Isabelle Falque-Pierrotin, présidente de la CNIL en 2017.

Isabelle Falque-Pierrotin, présidente de la CNIL en 2017. / ERIC PIERMONT / AFP

La Commission nationale de l’informatique et des libertés (CNIL) publie mardi 10 avril son bilan d’activité, à un moment charnière pour l’organisation. Fondée il y a tout juste quarante ans, c’est pour elle l’occasion de constater le chemin parcouru.

Lire aussi : Protection des données personnelles : dernière ligne droite pour les entreprises

En quatre décennies, la CNIL est devenue « une marque reconnue », estime sa présidente Isabelle Falque-Pierrotin, qui en veut pour preuve le nombre record de plaintes enregistré par l’organisation en 2017 (8 360 au total) et la fréquentation inégalée de son site Internet. « L’augmentation significative du nombre de plaintes depuis trois ou quatre ans illustre à la fois la numérisation croissante de nos sociétés et le besoin exprimé par les acteurs privés et public d’une plus grande compréhension de ces enjeux. A cet égard la CNIL est identifiée comme un interlocuteur de confiance », estime la dirigeante de l’institution.

L’occasion aussi de se projeter vers l’avenir et les nouveaux défis que pose, entre autres, le développement des objets connectés et de l’intelligence artificielle. Dans un monde où les données circulent de plus en plus massivement, Mme Falque-Pierrotin pointe le « potentiel d’asservissement des individus que recèle le numérique ».

Capacités de sanctions décuplées

Dans ce contexte, la responsable mise beaucoup sur l’entrée en vigueur, le 25 mai, du règlement européen pour la protection des données (RGPD). Celui-ci va radicalement changer les modes d’action de la CNIL et ses capacités de sanctions, qui vont être décuplées, avec des amendes qui pourront aller jusqu’à 4 % du chiffre d’affaires des entreprises condamnées. La mise en œuvre du RGPD a été le grand chantier de la CNIL au cours de l’année écoulée et restera encore le sujet prioritaire de l’institution dans les mois à venir.

« C’est une énorme marche à franchir, autant en interne, où il a fallu se réorganiser, former les gens pour qu’ils montent en compétence, mais aussi en externe pour accompagner le plus grand nombre dans cette transformation », explique Isabelle Falque-Pierrotin. Ce nouveau règlement sur la protection des données est longtemps resté hors des radars des entreprises et des administrations. La Commission s’est employée à ce que chacun se saisisse du sujet.

Lire aussi : Protection des données de santé : l’Assurance-maladie mise en demeure par la CNIL

Mme Falque Pierrotin a multiplié les interventions pour faire connaître et défendre une réforme, censée rassurer les consommateurs sur l’usage que les entreprises peuvent faire de leurs données. La CNIL s’est également appuyée sur des « têtes de réseau » (organisations professionnelles, groupement de collectivités locales) pour démultiplier son action de pédagogie et de formation sur le sujet. Elle a aussi créé toute une série d’outils de mise en conformité, mis en ligne sur son site.

« Un gage de crédibilité

La CNIL s’est par ailleurs montrée très active pour essayer de faire accepter par ses homologues européens l’interprétation française du règlement, qui valorise autant la sanction – « un gage de crédibilité », selon Mme Falque Pierrotin – que l’accompagnement bienveillant des entreprises pour en faire des champions de l’usage raisonné des données. « Il nous faut marcher sur ces deux pieds », plaide la présidente de la CNIL, qui souligne que ce parti pris « n’est pas complètement consensuel », au sein du collège des autorités européennes de régulation.

Même à l’échelle nationale, elle a dû se démener pour faire inscrire le RGPD dans le droit français… ce qui n’est toujours pas le cas. Faute d’accord entre le Sénat et l’Assemblée nationale – suite à l’échec de la commission mixte paritaire réunie vendredi 6 avril –, le texte devra encore être soumis aux deux chambres.

Entre l’inflation du nombre de plaintes et tout le travail entrepris autour du RGPD, se pose la question des moyens. Pour la présidente de la CNIL, dont l’institution est dotée d’un budget de 17 millions d’euros, il s’agit d’un sujet central : « Je le dis maintenant depuis un an : nos moyens sont insuffisants, on a atteint un point de rupture ». Isabelle Falque-Pierrotin souligne que « là où, dans des pays comparables à la France, nos homologues ont des équipes de 500 personnes, […] nous n’en avons que 200 ».

La CNIL en Chiffres

  • 8360 : c’est le nombre de plaintes reçues par la CNIL en 2017, en hausse de 8,5 % par rapport à 2016. Celles-ci ont principalement porté sur des demandes de suppressions ou de rectifications d’information en ligne (27 %) ou des contestations face à des prospections commerciales non sollicitées.
  • 9 : c’est le nombre de sanctions pécuniaires infligées en 2017 par la CNIL, avec en particulier une amende de 150 000 euros à l’encontre de Facebook, en mai. La CNIL reprochait entre autres à la société de Mark Zuckerberg d’avoir tracé des internautes « avec ou sans compte », à des fins de ciblage publicitaire. La CNIL a par ailleurs adressé 79 mises en demeure, visant notamment What’s App ou le système Admission Post-Bac (APB).
  • 4,5 millions : c’est le nombre de visites enregistrées sur le site de la CNIL, en hausse de 59 %. Pour l’institution cette hausse de fréquentation est directement liée aux questionnements des particuliers et des professionnels sur le Règlement général sur la protection des données.