Dossier spécial numérique La présidente de la Cnil, la Commission nationale de l’informatique et des libertés, veille sur nos données. Mais a-t-elle les moyens d’empêcher leur pillage ?
PHOTO : LEA CRESPI / PASCO
Beaucoup d’entreprises convoitent vos données…
10 Capital Dossier spécial Juin 2015
CAPITAL : A quoi sert la Cnil ? ISABELLE FALQUE-PIERROTIN : A sa création, en 1978, on avait extrêmement peur de la mise en place du grand fichier administratif, avec un numéro d’identification unique. Puis, le rôle de la Cnil a évolué, avec la place croissante prise par les données – y compris dans les fichiers privés. Et cela s’est encore plus accéléré avec l’arrivée du numérique. Aujourd’hui, notre mission est d’être le régulateur des données, de veiller à la protection des personnes par rapport à tous les usages qui sont faits de leurs données. Mais le métier de la Cnil, c’est aussi d’accompagner la mise en conformité des entreprises et des acteurs publics sur ce sujet. Mais quel est votre pouvoir réel ? Nous sommes compétents pour contrôler le respect de la loi «informatique et libertés», ce qui peut conduire à prononcer des sanctions financières jusqu’à 150 000 euros. Ce n’est pas énorme, mais, dans bien des cas, le fait qu’une sanction soit publique est un véritable levier vis-à-vis des acteurs, parce qu’il s’agit de leur image. En 2014, vous avez pris huit sanctions financières. Cela paraît peu. Par rapport aux 10 000 saisines individuelles que nous recevons, effectivement. Mais la sanction est l’aboutissement ultime d’un cheminement dont l’objectif principal est la mise en conformité : 68% des 62 mises en demeure adoptées en 2014 ont ainsi donné lieu à une mise en conformité. Et nous faisons beaucoup de pédagogie auprès des entreprises ou des individus… Les Gafa (acronyme désignant les géants du Web, Google, Apple, Facebook et Amazon), qui ne sont pas basés en France et souvent ne paient pas leurs impôts ici, vous écoutent-ils ? La France ne parle pas qu’en son nom, elle parle au nom du G29 et des autorités européennes. Les procédures engagées à l’encontre de ces acteurs sont européennes. Nous avons par exemple mené une action répressive à l’encontre de Google et sa politique de confidentialité avec cinq autres autorités nationales. Et nous faisons actuellement la même chose à propos de Facebook Quand on navigue sur Internet, on se fait «aspirer» beaucoup de données sans s’en rendre compte. Est-ce inévitable ? Si vous n’avez pas de compte Google
mais que vous allez sur un site Internet sur lequel il y a un bouton Google + ou un quelconque autre lien avec la galaxie Google, comme par exemple Google Analytics, qui permet d’analyser la fréquentation du site (mais que vous ne voyez pas), vos données sont récupérées par Google et utilisées le cas échéant pour vous envoyer de la publicité. Il est donc possible que vos données soient récupérées de façon totalement opaque pour vous ! C’est pour cela que nous poursuivons cet objectif de transparence auprès de chacun des grands acteurs du numérique, en disant que chaque personne doit pouvoir consentir à la captation de ses données et à leur maîtrise.
jour pour me dire que ma vie n’est pas saine, que je conduis trop vite, que je ne cours jamais… et qu’il va donc revoir ma prime à la hausse. Nous n’avons rien contre ces modèles économiques, mais nous disons qu’il faut qu’ils soient plus transparents pour les clients, pour que nous puissions faire des choix. Depuis un an, l’Union européenne a introduit la notion de «droit à l’oubli». Quels sont les premiers résultats ? Cette nouvelle possibilité est un moyen de mieux contrôler notre vie numérique. En cas de refus par un moteur de recherche de “déréférencer” du contenu qui porte atteinte à l’image ou à la réputation d’une personne, celle-ci peut se plaindre auprès de la Cnil ou auprès du juge. A ce jour, nous avons reçu 250 plaintes. Vous citez Edward Snowden dans votre dernier rapport. Il est poursuivi avec acharnement par Barack Obama, la France a été plus que frileuse et n’a pas souhaité l’accueillir. Les lanceurs d’alerte ne fontils pas pourtant, en partie, le même travail que vous ? Snowden a joué un rôle extrêmement utile. Mais il faut faire attention à ne pas tomber dans le syndrome de Robin des Bois, où tout d’un coup tout le monde va devenir lanceur d’alerte et considérer qu’il peut s’affranchir de la justice et de la police. C’est une situation qui peut être très dangereuse sur le plan démocratique. Si l’on veut que les libertés se mettent en place, il faut à la fois des lanceurs d’alertes, mais aussi travailler sur les mécanismes de contrôle. Quelle est la position de la Cnil sur la loi sur le renseignement ? Beaucoup de voix s’élèvent contre, l’Elysée et Matignon ne semblent pas convaincre. Nous avons été saisis de l’avant-projet de loi et nous avons dit : «Tel que le texte est envisagé, il offre de nouveaux outils de surveillance qui ne sont pas assortis de garanties suffisantes pour correspondre à l’état de droit, et il recèle des risques de surveillance de masse.» Nous avons donc fait un certain nombre de demandes pour resserrer les mailles du filet. Nous avons été entendus sur un certain nombre de points, mais à ce jour (interview réalisée fin avril, NDLR), nous considérons que toutes les garanties nécessaires ne sont pas encore présentes, notamment en matière de contrôle aval des fichiers de renseignement. Une fois que la donnée a été collectée, on ne sait pas ce qu’elle devient. ● Propos recueillis par Fred Haffner
“On ne réalise pas toujours l’ampleur de ce que Google sait de nous” Concrètement, est-il bien prudent que je mette mes données en ligne, dans le cloud ? On a tous envie de mettre nos données en ligne pour bénéficier des services qui y sont liés, mais on se rend compte qu’elles sont convoitées par des acteurs que nous ne connaissons pas toujours. Nous travaillons pour que l’individu puisse récupérer de la maîtrise. L’enjeu des autorités comme la Cnil, c’est de rééquilibrer ce rapport aujourd’hui asymétrique entre l’individu dont on pille les données et les acteurs qui s’en servent. Sur Internet, la gratuité de nombreux services est possible car, justement, on accepte de laisser libre accès à ses données. Puisque ce choix est libre, a-t-on vraiment besoin d’une autorité de régulation ? Le ciblage des personnes par les commerçants n’est pas nouveau. Mais on ne réalise pas toujours son ampleur. Imaginez que votre boucher connaisse tous les bouquins que vous lisez, à quelle heure vous allez voir votre grandmère… tout ça pour vous servir votre morceau de viande, vous trouveriez cela incroyable ! Or c’est exactement ce qu’on accepte avec Google. De même, je n’ai peut-être pas envie que mon assureur soit au courant de tout et m’appelle un
Capital Dossier spécial Juin 2015 11