La vie privée des individus vous semble-t-elle aujourd’hui mise en péril par le web, en particulier par les réseaux sociaux ?

Les menaces me paraissent moins importantes qu’on ne le dit. Les individus mettent en place sur internet des stratégies de dévoilement de soi, mais dans un but défini : créer du lien. Ils mettent leurs données privées au service d’une vie publique. Cette tendance les conduit à une meilleure maîtrise de leur identité numérique, un défi auquel la CNIL doit réfléchir. Je souhaite que nous mettions en œuvre les outils pédagogiques et techniques qui permettront aux internautes d’avoir une meilleure maîtrise de leurs données privées sur le web.

Quel type d’outils ?

Il s’agit, notamment, d’agir sur les paramètres de confidentialité des services web. Les paramétrages « par défaut » doivent être plus protecteurs de la vie privée, par exemple au travers de cercles de divulgation graduée de ses données personnelles. Il faut aussi éduquer les internautes, faire acte de pédagogie. C’est le rôle de l’Education Nationale auprès des jeunes et des enseignants, mais c’est aussi le rôle de la CNIL qui transmet aux consommateurs de l’information sur les enjeux des technologies numériques et du web.

La loi française énonce depuis 1978 une définition stricte de ce que sont les données à caractère personnel et le cadre de leur protection. Ce qui est nouveau, c’est l’abondance de données issues de l’utilisation des services web et mobiles par les citoyens. Quelle est la position de la CNIL à ce sujet ?

Je ne sais pas très bien ce qu’on nomme une « donnée d’usage ». Ce qui pose problème aujourd’hui, c’est plutôt la possibilité de croiser différents types de données qui renseignent de manière très précise sur l’individu. En ce sens, les données de géolocalisation des personnes nous apparaissent comme un problème majeur. Du traçage au fichage, il n’y a qu’un pas…

La CNIL doit y réfléchir avec soin, en harmonie avec ses homologues européens, et apporter des réponses aux questions suivantes : Dans quelle mesure autorise-t-on la collecte de données de géolocalisation ? Pour quel type de service ? Le cadre juridique existant, c'est-à-dire la loi de 1978 remaniée en 2004, est suffisant pour protéger les données des personnes.

Sans nuire à la dynamique d’innovation offerte par ces technologies, nous devons maintenant concevoir et mettre en œuvre des outils simples et modernes qui entrent dans le cadre de cette loi. Je pense par exemple à des labels, des référentiels communs sur l’impact des services web sur la vie privée ou des programmes de formation dans les entreprises. Cette dynamique européenne peut aussi passer par la désignation d’un « Data privacy officer » en charge de ces sujets.

La CNIL formule des préconisations et encourage les acteurs, notamment privés, à adopter des bonnes pratiques sur les données personnelles. Vos moyens d’action sont-ils suffisants ?

La CNIL délivre des préconisations et bonnes pratiques, mais elle a aussi une mission de contrôle et de sanction qui a été renforcée en 2004. En 2010, nous avons effectué plus de 300 contrôles dans des organisations publiques et entreprises privés, dont certains ont donné lieu à des amendes administratives. Cela dit, nous souhaitons développer et renforcer la collaboration avec les entreprises, en amont de la conception d’un produit ou d’un service numérique.

C’est une des missions de la Direction de la prospective et de l’innovation récemment créée au sein de la CNIL. Elle a en projet la création d’un laboratoire qui permettra aux entreprises de tester la bonne conformité de leur produit ou service avec les règles de protection des données personnelles. C’est le concept de « Privacy by design », que nous défendons fortement. Ces préoccupations animent la société et créent le débat. Les entreprises ont tout intérêt à coopérer avec nous pour y répondre.

Mais comment inciter des entreprises internationales à se plier aux réglementations françaises ?

Nous sommes en effet confrontés au problème de « la loi applicable » : les grandes entreprises mondiales ne souhaitent pas toujours se soumettre aux lois européennes sur la protection des données personnelles. C’est une bataille âpre mais nécessaire, qui n’est pas vaine. Pour son service Street View, Google a finalement consenti à déclarer les données personnelles collectées et à flouter les visages des personnes filmées dans les rues. Les « CNIL » d’Europe doivent maintenant se mettre d’accord sur l’application de la loi européenne en matière de protection des données des individus. Il faut simplifier le dispositif en créant un système de guichet unique pour les formalités imposées aux entreprises étrangères.

En 2010, lorsque le Forum des droits sur l’internet que vous présidiez a été dissous au profit de la création du Conseil national du numérique, vous regrettiez publiquement qu’il n’y ait « plus aucune politique numérique transversale » en France. Maintenez-vous ce constat aujourd’hui ?

La disparition du Forum des droits, organisme réunissant de multiples acteurs, est un retour en arrière. Il m’apparaît essentiel que les mondes politique, industriel et la société civile aient un espace de dialogue sur les sujets qui touchent au numérique. Je souhaite que cet esprit du Forum perdure au sein de la CNIL. Nous allons développer nos travaux à destination des entreprises et de la société civile, recueillir leurs points de vue et renforcer nos modalités d’intervention dans une dynamique de coopération. C’est en étant mieux enracinée dans ce monde du numérique que la CNIL pourra continuer à jouer son rôle de conseil, de vigie et d’alerte.

Et aussi...

Voir notre vidéo de la Conférence 2011 de la Civilisation numérique, organisée le 14 septembre par AEC : Isabelle Falque-Pierrotin, dialogue avec Yves Eudes, journaliste au Monde , sur le thème "Le politique et la vie sociale"

Mots clefs
bonnes-pratiques - données - innovation - juridique - Usages - vie-privée - web 2.0