Compte rendu de la 9ème Université des CIL de l'AFCDP

Les dix ans de la création de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel créée en septembre 2004) précédent de peu ceux du décret d’octobre 2005 qui a officialisé la place du CIL (Correspondant informatique et libertés) dans le régime de la protection des données à caractère personnel en France et de son université dédiée dont la 9ème édition était organisée le 27 janvier 2015.

Les tragédies de ce début d’année 2015 étaient encore très présentes dans les esprits. Leurs répercussions se retrouvaient aussi bien dans les contraintes matérielles dues au plan Vigipirate, mais également dans les esprits avec les multiples réactions politiques qui les ont suivies au travers des déclarations liées à la lutte contre le terrorisme par des mesures touchant directement à l’informatique et aux libertés fondamentales. Prévu de longue date, le programme de cette université avait toutefois le mérite d’imposer de la distance avec ces événements.

Ainsi, après les introductions d’usage, la matinée consistait en une succession de conférences sur des sujets d’une grande diversité au cœur des débats sociétaux. Informatique dans les nuages (Cloud computing), ouverture des données publiques, présentation d’un outil de protection de l’identité numérique (Identity mixer), une discussion poussée sur la notion « d’intérêt légitime » présente dans la directive de 95 et dans notre loi informatique et libertés et une conclusion réalisée par Isabelle Falque Pierrotin, présidente de la CNIL.

De ces conférences il faut reconnaître que celle d’ouverture avait de quoi surprendre dans ce décor. Louis Naugès « Chief cloud evangelist » de son entreprise (Revevol), a présenté le passage vers le « nuage informatique » comme un mouvement inéluctable en promouvant par ce biais sans beaucoup de détours les grands acteurs internationaux du marché, plus fiables et plus sécurisés que les tentatives de cloud souverain sous financées. Les problématiques liées à l’externalisation des données de son entreprise vers des serveurs étrangers étaient effleurées pour surtout inciter les CIL présents à accompagner le mouvement d’externalisation pour que celui se passe le mieux possible plutôt que de s’y opposer et le subir. Une approche très optimiste de l’informatique qui n’a pas manqué de faire réagir un public spécialisé dans ses dangers relatifs à la vie privée.

La table ronde consacrée à l’open data, sujet très discuté en 2014, avait le mérite d’insister particulièrement, sans s’y limiter, sur la tension entre ouverture des données et protection des données à caractère personnel. Tous les intervenants1 ont apporté des éléments pertinents sur ces questions. Ils ont relevé, par exemple, les nécessaires réserves de la prochaine loi relative à l’ouverture des données publiques vis-à-vis des dispositions de la loi de 78, la mise en perspective de l’impossibilité d’une certitude absolue que des données ne deviennent potentiellement identifiantes par des recoupements complexes face à l’intérêt potentiel des données, l’importance de la consultation et de l’intégration des CIL dans l’ouverture pour faire émerger une culture qui envisage les deux aspects, etc.

La discussion consacrée à la notion d’intérêt légitime était elle aussi particulièrement intéressante. Les intervenants2 y sont longuement revenus sur l’avis 06/2014 du G29 (association des 29 « CNIL » européennes) du 9 avril 2014 sur la question. Les intervenants présents ont reconnu que celui-ci propose une méthodologie pragmatique pour apprécier et justifier de l’intérêt légitime. Une notion « au cœur » du système de protection qui, pour Bertrand Lapraye, est une des seules où il y a une réelle appréciation souveraine du responsable de traitement, lui permettant notamment de ne pas recueillir le consentement de la personne dont les données sont traitées. Sans retirer une nécessaire appréciation au cas par cas, l’avis propose une méthode d’évaluation multicritères (intérêt de ne pas recueillir le consentement, dangers pour les personnes, limites possibles aux impacts indésirables du traitement…) et propose 26 exemples types ou une réponse est apportée. Du côté de la CNIL, cette notion est utilisée amplement dans les « packs de conformité », outil pratique visant à apporter à des professionnels d’un secteur donné une solution « clef en main » pour respecter la loi informatique et libertés. La notion d’intérêt légitime a donc été présentée comme une souplesse nécessaire du régime encadrée positivement par les lignes directrices de l’avis précité.

En guise de conclusion de la matinée, l’annonce par la Présidente de la CNIL que le règlement européen sur la protection des données serait adopté dans le dernier trimestre de 2015, après le trilogue3 cet été, a obtenu un soupir de satisfaction de public. Le contenu final reste encore en débat, l’obligation pour les grandes entreprises d’avoir un CIL (ou DPO / Data protection officer) ayant été, par exemple, laissée à l’appréciation des États dans la version du Conseil. De la même façon la question du niveau de sanction des entreprises en infraction, via un pourcentage de leur chiffre d’affaires est aussi en débat. Il a toutefois été annoncé que le projet de loi français sur le numérique devrait d’ores et déjà proposer de passer le montant des sanctions à un million d’euros.

Au-delà du projet de Règlement, Isabelle Falque-Pierrotin est revenue sur les actions récentes et à venir de la CNIL, le label « gouvernance Informatique et Libertés » sur lequel les attentes sont fortes, de nouveaux packs de conformités pour le secteur bancaire et social, un accompagnement et des propositions dans le cadre du « droit au déréférencement » (ou droit à l’oubli) notamment pour les mineurs, etc.

L’après midi était quant à elle très dense avec de nombreux ateliers aux thématiques variées. Parmi eux : les plans de conformité avec la LIL, CIL interne c. CIL externe, le Data mining au service de la lutte contre la fraude, l’appréhension de l’analyse d’impact sur la vie privée, le CV anonyme obligatoire, les nouveaux pouvoirs de contrôle en ligne de la CNIL, les dérives de l’IP Tracking, l’oubli numérique, les labels CNIL, le projet MesInfos, la gestion des données donateurs et bénéficiaires dans les associations, la prospective des actions « de concert » (de groupe) s’agissant des données personnelles, et bien d’autres encore.

De très nombreux groupes de travail permettant de découvrir des sujets d’actualité et de réfléchir entre acteurs impliqués à une façon pertinente d’avancer sur ces dossiers.

  • 1. Gaëtan Gorce, sénateur et membre de la CNIL, Henri Verdier, président d’Etalab et administrateur général des données, Anne Josso, secrétaire générale de la CADA, Bertrand Serp président d’Open Data France et Sandrine Mathon, responsable du service administration de la DSI de Toulouse et CIL.
  • 2. Stéphanie Faber, avocate Squire Patton Boggs, Sophie Nerbonne, Directrice de la direction de la conformité à la CNIL et Bertrand Lapraye, CIL d’Alcatel Lucent.
  • 3. Réunion tripartite à laquelle participent des représentants du Parlement européen, du Conseil et de la Commission.