Edouard Geffray, secrétaire général de la Commission nationale de l'informatique et des libertés (Cnil) : « En aucun cas, la Cnil ne freine l'innovation, elle l'accompagne »

Edouard Geffray, secrétaire général de la Commission nationale de l'informatique et des libertés (Cnil) :  « En aucun cas, la Cnil ne freine l'innovation, elle l'accompagne »
Edouard Geffray

Le secrétaire général de la Cnil revient sur les ambitions et les limites du projet européen sur la protection des données personnelles des consommateurs actuellement en discussion. Et brise, au passage, l'image de fossoyeur de l'innovation qui colle souvent au régulateur français.

Comment la Cnil adapte-t-elle ses procédures de contrôle aux évolutions du numérique ?

Chaque année, la Cnil réalise entre 400 et 450 contrôles. Avec la loi consommation, nous avons la possibilité d'effectuer des contrôles en ligne là où auparavant nos agents devaient se rendre sur site pour constater la faille. A présent, nous pouvons également établir des PV en ligne, les notifier au responsable de traitement et le cas échéant procéder à la mise en demeure ou à la procédure de sanction. A l'heure du numérique, cela correspond à nos besoins et simplifie la procédure. L'objectif : gagner en réactivité et diversifier ainsi le champ des manquements constatés.

En janvier dernier, la Cnil a donné son feu vert, par deux autorisations uniques en assurances de personnes et auto (1), pour que les organismes d'assurances puissent accéder, sous certaines conditions et pour certaines finalités, aux données personnelles de leurs assurés. Pourquoi cette décision ?

Aujourd'hui, une entreprise doit accomplir différentes formalités auprès de la Cnil pour les fichiers de gestion de clients et de personnel. Nous nous sommes aperçus, dans plusieurs secteurs dont l'assurance, que les sociétés n'étaient pas toujours informées du meilleur moyen de décliner les principes informatiques et libertés. D'où l'idée d'un pack de conformité établi en concertation avec la profession. Il regroupe des dispositifs de simplification administrative qui prennent la forme de normes simplifiées ou d'autorisations uniques (AU) relatives à l'utilisation de fichiers. Les compagnies s'engagent à respecter les conditions fixées par les AU. En parallèle, la Cnil promeut auprès d'elles et avec elles des bonnes pratiques en matière de gestion des données qu'elles diffusent auprès de leurs salariés. Les AU que vous mentionnez, qui ont un champ d'application délimité, s'intègrent dans le pack assurances. D'autres AU arriveront prochainement.

Le projet de règlement européen sur la protection des données, adopté le 12 mars dernier par le Parlement européen, doit entrer en vigueur en 2015. Compte-tenu de la pression des lobbyistes, le calendrier est-il tenable ?

Ce projet de règlement, qui date de début 2012, a connu une accélération depuis les révélations de l'affaire Snowden. Après l'adoption d'une version de compromis par le Parlement, le texte doit à présent faire l'objet d'un accord politique au Conseil européen avant qu'un trilogue ne s'engage entre le Parlement européen, le Conseil européen et la Commission européenne pour rapprocher les versions du texte. Non seulement l'objectif fixé par le Conseil européen est crédible mais il est souhaitable. En revanche, l'adoption n'est pas synonyme d'entrée en vigueur. Celle-ci sera différée de deux ans, le temps que les acteurs se mettent en ordre de bataille et que le CEPD (Contrôleur européen de la protection des données) construise des référentiels qui permettront de bien comprendre l'application du règlement.

Pourquoi la Cnil s'est-elle opposée à la proposition de Viviane Reding sur la création d'un guichet unique, principe qui ferait dépendre une entreprise de l'autorité de protection du pays où elle réside ?

La Cnil n'est pas contre le principe de guichet unique mais elle est réservée sur la façon de jouer la partition. Initialement, la Commission européenne avait proposé un système dans lequel l'autorité de l'entreprise concernée était la seule compétente. Nous défendons plutôt un guichet unique pour les entreprises mais avec une gestion intégrée sur le fond (une position commune adoptée par les différentes Cnil) et en même temps décentralisée (décision prise collégialement). L'idée est qu'à terme, lorsqu'une entreprise commet un manquement, l'autorité de guichet unique procédera à un contrôle et l'ensemble des autorités compétentes se prononceront sur une éventuelle sanction. Et, si sanction il y a, celle-ci sera portée par la Cnil de l'établissement principal.

La position défendue par la France sera-t-elle efficace pour empêcher les Gafa (Google, Amazon, Facebook, Apple) de pratiquer le forum shopping (2) ?

Le texte est encore en discussion. L'objectif partagé par nos partenaires européens est clairement de construire une solution qui soit de nature à faire disparaître le forum shopping. Le Parlement européen s'oriente dans cette direction. Quelle que soit la motivation du forum shopping, son intérêt sera nul puisque dans la version de compromis adoptée par le Parlement européen, le CEPD pourra émettre un avis contraignant lorsqu'il y aura désaccord entre les autorités de régulation.

Le règlement prévoit de lourdes sanctions (jusqu'à 5% du chiffre d'affaires) à l'encontre des entreprises. Ce niveau n'est-il pas excessif ?

C'est un plafond qui vaut pour l'ensemble des pays de l'Union européenne. Là où jusqu'à présent nous avions une accumulation de sanctions nationales, nous aurons désormais une sanction maximum prise au nom des 28. On voit bien aussi que le pouvoir de sanction des autorités n'est pas toujours en rapport avec la réalité économique. En France, ce montant est porté à 150 000 euros et 300 000 en cas de récidive. Parfois, la publicité peut être tout aussi efficace que la sanction pour obtenir la mise en conformité. 86% des mises en demeure se terminent par des mises en conformité. Le système français est, de ce point de vue, vertueux.

Quelles seront les avancées réelles du projet en matière de protection des données des citoyens ?

Pour le grand public, le règlement renforce les droits des citoyens et notamment le droit à la portabilité des données en ce sens où celles-ci seront récupérables et réutilisables. Il reconnaît également un droit spécifique pour les mineurs en dehors du cadre général qui s'applique. Pour les entreprises, cela se traduit par un régime de simplification administrative. En revanche, l'entreprise devra désormais se demander si la conservation des données dont elle a la charge est optimale et continue. Au lieu d'établir une déclaration sur une donnée qui va rester stable, l'entreprise devra procéder à une étude d'impact sur la vie privée (private impact assesment) et prendre les mesures en matière de sécurité le cas échéant (adaptation des logiciels...). Ce qui implique une relation suivie avec l'autorité de contrôle. C'est la mission des correspondants informatiques et libertés (CIL) ou des data privacy officer (DPO) qui devront être obligatoires dans les entreprises d'une certaine taille. Enfin, pour les autorités, le texte va dans le sens d'une plus forte intégration européenne avec des procédures de coopérations renforcées, des sanctions, des codes de bonne conduite.

Quelles formes devraient prendre les notifications faites aux clients en cas de perte des données personnelles ?

Ces notifications existent déjà chez les opérateurs de communication électronique. Ce n'est pas une pratique neuve. En fonction de la gravité de l'atteinte, il y a soit une notification directe auprès de la personne soit aucune notification car il n'y a pas eu d'atteinte à la vie privée. Le projet tel qu'envisagé par la Commission européenne prévoit bien une notification obligatoire des failles de sécurité. Quelle que soit la qualité de l'entreprise - (banque, assurance, BTP, etc.)... - la notification a lieu quoi qu'il arrive. Le règlement admet une obligation de résultat en matière d'information de la personne mais aussi une obligation de moyens en matière de sécurité.

Préconisez-vous, à l'instar de la présidente brésilienne, Dilma Rousseff, la création d'un « ONU du numérique » ?

Il ne m'appartient pas de me prononcer sur ce point. Actuellement, il existe déjà une conférence des commissaires à la protection des données. Elle réunit 70 pays et adopte des résolutions qui sont largement relayées par les différentes CNIL. C'est une enceinte de convergence, d'affirmation de principes communs et de coopérations mais pas de décision. Mais la gouvernance du net engage bien au-delà.

Gilles Babinet, digital champion représentant la France auprès de la commissaire européenne chargée de la société numérique, n'est pas tendre avec la Cnil, estimant que « avec sa régulation excessive, elle est un ennemi de la Nation ». La Cnil est-elle un frein à l'innovation ?

Nous sommes prêts à rencontrer toute personne qui souhaiterait innover et qui ne le pourrait pas à cause de la Cnil. Le régulateur s'est doté d'un service innovation et prospective qui rencontre les start-up et les aide à se mettre en conformité. C'est la mise en oeuvre du principe du privacy by design, pour employer un terme anglais : la prise en compte du concept de vie privée et de sa protection dès le début d'un projet. Cette idée est au coeur du projet de règlement européen: la protection des données est une nécessité mais aussi un gage de confiance dans le numérique.

Ce n'est pourtant pas la perception des assureurs pour qui la France n'est pas une terre promise de l'innovation notamment sur la télématique...

L'image du gendarme ne correspond qu'à une petite partie de l'activité de la Cnil. Nous prenons 15 sanctions par an avec 57 mises en demeure pour 400 contrôles et 6 000 plaintes. Parallèlement, nous délivrons 2 500 autorisations. Tout dépend de ce que l'on veut. Beaucoup de choses sont possibles mais pas à n'importe quelles conditions. Lorsque nous travaillons avec les acteurs sur ces conditions, nous établissons un cadre de régulation en garantissant des lignes rouges. En aucun cas la Cnil ne freine l'innovation, elle l'accompagne en intégrant dès le départ les préoccupations qui sont les nôtres.

Quelles sont ces les lignes rouges ?

En matière d'informatique et libertés, nous avons des constantes : le consentement libre et éclairé de la personne, la pertinence des données, la durée de conservation, le respect des droits des personnes (opposition, accès, etc.). Les grandes lignes de principe sont fixées par la loi. Les conditions d'espèces sont ensuite fixées au cas par cas. .

A l'heure du big data et de la multiplication des objets connectés, les superviseurs nationaux ont-ils suffisamment de marges de manoeuvre pour éviter les dérives ?

Il existe aujourd'hui toute une économie qui se développe autour des données personnelles. La Cnil ne défend pas un modèle économique plus qu'un autre mais appelle au respect d'un principe de base : assurer autant que possible la maîtrise de ses données à l'internaute. Cela ne passe pas nécessairement par une propriété des données mais par l'effectivité des droits qui sont attachés au caractère personnel de la donnée : le droit d'accès, d'opposition, d'effacement. C'est le moyen d'assurer la confiance dans le système.

(1) L'AU n° 2014-014 permet de généraliser l'accès à tous les acteurs au Numéro d'Inscription au Répertoire (NIR ou le «numéro de Sécurité sociale») national d'identification des personnes physiques (RNIPP). L'AU n° 2014-15 vise la connaissance des assureurs automobile des «infractions, condamnations ou mesures de sûretés» qui influencent la souscription ou la vie du contrat ou qui s'avèrent utiles dans le cadre de la gestion des contentieux.

(2) Forum shopping : possibilité qu'offre à un demandeur (et plus exceptionnellement à un défendeur) la diversité des règles de compétences internationales de saisir les tribunaux des pays appelés à rendre la décision la plus favorable à ses intérêts.

Son parcours

Edouard Geffray, 36 ans, est diplômé de l'ENA (promotion Romain Gary), de l'IEP de Paris, et titulaire d'une maîtrise d'histoire économique.

  • 2005 Rapporteur à la 10e sous-section du contentieux du Conseil d'Etat.
  • 2008 Responsable du centre de documentation et de recherches juridiques du Conseil d'Etat puis rapporteur public à la 3e sous-section.
  • 2012 Directeur des affaires juridiques de la Cnil.
  • Septembre 2012 Secrétaire général de la Cnil.

Parfois, la publicité peut être tout aussi efficace que la sanction pour obtenir la mise en conformité.

Au lieu de déclarer une donnée qui va rester stable, l'entreprise devra procéder à une étude d'impact sur la vie privée et prendre les mesures en matière de sécurité, le cas échéant.

Abonnés

Base des organismes d'assurance

Retrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d'assurance

Je consulte la base

Le Magazine

ÉDITION DU 21 janvier 2022

ÉDITION DU 21 janvier 2022 Je consulte

Emploi

LA CENTRALE DE FINANCEMENT

RESPONSABLE ADJOINT MARCHE ASSURANCES H/F

Postuler

Natixis Assurances

CONTRÔLEUR DE GESTION EPARGNE (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

FOURNITURE DE GAZ ET MEDICAUX ET MAINTENANCE DES RESEAUX POUR LE GROUPEMENT.

GCS Energelog

19 janvier

85 - ENERGELOG DU POLE SANTE PAYS OLONNES

Mandat de commissariat aux comptes de la CNRACL.

Caisse des Dépôts

19 janvier

75 - CAISSE DES DEPOTS

Proposé par   Marchés Online

Commentaires

Edouard Geffray, secrétaire général de la Commission nationale de l'informatique et des libertés (Cnil) : « En aucun cas, la Cnil ne freine l'innovation, elle l'accompagne »

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié