COMMISSION DES AFFAIRES EUROPÉENNES

Jeudi 27 juin 2019

Présidence de Mme Sabine Thillaye, Présidente de la Commission

La séance est ouverte à 9 h 27.

I. Audition de Mme Marie‑Laure Denis, Présidente de la commission nationale de l’informatique et des libertés (CNIL)

Mme la Présidente Sabine Thillaye. Je remercie Mme Marie Laure Denis, présidente de la commission nationale de l’informatique et des libertés (CNIL), d’avoir accepté de venir devant notre commission. Madame la Présidente, l’activité de votre institution est appelée à croître lors des prochaines années : nous souhaiterions vous entendre sur les perspectives européennes que vous souhaitez dessiner pour la CNIL.

Nous connaissons le rôle d’impulsion essentiel joué par la CNIL, notamment au sein du groupe de l’article 29, dans l’adoption en 2016 du règlement général pour la protection des données personnelles (RGPD). Le RGPD affirme un véritable standard européen, qui inspire déjà de nombreux pays dans le monde. Après son entrée en vigueur, il y a un peu plus d’un an, de nouvelles obligations se sont imposées aux entreprises et institutions, qui ont conduit la CNIL à renforcer ses missions à la fois de conseil et de sanction. Pouvez-vous dresser un premier bilan de l’activité de la CNIL et nous exposer les moyens engagés pour y faire face ?

Pourriez-vous également nous en dire plus sur la transition entre le groupe de travail de l’article 29 (le groupement des « CNIL » européennes) et le Comité européen de protection des données, qui lui a succédé en mai 2018 ?

Par ailleurs, l’importance croissante des nouveaux usages du numérique soulève la question de la difficile conciliation entre la liberté de l’information et la protection face aux manipulations de l’information. Quel doit être le rôle de la CNIL en la matière ? Comment s’articule-t-il avec les initiatives européennes sur ces questions ?

Mme Marie-Laure Denis, présidente de la commission nationale de l’informatique et des libertés (CNIL). C’est un honneur pour moi d’être devant vous. L’invitation à m’exprimer pour ma première audition en tant que Présidente de la CNIL me semble particulièrement opportune. Depuis février dernier, je préside une autorité dont les missions et le champ d’action ont connu un changement d’échelle majeur, étroitement lié aux développements européens, et en particulier l’adoption du règlement général sur la protection des données (RGPD). Avec celui-ci, l’Europe devient le nouvel horizon de notre régulation de la donnée, à trois égards au moins.

D’abord, nous sommes entrés dans une régulation véritablement européenne, avec un cadre juridique commun, un réseau de régulateurs, un nouvel organe européen respectueux de la subsidiarité. Autrement dit, le RGPD est un laboratoire de nouvelles formes de régulation articulant de manière inédite le niveau national et le niveau européen.

Ensuite, le RGPD est un formidable acte de souveraineté de la part d’une Europe qui assume ses valeurs tout en restant ouverte au monde. Il s’agit d’une norme comportant une dose assumée d’extraterritorialité, c’est un standard scruté sur tous les continents, avec un encadrement exigeant mais dynamique des transferts internationaux. Le RGPD est la pierre angulaire de la diplomatie internationale de la donnée.

Enfin, je tiens à souligner à quel point le RGPD doit être la colonne vertébrale de la politique européenne du numérique, dans le respect des valeurs humanistes qui sous‑tendent le droit français et européen, pour que la régulation globale du numérique soit plus robuste et plus durable.

La mise en œuvre du RGPD s’est traduite par une européanisation des missions de la CNIL. L’application effective du RGPD au 25 mai 2018 a confirmé que lorsque de nouveaux droits sont créés, ou lorsque ces droits sont mieux explicités et leur exercice est facilité, nos concitoyens s’en emparent. Entre mai 2018 et mai 2019, nous avons constaté une augmentation considérable des plaintes adressées à la CNIL : près de 12 000 plaintes, représentant une augmentation de 30 % par rapport à l’année précédente, et 144 376 plaintes au niveau européen. 70 % des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données. Certains appellent de leurs vœux une Europe qui protège mieux. Avec le RGPD, nous avons un exemple de réalisation concrète pour répondre à cette aspiration à plus de confiance, qui est la clé de voûte d’un développement soutenable de l’économie numérique.

Cette prise de conscience inédite s’est traduite auprès des professionnels qui ont dû s’approprier ce nouveau cadre juridique, et envers lesquels une stratégie d’accompagnement dédiée a été développée et mise en œuvre par la CNIL, avec la promotion de nombreux outils, notamment un guide pour les PME et TPE. Mais les professionnels ont déjà commencé à s’approprier les obligations du RGPD, puisqu’en un an plus de 2000 organismes ont notifié des violations de données à la CNIL, celle-ci étant chargée ensuite d’analyser si elle doit demander à ces organismes d’informer les personnes dont les données ont été violées. Près de 19 000 délégués à la protection des données ont été désignés dans plus de 53 000 organismes.

La CNIL a aussi pu faire usage de la nouvelle dimension dissuasive issue du cadre juridique européen, avec des premières sanctions pour violation du nouveau règlement européen. La sanction de 50 millions d’euros prononcée en janvier dernier à l’encontre de Google a notamment traduit ce changement.

Enfin, le 25 mai 2018 a également concrétisé un changement profond pour la CNIL dans ses processus et ses méthodes de travail, défi que la Commission s’est attachée à préparer depuis plusieurs années. Le RGPD a mis en place un nouveau modèle de gouvernance de la régulation, inédit au niveau européen. Lorsque les traitements de données concernent des individus dans plusieurs États membres, chaque autorité ne décide plus seule, mais doit agir de concert avec les autres autorités concernées par le biais d’un mécanisme de guichet unique, que l’on appelle le « one stop shop », afin de prononcer une décision applicable pour l’ensemble de l’Union. Pour ce faire, les autorités de protection de données coopèrent au sein d’un nouvel organe de l’Union, doté de la personnalité juridique : le Comité européen de la protection des données (CEPD). C’est en son sein que se prennent les décisions structurantes et que s’opère la distribution des rôles dans l’instruction des plaintes transnationales. 20 % des plaintes reçues à la CNIL sont maintenant traitées à cette échelle transnationale pour déterminer quelle autorité sera cheffe de file.

Cette forme novatrice de régulation européenne, en réseau, repose sur deux principes directeurs : la coopération et la cohérence. Ces principes sont essentiels à la mise en œuvre harmonisée de ce règlement européen, pour éviter toute éventuelle velléité d’évitement, ou « forum shopping » au niveau de l’Union de la part de certains acteurs. Au niveau européen, une nouvelle mécanique réglementaire s’est mise en place, mais il reste à en apprécier l’efficacité et l’effectivité. Nous n’avons pas encore actionné tous les leviers de cette coopération. Les chiffres montrent en tout cas que la mise en œuvre de ce nouveau modèle est plus qu’enclenchée, avec par exemple près de mille procédures de désignation d’autorités chefs de file et plus de 160 procédures de guichet unique en cours. La CNIL fait partie des quatre autorités de l’Union qui sont le plus souvent désignées comme chef de file et elle est également autorité dite « concernée » dans près de 600 cas transfrontaliers.

Pour bien des travaux, la CNIL agit en tant que rapporteur ou co-rapporteur au niveau européen. Nous assurons par exemple le rôle de coordinateur de trois groupes d’experts au sein du CEPD : le groupe « technologie », le groupe « transferts internationaux » et le groupe « réseaux sociaux ». Car au-delà de son rôle essentiel pour la mise en œuvre du RGPD, le CEDP contribue aussi au développement d’une véritable doctrine européenne en matière de protection des données. Concrètement, de manière quasi-hebdomadaire, plusieurs de nos agents sont mobilisés à Bruxelles pour les réunions de groupes d’experts ainsi que pour la réunion du CEPD lui-même qui se tient tous les mois et à laquelle je me rends, en compagnie d’un autre membre du collège. À Paris également, nos services s’impliquent quotidiennement dans le suivi des travaux au niveau européen et nos homologues constatent la même évolution. Le CEPD a donc véritablement concrétisé l’européanisation des activités des autorités nationales en matière de protection des données. Cette dynamique découlant du RGPD pose la question du dimensionnement de nos moyens et surtout de nos effectifs.

Au-delà de l’aggiornamento de notre cadre juridique commun, le RGPD est aussi un signal fort de l’Union dans l’affirmation d’une souveraineté numérique européenne, sujet sur lequel vos homologues du Sénat se penchent actuellement avec la création d’une commission d’enquête, dont le Rapporteur est M. Gérard Longuet. Il ne s’agit pas ici de protectionnisme mais bien de l’affirmation de notre modèle de régulation, basé sur la défense du droit des personnes. Le champ d’application territorial élargi du RGPD, s’appliquant à toute entreprise établie hors de l’Union dès lors qu’elle cible des utilisateurs sur le territoire de l’Union, permet de remettre sur un pied d’égalité les acteurs européens et non européens. En assurant la protection du droit des personnes, quelle que soit la localisation du traitement, le règlement permet à l’Europe de prendre toute sa place dans l’économie numérique globale.

La régulation des GAFAM, dans bien des domaines, est au cœur des discussions nationales et européennes. D’aucuns craignaient que le RGPD ne favorise les grands acteurs du numérique, au détriment de plus petites plateformes qui n’arriveraient pas à émerger, en raison d’un cadre juridique trop lourd, contraignant et coûteux. Force est de constater que ce n’est pas le cas aujourd’hui, car le RGPD est fondé sur le risque présenté par les traitements, que ce soit en termes de volume ou de sensibilité des données traitées. Donc plus un acteur est important, plus l’écosystème numérique repose sur le traitement des données personnelles et plus il aura d’obligations et de responsabilités.

Le RGPD a également introduit plusieurs innovations juridiques, avec notamment le droit à la portabilité pour les personnes, qui peut permettre à des petits acteurs de venir défier les plus grands en facilitant le transfert des données des clients d’un service à l’autre et en mettant fin à l’effet captif ressenti sur certaines plateformes. L’application effective d’un cadre robuste en matière de protection des données est également un des éléments qui permettra de renforcer notre résilience au niveau européen en matière de cyber-sécurité, mais aussi contre les stratégies de désinformations ou contre les menaces faites à l’intégrité des processus électoraux en Europe. Du succès de l’application du RGPD dépendra aussi l’avenirde la régulation internationale.

Si le RGPD a monopolisé l’attention, il a parfois été considéré comme une source d’inspiration. Il faut toutefois se garder de tout triomphalisme. Aux États-Unis et en Asie, d’autres approches sont à l’œuvre, avec une certaine concurrence des modèles. Il faut donc nous engager dans une véritable « diplomatie de la donnée », afin de préserver nos acquis et de diffuser notre conception du droit. S’agissant d’un point plus précis, la question des flux des données personnelles est à prendre en compte dans le cadre d’un éventuel Brexit.

Enfin, il est question de souveraineté numérique lorsque nous discutons avec nos homologues européens de l’impact du « Cloud Act » ou du futur protocole additionnel de la Convention du Conseil de l’Europe sur la cybercriminalité, dite « Convention de Budapest ». Des travaux sont également en cours au niveau européen, avec une proposition de règlement dite « évidence ». La question de l’accès transfrontalier aux données par les autorités des pays tiers se fait de plus en plus pressante au niveau européen et international et il est essentiel d’apporter une réponse à ces problématiques. Les enjeux juridiques dans le domaine du numérique ne sont plus nationaux, ils sont européens voire internationaux et le but est d’assurer une cohérence dans le domaine règlementaire. Pour ce faire, il faut dialoguer au niveau européen et national.

Au-delà du RGPD, de nombreux développements vont redéfinir le cadre juridique applicable à l’écosystème numérique et méritent une attention particulière. Présentée en mai 2015 comme le chantier prioritaire de la Commission Juncker, la stratégie pour un marché unique du numérique a fait l’objet de trente propositions législatives, dont vingt-huit ont été adoptées ou ont fait l’objet d’un accord interinstitutionnel à ce jour. Plusieurs de ces textes sont des directives, impliquant un rôle majeur des parlements nationaux. Le cadre européen en matière de protection des données est un prérequis sur lequel le marché unique du numérique doit se fonder et ce marché doit être mis en œuvre en cohérence avec les dispositions du RGPD. Il revient aux Parlements nationaux d’être vigilant lors de la phase de transposition.

Mais ce marché unique du numérique n’est pas totalement achevé : en matière de protection de la vie privée, un chaînon essentiel est manquant : il s’agit de la proposition de règlement sur le respect de la vie privée et de la protection des données dans les communications électroniques, destiné à remplacer l’actuelle directive « e-privacy ». Ce futur règlement qui doit compléter le RGPD vise à garantir une protection harmonisée et renforcée aux données de communications électroniques, celles-ci pouvant en effet révéler des informations très sensibles. Cette proposition a été présentée en janvier 2017, le Parlement européen a adopté sa position à la fin de l’année 2017, les discussions au Conseil se poursuivent depuis plus de deux ans. La CNIL et le CEPD ont appelé les co-législateurs à conclure au plus vite les discussions sur ce texte, en rappelant que le futur règlement ne doit en aucun cas réduire le niveau de protection de la directive actuelle, et doit fournir des garanties supplémentaires pour tous les types de communications électroniques. La France pourrait ici jouer un rôle moteur en relayant ce message, afin que les gouvernements s’accordent enfin sur une approche générale.

Le Conseil de l’Union européenne a récemment adopté des conclusions sur le futur de l’Europe numérique après 2020. Les États membres ont rappelé à quel point il était important de soutenir l’innovation, et d’encourager les technologies numériques clés européennes, mais aussi de respecter les principes de valeurs d’éthiques, notamment dans le domaine de l’intelligence artificielle, et des liens sont possibles avec les travaux de votre Assemblée et ceux de l’Assemblée parlementaire franco-allemande.

La loi pour une République numérique a confié à la CNIL la mission de mener une réflexion sur les questions de société et d’éthique posées par les technologies numériques. La CNIL a ainsi coordonné et animé en 2017 un débat public sur les algorithmes et l’intelligence artificielle, sur la base duquel elle a produit un rapport en décembre 2017, avec deux principes fondateurs qui se sont dégagés : la loyauté et la vigilance. Nous avons pu poursuivre le débat au niveau international, dans le cadre du réseau mondial des autorités de protection des données ; une déclaration commune sur l’éthique et la protection des données dans l’intelligence artificielle a été adoptée en octobre dernier. Les enjeux sont multiples et complexes, mais ce qui compte est la cohérence des instruments du droit pour conforter la confiance dans l’économie numérique. Les parlements nationaux peuvent jouer un rôle moteur et facilitateur pour que le dialogue au niveau européen soit effectif et bénéfique.

Pour conclure, je souhaiterais mentionner la modernisation de la Convention 108 du Conseil de l’Europe, sur la protection des données. La France a signé cette convention, dite « 108 plus », et l’Assemblée nationale devrait prochainement être impliquée dans le processus de ratification. Je voudrais répéter l’importance des enjeux à appréhender et la pertinence de l’échelle européenne pour cela. La CNIL sera disponible pour toute contribution dans le cadre de vos travaux. Elle a rendu 120 avis sur des projets de loi ou de décret, et a été auditionnée une trentaine de fois devant le Parlement.

Mme Christine Hennion. Merci pour ces explications et ce point sur le règlement, qui date d’un an et qui marque un pas important vers ce besoin d’unification dans la protection des données au niveau européen et qui est un modèle pour le monde. Nous sommes confrontés à ce besoin de protection, et nous traitons de données personnelles dans presque tous les textes de loi, tels que la loi d’orientation des mobilités ou la loi sur la santé. Cette question transparaîtra sans doute dans la loi relative à la bioéthique. Vous avez indiqué que 70 % des européens se disent initiés et alertés sur la protection des données. L’Eurobaromètre publié cette semaine indique pourtant que 55 % des Français n’auraient jamais entendu parler du RGPD. La France est le dernier des 28 États membres en la matière, ce qui est dommageable. D’autre part, vous avez indiqué voir une augmentation importante des plaintes ? Que pensez-vous de cette augmentation de charge par rapport aux moyens que vous avez actuellement et comment cela doit-il évoluer à l’avenir selon vous ?

J’ai produit un rapport il y a un an sur ce sujet, et j’avais relevé que le RGPD était mixte, puisque, bien que ce soit un règlement, des éléments doivent être transposés. J’avais souligné ceux qui peuvent poser problème aux entreprises en termes d’application, notamment sur l’âge des enfants, qui pouvait varier entre 13 ans et 16 ans et sur lesquels l’ensemble des pays avaient utilisé tout le panel, mais aussi le fait que c’était soit le lieu du siège de l’entreprise soit la nationalité de la personne qui pouvait être le point de départ de la plainte, ce qui peut être complexe pour certaines entreprises européennes qui ont plusieurs sites. Est-ce que vous pouvez nous préciser où en sont vos réflexions sur ce point ?

M. Joaquim Pueyo. On connaît tous l’importance du sujet des données personnelles. On assiste souvent à des piratages massifs, par des acteurs tels de Yahoo, Facebook. Est-ce que vous pensez que la CNIL pourrait se transformer en CNIL au niveau de l’Union européenne ? Elle date de 1978 et a un rôle important, et nous sommes nombreux parmi les parlementaires à penser qu’il faudrait renforcer son pouvoir.

Le RGPD entré en vigueur en 2018 est un premier pas, mais certaines entreprises américaines avaient déjà prévu la suite et ne respectent pas totalement les modalités de ce règlement. Est-ce que vous pensez qu’on pourrait davantage faire un travail d’information, car beaucoup de citoyens ne sont pas forcément au fait des conséquences lorsque leurs données ne sont pas protégées ? Est-ce qu’on peut encore améliorer le système, notamment au niveau de l’Éducation nationale ? Beaucoup de jeunes gens naviguent sur les réseaux, sans forcément se rendre compte des conséquences sur leurs données.

M. André Chassaigne. Je souhaiterais aborder trois points. Vous avez donné le chiffre de 20 % des plaintes de la CNIL qui remonteraient au niveau du CEPD, est-ce que cela peut s’élargir aux libertés, au-delà de la seule protection des données ? Vous avez dit qu’il n’y a pas de mécanisme réglementaire au niveau du CEPD. Dès lors, comment sont instruites ces 20 % de plaintes qui transitent par la CNIL ?

J’avais également une observation à faire sur le risque de perte de souveraineté de la France : la CNIL est une autorité administrative indépendante française. On sait qu’il y a toujours un risque de captation, lié à des intérêts politiques, et que les rapports de force européens font qu’on peut toujours tirer le système vers le bas, et je pense en particulier à la montée des populismes au niveau européen. Est-ce qu’il n’y a pas un risque d’affaiblir la protection des libertés, notamment si on considère que l’échelle européenne est la plus pertinente, comme vous l’avez dit ?

Ma troisième observation porte sur le risque qui existe au niveau de la protection des données. Que les règles imposées soient applicables uniquement par les GAFA et les grands groupes demande des exigences technologiques ou la mise en œuvre d’algorithmes. Le risque toujours présent est que les petits sites web ne soient pas à même de répondre techniquement aux exigences formulées, par exemple dans le cadre de la lutte contre la haine. Il ne faudrait privilégier uniquement les GAFA, au détriment des entreprises plus modestes.

Mme Aude Bono-Vandorme. S’agissant de l’entrée en vigueur du RGPD, qui s’est traduite par l’apparition de bandeaux « cookies » susceptibles de collecter des données relatives aux utilisateurs de l’internet, les derniers sondages publiés par l’eurobaromètre montrent qu’une grande partie des utilisateurs ont une connaissance globale du RGPD et de leurs droits, ce qui est positif. Toutefois, une large majorité d’utilisateurs français et européens admettent accepter la collecte de ces données sans réellement consulter les conditions générales d’utilisation des différents sites internet qu’ils visitent. Quels seraient donc les mécanismes susceptibles d’être mis en œuvre pour sensibiliser encore davantage l’utilisateur lambda sur le traitement de ses données sans le noyer pour autant sous des dizaines de clauses de conditions générales ?

Mme Nicole Le Peih. Je souhaiterais savoir si nos voisins européens disposent d’un organisme comparable à la CNIL, doté de missions identiques et de la même indépendance. Si tel est le cas, dans la mesure où la protection des données personnelles représente un enjeu européen, comment la coopération est-elle organisée entre ces différentes structures ?

M. Vincent Bru. Je voudrais vous interroger sur les données à caractère non personnel. Dans son agenda, en matière de numérique, la Commission a fixé l’objectif de permettre l’exploitation du potentiel de l’économie européenne fondée sur les données grâce à des règles claires en matière de libre circulation dans l’Union européenne. Pourriez-vous préciser en quoi consistent ces données à caractère non personnel ? Il semblerait à cet égard qu’il n’existe pas de définition commune des données non personnelles au sein de l’Europe. Et l’on constate même des divergences d’interprétation entre certains États membres, en particulier entre la France et l’Irlande.

Mme la Présidente Sabine Thillaye. Je souhaiterais également exprimer quelques interrogations, et notamment celle de la question de la propriété de la donnée. Mes propres données, mes données personnelles m’appartiennent-elles par principe ? Ou bien en suis-je dépossédée, dès lors que je le mets dans l’espace public, par une autre entité autorisée à les utiliser comme bon lui semble ? Il me semble que ce sujet n’est pas encore tranché sur le plan juridique. A-t-on progressé sur ce point ?

Par ailleurs, comme le soulignait notre collègue Aude Bono-Vandorme, il est en effet important d’attirer l’attention de l’utilisateur sur les conditions d’utilisation de l’internet. À titre personnel, je livre une modeste bataille personnelle contre Google depuis plusieurs années, en ce qui concerne l’acceptation des conditions générales d’utilisation : lors de chaque connexion, je refuse d’accepter les trois-quarts des propositions qui me sont faites. Et très régulièrement Google me redemande, sur chacun de mes appareils, d’accepter ses conditions générales, ce à quoi je me refuse avec la même constance. À long terme, cela est néanmoins usant et l’on comprend aisément qu’une personne pressée accepte des conditions qu’elle n’aurait en réalité pas souhaitées.

Mme Marie Laure Denis, Présidente de la CNIL. Votre question, Madame la Présidente, sur la propriété des données, rejoint la première préoccupation exprimée par Mme Hennion. Il existe en effet un débat à ce sujet. Au sein de la CNIL, nous avons tendance à penser que si nos données personnelles ne nous appartiennent pas, nous sommes propriétaires, en revanche, des droits qui leur sont attachés. Je comprends très bien le postulat qui consiste à dire que nous sommes des « travailleurs du clic », qui travaillent gratuitement au profit de ceux qui utilisent nos données. Pour être complet, il faut cependant ajouter que cela nous permet d’accéder à des services gratuits. Cela dit, nous constatons l’essor, dans certains pays, de propositions en vue de la vente des données personnelles : aux États-Unis, une société propose ainsi à des femmes enceintes de renseigner un certain nombre d’informations relatives à leur grossesse en contrepartie de l’accès à des soins partiellement gratuits. De la même manière, des consommateurs communiquant des informations sur leur mode de consommation peuvent bénéficier de bons de réduction. Cela peut présenter un risque social, au préjudice des personnes les plus défavorisées, contraintes en définitive de vendre leurs données. Autre conséquence : l’on a d’ores et déjà observé l’émergence de silos géographiques sur internet, on pourrait voir s’y développer à terme, de manière plus globale, des silos de nature sociologique, avec un internet pour les riches dépourvu de publicité et un internet des pauvres où l’on vendrait ses données.

La CNIL, réservée sur ce sujet, considère que la donnée individuelle n’a pas de valeur en soi, à l’inverse de la goutte de pétrole. L’on entend souvent dire en effet que la donnée est le pétrole de l’économie numérique. La réalité est plus complexe : la donnée s’apparente à un terreau, sa valeur tient à l’analyse collective, agrégée, à son enrichissement par d’autres données transmises à des tiers. C’est donc un tel ensemble qui donne sa valeur à la donnée. En définitive, vendre des données individuelles dont la valeur est somme toute assez difficile à déterminer avec les conséquences sociales que je viens d’évoquer, en perdant par voie de conséquence les droits qui y sont associés (droits de rectification, d’opposition à leur diffusion) nous paraîtrait donc très préjudiciable. Il est néanmoins parfaitement compréhensible que le débat ait lieu.

J’en viens à votre lutte personnelle, Mme la présidente, sur votre ordinateur, tablette ou téléphone intelligent. En janvier dernier, La CNIL a prononcé à l’encontre de Google la plus grosse sanction jamais constatée à l’échelle européenne, grâce à l’accroissement de ses pouvoirs résultant du RGPD, la sanction pouvant désormais atteindre 4 % du chiffre d’affaires mondial de l’entreprise, précisément sur les sujets que plusieurs d’entre vous ont évoqué : le manque de transparence, l’insuffisance d’informations sur les conditions de collecte et d’utilisation des données. Peut-être cela n’est-il du reste pas encore suffisant. De manière plus générale, pour aborder un sujet proche de celui mentionné par Mme Bono-Vandorme, se pose la question de la lassitude du consentement ou d’un consentement qui n’est peut-être pas toujours libre ou entièrement éclairé. Cette question nous préoccupe bien évidemment. À titre personnel, je m’astreins également à une certaine hygiène et refuse à peu près systématiquement les « cookies » ou traceurs qui sont déposés sur nos appareils dans le but de dessiner notre profil à partir de nos données, en vue d’un ciblage publicitaire. Cela requiert du temps et une certaine ténacité. En 2013, la CNIL avait adopté une recommandation sur les « cookies » prévoyant que le fait de dérouler une page internet, que l’on nomme le « scroll », valait consentement. Depuis l’entrée en vigueur du RGPD, plus contraignant en matière de consentement, il nous semble qu’il faut modifier cette recommandation dans un sens plus exigeant. Tel est l’objectif des travaux entrepris en concertation avec les professionnels du secteur du marketing digital et des publicitaires. Après les avoir réunis avec un membre du collège le 25 avril dernier, nous devrions vraisemblablement, lors de la réunion plénière du mois de juillet, adopter des lignes directrices rappelant le droit applicable au titre du RGPD en matière de consentement et abroger la recommandation précitée de 2013. Nous pourrons ensuite travailler, toujours en liaison avec les professionnels, compte tenu de l’importance des enjeux économiques, à l’élaboration d’une nouvelle recommandation susceptible d’être adoptée d’ici la fin de l’année 2019, en accordant un délai de six mois pour sa mise en œuvre. Si bien que, d’ici un an environ, moyennant un travail indispensable avec les professionnels, nous devrions pouvoir disposer de règles de consentement en matière de « cookies » plus strictes et plus conformes au RGPD.

La CNIL a pour souci permanent de faire en sorte que les individus aient bien conscience de leurs droits : ils y sont certes plus sensibilisés qu’avant, mais pas encore assez, et on note en particulier des disparités en fonction des catégories sociales. Nous avons des outils – notre service de relation avec le public, avec plusieurs centaines de milliers d’appels par an ; le site Internet, avec 8 millions de visiteurs par an et une fréquentation en hausse de 80 % sur un an – mais une meilleure protection naîtra de l’éducation au numérique, c’est fondamental. Depuis 2013, la CNIL fédère ainsi un collectif de 70 acteurs qui a par exemple à son actif la diffusion dans les collèges d’un numéro des Incollables ou bien le financement d’une vidéo destinée aux adolescents, avec plus de 6 millions de vues. Pour les prochaines Journées du patrimoine, nous avons imaginé un parcours sur la protection des données en ville, à Poitiers, la « capitale » du numérique.

S’agissant des disparités d’application liées aux marges de manœuvre laissées aux États membres, en matière de protection des mineurs et de rôle des parents, Mme Hennion, la France a fixé à 15 ans le seuil en dessous duquel une autorisation parentale est nécessaire pour certaines actions sur les réseaux sociaux. Ailleurs c’est 13 ou 16 ans – dans un nombre équivalent de pays d’ailleurs. Un besoin de clarification juridique nous apparaît nécessaire sur le rôle des parents, sur la cybersurveillance à l’école et sur la question des « traces » laissées sur Internet. Les trois priorités pour notre programme de contrôle 2019 sont d’ailleurs ce sujet du rôle des parents, ainsi que le partage de la responsabilité entre donneurs d’ordres et sous-traitants – la prise en compte de l’asymétrie entre ces deux acteurs est l’une des innovations du RGPD – et la vérification de l’effectivité des droits individuels.

Cette diversité de situation des États membres se vérifie aussi dans le domaine de la recherche, ce qui pose par exemple question en matière de recherche médicale, dans le cas de cohortes transfrontières de malades. La Commission, gardienne des Traités, devra veiller à la bonne articulation de ces règles nationales.

L’expertise de la CNIL est reconnue, elle est aujourd’hui sollicitée pour accompagner des millions d’entreprises, rendre des avis sur des centaines de textes, traiter 12 000 plaintes par an. Or les effectifs sont très en dessous de ceux d’autorités homologues placées dans des situations similaires – et les pouvoirs publics en ont conscience. Nous avons reçu un renfort de 15 agents en 2019, mais il faut poursuivre cette montée en puissance des effectifs.

Les questions de piratage et de cybersécurité, soulevées par M. Pueyo, « irriguent » le RGPD à partir de l’article 32 qui impose une obligation de sécurité. Les notifications de violation de données sont plus nombreuses dans les autres États membres, signe sans doute d’une sous-notification ici… Or ces questions de sécurité sont centrales, les experts nous avertissant de la survenue certaine d’un incident de forte ampleur, intentionnel ou pas. Chacun de nos contrôles révèle des failles en ce domaine, il faut donc promouvoir des solutions simples et compréhensibles par tout le monde, notamment en matière de sécurisation de l’accès via des mots de passe. Le RGPD introduit également une protection des données personnelles contre leur divulgation non autorisée, à l’article 48, qui précise que leur accès ne peut être autorisé qu’en vertu d’un accord international, tel un accord d’entraide judiciaire.

La grande nouveauté du RGPD réside dans son caractère extraterritorial. Toutes les entreprises, même non établies dans l’Union européenne, sont concernées à partir du moment où elles ciblent des données des Européens, et les données des Européens qui sortent de l’Union européenne sont, elles aussi, protégées. Pour les États-Unis, c’est dans le cadre de l’accord Privacy Schield de 2016. La CNIL participe d’ailleurs activement aux revues annuelles de garantie dans ce cadre, la prochaine étant programmée pour septembre.

L’instruction des plaintes transfrontalières, Monsieur Chassaigne, se fait via un système de guichet unique, avec un outil informatique. Une plainte peut être déposée auprès de la CNIL en France contre une entreprise établie dans un autre État membre, et nous échangerons avec notre homologue, selon des modalités qui dépendent de notre statut, chef de file ou autorité concernée. Nous avons la possibilité de faire une objection à la proposition de décision proposée, ce qui est à mon sens une garantie de neutralité du processus. Le processus de mise en œuvre a pris un peu de temps mais ce mécanisme collaboratif européen fonctionne et de premières sanctions devraient être prononcées prochainement.

En matière de souveraineté, outre le Privacy Shield, nous sommes aussi très attentifs au Cloud Act. Cette loi facilite un accès direct par les autorités américaines aux données stockées hors du territoire américain dans les cas ne relevant pas d’une procédure judiciaire classique, et assure une réciprocité pour les autorités européennes. Or l’article 48 du RGPD n’autorise un tel transfert de données que dans le cadre d’un accord international ou une procédure d’entraide judiciaire. Si le Cloud Act est de nature à faciliter un accès rapide des autorités à des données utiles pour des enquêtes, nous avons toutefois des inquiétudes en termes de souveraineté numérique, de protection des données des entreprises et des personnes, et c’est donc un fort point de vigilance.

Ce point suscite quand même beaucoup d’interrogations. De nombreux acteurs institutionnels sont mobilisés : c’est le cas du Comité européen de la protection des données (CEPD), qui a été récemment saisi d’une demande d’avis du Parlement européen. Le Comité va se prononcer très prochainement à propos du Cloud Act. C’est aussi le cas de la Commission européenne, qui a obtenu un mandat de la part des États membres pour négocier un accord international avec les États-Unis. Les questions qui se posent sont celles de l’effectivité de la réciprocité des informations relatives aux personnes dont les données sont recherchées, et celle de la souveraineté liée au stockage des données (question qui n’entre pas dans le domaine de compétence de la CNIL).

À propos du « populisme », nous sommes très attentifs à la dimension citoyenne impliquée par la protection des données. Par exemple, nous veillons au respect des règles qui valent en matière électorale (prospection par sms, par téléphone, anonymat…). Ces règles sont complémentaires de celles qui sont mises en avant par le CSA en matière audiovisuelle (pluralisme, répartition des temps de parole…). Le CEPD a aussi rappelé les règles de transparence et de sécurité. Pour les élections européennes, nous avons reçu quelques centaines de signalements, portant surtout sur des pratiques classiques (messages de campagne laissés sur des messageries de téléphone fixe…). À l’approche des élections municipales, nous avons décidé avec les membres du Collège de renforcer la visibilité de nos actions et nos règles de doctrine sur ce sujet. Le CNIL dispose également d’un observatoire de la vie politique. Au deuxième semestre 2019, nous allons organiser un colloque avec le CESE sur les CivicTechs. Nous sommes donc concernés par les thématiques liées au « populisme », même si nous ne sommes pas directement concernées par la législation sur les fausses informations ou les contenus haineux en ligne (qui relèvent plutôt du CSA).

M. André Chassaigne. Il y a une contrainte technique très forte sur les entreprises. Est-ce que les petites entreprises ont les moyens de respecter ces normes relatives à la protection des données ?

Mme Marie-Laure Denis, Présidente de la CNIL. Certes, plus un acteur est gros, plus il a les moyens de s’adapter à une nouvelle réglementation d’un point de vue juridique, financier et technique. Mais quelle que soit l’entreprise, ces questions de protection de données doivent être intégrées dans la gouvernance de l’entreprise, dans son intérêt même : une entreprise qui respecte mieux la protection des données aura un avantage comparatif par rapport à la concurrence. Les GAFA ont changé de discours par rapport à la protection des données : ils se montrent désormais favorables à la protection de la vie privée.

Par ailleurs la CNIL fait en sorte de s’adapter à la taille des organismes régulés, même si on ne peut pas faire de l’accompagnement individuel. Nous avons fait un petit guide « sécurisez vos données » à destination des PME/TPE dans lequel on trouve un schéma de mise en œuvre du RPGD. Nous avons développé une boîte à outils très précieuse et accessible gratuitement pour les entreprises. Nous avons également créé un logiciel accessible en open source pour aider les entreprises : ce logiciel a été téléchargé 300 000 fois. Nous avons lancé un MOOC sur la protection des données, qui s’adresse à tous les chefs d’entreprise : en deux mois il y a eu 40 000 comptes créés. Enfin, nous allons éditer un guide pour les collectivités locales et nous menons également une action dédiée aux start-up.

Mme la Présidente Sabine Thillaye. Une dernière question à propos du cloud. Y a-t-il une offre Cloud suffisante au niveau européen ? N’y a-t-il pas besoin d’un Cloud européen, ne serait-ce que dans une perspective de cybersécurité ?

Mme Marie-Laure Denis, Présidente de la CNIL. En effet il y a un déficit dans ce domaine. Le Cloud-computing fait partie, avec les assistants vocaux, des deux axes de travail que nous avons identifiés pour 2019. La CNIL a des experts rassemblés au sein d’un « laboratoire d’innovations technologique » qui ont pour mission de rendre lisibles des écosystèmes technologiques complexes et mouvants. En collaboration avec l’Autorité de la concurrence et avec la CNIL, le CSA et l’Hadopi viennent de publier un guide très intéressant sur les assistants connectés que nous allons prolonger. Le Cloud est donc un sujet de préoccupation majeur.

II. Communication de Mme la Présidente Sabine Thillaye sur la réunion plénière de la COSAC organisée à Bucarest du 23 au 25 juin 2019

Mme la Présidente Sabine Thillaye. J’ai participé à la 61ème COSAC avec Mme Liliana Tanguy et M. Pierre Henri Dumont. Les thèmes à l’ordre du jour portaient sur le bilan de la Présidence roumaine du Conseil, les relations commerciales de l’Union européenne dans le contexte du Brexit, l’espace européen d’éducation, l’action européenne en faveur de l’innovation et du progrès technologique.

Les débats ont souligné l’inquiétude grandissante face à la situation politique britannique et au double risque d’une nouvelle prolongation du processus de sortie ou d’une sortie sans accord du Royaume Uni. De nombreux orateurs se sont exprimés sur le résultat des élections européennes, les délégations étant partagées sur l’abandon du processus des Spitzenkandidaten, les unes (comme le Bundestag allemand) étant en faveur d’un lien strict entre élection au Parlement européen et nomination aux fonctions exécutives, les autres étant plus favorables à la négociation entre les États membres au sein du Conseil.

Le texte de la contribution adoptée par la COSAC vous a été remis. J’estime sur ce point nécessaire qu’il nous soit transmis plus en amont de la réunion afin que nous puissions en débattre. J’ai défendu plusieurs amendements qui ont pour la plupart d’entre eux été repris par la Présidence roumaine et intégrés dans le texte.

Je citerai tout d’abord au 1.2 l’approfondissement des relations entre les parlements nationaux et le Parlement européen nouvellement élu, qui correspond à l’une de nos priorités d’action en ce début de législature européenne.

J’ai défendu conjointement avec le Sénat français un amendement au 3.4 incluant l’agriculture dans les domaines prioritaires de la politique commerciale de l’Union européenne pour la prise en compte des normes sociales et environnementales de l’Union européenne. Cette position rejoignant les conclusions du rapport de nos collègues Alexandre Freschi et André Chassaigne, j’ai fait part de mon soutien à cet amendement du Sénat. Malgré l’opposition des Pays-Bas, liée à leur volonté d’abaisser les moyens dévolus à la PAC et à leur refus de toute exception agricole, l’amendement a été repris par la Présidence roumaine.

J’ai par ailleurs cosigné (avec le Bundestag, le Bundesrat, le Sénat italien, le Nationalrat autrichien, les deux chambres néerlandaises, la chambre hongroise et la chambre du Luxembourg) un amendement visant à donner un délai supplémentaire de quelques mois à la Suisse pour ratifier l’accord cadre institutionnel, qui soulève des difficultés politiques intérieures en Suisse. Cet amendement a été adopté.

J’ai également cosigné avec le Sénat français un amendement réécrivant le paragraphe 3.9 marquant une plus forte opposition de l’Union européenne aux sanctions économiques et commerciales unilatérales fondées sur la règle de l’extraterritorialité. Il est intéressant de constater que la mention de souveraineté européenne a suscité de nombreuses oppositions de délégations, conduisant le Sénat à lui préférer le terme de compétences. Sur ce point, il faudrait peut-être, nous Français, expliciter ce que nous entendons par souveraineté, car beaucoup de nos homologues ont une vision purement juridique de celle-ci.

J’ai ensuite défendu un amendement demandant le renforcement des moyens financiers et de la politique d’information dédiés à Erasmus plus (4.5), ainsi qu’un amendement faisant état du projet d’Université européenne, visant à mettre en réseau les établissements d’enseignement supérieurs européens (4.7). Sur ces deux points l’opposition des Pays-Bas a été très forte, basée à la fois sur le rejet de toute dépense européenne supplémentaire et sur le refus de toute politique européenne volontariste en matière de recherche. Cette opposition a conduit au rejet du premier amendement, la majorité requise en cas de scrutin étant des trois quarts des voix. Le second a été réécrit par un compromis formulé par la partie allemande insistant sur la mise en réseau des établissements universitaires dans une démarche ascendante (bottom-up).

Ces discussions ont confirmé le rôle d’opposant endossé par les Néerlandais vis-à-vis de toute démarche européenne volontariste, dès lors que celle-ci engage le budget de l’Union. La conduite des travaux par la présidence roumaine, la bonne entente des deux délégations françaises et le soutien répété de la délégation allemande ont fort heureusement permis de soulever certains de ces obstacles.

M. Vincent Bru. Combien de délégués siègent à la COSAC ?

Mme la Présidente Sabine Thillaye. Environ 200. Il y a en effet 6 représentants par État membre, plus ceux des pays invités en tant qu’observateurs.

III. Examen de textes soumis à l’Assemblée nationale en application de l’article 88-4 de la Constitution

Sur le rapport de la Présidente Sabine Thillaye, la Commission a examiné des textes soumis à l’Assemblée nationale en application de l’article 88-4 de la Constitution.

 Textes actés

Aucune observation n’ayant été formulée, la Commission a pris acte des textes suivants :

 Fiscalité

- Proposition de décision d’exécution du conseil autorisant le Portugal à introduire une mesure particulière dérogatoire à l'article 193 de la directive 2006/112/CE relative au système commun de taxe sur la valeur ajoutée (COM(2019) 275 final - E 14106).

 Politique économique, budgétaire et monétaire

- Proposition de décision du Conseil relative à la position à prendre, au nom de l'Union européenne, au sein du Comité mixte de l'EEE en ce qui concerne une modification du protocole 31 de l'accord EEE concernant la coopération dans des secteurs particuliers en dehors des quatre libertés (Ligne budgétaire 12 02 01 - Services financiers) (COM(2019) 265 final - E 14085).

- Décision du conseil abrogeant la décision 2009/417/CE sur l'existence d'un déficit excessif en Espagne (10001/19 - E 14090).

 Textes actés de manière tacite

La Commission, a pris acte tacitement des documents suivants :

 Institutions

- Décision du conseil portant nomination des membres titulaires et des membres suppléants du comité consultatif pour la sécurité et la santé sur le lieu du travail pour l'Italie (10061/19 - E 14100).

- Décision du Conseil portant nomination d'un suppléant du Comité des régions, proposé par la République italienne (10115/19 - E 14101).

- Décision du Conseil portant nomination d'un membre du Comité des régions, proposé par la République italienne (10125/19 - E 14102).

- Conseil d'administration de la Fondation européenne pour l'amélioration des conditions de vie et de travail Nomination de Mme Diane VELLA MUSCAT, membre titulaire pour Malte, en remplacement de Mme Sandra GATT, démissionnaire (10149/19 - E 14103).

- Décision du Conseil portant nomination d'un suppléant du Comité des régions, proposé par le Royaume d'Espagne (10150/19 - E 14104).

- Projet de décision du Conseil portant nomination de membres titulaires et de membres suppléants du conseil d'administration de la Fondation européenne pour l'amélioration des conditions de vie et de travail pour la Lituanie, le Luxembourg et la Slovénie (10084/1/19 REV 1 - E 14107).

- Décision du conseil portant nomination de membres titulaires et de membres suppléants du conseil d'administration de la Fondation européenne pour l'amélioration des conditions de vie et de travail (Eurofound) pour la Slovénie (10086/19 - E 14108).

La Commission a également pris acte de la levée tacite de la réserve parlementaire, du fait du calendrier des travaux du Conseil, pour les textes suivants :

 Espace de liberté de sécurité et de justice

- Proposition de décision d'exécution du conseil arrêtant une recommandation pour remédier aux manquements constatés lors de l'évaluation pour 2018 de l'application, par la Lituanie, de l'acquis de Schengen dans le domaine de la politique commune de visas (COM(2019) 402 final LIMITE - E 14097).

La séance est levée à 10 h 59.

Membres présents ou excusés

Présents. – Mme Aude Bono-Vandorme, M. Vincent Bru, M. André Chassaigne, Mme Christine Hennion, Mme Nicole Le Peih, M. Jean-Pierre Pont, M. Joaquim Pueyo, Mme Sabine Thillaye

Excusés. – M. Jean-Louis Bourlanges, Mme Françoise Dumas

Assistait également à la réunion. – M. Jean-Luc Warsmann