Interviews

Marie-Laure Denis (CNIL) : « la protection des données personnelles et l'innovation ne sont pas antinomiques »

Succédant à Isabelle Falque-Pierrotin, Marie-Laure Denis a été nommée présidente de la CNIL en février 2019.

Retrouvez cet article dans le CIO FOCUS n°168 !

La révolution numérique est avant tout une révolution des données

Le truisme habituel de la donnée pétrole du XXIème siècle est tellement répété qu'on a tendance à hausser les épaules lorsqu'on l'entend. C'est une erreur. Oui, les données sont l'essence de la révolution numérique, autrement dit de la transformation radicale des organisations. Ces données sont...

Découvrir

Deux mois après sa prise de fonction comme présidente de la CNIL, Marie-Laure Denis réaffirme les fondamentaux et dresse des lignes directrices à l'heure du RGPD. La première autorité administrative indépendante française accompagne ainsi la révolution numérique qui est aussi une révolution des données, notamment des données personnelles.

PublicitéCIO : Aujourd'hui, quarante ans après sa création, comment peut-on décrire la CNIL dont vous venez de prendre la présidence ?

Marie-Laure Denis : La CNIL est la toute première autorité administrative indépendante créée en France. Elle l'a été à une époque où il n'y avait que 12 000 ordinateurs dans tout le pays. Les missions ont donc évidemment évolué avec le temps et le développement du numérique, et considérablement avec le RGPD.
Nous devons d'abord mettre l'accent sur les droits traditionnels : les droits d'accès, de rectification et d'opposition. Le RGPD a, de plus, créé un droit de portabilité des données, c'est à dire un droit de récupération de toutes les données nous concernant, éventuellement pour pouvoir, le cas échéant, les transmettre à un autre opérateur.
Autre changement important depuis la création de la CNIL, nous sommes passés d'un système très administratif à un système de mise en conformité par les acteurs eux-mêmes. Les entreprises doivent percevoir le RGPD comme un vecteur essentiel et un facilitateur de leur transformation numérique. La CNIL se doit donc autant d'accompagner cette mise en conformité que d'en contrôler l'effectivité. A cela s'ajoute, avec le RGPD, une dimension européenne qui s'accroît, avec la création d'un standard unique et une coopération au niveau européen.

CIO : Le RGPD était évidemment le sujet majeur de l'année qui vient de s'achever. Qu'est-ce que celui-ci change pour la CNIL en tant qu'organisation ?

Marie-Laure Denis : Le RGPD nous amène à renforcer nos deux piliers d'actions.
Le premier est bien sûr l'accompagnement des entreprises et administrations. Pour cela, nous mettons à disposition en ligne une boîte à outils pour les entreprises. Notre site a ainsi vu ses visites s'accroître de 80 % pour atteindre le 8 millions de visiteurs. Cette boîte à outils comprend un guide pour les TPE/PME, un logiciel libre et gratuit aidant à la réalisation des analyses d'impact (150 000 téléchargements, 18 langues) ainsi qu'un MOOC, destiné notamment aux DPO autant des entreprises que du secteur public. 50 000 organisations ont aujourd'hui désigné 18 000 DPO parfois mutualisés.
Le second pilier est le contrôle. C'est essentiel pour crédibiliser le RGPD. Il portera prioritairement sur le traitement des plaintes que nous recevons.

CIO : Quels focus souhaitez-vous effectuer dans votre action en 2019 ?

Marie-Laure Denis : Le RGPD a introduit une nouveauté sur la répartition des obligations entre sous-traitants et responsables de traitements. Le premier focus de notre action de contrôle sera donc de vérifier que les sous-traitants respectent leurs obligations.
Nous allons également vérifier que les droits définis et que je viens de rappeler peuvent bien s'exercer. Nous allons porter une attention particulière aux droits des mineurs et notamment sur le recueil du consentement des parents pour des activités sur les réseaux sociaux en dessous de quinze ans.
Nous voulons également développer la présence européenne avec le développement de la doctrine commune et la collaboration avec nos homologues. 850 procédures européennes sont actuellement en cours. La CNIL est cheffe de file sur une quarantaine et est concernée par 600.
Sous peu, nous allons publier une feuille de route détaillée pour la période 2019-2021.

PublicitéCIO : En une quinzaine d'années, l'effectif de la CNIL a quadruplé en dépassant aujourd'hui les 200. Quelle évolution voyez-vous dans l'organisation interne de la CNIL ?

Marie-Laure Denis : Nous cherchons à démultiplier les actions car nous devons nous adresser à la fois à tous les individus, aux quatre millions d'entreprises et aux administrations. Nous travaillons notamment avec des « têtes de réseaux » comme les organisations professionnelles. Nous cherchons à toucher tout le monde mais en hiérarchisant nos priorités.
C'est un peu prématuré pour savoir si une réorganisation sera nécessaire car cela dépendra notamment de l'évolution de nos effectifs dans les prochaines années. La CNIL dispose heureusement de compétences et expertises bien reconnues, notamment celles de nos informaticiens et de nos juristes.

CIO : Quels défis avez-vous à relever ?

Marie-Laure Denis : Notre défi principal consiste à continuer d'élever le niveau de confiance dans l'environnement numérique, tout en régulant au plus près des usages. Cela suppose de décrire les systèmes complexes de façon accessible et de réaliser des préconisations en conséquence, par exemple concernant les assistants vocaux ou le cloud. Sur ce dernier point, nous nous intéressons notamment à la migration, à la sécurité, aux contrats, aux notifications de violations et à la conservation des données.
Dès la conception d'un système, il faut prendre en compte la sécurité des données. Pour développer ce réflexe et dans la foulée du dernier Cahier IP « La forme des choix », nous allons lancer une plate-forme d'échanges pour les designers. Ils doivent bien sûr faire preuve d'agilité et de souplesse mais pas au détriment de la conformité.
La protection des données et l'innovation ne sont pas antinomiques.

CIO : Parmi vos préoccupations, vous citez la sécurité. Du coup, y-a-t-il concurrence entre la CNIL et l'ANSSI ?

Marie-Laure Denis : Nos territoires sont très complémentaires. L'ANSSI vise à la protection des organisations tandis que la CNIL recherche la protection des données personnelles des individus. Notre collaboration est très positive. Nous participons depuis deux ans aux côtés de l'ANSSI au mois européen de la cybersécurité. Nous sommes aussi présents au salon FIC depuis trois ans.
En outre, la CNIL est un acteur naturel de la cybersécurité. Le cadre juridique du RGPD consacre le fait que protection des données personnelles et sécurité sont devenues indissociables ; il est aussi une opportunité pour diffuser largement une nouvelle culture de la cybersécurité. La CNIL est compétente pour contrôler le respect de ces obligations, et en sanctionner le non-respect.. Les incidents de sécurité relatifs aux données personnelles doivent être consignés et certains incidents doivent nous être notifiés dans les 72 heures. La CNIL a adopté, en priorité, une démarche d'accompagnement :elle discute avec l'organisation en cause pour juger de la pertinence d'informer les personnes concernées. Au final, le RGPD dispose des clés permettant d'élever le niveau de sécurité à travers la gestion des risques, l'amélioration continue et une gouvernance effective de la protection des données.

CIO : Un des sujets du moment est le contrôle des GAFA. Quelles actions envisagez-vous ?

Marie-Laure Denis : La coopération est très active avec nos homologues concernés, c'est-à-dire là où les filiales européennes ont leurs sièges (Irlande et Luxembourg notamment). Il y a une procédure européenne pour traiter les plaintes, notamment les actions collectives portées par des associations.
La récente sanction de 50 millions d'euros, c'est à dire d'une hauteur inédite, ayant frappé Google en début d'année est un premier signe. Rappelons que, avec le RGPD, la CNIL peut prononcer des sanctions jusqu'à 4 % du chiffre d'affaires mondial.
Réjouissons-nous que le RGPD ait créé un standard élevé en matière de protection des données qui inspire d'autres pays, par exemple le Japon ou le Brésil ou bien un éventuel projet de loi fédéral aux Etats-Unis. Il y a un début de prise de conscience mondiale qui tient compte de la sensibilité nouvelle des utilisateurs. Et il s'agit donc de conforter la confiance des citoyens dans le numérique.