire d’utiliser ces caméras sans avoir recours à la reconnaissance faciale, uniquement pour des événements particuliers, à des endroits précis, avec une conservation des données limitée dans le temps, et l’interdiction pour les drones de surveillance de filmer les intérieurs, par exemple. Le législateur nous a également confié la mission d’accompagner les fournisseurs d’algorithmes en amont, ce qui est une bonne chose. Et cela ne nous empêchera pas de réaliser des contrôles a posteriori.
Sur l’application de traçage des contacts StopCovid devenue TousAntiCovid, la Cnil a donné l’impression de subir la pression du gouvernement. Vous aviez donné votre accord initial sur la base d’une version de l’application qui n’a pas été celle qui a été lancée, et à condition que le gouvernement prouve l’utilité du contact tracing dans la lutte contre la propagation du virus via des études d’impact régulières. Au final, des traitements de données problématiques ont été révélés par la presse, les études d’impact promises n’ont jamais été réalisées, et le gouvernement s’est finalement servi de l’application pour gérer le pass sanitaire, loin de l’objectif initial. En 2022, l’étude bilan de l’Inria a conclu à une utilité « marginale » de l’application, dans un contexte de scandales concernant l’explosion de ses coûts et les conditions d’attribution des marchés aux entreprises qui ont participé à sa conception. La Cnil a-t-elle été vraiment indépendante sur ce sujet ?
La Cnil n’a jamais été autant sollicitée que pendant la période Covid. Nous avons dû rendre, dans des conditions d’urgence extrême, une trentaine d’avis sur des projets de lois. J’ai été auditionnée 13 fois et nous avons publié cinq rapports pour le Parlement. La Cnil a également réalisé une cinquantaine de contrôles sur les systèmes d’information liés au Covid, ce qui était inédit sur une même thématique, à la fois sur l’application StopCovid devenue TousAntiCovid, et aussi sur les systèmes centralisés qui détenaient des données sur les résultats des tests, le contact tracing ou encore les vaccins.
Sur TousAntiCovid, la Cnil a été associée dès la conception. Cette application sans géolocalisation contenait en fait très peu de données personnelles et n’a pas été faite en contradiction avec nos avis. Nous avons uniquement prononcé une mise en demeure publique liée à l’utilisation d’un reCaptcha de Google, ce qui signifiait que certaines données pouvaient partir aux Etats-Unis. Nous avons joué notre rôle pour concilier la sécurité sanitaire et la protection de la vie privée, sans recevoir aucune pression.
Quant à l’indépendance de la Cnil, notre collège est composé de 18 membres d’horizons divers : parlementaires, universitaires, membres ou anciens membres de juridictions, représentants du Conseil économique social et environnemental (CESE)… Nos avis sont publics et nous n’hésitons pas à mettre en demeure l’administration quand il y a des traitements de données problématiques. J’ai par exemple mis publiquement en demeure le ministère de l’Intérieur sur les radars tronçons, et une sanction a été adoptée contre le ministère de l’intérieur concernant l’utilisation de drones de surveillance, ce qui a probablement contribué aux dispositions législatives adoptées sur ce sujet. La Cnil démontre tous les jours, si tant est qu’elle ait encore besoin de le faire, qu’elle regarde de très près les traitements de données mis en œuvre par les pouvoirs publics.
Etes-vous satisfaite des moyens, humains et financiers, dont la Cnil dispose actuellement ? Votre prédécesseure avait déclaré au moment de son départ qu’avec 200 salariés, la Cnil était sous-dimensionnée au regard de l’ampleur de ses missions.
La Cnil comptera 290 agents à la fin de l’année. Ses effectifs auront crû de 25% depuis la mise en œuvre du RGPD, donc c’est une réelle prise de conscience des pouvoirs publics sur l’importance de sa mission. Après, je constate qu’on est toujours trois fois moins nombreux que notre homologue britannique ou quatre fois moins nombreux que notre homologue allemand. Pour compenser, nous avons cherché à optimiser nos ressources au mieux. En 2022, pour la première fois, nous avons traité plus de plaintes que nous en avons reçu -1000 de +-, car il y a eu un profond travail de réorganisation, avec des indicateurs de performances, l’externalisation d’une partie de la rédaction de courriers relatifs au traitement des plaintes les plus simples… Nous nous adaptons en priorisant les sujets comme la création d’un service de l’intelligence artificielle par exemple. Donc c’est mieux. C’est moins qu’ailleurs, mais on s’organise pour être le plus efficace possible.
Propos recueillis par Sylvain Rolland
Comments are closed.