Entretien réalisé par Arnaud Chneiweiss et Daniel Zajdenweber

Risques : Comment la Cnil perçoit-elle ce que l’on appelle le big data ? Quel est son impact sur la protection du consommateur ?

Isabelle Falque-Pierrotin : Le terme big data cristallise un changement d’époque. La Cnil a été créée à la fin des années 1970 pour protéger la vie privée des citoyens par rapport aux grands fichiers publics. C’était un univers simple, assez statique. Le big data – et avant lui, le numérique au sens large – décrit un univers différent. Nous sommes passés des fichiers aux données. Les données sont partout. Elles sont produites par les individus ou les entreprises, utilisées par l’ensemble des acteurs publics et privés. Le régulateur n’évolue plus dans le même univers. Il doit s’intéresser à l’usage qui est fait de ces données et non plus seulement à leur collecte. Il y a un foisonnement de données que l’on n’arrive pas toujours à contrôler et que l’individu a du mal à appréhender. On ne sait pas a priori quelles vont être les finalités pertinentes, puisque c’est justement par ce croisement un peu à l’aveugle des données qu’éventuellement de nouveaux services peuvent naître.

Un certain nombre d’acteurs utilisent ces interrogations pour tenter de déconstruire le modèle de régulation à l’européenne, qui est effectivement un modèle spécifique. Pour nous, la donnée personnelle est un actif immatériel. Mais c’est surtout l’élément d’une liberté fondamentale et, en tant que tel, quel que soit l’usage de celle-ci, elle doit être protégée. En Europe, notre approche de la donnée est moins quantitative et moins consumériste que les approches anglo-saxonnes. La question que pose le big data est de savoir si notre régulation est assez robuste pour digérer cette phase nouvelle de l’univers numérique. Je suis convaincue que oui et, d’ailleurs, nous nous sommes déjà, à la Cnil, adaptés. Avant même le big data, la Cnil était passée d’un encadrement des fichiers publics à une régulation des données personnelles, ce qui impose de travailler différemment par rapport à il y a vingt ans. Qu’est-ce qui est nouveau chez nous ? Notre mission reposait au début sur l’encadrement a priori des fichiers par des formalités préalables de déclaration, d’autorisation, etc., et un peu sur la sanction. Il est évident, dans un univers numérique d’explosion de la donnée, qu’une démarche de ce type ne peut pas suffire car elle nous condamnerait à ne prendre en compte qu’une petite fraction de la réalité du numérique. Nous avons donc recentré, depuis trois ou quatre ans, notre activité sur l’accompagnement de la conformité. Concrètement, nous proposons de nouveaux outils aux acteurs qui utilisent des données personnelles, qu’ils soient publics ou privés, leur permettant d’intégrer la protection des données personnelles dans leur fonctionnement quotidien. Le big data intervient dans cet univers-là, qui est déjà un univers de profonde mutation, à la fois de l’environnement, mais aussi de la manière dont le régulateur fonctionne.

La question que pose le big data n’est donc pas de changer nos principes mais de travailler sur de nouveaux outils d’encadrement qui donneront d’ailleurs aux entreprises un avantage concurrentiel.

Risques : Lorsque les assureurs automobiles, il y a quelques années, ont tenté l’expérience du Pay As You Drive (PAYD)1, la Cnil a émis des réserves sur cette collecte de données. Pouvez-vous nous en expliquer les raisons ?

Isabelle Falque-Pierrotin : Nous craignions qu’un ciblage de plus en plus fin des modalités de conduite des assurés n’aboutisse en fait à contrôler la vitesse limite des automobilistes. Les assureurs auraient ainsi détenu un fichier d’infractions, c’est la raison qui a motivé dans un premier temps notre refus. Nous avons dans un deuxième temps autorisé le Pay As You Drive, après nous être assurés que l’utilisation qu’en feraient les assureurs ne visait qu’à moduler les primes d’assurance en fonction de la manière dont les gens conduisent, mais en aucun cas d’enregistrer les vitesses excessives de ceux-ci.

Cet exemple est intéressant. Il montre que la position de la Cnil, contrairement au ressenti général, n’est pas figée. L’idée que la Cnil s’opposerait systématiquement à la lutte contre la fraude ou qu’elle s’opposerait aux aspects positifs en termes d’innovation qu’apporte le big data, n’est pas étayée par la réalité. À chaque fois qu’elle a été saisie d’une demande, elle a trouvé une réponse. Ces sujets (l’interconnexion de fichiers, la segmentation toujours plus fine des clients), ne sont pas en soi contraires à la Loi informatique et libertés. La seule chose que demande celle-ci, ce sont des garanties en termes de liberté des individus.

Et ces garanties peuvent aussi être porteuses de valeur ajoutée pour l’entreprise. Aujourd’hui, dans la relation client, il me semble que la ressource rare, c’est le client lui-même. Si celui-ci n’a pas confiance dans l’offreur de service, que ce soit un prestataire d’assurance, un commerçant électronique… il peut changer de fournisseur. Il y a une volatilité beaucoup plus forte, du fait du numérique, des consommateurs et des clients. La protection des données personnelles est un élément de construction d’une relation de confiance et de qualité avec des clients qui s’attachent ainsi à leurs prestataires. Une maturité des données personnelles commence à se mettre en place. Il commence à y avoir des offres, quel que soit le secteur, qui assurent une protection des données personnelles supérieure à celle de leurs concurrents et qui, de ce fait, gagnent des clients sur cet argument-là. Il est évident que la Loi informatique et libertés impose des garanties en termes de protection des données personnelles. Ces garanties peuvent devenir des avantages compétitifs si elles sont bien mises en œuvre en répondant au besoin de confiance exprimé par nos concitoyens.

Risques : De nouveaux acteurs apparaissent sur le marché de l’assurance : les comparateurs Internet. Quelle transparence imposer à ces comparateurs d’assurance qui semblent moins réglementés que les assureurs traditionnels ? Cette préoccupation fait-elle partie de votre champ d’action ?

Isabelle Falque-Pierrotin : Dans votre secteur, comme dans d’autres, apparaissent de nouveaux acteurs qui profitent de leur situation privilégiée dans la maîtrise d’un certain nombre de données de clients pour passer de leur secteur traditionnel d’activité à un autre. Google, Facebook ou d’autres sont dominants sur un secteur, sur un marché (le marché de la recherche, le marché de la publicité ciblée), et, se servant de cette position dominante, investissent de nouvelles activités et provoquent dans ces nouvelles activités des effets économiques qui sont tout à fait préoccupants pour les acteurs traditionnels. Banque, Assurance, Santé sont concernés par ce problème.

Nous sommes là à la marge des compétences de la Cnil. En revanche, il est essentiel que, lorsqu’on analyse ces mécanismes concurrentiels, on ait à l’esprit les conséquences, en termes de protection des données de cette concentration de données. En effet, dans la plupart des cas, quand il y a concentration de données au profit d’un acteur, le consommateur final perd en transparence sur l’utilisation de ses données. Nous avons, dès lors, une négociation avec ces acteurs, pour les obliger à ouvrir leurs « boîtes noires » justement dans l’utilisation qu’ils font ou qu’ils ne font pas des données personnelles pour tel ou tel service. Nous menons, ainsi, vis-à-vis de Google une action répressive au côté de cinq autres autorités européennes de protection de données concernant la nouvelle politique de vie privée de cette société.

Tous les services de Google sont agrégés en termes de politique de confidentialité à travers un document unique, ce qui permet à Google de combiner toutes les données qu’il collecte sur vous quel que soit le service de Google que vous utilisez. C’est très puissant en termes de valeur pour l’entreprise, mais le consommateur final ne sait pas précisément à quoi ses données sont utilisées. Avec les autres autorités européennes, nous avons condamné et incité Google à nous dire ce qu’il fait avec les données et à donner la possibilité aux consommateurs de consentir ou non à cette combinaison. Il ne s’agit pas de dire que la combinaison de données n’est pas possible mais d’avoir plus de transparence vis-à-vis des clients et de leur permettre de maîtriser l’utilisation de leurs données personnelles.

Maintenant et pour en revenir au cas que vous évoquiez, ce n’est pas parce que les comparateurs sont une catégorie d’intermédiaires nouvelle qu’il n’y a pas de réglementation. Prenons un exemple, la collecte de données d’infractions pour établir un devis est soumise à un régime d’autorisation ; la législation informatique et libertés a bien vocation à s’appliquer.

Risques : La Cnil est compétente sur le territoire de la République française. Le secteur de l’assurance est international. Dans ce contexte, comment faire en sorte que les acteurs d’assurance localisés sur le territoire français ne soient pas pénalisés par des acteurs qui se localisent sur des territoires moins réglementés ?

Isabelle Falque-Pierrotin : La réponse de l’Europe, c’est le projet de règlement européen qui vise deux choses. Premier volet, harmoniser les législations européennes. Aujourd’hui, on a une directive de 1995 qui est transposée, parfois vue un peu différemment, par vingt-huit États. L’idée, c’est d’avoir un règlement européen qui soit immédiatement et uniformément applicable dans tous les pays de l’Union européenne. Deuxième volet, vis-à-vis de l’extérieur, nous voulons que toute entreprise offrant des prestations de services à des résidents européens, qu’elle soit ou non établie en Europe, soit soumise au droit européen, au règlement européen. Ces deux volets permettront de limiter le phénomène de dumping que vous décrivez et d’assurer un marché européen unifié de la donnée et une égalité de concurrence par rapport aux acteurs extérieurs. Il restera ensuite à traiter le sujet de la gouvernance européenne, c’est-à-dire le dispositif permettant aux autorités d’intervenir et de coopérer entre elles.

Sur ce sujet, le débat parlementaire et au sein du Conseil dure depuis de nombreux mois. Au G292, nous sommes arrivés à une position équilibrée conciliant le guichet unique pour les entreprises, et en même temps un critère de proximité permettant aux consommateurs de saisir leur Cnil locale et leur tribunal local. Il était important de montrer que l’Europe était unie face aux grands acteurs mondiaux et ne laissait aucune part à du dumping intracommunautaire. Il ne s’agit pas simplement des données personnelles, mais aussi des consultants, des tiers certificateurs qui font de la conformité. En fait, c’était toute l’économie numérique qui risquait de se localiser dans un nombre limité de pays européens.

Risques : La profession de l’assurance est très réglementée avec parfois des demandes contradictoires. On nous demande par exemple de trouver les bénéficiaires de contrats d’assurance-vie en déshérence, mais on nous refuse l’accès au numéro de Sécurité sociale (NIR) qui nous permettrait de savoir si le bénéficiaire est vivant. Quelle perception en avez-vous ?

Isabelle Falque-Pierrotin : La sphère publique dans son ensemble doit travailler à sa simplification et à sa lisibilité pour ses interlocuteurs. Au niveau de la Cnil, nous avons entrepris, depuis plusieurs mois, d’alléger et de simplifier les formalités préalables et nous allons accentuer ce mouvement pour nous recentrer sur la fonction principale qui est désormais la nôtre, l’accompagnement et le pilotage de la conformité.

Dans cette simplification, nous avons souhaité faire, dans la mesure du possible, de l’inter-régulation. J’estime que les régulateurs doivent travailler ensemble lorsqu’ils interviennent sur des sujets connexes, que ce soit la régulation de l’assurance, la lutte anti-blanchiment et la protection des données personnelles. Ainsi, en matière de lutte contre le blanchiment, on a travaillé avec l’autorité financière pour essayer d’harmoniser nos demandes, pour que vous ne soyez pas sollicités plusieurs fois. Cela ne diminue en rien notre autorité sur notre secteur, et cela permet d’être plus efficace par rapport à nos interlocuteurs. Pour aller plus loin, nous avons créé les « packs de conformité », sous l’autorité de la direction de la Conformité qui vient d’être créée au sein de la Cnil. Cette direction de la Conformité est organisée par secteurs de « clientèle ». L’idée des packs de conformité est d’identifier les besoins stratégiques des différents secteurs à trois ou quatre ans, de traduire cela en besoins « informatique et libertés » et in fine de construire avec eux un schéma de développement. Nous aurons un responsable Banque et Assurance.

Risques : Que pensez-vous de l’affaire Snowden ?

Isabelle Falque-Pierrotin : Cette affaire m’a profondément choquée, tout comme elle a choqué les régulateurs européens. C’est la raison pour laquelle un certain nombre d’entre nous et les représentants du Canada et du Mexique ont rencontré à Washington les parlementaires du Congrès et le conseiller du président Obama. La surveillance par les services de renseignements, cela n’est pas nouveau. Mais il y avait un pacte tacite qui faisait que cette surveillance était ciblée sur les personnes et les populations à risque.

Avec Snowden, il est apparu clairement que l’on pouvait surveiller tout le monde tout le temps et que, d’une certaine manière, la présomption d’innocence s’était inversée au profit d’une présomption de culpabilité. C’est un changement majeur de paradigme politique et du rôle qu’on assigne dans un état démocratique à la surveillance pour des raisons de terrorisme ou de sûreté de l’État. A la Cnil, nous avons été mobilisés sur ce sujet et le G29, c’est-à-dire toutes les Cnil européennes, a publié une opinion sur ce sujet qui dépasse d’ailleurs la relation transatlantique Europe/États-Unis. En fait, ce sujet concerne les citoyens de tous les États du monde. Aujourd’hui, pour des raisons d’interdépendance généralisée du fait des nouvelles technologies entre les États et les entreprises, nous sommes dans une situation de vulnérabilité nouvelle. Ceci justifie-t-il de mettre en permanence toute la population sous surveillance ? Dans un État de droit, cela n’est pas acceptable. Je crois aussi que la question que nous pose l’affaire Snowden, c’est la place de « l’individu » dans ce système.

Risques : Quels sont les grands risques du point de vue de la Cnil ? D’où peuvent venir les attaques et comment envisagez-vous de les prévenir ?

Isabelle Falque-Pierrotin : Tout d’abord, les risques ne sont pas les mêmes pour les entreprises, pour les individus et les risques collectifs. Pour la Cnil, le risque collectif majeur, c’est la mise en place d’une société de surveillance. On voit bien qu’avec les technologies disponibles, pas chères, très puissantes, on est en train d’abandonner collectivement une partie de nos libertés. Il y a un moment où nous devrons dire jusqu’où nous sommes collectivement prêts à aller.

Au niveau des entreprises, les risques concernant les données personnelles sont des risques beaucoup plus importants que par le passé et très diffus. Prenez l’exemple de Sony. Ils avaient un site en ligne sur lequel les gens jouaient et avaient un compte de joueur. Ils ont eu une faille de sécurité et les cartes bancaires, les identités des comptes, etc. se sont retrouvées dans la nature. Ce fut une catastrophe sur le plan de l’image de Sony. Ils ont réalisé tout d’un coup que la pérennité de leur activité économique imposait une sécurisation beaucoup plus forte des données de leurs clients. Les entreprises doivent absolument intégrer la place nouvelle des données personnelles dans leur modèle économique et, de ce fait, mettre en place une véritable gouvernance des données au sein de l’entreprise, réfléchir aux enjeux et aux conséquences par rapport à leurs clients, par rapport à leurs salariés.

Autre exemple. De plus en plus d’entreprises utilisent les appareils de leurs employés, le Bring Your Own Device3, le BYOD. C’est très commode, vous n’avez pas un ordinateur professionnel et un ordinateur personnel. Mais cela crée de nouvelles fragilités pour les systèmes informatiques des sociétés qu’il faut aussi intégrer. Pour les entreprises, prendre en compte le BYOD, c’est un nouveau défi en termes de sécurité informatique mais aussi en termes de responsabilité juridique.

Pour les individus, le risque de ce nouvel univers numérique, c’est de perdre la maîtrise. Cet émiettement, cette fragmentation des données personnelles utilisables par finalement n’importe qui, est une atteinte directe aux droits de l’individu. Celui-ci peut perdre son libre arbitre : on consomme de plus en plus ce que les autres veulent bien nous offrir en fonction d’une analyse de ce que nous serions, de ce que nous aimons et de ce que nous allons faire demain. Mais sommes-nous vraiment réductibles à notre nuage de données ? Nous avons peut-être envie de consommer justement quelque chose dont on n’a même pas idée, d’inattendu.

Note

  1. Boîtier, installé dans la voiture, qui permet de suivre le comportement du conducteur et en fonction des résultats, de concevoir une tarification.
  2. G29 : groupe de travail « article 29 » sur la protection des données, institué par la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le G29 regroupe les vingt-huit autorités nationales de protection de l’Union européenne.
  3. Apportez votre propre matériel.

Tous droits réservés © 2019 Agence France-Presse