Le Règlement européen sur la protection des données (RGPD) a fêté ses trois ans le 25 mai 2021. Après une année 2020 durant laquelle les outils numériques ont été massivement déployés en raison de la pandémie de Covid-19, ce nouvel anniversaire éclaire d’une manière plus vive les enjeux liés à la protection de la vie privée et à la souveraineté numérique européenne. Il est l’occasion, pour la CNIL (Commission nationale de l’informatique et des libertés), de rappeler en quoi consiste ce cadre règlementaire, ce qu’il vient protéger et ce qui est exactement « convoité ».
Le pétrole du XXIème siècle
Qu’est-ce, tout d’abord, qu’une « donnée personnelle » ? Il ne s’agit pas de données comme les autres, car elles renvoient à des informations permettant d’identifier une personne, comme son nom, un numéro qui lui est associé, ou ses empreintes digitales. Il est souvent dit que les données personnelles sont le pétrole du XXIème siècle, mais la notion de « terreau » semble plus pertinente, tant elles ne valent que par l’utilisation qui en est faite.
Un exemple classique est celui des traces laissées en ligne par les internautes, recueillies lors de leur navigation par des cookies ou de leur usage d’objets connectés. La connaissance précise de nombreux détails – tels que l’âge, la localisation, les goûts, les comportements d’achats, l’état de santé ou même les préférences idéologiques de leurs potentiels consommateurs – est très précieuse pour les entreprises, qui peuvent ainsi mieux segmenter leur marché. En quelques années, les données personnelles sont devenues des actifs financiers stratégiques, qui suscitent en particulier l’appétit des GAFAM, comme en témoigne le bond spectaculaire de leur chiffre d’affaires du premier trimestre 2021 : 23,6 milliards de dollars de bénéfices nets pour Apple contre 11,2 à la même période l’année dernière ; 17,93 milliards pour Alphabet, la maison-mère de Google, contre 6,8 en 2020 ; 9,5 milliards contre 4,9 l’année passée pour Facebook.
Un outil pour améliorer les politiques publiques et la gestion de crise
Cependant, et loin de ne servir que des intérêts commerciaux, les données personnelles se révèlent également très utiles pour conduire des politiques publiques efficaces, tout spécialement en cette période de crise. Par exemple, dès le lancement de la campagne de vaccination contre le Covid-19, les Agences régionales de santé ont disposé d’informations pour suivre quotidiennement l’avancée de la couverture territoriale. Ainsi, depuis janvier, le système d’information Vaccin Covid, développé par l’Assurance maladie, assure au niveau national la traçabilité des vaccins et des étapes de la vaccination, de la pré-consultation aux injections.
L’accès aux données est donc un véritable enjeu pour l’Union européenne, qui, consciente de sa dépendance aux systèmes étrangers, a fait de leur maîtrise le pilier de sa stratégie de souveraineté numérique. Plusieurs événements majeurs ont marqué l’année 2020 en ce sens : l’arrêt Schrems II, rendu par la Cour de justice européenne en juillet dernier, qui a invalidé le Privacy Shield permettant le transfert des données vers les États-Unis ; l’engagement de transférer dans un délai de deux ans l’hébergement du Health Data Hub vers une solution technique permettant de ne pas exposer ces données sensibles à d’éventuelles demandes d’accès illégales au regard du RGPD ; enfin, le Digital Governance Act, le Digital Services Act, le Digital Markets Act, et bientôt le Data Act (des initiatives législatives portées par Thierry Breton), visent à actualiser le socle juridique de notre future économie européenne de la donnée.
Protéger les données de la cybercriminalité
Enfin, sans surprise, l’accès aux données est source de convoitise pour les cybercriminels. En un an de confinement, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a vu le nombre d’attaques quadrupler. Si les données bancaires et de santé sont classiquement visées, toute donnée peut aujourd’hui être ciblée, soit à des fins de nuisance gratuite, soit à des fins de chantage. La CNIL, quant à elle, a reçu, dans le cadre du RGPD, près de 3 000 notifications de violations de données de la part des entreprises en 2020, contre 2 300 en 2019.
Le rôle du RGPD et de la CNIL dans la protection des données
Quels sont, justement, le rôle du RGPD et de la CNIL dans ce contexte ? Le RGPD s’inscrit dans la continuité des valeurs humanistes de l’Union européenne et encadre le traitement des données personnelles sur son territoire, en mettant les droits des citoyens au cœur de la régulation. Il harmonise aussi les obligations demandées aux professionnels et leur permet de développer leurs activités numériques en se fondant sur la confiance de leurs utilisateurs. De cette manière, il est également un instrument de cybersécurité, indissociable de la protection des données.
En tant que régulateur, la CNIL exerce quatre missions : elle informe les personnes de leurs droits, elle accompagne les organismes dans leur mise en conformité, puis en contrepartie les contrôle, voire les sanctionne, et elle exerce un rôle de veille qui lui permet de dialoguer avec les écosystèmes d’innovation du numérique, des chercheurs aux startups.
Un premier cas pratique pouvant illustrer cette action est celui de la publicité en ligne, secteur clé de mise en conformité depuis 2018, avec plus de 20 % des plaintes annuelles liées au marketing. Sans attendre l’adoption du règlement ePrivacy [qui protège les communications privées des citoyens européens de toute ingérence], la CNIL a adopté une démarche de régulation pragmatique en plusieurs étapes, en concertation avec les acteurs concernés. Deux règles fondamentales en matière de dépôt de cookies en résultent : la clarté de l’information et l’égale facilité de les accepter ou les refuser.
Un autre champ prioritaire déjà évoqué est la cybersécurité. La CNIL, en complément de l’action d’autres acteurs comme l’ANSSI, accompagne au quotidien les entreprises dans leur bonne hygiène informatique qui, outre son caractère obligatoire, est devenue un considérable atout stratégique. Elle met ainsi à disposition sur son site de nombreuses ressources pédagogiques, comme des bonnes pratiques en matière de télétravail à destination des particuliers et des professionnels, afin de déployer une culture numérique commune.
Dernier exemple, celui de l’intelligence artificielle. La CNIL est très active dans ce domaine, tant sur les plans juridique et informatique que de manière prospective et éthique. Elle organise annuellement l’événement « air, Avenirs, Innovations, Révolutions », pour réfléchir aux questions de société soulevées par les nouvelles technologies, dont le rapport IA et algorithmes : permettre à l’homme de garder la main a découlé. Celui-ci mettait en évidence le panorama des questions soulevées par l’intelligence artificielle et proposait un certain nombre de recommandations, dont les principes de loyauté et de vigilance, qui s’inscrivent dans une nouvelle génération de garanties et de droits fondamentaux à l’ère numérique. La CNIL a également publié une contribution de méthode au débat complexe de la reconnaissance faciale, en plus de ses cahiers Innovation & Prospective réguliers et de sa nouvelle collection de livres blancs, dont le premier traitait des assistants vocaux.
En tout état de cause, le développement du numérique a profondément modifié notre économie, mais aussi notre l’organisation de nos sociétés et institutions politiques. Internet n’étant pas un lieu mais un lien, par lequel s’effectuent d’innombrables traitements et transferts internationaux de données, c’est finalement la capacité des États à faire respecter leurs règles et leurs droits qui est en jeu. Face à ce défi, la CNIL a vocation à contribuer à une stratégie globale d’affirmation d’une souveraineté numérique au niveau national et, plus encore, au niveau européen.
