Publié le 24 sept. 2018 à 18:26 Mis à jour le 25 sept. 2018 à 9:58

Quatre mois après l'entrée en vigueur du règlement européen sur la protection des données (RGPD), quel bilan tirez-vous ?

Cela démarre plutôt bien. L'appropriation des nouvelles règles se fait plus rapidement que ce à quoi nous nous attendions. Il y a un effet de souffle qui commence à se déployer et les entreprises rentrent dans la mise en oeuvre opérationnelle des obligations.

Les indicateurs explosent : chez les particuliers, nous avons enregistré une augmentation de 64 % des plaintes et de la part les professionnels, nous avons reçu plus de 600 notifications de violations de données concernant environ 15 millions de personnes, soit environ 7 par jour depuis le 25 mai.

De quelle nature sont les plaintes ?

Elles portent essentiellement sur les obligations de transparence et le consentement. Elles concernent tous types d'acteurs. Plusieurs plaintes collectives concernent exclusivement les Gafa, ce sont elles que nous comptons traiter en priorité au niveau européen. La CNIL a été saisie par deux organismes : la Quadrature du Net sur Google, Amazon, Facebook, LinkedIn et Apple, et l'association NOYB sur Google.

Mark Zuckerberg, le fondateur de Facebook, a dit que le RGPD était « très positif », cela vous réjouit ou cela vous fait rire ?

C'est un enjeu d'image et de marketing que de tenir de tels propos. Facebook sait bien que la conformité au RGPD est demandée par tous les clients du monde ! Donc pour Facebook, c'est important d'afficher une démarche respectueuse de ses utilisateurs…

J'observe que Facebook a aussi dit que ses utilisateurs non européens ne seraient plus gérés par l'Irlande, mais par les Etats-Unis de manière à échapper à l'application du droit européen… Nous avons besoin d'une investigation poussée pour vérifier si Facebook applique bien le RGPD. Pour ma part, je regarde ces déclarations avec scepticisme…

Tout le pari du RGPD, c'est de parvenir à prendre des décisions communes entre CNIL européennes, comment être efficace ?

Nous n'aurons pas le choix : il faut que dans les prochains mois les CNIL européennes produisent des décisions communes sur les plaintes collectives, vis-à-vis d'une grande entreprise, pour montrer que le mécanisme fonctionne. Cela va nous permettre d'être crédibles au plan mondial.

Il nous faut aussi élaborer des normes communes. Par exemple, dans les véhicules connectés, il faut que nous puissions proposer un référentiel permettant à l'industrie automobile européenne d'être plus compétitive grâce à ce « code de conduite » qui respecte la protection des données.

Si toutes les CNIL apprennent à travailler ensemble et que les entreprises instaurent une vraie gouvernance interne des données, ce qui n'est pas toujours évident, alors là, on verra la puissance du RGPD. C'est un outil avec une capacité d'entraînement mondial. Des acteurs du monde entier, les Asiatiques par exemple, viennent l'expérimenter.

Nous sommes en train d'ouvrir un marché mondial aux industriels européens, l'Europe a un atout considérable entre les mains.

Arrivez-vous à collaborer avec les autres CNIL ? C'est un vrai changement de culture pour les équipes…

Intégrer la dimension européenne suppose une métamorphose de la CNIL. C'est une régulation en réseau que nous sommes en train de mettre en place. Tous nos métiers sont impactés.

En interne, nous avons mis en place un hub qui centralise tous les dossiers européens et les ventile entre les différents services concernés. Cela nous rend très agiles et prêts à traiter la coopération européenne. Toutes les CNIL sont confrontées à ce problème d'organisation et expérimentent différents schémas. Nous avons une certaine avance sur nos homologues pour les outils nouveaux du RG (certification, packs sectoriels, etc.) Toutes les CNIL ne sont pas au même niveau de maturité.

Pour l'heure, nous sommes donc dans un plan de rodage, d'apprentissage des textes, d'installation des outils techniques. Et nous devons progresser en termes de coopération. Notre plate-forme informatique de coopération entre autorités de protection « IMI », dans laquelle on rentre chaque cas, mérite, notamment, d'être améliorée.

Quand attendre les premières sanctions ?

Les plaintes collectives sont nos priorités. Ce sont celles que tous les citoyens attendent. Cela peut aller relativement vite, les CNIL européennes jouent leur crédibilité dans les prochains mois. Nous avons 200 plaintes transfrontalières et la France est une autorité concernée pour une majorité d'entre elles.

La Commission européenne enquête sur la collecte de données par Amazon, les CNIL vont-elles se saisir de ce sujet ?

Il existe déjà une plainte contre Amazon qui est traitée par l'autorité de protection des données du Luxembourg.

Par rapport au travail de la Commission, nous souhaiterions avoir notre mot à dire sur ces analyses de concurrence, oui. On voit bien qu'il y a interpénétration des champs. La massification de la collecte et du traitement de données personnelles peut contribuer à la constitution d'une position dominante. Et cela peut aussi, dans certains cas, contribuer à un abus de position dominante à travers un non-respect de la législation sur le traitement des données personnelles.

Les autorités de la concurrence traitent parfois de manière uniforme la notion de donnée sans prendre en compte la dimension données personnelles et ces grandes plates-formes sont passées maîtres dans l'art de brouiller les frontières entre ce qui relève de la donnée personnelle et de la donnée tout court.

Lire aussi : > Données personnelles : le RGPD en six questions

Dans certains cas, le RGPD a pu donner l'impression de renforcer les Gafa. Google l'a notamment utilisé pour renforcer sa position hégémonique dans la publicité…

L'analyse me semble un peu rapide. Je pense que c'est d'abord le règlement ePrivacy qui va impacter le marché de la publicité… En réalité, Google a utilisé sa position hégémonique dans la publicité et les obligations exigeantes de consentement du RGPD pour renforcer sa place sur le marché.

Malheureusement, le problème de fond se situe au niveau de l'organisation de ce marché de la publicité et de la manière dont les acteurs européens se sont mis dans une situation délicate vis-à-vis de grands acteurs comme Google. C'est indéniablement un problème de stratégie d'entreprise…

Maintenant, est-ce que le RGPD favorise les grands acteurs ? C'est une vraie question. Ceux-ci sont certes plus outillés que les petits face à la complexité du texte. Mais c'est aussi pour cela que nous avons réalisé des guides pour les PME. Désormais, nous allons nous pencher sur les TPE. Quant aux start-up, nous les conseillons en amont pour les accompagner dans leurs innovations.

C'est un bien vaste travail que d'évangéliser les millions d'entreprises au RGPD…

Avec 4,5 millions d'entreprises et 60 millions de particuliers, la CNIL ne pourra pas agir seule. Le régulateur, c'est l'animateur d'une communauté et il doit y avoir des relais professionnels pour aider les entreprises à se mettre en conformité. Nous devons bâtir un écosystème de la régulation comme il existe un écosystème du numérique, capable de relayer les messages auprès des acteurs.

Pour cela, nous avons commencé à adopter des référentiels de certification. Ils concernent les DPO [délégués à la protection des données personnelles, NDLR] encadrant en priorité l'agrément des certificateurs et la certification des DPO. Il s'agit de structurer un marché où certains acteurs vendent des services qui ne sont pas en conformité avec la loi.

On va aussi faire des référentiels sur la gestion clients et prospects, les ressources humaines et les vigilances sanitaires. Il s'agit de coconstruire les outils de régulation. Cela va permettre aux entreprises d'avoir l'esprit tranquille sur ces activités. Certains de ces référentiels seront portés par la CNIL au niveau européen.

La CNIL a-t-elle les ressources nécessaires pour gérer tout ce parc ?

L'introduction du RGPD nécessite des efforts considérables et met notre organisation fortement sous tension. Elle l'est d'ailleurs puisque dans les dernières années, nous avons reçu cinq missions supplémentaires, comme le contrôle de la vidéo protection, ou encore la notification des failles de sécurité. Cela devient difficile.

Il est donc nécessaire d'ajuster les ressources de la CNIL. Nous avons demandé une augmentation de nos ressources pour 2019-2020 et nous avons été partiellement entendus. Dans le contexte budgétaire actuel, c'est une mesure exceptionnelle, même si nous sommes encore en deçà de la nécessité. Ce qui est sûr, c'est que nous ne pourrons pas tout faire…