Dialogue CNIL / entreprises : état des lieux
Au cours des cinq dernières années marquées par la mise en œuvre du RGPD (2018), la CNIL a fait face à plusieurs défis et évolutions significatives. Du nombre de plaintes à gérer, celles-ci passant de 7 300 à 16 000 ; de la logique de responsabilisation des entreprises dans le respect des normes RGPD, avec une demande croissante de sécurité juridique de la part des entreprises ; de l’arrivée de l’IA générative et de son encadrement.
Rapport de situation et perspectives avec Louis DUTHEILLET DE LAMOTHE, Secrétaire Général de CNIL (Commission nationale de l’informatique et des libertés).
Julien Merali : Un mot sur la CNIL ?
Louis DUTHEILLET DE LAMOTHE : La CNIL a été créée en 1978 et son rôle central, c’est d’être le régulateur, l’administration qui protège l’utilisation des données personnelles, notamment dans les systèmes informatiques. Donc, les systèmes informatiques contiennent des informations sur les personnes. C’est tout à fait légitime, mais cela doit être fait avec certaines précautions, en respectant certaines règles et ces règles ont évolué avec le temps. Et maintenant la réglementation, c’est le fameux RGPP, le règlement général sur la protection des données, que la CNIL doit contrôler le respect.
JM : Quel bilan de la CNIL peut-on tirer de ces cinq dernières années marquées par la RGPP ?
LDDL : Cela a vraiment été le quinquennat de l’entrée en vigueur de ce nouveau RGPP. Alors, il y a trois faits marquants, je pense. Le premier a été l’explosion des plaintes et donc le défi pour la CNIL de traiter ces plaintes. Quand le RGPP a été signé, il y en avait 7300.
L’an dernier, on en a eu 16 000 et ces deux dernières années, nous avons équilibré les entrées et les sorties, si j’ose dire, c’est-à-dire de traiter plus de plaintes que nous n’en avons reçu. Cela a vraiment été un premier gros chantier. Alors le deuxième, que les responsables en entreprise connaissent bien, c’est que ce RGPP repose sur une logique anglo saxonne d’accountability, de responsabilisation.
C’est à vous de vous assurer que vous respectez la norme. Et si vous ne le faites pas, en revanche, vous risquez des sanctions qui ont été décuplées par rapport au régime précédent. Mais du coup, d’avoir mis en place ce système de sanction, cela a créé une forte demande de sécurité juridique de la part de l’entreprise afin qu’on lui dise ce qu’implique la règle pour sa situation particulière et qu’elle puisse être accompagnée quand elle fait un projet nouveau.
Donc, on a multiplié les dispositifs de sécurité juridique et on a créé un dispositif d’accompagnement renforcé. Donc il a fallu agir sur les deux côtés.
Puis le troisième fait marquant, ce sont certains thèmes d’action qui ont particulièrement émergés ces dernières années. Alors, s’il ne faut en citer que trois, je dirais tout ce qui a été fait sur les cookies et les données dans les interactions avec les sites Internet, tout ce qui a trait à la cybersécurité et enfin l’intelligence artificielle qui a beaucoup émergé ces deux dernières années.
JM : On voit la CNIL comme un gendarme qui va sanctionner, mais vous êtes là aussi pour accompagner les entreprises dans leurs démarches.
LDDL : Oui, nous faisons beaucoup d’accompagnement. Il y a 20 000 réponses à des questions, des demandes d’information qui sont faites chaque année. Il y a 1 600 consultations faites par des entreprises ou des administrations qui veulent savoir comment s’applique le RGPD à leur situation. On essaye de faire beaucoup de lignes directrices, de recommandations. On a monté ces nouveaux programmes d’accompagnement des entreprises.
Donc vraiment, la CNIL est dans une optique d’essayer de sécuriser et d’accompagner. Et il y a aussi un dispositif de plaintes qui peut donner lieu à des contrôles et à des sanctions. Mais il faut quand même rappeler que sur les 16 000 plaintes que nous recevons, une vingtaine donnent lieu à des procédures de sanctions pleines.
La plupart des dossiers sont traités dans une logique de mise en conformité. S’il y a eu quelque chose qui n’était pas conforme à la réglementation, il peut y avoir un rappel aux obligations légales. Quand il y a quelque chose à modifier, une mise en demeure qui, le plus souvent n’est pas publique, permet de mettre en conformité la situation.
JM. Il y a une autre actualité que sont les JOP 2024 et notamment l’utilisation de caméras dites intelligentes sur cet événement. On parle d’ailleurs davantage d’IA que de reconnaissance faciale. Comment allez-vous assurer la bonne utilisation de ces caméras ?
LDDL : D’abord, vous avez bien raison de distinguer la caméra intelligente dite caméra augmentée qui analyse automatiquement l’image pour essayer de reconnaître quelque chose : quelqu’un sort une arme, quelqu’un est tombé, il y a trop de monde, etc. Et il n’y a pas de reconnaissance faciale dans ce qui a été autorisé par le législateur.
Alors la CNIL a travaillé sur ce projet de bout en bout. C’est-à-dire que lorsqu’a émergé l’idée d’utiliser ces technologies pour les Jeux Olympiques et de les expérimenter, la CNIL a été consultée et a demandé un cadre restrictif : que ce ne soit pas utilisé en permanence, mais uniquement pendant certains événements, pas partout, mais uniquement pour certains endroits et à certains lieux où il y aura beaucoup de monde et des risques.
Et pour certaines finalités seulement, comme éviter le risque terroriste ou de danger maximal. Une fois que ce cadre a été fixé, on a fait un programme d’accompagnement. On a proposé aux sociétés qui mettent en place ce type de dispositif et qui voulaient le proposer au ministère de l’Intérieur pour cette expérimentation, de venir en parler avec nous pour les aider à être en conformité par rapport au RGPP et à ce qu’avait voulu le Parlement.
Maintenant, l’expérimentation a commencé et la CNIL, à travers sa présidente qui l’a dit publiquement, contrôlera la manière dont ça va se passer sur le terrain pour vérifier que c’est bien fait. Et la fin de tout cela, il faudra dresser un bilan parce qu’il ne faut pas utiliser les technologies pour utiliser les technologies.
Il faut que l’on voit si, dans un cadre mesuré et protecteur, cela peut véritablement aider les forces de l’ordre pour sécuriser ce type d’événement, Ce n’est pas encore acquis. Cela doit être vérifié factuellement. Puis, il y a une réflexion aussi plus éthique à avoir sur l’usage que l’on veut accepter de ce type de caméras-là.
A la fin, c’est un choix politique du Parlement mais la CNIL est dans son rôle pour essayer de nourrir cette réflexion.
JM. Au delà de ces caméras intelligentes, l’IA est un sujet pour toutes les entreprises. Il peut y avoir des dérives comme les deepfake. Comment vous emparez-vous de ce sujet à la CNIL ?
LDDL : D’abord, il y a vraiment deux sujets. Il y a la conception des modèles d’IA, des systèmes d’IA, des logiciels qui vont utiliser de l’IA. Et donc, le sujet fondamental, est la capacité pour la France, pour l’Europe à innover dans ce qui est une révolution majeure des technologies pour le XXIᵉ siècle et la manière dont on accompagne et on encadre cette innovation.
Après, il y a l’utilisation et les risques sur des deepfake, etc. Alors sur le premier volet, l’Europe s’est dotée de règles sur la protection des données, sur la protection aussi de la propriété intellectuelle, de tas de choses et donc, il faut que l’on concilie la possibilité de pouvoir avoir une réelle innovation européenne en IA et le respect de ces règles.
Et donc la CNIL s’est emparée de ce chantier. Elle ne veut ni d’une position où l’on viendrait dire qu’en Europe, on a le RGPP, et donc que l’on ne peut pas entraîner des modèles d’intelligence artificielle. C’est faux. Donc elle a lancé un grand programme pour expliquer comment on peut faire de l’IA en respectant le RGPP en Europe.
Et en aval, il faut évidemment créer un encadrement. Il y aura des principes et des lignes rouges. Et notamment sur les usages. Il va falloir préciser les choses. Alors on n’est qu’au début de ce chantier. La CNIL a publié une première fiche à l’automne dernier, mise en consultation et bientôt publiée de façon définitive. Et il y a deux autres ensembles de fiches, de guides sur ces sujets qui devraient paraître dans les mois à venir.
JM. Il y a aussi un sujet sur de grandes fuites de données. On a notamment en tête France Travail pour la dernière en date. Comment vous organisez-vous face à cela ?
LDDL : On sait que la menace augmente depuis plusieurs années et rapidement. Il y a des vagues d’attaques comme celles sur des hôpitaux, des prestataires de la Sécurité sociale et du secteur du travail frappés par des violations de données de très grande ampleur.
Donc c’est un phénomène qui est connu et observé.
Donc en cas de violation de données, une notification à la CNIL doit être opérée et nous réfléchissons avec l’acteur pour vérifier qu’il a mis en place les bonnes mesures en termes de première réaction immédiate et nous voyons avec lui s’il convient d’informer les personnes que leurs données ont été victimes de ces violations, ce qui peut générer du phishing, de l’hameçonnage, des usurpations d’identité, etc.
Après, pour la sécurité, il y a une série d’acteurs. La CNIL a un rôle important à jouer dans ce domaine avec l’ANSSI, avec Cyber malveillance, et la CNIL a mis l’accent ces dernières années sur la cybersécurité. Sa doctrine s’est enrichie avec une série de recommandations comme sur les mots de passe qui a été entièrement revue, sur les systèmes de journalisation, sur l’utilisation des API pour les communications entre systèmes, notamment les communications de données et une recommandation spécifique sur les systèmes critiques.
Et ce sont des aspects aussi que nous contrôlons systématiquement quand il y a des contrôles. La CNIL a un rôle important à jouer, notamment du fait qu’elle a sa réglementation et son action et s’adresse à toutes les entreprises, y compris les plus petites.
JM. Dans une précédente émission, nous avons évoqué la notion d’extraterritorialité en recevant Frédéric Pierruci, ancien cadre dirigeant d’Alstom, qui a été emprisonné deux ans aux États-Unis sous le coup de la loi américaine anticorruption. Le RGPD a-t-il cette dimension extraterritoriale.
LDDL : Ce Règlement général sur la protection des données a une dimension extraterritoriale. Je crois que c’est une des premières fois où on a répondu, notamment aux États-Unis et à la Chine, que nous aussi appliquerions une règle qui aurait une dimension extraterritoriale quand des citoyens européens seraient concernés.
Et l’autre action que la CNIL peut avoir sur ce sujet-là, c’est d’appeler vraiment les entreprises et les administrations à la vigilance sur la souveraineté des dispositifs numériques informatiques qu’elles utilisent. Evidemment, très souvent, nos systèmes comportent énormément de briques de sociétés extra-européennes, américaines bien sûr, mais pour certains types de bases de données, la CNIL appelle à assurer une forme de souveraineté sur la donnée, de faire en sorte que les opérateurs qui vont les traiter, notamment si c’est dans le cloud, ne soient pas soumis à une loi extra-européenne.
JM : Votre présidente, Marie-Laure Denis, a devant elle un nouveau mandat de 5 ans. Quelle est sa feuille de route ?
LDDL : Il y en a beaucoup mais si je devais résumer la feuille de route, je dirais de la sécurité informatique, de la sécurité juridique et de l’intelligence artificielle.
Sécurité informatique. Il faut continuer sur les actions cyber. C’est quelque chose qui va être prolongé.
Sécurité juridique : Il faut continuer d’accompagner les entreprises, à communiquer sur le RGPP et notamment faire de la pédagogie auprès des mineurs et sur la maîtrise des données par nos concitoyens.
Et puis intelligence artificielle. C’est, à n’en pas douter, le grand sujet des prochaines années ; articuler nos règles sur les données et le développement de l’intelligence artificielle.
Propos recueillis par Julien Merali, General Manager du pôle IT d’Agora Managers Groupe