Selon la présidente de la CNIL : « Tous les pans de notre vie sont devenus traçables »
Garante de l’application du règlement européen sur la protection des données personnelles, la présidente de la CNIL défend son approche entre sanctions et accompagnement des entreprises innovantes. Elle précisera dans les prochains mois sa doctrine en matière d’intelligence artificielle et de cookies dans les applications mobiles.
Cinq ans après son entrée en application, le règlement général sur la protection des données (RGPD) fait désormais partie du paysage. Mais de l’intelligence artificielle aux drones en passant par la voiture connectée, les technologies poussent à affiner l’interprétation du texte européen sur la protection des données. Autant dans l’accompagnement que dans la sanction, la présidente de la Commission nationale de l’informatique et des libertés (CNIL), Marie-Laure Denis, défend l’encadrement des pratiques le plus en amont possible sans vouloir empêcher l’émergence d’acteurs innovants français sur les marchés mondiaux.
Dans un monde qui se numérise de plus en plus, les atteintes à notre vie privée ne risquent-elles pas de se multiplier ?
La CNIL a été créée il y a quarante-cinq ans, au moment où l’informatique changeait de dimension. L’intuition, qui s’est révélée exacte, était que ce basculement dans une société de plus en plus digitalisée allait faire naître de nouvelles menaces sur le respect et la défense de notre vie privée. Depuis, cette menace n’a cessé de s’amplifier puisque nous disséminons de plus en plus de traces numériques avec lesquelles il est possible de nous connaître, de nous surveiller ou de nous piéger.
Pour nous protéger de ces risques, l’Europe a adopté en 2016 le règlement général sur la protection des données, le RGPD, rentré en application en mai 2018. Il repose sur des principes analogues à ceux de 1978 : il ne faut traiter que les données personnelles nécessaires et pour une durée déterminée, en les sécurisant, en informant les personnes concernées et en leur permettant de s’opposer à ce traitement. Par ailleurs, le RGPD protège de risques nouveaux, par exemple, ceux relatifs aux données biométriques ou aux cyberattaques. Il pose aussi de nouvelles obligations pour les sous-traitants, car ce sont parfois les sous-traitants qui ont le contrôle sur les données.
Marie-Laure Denis est présidente de la CNIL depuis 2019
Pourquoi la menace change-t-elle de dimension ?
Individuellement, chacun doit être vigilant. Tout le monde n’est pas conscient du fait qu’aujourd’hui tous les pans de notre vie sont traçables. Quand le paiement en espèces est remplacé par des paiements électroniques, chaque acte d’achat permet de vous tracer. Avec les portables que nous avons presque tous, nous sommes en fait géolocalisés en permanence. Avec la multiplication des attaques cyber, nos données sont de plus en plus exposées à des usages malveillants.
Tout cela devrait nous inciter à exercer individuellement et collectivement une forme d’hygiène numérique. Nous devons acquérir les bons réflexes. Cela est aussi vrai pour les entreprises, qui doivent avoir conscience que leur patrimoine informationnel, qui est devenu un actif majeur, peut être attaqué et compromis. Mais le risque n’est pas que d’être piégé, il est aussi d’être surveillé. On le voit dans des Etats non démocratiques comme la Chine, l’Iran ou l’Afghanistan . La technologie peut favoriser le contrôle social de populations.
Mais la data a aussi une valeur économique…
La CNIL est une autorité dont la régulation a un impact économique, car il existe bien une économie de la donnée. Les géants du numérique ont même fait de l’exploitation et de la valorisation des data le socle de leur activité. Les règles de protection des données génèrent, bien sûr, des contraintes, mais obliger les entreprises à auditer leurs bases de données, à les pousser à s’interroger sur l’utilisation qu’elles en font, sur les durées de conservation, les incite aussi à se questionner sur l’intérêt de traiter telle ou telle donnée.
La Cnil n’est pas là pour interdire mais pour insuffler de la transparence” – Marie-Laure Denis Présidente de la CNIL
On pousse les acteurs à se poser de bonnes questions, à adopter une hygiène de la donnée. Au même titre que le prix ou la qualité du service rendu, on peut estimer que des entreprises qui pourront se prévaloir d’une gestion transparente des données de leurs utilisateurs auront un avantage concurrentiel, car de plus en plus de consommateurs sont sensibles et attentifs à la manière dont on exploite leurs données. Le nombre de plaintes que nous recevons a doublé en quelques années ; c’est un signe.
La CNIL n’est pas là pour interdire mais pour insuffler de la transparence et redonner aux utilisateurs de la maîtrise sur leurs données. Nous voulons avoir un impact sur les irritants du quotidien numérique des Français.
Mais comment ne pas freiner l’économie numérique en interdisant trop de choses ?
La conviction du collège de la CNIL, c’est qu’il est toujours plus difficile d’encadrer les pratiques une fois qu’elles sont bien installées. Notre volonté est donc de travailler le plus possible en amont, d’accompagner les usages dès qu’ils apparaissent, et nous constatons que les entreprises elles-mêmes sont prêtes à intégrer dès la conception de leurs produits ou services les questions liées à la protection des données. On parle de « privacy by design ».
Nous accompagnons ainsi de plus en plus d’entreprises dans des secteurs innovants pour définir avec elles comment sera utilisée la donnée. On le fait, par exemple, avec Hugging Face dans l’intelligence artificielle, Lifen dans la santé numérique, ContentSquare dans le parcours commercial en ligne. Nous sommes agnostiques sur les technologies mais pas sur les usages, que nous devons encadrer. Nous cherchons à trouver le bon équilibre entre la protection de la vie privée et l’innovation. La CNIL a créé un laboratoire d’innovation numérique (le LINC) et a un partenariat avec l’Inria. Nous avons lancé l’an dernier un « Privacy Research Day » qui a réuni 4.000 personnes du monde entier, et nous en attendons encore au moins autant lors de la deuxième édition, le 14 juin. Nous voulons créer des ponts entre la régulation, la recherche et les entreprises.
Dans un secteur comme le numérique, le régulateur a toujours tendance à courir après les usages, mais nous nous sommes équipés pour essayer d’anticiper au maximum. C’est ainsi que nous nous sommes interrogés de façon prospective sur les assistants vocaux, sur les moyens de paiement et aujourd’hui sur l’intelligence artificielle.
Un régulateur est légitime à sanctionner, mais il doit aussi délimiter les contours du terrain de jeu et préciser les règles du jeu pour donner de la prévisibilité aux acteurs et, si besoin, leur laisser un temps d’adaptation avant de les sanctionner en cas d’abus. Nous l’avons fait, par exemple, pour les cookies déposés sur les sites Internet, et nous nous penchons maintenant, avec la même méthode, sur les applications mobiles dont l’usage a été multiplié par quatre en quatre ans, en lançant d’ici à l’été une consultation publique avec l’écosystème concerné.
La voiture capte aussi de plus en plus de data. Faut-il s’en inquiéter ?
Il faut s’en préoccuper, car la voiture va tendre à devenir un ordinateur sur roues. Comme nous l’avons fait dans le passé pour les secteurs de la banque ou de l’assurance, nous avons créé il y a deux mois avec l’industrie automobile un « Club conformité ». L’idée est de se mettre autour de la table pour s’assurer que les enjeux liés à la vie privée, à l’utilisation des données de géolocalisation notamment, seront pris en compte suffisamment en amont. C’est une instance de dialogue qui doit contribuer à l’élaboration d’une doctrine de la CNIL, partagée par le secteur et nos homologues européens.
L’essor de l’intelligence artificielle va-t-il rendre la situation encore plus complexe ?
L’intelligence artificielle générative, telle que ChatGPT, se nourrit de contenus numériques ; elle capte un nombre considérable de données, dont celles qui se rattachent à des individus. La version 3 de ChatGPT, qui n’est même pas la plus récente, a été entraînée sur 175 milliards de paramètres, et tout le contenu en anglais de Wikipédia ne représenterait que 3 % de ce total. Ceci fait naître de nouveaux risques, liés notamment à l’éventuelle inexactitude des données générées, à des réponses possiblement biaisées et à des failles de sécurité accrues.
Mais les règles générales de protection des données personnelles s’appliquent aux services d’IA. Nous devons, là aussi, travailler en amont avec les industriels. La CNIL a déjà développé récemment cette approche dite du « bac à sable ». Les acteurs doivent respecter les principes posés par les textes que le régulateur est appelé à préciser pour tester de façon vertueuse de nouveaux services. Il est d’ailleurs possible de voir émerger des acteurs français majeurs de l’intelligence artificielle que nous souhaitons accompagner.
D’une façon plus générale, concernant d’autres secteurs, il nous est arrivé de fixer des lignes rouges relatives, par exemple, à l’usage des drones, des caméras de surveillance ou sur le sujet de la reconnaissance faciale.
Concrètement, pour les drones, cela a donné quoi ?
Ce sujet mérite mieux qu’une approche binaire. Certains sont pour, d’autres contre. Il ne s’agit ni de tout autoriser, ni de tout interdire. Les usages technologiques sont rarement blancs ou noirs. Par exemple, en 2019, nous nous sommes penchés sur la reconnaissance faciale en distinguant les différents cas d’usages. S’authentifier ou être identifié, ce n’est pas la même chose. Permettre à votre smartphone de se déverrouiller ou au système PARAFE de vous laisser franchir les frontières, ce n’est pas autoriser un drone à vous reconnaître à votre insu.
S’agissant des drones, nous avons fait des recommandations dont le gouvernement a ensuite tenu compte. Nous avons contribué à encadrer les usages et à éclairer le débat parlementaire. Les drones peuvent ainsi surveiller d’éventuels mouvements de foule, détecter des paquets suspects. Ils ne peuvent en aucun cas servir à identifier des individus ni filmer l’intérieur des immeubles, par exemple. Il s’est agi de trouver un équilibre permettant de concilier la sécurité publique et la protection de la vie privée, des objectifs tous deux légitimes. Cette démarche est aussi valable pour d’autres domaines comme la sécurité sanitaire ou la lutte contre la fraude fiscale.
Face aux Gafam, la CNIL n’est-elle pas trop petite ?
La CNIL a infligé plus de 400 millions d’euros de sanctions aux plus grands acteurs du numérique en quatre ans, le plus souvent avec des injonctions qui ont eu pour effet de changer les pratiques, par exemple, s’agissant du refus des cookies. Mais la CNIL n’est pas seule. Nous travaillons à l’échelle européenne pour réguler, avec nos homologues, et de façon harmonisée un espace économique de 450 millions de consommateurs qui intéressent ces géants.
Au niveau des CNIL européennes, 850 dossiers ont été traités en moins de cinq ans, pour un volume total d’amendes supérieur à 4 milliards d’euros. Cela a un effet dissuasif.
Je constate que les Gafam dialoguent avec nous” – Marie-Laure Denis Présidente de la CNIL
Avec le RGPD, nous avons aussi constaté que les règles applicables en Europe devenaient un standard de référence dans de nombreux pays. Notre ambition, c’est de contribuer à ce que l’Europe représente une troisième voie en matière de régulation numérique. Entre les Etats-Unis qui laissent souvent la justice trancher en cas de différends entre entreprises et consommateurs et une régulation à la chinoise qui vise à contrôler les usages pour asseoir le pouvoir politique, il y a une approche européenne qui confie aux législateurs puis aux régulateurs le soin de protéger les droits des individus tout en veillant à ne pas brider l’innovation.
Je constate que les Gafam dialoguent avec nous. Notez, par exemple, que Google anticipe les risques et tarde à déployer Bard, son intelligence artificielle générative, en Europe. C’est bien le signe que les Gafam réfléchissent à l’adaptation de leurs pratiques aux valeurs européennes.
