LA TRIBUNE - Considérez-vous que les citoyens perdent de plus en plus le contrôle de leurs données personnelles sur Internet ?

ISABELLE FALQUE-PIERROTIN - Absolument. La transition numérique de la société concerne tous les secteurs et se traduit par une multiplication des flux de données. Le problème n'est pas leur circulation, mais leur utilisation à l'insu des citoyens.

Lorsque l'on visite quatre sites grand public, des sociétés que nous ne connaissons pas installent une cinquantaine de cookies sur notre ordinateur. On ne voit pas non plus que des tas d'annonceurs traquent notre activité en ligne pour nous proposer des publicités ciblées. Google, Facebook, Amazon et les autres géants du Net collectent, regroupent et monétisent les données personnelles de façon non transparente.

À ce problème s'ajoute celui de la surveillance sur Internet. Plus ou moins poussée selon les États, elle alimente un sentiment de perte de contrôle sur nos données personnelles.

Les études montrent que les citoyens sont très méfiants envers les géants du Net. Pourtant, ils utilisent en masse leurs services. Pourquoi ce paradoxe ?

Actuellement, Internet obéit à la logique du « tout ou rien ». Le bénéfice d'usage est tel que la qualité du service l'emporte sur le sentiment inquiétant de signer un chèque en blanc aux entreprises qui les fournissent. Les citoyens sont désarmés car ils sont conscients que quelque chose leur échappe, mais ce préjudice paraît toujours flou. Ils aspirent donc à davantage de maîtrise car ils ne veulent pas renoncer à des services auxquels ils sont habitués. Cette prise de conscience vient en partie de l'affaire Snowden, qui a eu l'immense mérite de révéler des alliances contre nature entre les géants du Net et la NSA.

La mission de la Cnil est de protéger la vie privée sur Internet. Comment répondez-vous à ce besoin ?

Le premier niveau de maîtrise, c'est la pédagogie. Nous fournissons de nombreux outils sur notre site pour adopter des bons réflexes sur les mots de passe, la sécurité, la modération des propos ou la gestion des photos, entre autres. Notre logiciel Cookieviz, qui permet de visualiser tous les cookies lorsque nous surfons sur Internet, a été téléchargé plus de 100.000 fois, c'est un très beau succès.

Certes, mais il y a 65 millions de Français...

C'est exact, tout le monde doit se mobiliser. C'est pourquoi nous travaillons avec de nombreux relais. L'Éducation nationale a développé avec nous des animations vidéo qui seront systématiquement diffusées dans les collèges.

Nous souhaitons qu'elle aille au-delà et propose une réelle éducation civique au numérique. Par ailleurs, le site Educnum, qui fédère depuis deux ans des acteurs publics et privés autour de l'éducation au numérique, est très actif.

La Cnil a aussi noué des partenariats avec l'Union des associations familiales, avec des associations de consommateurs ou encore avec la communauté des développeurs de sites Web et d'applications.

De plus en plus d'entreprises utilisent des données pour développer leur activité. Comment vérifier si elles respectent bien la vie privée de leurs clients ?

Avant, la Cnil se contentait de prendre des sanctions. Mais depuis près de cinq ans, nous nous réorientons vers le conseil aux entreprises. Nous avons créé une direction de la conformité, pour les aider à se développer dans le respect de la loi.

Dans chaque secteur (banque, assurance, secteur public, voiture connectée...), nous créons des labels, des pactes de conformité, des codes de conduite pour tous les usages présents et futurs autour des données.

Beaucoup d'entreprises réalisent qu'obtenir un label Cnil peut leur donner un avantage concurrentiel. Récemment, les industries du bâtiment, qui travaillent sur le bâtiment intelligent, nous ont intégré à leurs travaux. C'est un signe fort, impensable il y a encore deux ans, qui montre que les entreprises changent d'état d'esprit.

En 2014, la Cnil a prononcé huit amendes pour 6.000 plaintes. Pourquoi si peu ?

Il faut comprendre que la sanction intervient lorsque nous constatons l'échec de la mise en demeure, qui vise à pousser l'entreprise à se mettre en conformité avec la loi. Je prononce entre 70 et 80 mises en demeures par an, pour une quinzaine de sanctions, dont huit d'ordre financier en 2014. Cette année, nous aurons davantage de plaintes, environ 8.000, car les citoyens se mobilisent davantage. En juillet, j'avais déjà prononcé autant de mises en demeure que pour toute l'année dernière.

Le droit au déréférencement, dit droit à l'oubli, a été autorisé par la Cour de justice européenne (CJUE) l'an dernier. Cela joue-t-il un rôle dans l'augmentation des plaintes ?

Oui, nous avons reçu 500 plaintes depuis un an. Je précise que ce droit existait déjà dans le droit français sous la forme d'un droit d'opposition. La nouveauté est que l'arrêt de la CJUE oblige les moteurs de recherche comme Google à s'y conformer. Les Français sont d'ailleurs les plus nombreux à effectuer des demandes de droit au déréférencement en Europe.

Le pouvoir de sanction de la Cnil se limite à 150 000 euros. Ce n'est pas grand-chose pour un Google ou un Amazon... La Cnil a-t-elle vraiment les moyens de ses ambitions et sinon, doit-elle être réformée ?

Je suis d'accord, le niveau de sanction ne correspond pas à l'époque actuelle. C'est pourquoi le futur règlement européen sur les données personnelles, qui devrait être voté d'ici à la fin de l'année, prévoit de le faire passer entre 3% et 5% du chiffre d'affaires mondial de l'entreprise. C'est un vrai changement d'échelle !

Le règlement va aussi moderniser le cadre juridique en allégeant les formalités, en responsabilisant les entreprises et en créant des outils de conformité européens. La nécessaire réforme de la Cnil est donc en cours.

Que pensez-vous des nouveaux droits pour protéger la vie privée, inscrits dans le projet de loi numérique d'Axelle Lemaire ? L'échelon national est-il le plus pertinent ?

Le meilleur échelon est l'Europe, car il faut parler d'une seule voix pour mieux contraindre les géants du Net à respecter nos principes. Ceci dit, la loi Lemaire anticipe ce qui sera écrit dans le règlement européen. Tout ce qui peut rassurer les citoyens et leur redonner du contrôle sur leurs données est positif. À ce titre, le droit à l'oubli pour les mineurs me paraît une avancée fort utile.

La Cnil et la Commission d'accès aux documents administratifs (Cada) pourraient fusionner dans le cadre de cette loi pour créer une seule autorité, plus puissante. Est-ce une bonne idée ?

Il est légitime d'y penser. Mais puisque le règlement européen va réexaminer la loi Cnil, il ne me paraît pas opportun de se livrer à un travail de mécano institutionnel si tôt. L'articulation de ces deux institutions demande une réflexion approfondie, nous ne sommes pas à trois mois près.

La Cour de justice européenne (CJUE) vient d'annuler le Safe Harbor, l'accord qui permettait à 4.500 entreprises américaines de transférer les données de leurs clients européens aux États-Unis. Qu'en pensez-vous ?

C'est une excellente nouvelle. L'arrêt de la cour affirme que la protection des données est un droit fondamental. Le Groupe de l'article 29, que je préside et qui regroupe toutes les Cnil européennes, donne trois mois aux institutions et aux gouvernements pour trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers les États-Unis dans le respect des droits fondamentaux.

La situation doit se débloquer rapidement car durant cette période, d'autres outils de transfert, dont la légalité doit être appréciée, pourront être utilisés par les entreprises. Si rien ne se passe d'ici à la fin janvier, nous mettrons en oeuvre toutes les actions nécessaires, y compris des sanctions financières.