La grande ITW : Marie-Laure Denis, Cnil

Delphine Sabattier : Dans La Grande interview, on parle aujourd’hui de la vie privée, on parle aussi de contrôle publicitaire, de manipulation des opinions, de cybersécurité, toutes ces inquiétudes qui tournent autour de la protection des données personnelles sont aujourd’hui traitées par un réglement européen, le RGPD, Règlement sur la protection des données personnelles [1] et, au niveau français, c’est un sujet qui est pris en charge par la CNIL depuis de nombreuses années.
Bonjour Marie-Laure Denis.

Marie-Laure Denis : Bonjour Delphine Sabattier.

Delphine Sabattier : Vous êtes la présidente de la Commission nationale informatique et libertés depuis 2019, finalement peu de temps après l’entrée en vigueur du RGPD, du Réglement sur la protection des données personnelles qui aligne l’Europe sur un dispositif garantissant cette protection aux citoyens dans le monde numérique. Vous diriez que maintenant on est mieux outillés, certainement, mais diriez-vous que, pour autant, on est mieux protégés depuis ces quatre années de RGPD ? Est-ce que vous avez le sentiment qu’on peut être davantage rassurés ?

Marie-Laure Denis : En tout cas, je crois qu’il y a une prise de conscience forte des individus sur l’importance de la protection de leurs propres données. J’en vois pour preuve le fait, par exemple. qu’il y a deux fois plus de plaintes qui sont déposées à la CNIL chaque année depuis la mise en œuvre du RGPD. On a un site internet avec beaucoup de ressources qui est consulté 11 millions de fois par an avec de fortes progressions.

Le RGPD a ceci d’intéressant qu’il a fait basculer l’univers de la protection des données pour les responsables de traitement, les entreprises, les administrations, vers la responsabilisation. Moyennant quoi le régulateur et les régulateurs européens ont davantage de pouvoirs en matière de sanctions, peuvent mettre des sanctions plus importantes. On nous voit beaucoup comme le gendarme de la protection des données, mais on fait aussi beaucoup d’accompagnement des pouvoirs publics : 120 avis rendus l’année dernière sur des projets de loi, des projets de décrets, 30 auditions parlementaires et beaucoup d’accompagnement des entreprises via leur tête de réseau.

Delphine Sabattier : On en a effectivement beaucoup besoin parce qu’avec l’arrivée du RGPD c’est tout un tas de dispositifs réglementaires que les entreprises ont découvert et des entreprises de toutes tailles.

Marie-Laure Denis : Exactement. On n’oublie pas, parce que ça me paraît très important comme cible, les PME, les TPE, les startups, on a des actions spécifiques pour les startups, on est très présents à Station F [2], par exemple. Et on a depuis l’année dernière créé un bac à sable qui n’est pas un bac à sable dit réglementaire, qui ne permet pas de s’affranchir du RGPD, mais les services de la CNIL sélectionnent une dizaine, une douzaine de projets, l’année dernière sur la santé numérique, cette année sur le numérique dans l’éducation, dans le secteur éducatif, où on accompagne dès la conception des services, des traitements de données, ces entreprises, souvent ces startups.

Delphine Sabattier : Pour qu’elles soient tout de suite compatibles au RGPD.

Marie-Laure Denis : Exactement. C’est du privacy by design comme on dit.

Delphine Sabattier : J’entends beaucoup l’écosystème qui défile pas mal sur ce plateau de Smart Tech me dire aussi que ça a permis une prise de conscience de l’importance de cyberprotéger les données vis-à-vis des attaques. C’est aussi une arme pour la cybersécurité, finalement, ce RGPD ? Je ne sais pas, d’ailleurs, si c’était un effet attendu.

Marie-Laure Denis : D’une certaine façon si, parce que, à ma connaissance, c’est d’ailleurs le seul texte européen qui comporte des obligations pour les entreprises, les administrations, en matière de cybersécurité parce qu’il n’y a pas de protection des données s’il n’y a pas de sécurité de ces données. On a une plaquette [3] sur la cybersécurité où il est dit que le RGPD est, en gros, le meilleur allié de la cybersécurité parce qu’il y a une obligation non pas de résultat mais de moyen. C’est-à-dire que pour implémenter le RGPD, vous devez tenir un registre sur vos données, vous devez notifier à la CNIL les violations de données que vous rencontrez lorsqu’elles présentent un risque pour les données des personnes, les données sensibles ou les violations à grande échelle. On a eu plus de 5 000 notifications de violations de données l’année dernière, c’est + 80 % par rapport à l’année précédente et, dans ces 80 %, on voit une très grande augmentation, par rapport aux années précédentes, des rançongiciels, ces attaques malveillantes qui consistent à chiffrer les données moyennant souvent une rançon pour pouvoir les déchiffrer.

Il faut bien comprendre qu’on essaye d’accompagner les entreprises et de leur dire, notamment, si elles doivent informer leurs clients, leurs administrés. Sur le volet répressif, mais il n’y a pas de répression, ce qui est grave c’est de ne pas notifier à la CNIL, en quelque sorte, ces violations. Sinon constate, dans nos procédures habituelles de sanctions, que la moitié des manquements concernent des problèmes de sécurité.

Delphine Sabattier : Quand on adresse la cybersécurité, vous évoquez des chiffres sur les ransomwares, c’est plutôt du domaine de l’ANSSI, de l’Agence nationale de la sécurité des systèmes d’information, l’agence française en charge de la cybersécurité.

Marie-Laure Denis : On est très complémentaires de l’ANSSI parce que l’ANSSI, avec beaucoup d’efficacité et les très gros moyens qui sont les siens, se concentre sur les organismes d’importance vitale, les télécoms, les transports, toutes les grosses administrations d’État, etc. Nous, d’une certaine façon, c’est tout le reste de l’écosystème des entreprises, des associations, des administrations sur lesquelles ne se concentre pas l’ANSSI. On a un œil particulier sur l’information des personnes dont les données ont été compromises pour qu’elles fassent attention dans les semaines ou dans les mois qui suivent à ne pas faire l’objet de « phishing », entre guillemets, de réception de mails avec des informations qui sont en partie vraies et qui amenuisent leur attention ou les amènent, par exemple, à payer des choses qu’elles ne devraient pas payer.

On fait aussi beaucoup de pédagogie. On a, par exemple, une recommandation sur les mots de passe. Si vous faites CNIL/mots de passe, on peut vous produire directement un mot de passe robuste, 12 caractères, des caractères spéciaux, majuscules, minuscules, etc. On a des conseils extrêmement concrets : faites des sauvegardes, faites les mises à jour de vos logiciels et de votre système d’exploitation, ayez des mots de passe de robustes. Si vous êtes victime d’un rançongiciel, éteignez tous vos appareils, prévenez votre service informatique, récoltez des preuves, déposez plainte, essayez d’éviter de payer une rançon. On a vraiment des ressources sur notre site, un guide de la sécurité des données personnelles.

Delphine Sabattier : C’est vrai que c’est absolument primordial aujourd’hui d’être en éveil sur toutes les bonnes pratiques pour protéger ses données personnelles. Il y a des dispositifs qui ont été mis en place, des régulations de plus en plus fortes. Pour autant, j’ai une étude qui vient de paraître, qui est frappante sur les cookies. Les internautes sont aujourd’hui conscients qu’ils sont tracés quand ils se rendent sur des sites puisqu’il y a maintenant des messages qui les préviennent « attention, on va récolter des données sur vous à des fins publicitaires ». Ils ont le choix de pouvoir les refuser. Pour autant, en fait, on s’aperçoit que la grande majorité des Français continue d’accepter tous les cookies. Pour autant ils ne font pas en se disant « ce n’est pas grave, ça m’est égal, je n’ai rien à cacher », ils le font en étant quand même contrariés de confier ces données. Ça veut dire qu’on met en place des dispositifs, on fait de l’éducation, on alerte les gens, ils sont au courant, mais ça ne change pas les pratiques !

Marie-Laure Denis : Les cookies c’est un bon exemple à la fois de l’action de la CNIL et ensuite de l’effet que ça a quand même sur les pratiques, même si, à ce stade, il faut le quantifier davantage parce qu’il y a des chiffres et des études assez différentes sur le sujet.

Delphine Sabattier : C’est l’étude NordVPN, qui est assez récente, que vous avez dû voir passer : 46 % des Français continuent d’accepter tous les cookies, seuls 6 % refusent l’ensemble et sont pourtant inquiets d’être surveillés.

Marie-Laure Denis : C’est précisément vraiment typique du type de régulation que veut conduire la CNIL et qu’a conduit la CNIL depuis deux ans. La CNIL s’est aperçue que souvent il n’y avait pas d’informations, des tas de gens ne savent pas ce que sont les cookies ou les traceurs, ils naviguent sur Internet, ils sont sur une application mobile et ne se rendent pas compte que leurs données sont aspirées à des fins publicitaires. La CNIL n’est pas contre la publicité, elle veut mettre de la transparence dans le système et donner du contrôle aux individus pour dire oui ou non.

Depuis deux ans, après une concertation assez virile et longue avec le secteur du marketing digital, la CNIL a clarifié les règles juridiques, elle a donné un délai d’adaptation parce que c’est une régulation très systémique, ça consistait concrètement à modifier les interfaces de tous les sites internet en France, des administrations aussi, des entreprises, pour pouvoir faire apparaître dès le premier écran — c’est bien ça tout l’enjeu — la possibilité de refuser aussi facilement qu’on accepte. Il y avait une sorte de fatigue du consentement, vous pouviez accepter tout de suite les cookies, mais c’était un consentement un peu extorqué parce qu’il fallait aller sur le cinquième écran, paramétrer des tas de choses pour pouvoir enfin refuser quand on prenait cinq minutes pour le faire, donc les gens ne le faisaient pas, évidemment ! Alors que maintenant vous avez vu fleurir dès le premier écran un « continuer sans accepter », en général en haut à gauche, en bas à droite, souvent un peu plus petit. Il faut qu’on fasse de la pédagogie parce que je crois que les gens n’en sont peut-être pas assez conscients.

Delphine Sabattier : Le problème c’est qu’il est un peu partout, on ne l’identifie pas forcément facilement.

Marie-Laure Denis : C’est quand même une révolution, ça donne une prise de conscience qu’il y a une apparence de gratuité sur Internet, mais que souvent, naturellement, l’accès à ces services, en quelque sorte, se monnaye. Ça donne quand même plus de contrôle, parce que vous pouvez accepter, vous pouvez refuser.

Je pense que c’est exactement le type de régulation, en concertation avec le secteur, qu’on veut reproduire dans d’autres secteurs qui sont importants aussi, par exemple la collecte de données dans les smartphones, dans les applications, vous ne savez pas toujours ce qui est fait des données qui sont collectées, dans le cloud, dans un certain nombre de secteurs dans lesquels il faut une régulation qui s’étale sur un, deux ou trois ans, avec des actions systémiques comme ça.

Delphine Sabattier : De quelle façon la CNIL est-elle impliquée dans les textes en cours de discussion, qui restent en cours de discussion, il faut le dire, le Digital Market Act, le Digital Services Act [4] à Bruxelles.

Marie-Laure Denis : La CNIL est impliquée de façon extrêmement concrète et régulière au sein du Comité européen de la protection des données qui est cette réunion des CNIL européennes. C’est l’avantage du RGPD, vous l’avez très bien dit, l’idée c’est qu’il y ait un peu la même doctrine, y compris que les plaintes transfrontalières soient traitées de la même façon à travers un guichet unique. On s’adresse à la CNIL de son pays et une plainte qui peut concerner différents pays est traitée de cette façon-là.

Très concrètement le CEPD, cette réunion des CNIL européennes, rend un avis sur ces projets de texte. On l’a fait en juin de l’année dernière par exemple sur le projet de règlement sur l’intelligence artificielle et également sur le DSA, sur le Digital Government Act, il y a le Digital Market Act sur les aspects plus concurrentiels, le Digital Services Act sur les contenus en ligne. Il y a un règlement qu’on attend depuis très longtemps, depuis la mise en œuvre du RGPD, le ePrivacy qui est un sujet qui peut rejoindre les cookies ou les communications électroniques. Il y a quand même un foisonnement législatif en Europe que nous voyons d’un œil positif, ça traduit une volonté politique d’affirmer les valeurs européennes en ce qui concerne la régulation du numérique, c’est extrêmement positif. On a deux points d’attention en ce qui concerne la CNIL, c’est d’une part veiller à la cohérence de ces futures législations avec le RGPD qui doit rester le socle, justement, de la régulation du numérique, en tout cas avec le prisme de la protection des données.

Delphine Sabattier : Qui n’a pas besoin d’être revu ou mis à jour quatre ans plus tard ?

Marie-Laure Denis : C’est une question que se pose régulièrement la Commission européenne, tout simplement parce qu’il y a des clauses de rendez-vous et d’évaluation. Pour l’instant, à ma connaissance, ça n’est pas sur le tapis, ça ne veut pas dire que tout est parfait, qu’il ne faut pas qu’on se remette en question si c’est nécessaire, notamment dans le traitement, je pense, de certaines plaintes collectives, ce qui est aussi une nouveauté du RGPD, à l’égard des très grands acteurs du numérique.

Dans notre régulation sur les cookies, vous aurez peut-être noté qu’elle s’est adressée aussi aux GAFAM avec des sanctions très importantes. On a mis 214 millions d’euros de sanction l’année dernière, par exemple. On dira qu’à l’échelle des GAFAM, ce n’est pas grand-chose, mais avec des injonctions de changer les pratiques. Vous aurez peut-être vu que Google, Facebook donnent maintenant la possibilité de refuser les cookies, et qu’il a été décidé d’étendre, en tout cas pour Google, au niveau de l’Union européenne, ce qui a été décidé pour eux, par la France sur injonction de la CNIL.

On est très attentif à la cohérence, à la lisibilité, parce que, pour les entreprises, ce n’est quand même très simple d’avoir tous ces textes et de s’y retrouver - c’est, pour moi, un point d’attention fondamental - et puis à la gouvernance, c’est-à-dire, une fois qu’on a adopté tous ces textes, qui fait quoi pour contrôler les dispositions. La CNIL considère qu’elle a un rôle à jouer, en tout cas en ce qui concerne les données personnelles, sur certaines des dispositions des différents textes que vous avez cités, notamment le DGA, le DSA et le projet de règlement sur l’intelligence artificielle.

Delphine Sabattier : Je voulais aussi vous faire réagir, parce que c’est une info assez récente, sur l’amende de Twitter aux États-Unis, un accord qui a été trouvé avec la justice américaine, 150 millions de dollars payés par Twitter pour un ciblage publicitaire qui est passé par l’utilisation de données personnelles telles que des numéros de téléphone, des adresses mails qui, à priori, étaient collectées juste pour des identifications en ligne et finalement ont été utilisées pour du ciblage publicitaire. Quand il se passe des actions, comme ça, aussi importantes aux États-Unis, est-ce que vous en prenez bonne note ? Est-ce que ça vous donne aussi l’occasion de mener vous-même des actions ici en France ou en Europe ?

Marie-Laure Denis : Pour différentes raisons juridiques, la régulation des GAFAM en matière de protection de la vie privée est essentiellement concentrée auprès de la CNIL irlandaise parce que le siège des GAFAM est à Dublin, à Luxembourg notamment pour Amazon, et en France, pas sur la base du RGPD mais sur la base d’un autre texte, la directive ePrivacy, on s’est intéressé justement aux cookies.

Naturellement ça nous inspire, d’ailleurs on peut participer, comme on l’a fait avec la CNIL luxembourgeoise, à des actions de contrôle commun ; c’est ce qu’on a fait sur Amazon pour une amende extrêmement importante qui a été infligée par la CNIL luxembourgeoise l’été dernier, je crois, de 746 millions d’euros. C’est très intéressant d’en tirer des conséquences plus générales et de faire un peu de pédagogie pour bien expliquer qu’on ne peut récolter les données que pour des finalités qui sont légitimes, dont on a informé les utilisateurs et ne pas plaider, après, l’erreur, en quelque sorte, ou la confusion, ce qui est le cas.

Delphine Sabattier : J’ai vu que la raison c’était que ça avait détourné par inadvertance.

Marie-Laure Denis : Inadvertance, oui.

Delphine Sabattier : Ça s’entend, ça, de la part de géants du numérique ?

Marie-Laure Denis : Je ne suis pas dans le dossier, mais il y a une petite interrogation.

Delphine Sabattier : Autre sujet. Le rapport d’activité 2021 de la CNIL est très intéressant, on a vu passer plusieurs fois le graphe sur la hausse des signalements. Vous nous dites, finalement, que c’est bon signe, ça veut dire qu’il y a davantage de prise de conscience des citoyens de l’importance de protéger leurs données personnelles. Vous avez évoqué l’attaque par rançongiciel. Il y a un point aussi c’est la surveillance des employés en télétravail.

Marie-Laure Denis : Le troisième motif de plaintes à la CNIL, c’est la surveillance au travail d’une façon générale. Ça peut être des vidéos dans un magasin, par exemple sur la caissière toute la journée ; ça peut être de la géolocalisation de véhicules professionnels, ça peut être les badgeuses. Évidemment, avec l’essor du télétravail et la crise sanitaire, davantage de plaintes concernent le télétravail.

Delphine Sabattier : Qu’est-ce qu’une entreprise a le droit, ou non, de faire vis-à-vis de ses employés en télétravail ?

Marie-Laure Denis : C’est du droit du travail de l’employeur de contrôler le travail de ses salariés et, en même temps, de protéger leur vie privée, ce qui est d’autant plus important quand le travailleur est chez lui, dans son intimité, où il y a des personnes qui peuvent passer derrière, etc., avec le fait de flouter, si possible, d’utiliser des visios qui floutent, en quelque sorte, ce qu’il y a derrière, le fond d’écran. Il y a du bon sens et le bon sens sur le télétravail, c’est le mot proportionnalité. C’est-à-dire que la surveillance doit être proportionnée. On ne met pas toute la journée un salarié sous surveillance. On n’exige pas de lui qu’il soit en visioconférence avec l’écran allumé toute la journée, qu’il partage son écran toute la journée, on n’utilise pas des logiciels de frappe qui s’appellent des keyloggers pour s’assurer que vous êtes bien sur votre écran.

Delphine Sabattier : Parce que ça se fait ? Vous avez pu constater ce type de pratique en France ?

Marie-Laure Denis : Exactement, ça se fait. Il ne s’agit pas de faire des dénonciations, etc., mais là aussi faire de la pédagogie et rappeler les droits qui sont ceux des salariés ou des fonctionnaires, qui ont, d’abord, un droit d’accès à leurs données. Si on vous dit que vous avez volé quelque chose dans la caisse vous pouvez demander à voir, concrètement, les vidéos qui ont pu enregistrer, le cas échéant. Et vous avez surtout le devoir, en tout cas pour l’employeur, d’informer vos salariés des mesures de surveillance que vous mettez en place d’une façon générale, soit au travers d’une charte informatique, soit au travers des représentants du personnel.

Je rappelle aussi que depuis le RGPD il y a beaucoup de délégués à la protection des données, dans 80 000 entreprises ou administrations en France, qui peuvent être aussi de bons relais, on les accompagne beaucoup à la CNIL pour qu’ils diffusent les bonnes pratiques. En tout cas, c’est une de nos thématiques prioritaires de contrepoids.

Delphine Sabattier : Un employeur a le droit d’enregistrer, évidemment, des réunions en visioconférence et de s’en servir ensuite derrière ?

Marie-Laure Denis : On peut les enregistrer. En tout cas la seule chose qu’il peut exiger de la part de ses salariés c’est, par exemple, d’allumer sa caméra en visioconférence pour un entretien RH, pour un rendez-vous avec des clients, etc. Le salarié ne peut pas non plus dire « c’est ma vie privée, je refuse d’apparaître à l’écran », il y a quand même des circonstances dans lesquelles il est souhaitable que le salarié apparaisse à l’écran. Mais, encore une fois, du bon sens, de la proportionnalité, pas une surveillance permanente.

Delphine Sabattier : Et sur les e-mails, est-ce que les choses ont évolué ? La lecture des e-mails par les employeurs à partir du moment où ça se passe sur des boîtes professionnelles ?

Marie-Laure Denis : Les e-mails c’est assez compliqué, parce qu’il y a des jurisprudences de la cour de cassation sur le sujet. On ne peut pas interdire à un salarié qui est toute la journée à son bureau d’envoyer des e-mails personnels, il peut d’ailleurs mettre « personnel » dans ces cas-là.

Delphine Sabattier : Est-ce que c’est le gage que ce mail ne sera pas lu ou pas utilisé ?

Marie-Laure Denis : En tout il faut que toutes ces pratiques soient discutées au sein de l’entreprise, c’est même ce qu’on a fait récemment à la CNIL avec les représentants du personnel.

Delphine Sabattier : J’imagine que ce sont des sujets qui montent de plus en plus.

Marie-Laure Denis : Oui, bien sûr, parce qu’il y a des enjeux de protection, de sécurité aussi des systèmes d’informations, donc il y a un équilibre à trouver entre la sécurité des systèmes d’information et la protection de la vie privée des salariés.

Delphine Sabattier : Je voulais aussi qu’on parle un petit peu de vous puisque vous êtes haut fonctionnaire, vous êtes passée par plusieurs autorités indépendantes, notamment le CSA [Conseil supérieur de l’audiovisuel], l’Arcep [Autorité de régulation des communications électroniques, des postes et de la distribution de la presse], vous êtes à la CNIL jusqu’en 2024. Comment expliquez-vous cette préférence que vous avez pour travailler, pour tenir un rôle important dans ces autorités de régulation. On parle d’autorités indépendantes, mais comment voyez-vous le lien justement avec l’État, les différents gouvernements ?

Marie-Laure Denis : Vous avez employé un mot important, en tout cas pour moi, en termes de choix de parcours qui était présent dans mon choix de rejoindre la juridiction administrative à un moment et donc d’être juge, c’est l’indépendance.

Delphine Sabattier : La nomination se fait quand même à travers l’exécutif, c’est l’Élysée qui décide de la nomination de la présidente.

Marie-Laure Denis : C’est le président de la République qui nomme, effectivement, comme pour les autres autorités administratives indépendantes sous le « contrôle », entre guillemets, ou sous l’aval du Parlement puisqu‘il y a des auditions parlementaires, en ce qui me concerne, dans les deux chambres, l’Assemblée nationale et le Sénat, avec une majorité qui doit être requise. De toute façon il n’y a pas de système de nomination parfait, c’est une thématique qui se retrouve régulièrement y compris pour les présidents de chaînes publiques.

Delphine Sabattier : Pour l’instant le changement de gouvernement ne va pas vous affecter.

Marie-Laure Denis : On est inamovible, sauf, j’imagine, circonstances extrêmement particulières. Donc l’indépendance et puis l’intérêt, en tout cas pour moi que je vois dans la régulation, d’être dans des secteurs qui bougent, d’être vraiment au plus près d’une régulation, de défendre des droits, sans employer des grands mots, ce qui est quand même quelque chose de très stimulant et gratifiant et, en même temps, être dans la réalité concrète de la vie économique d’un pays.

Delphine Sabattier : Merci Marie-Laure. Malheureusement on arrive à la fin de votre grande interview, c’est passé extrêmement vite. On a parlé protection des données avec vous, Marie-Laure Denis, conseillère d’État et présidente de la CNIL.

À suivre dans Smart Tech le rendez-vous dans l’espace. Je vous retrouve dès lundi. Bon week-end.