Dans l'avant-propos du Rapport d'activité 2012 qui vient d'être publié, Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL), donne le ton: celui de l'audace.
"Interrogée à mi-année sur le mot qui décrivait le mieux l'état d'esprit qui devait guider la CNIL en 2012, j'avais parlé d'audace. C'est cette audace qui devait nous permettre d'innover, de repenser la régulation, de renouveler notre action et nos outils pour faire face aux différentes mutations structurelles liées au développement du numérique."
(Source: Rapport d'activité 2012, p. 4)
Cette audace s'illustre au travers les activités / actions de la CNIL en 2012, notamment :
- information du public: intervention dans les médias tous les vendredis (Partenariat France Info), mise en place de vidéos visant à sensibiliser les jeunes aux enjeux des réseaux sociaux, de tutoriels sur les smartphones ou encore sur comment limiter ses traces sur Internet, publications de guides (téléphonie, vidéosurveillance/vidéoprotection (p. 40-41), gestion des risques sur la vie privée (p. 43), par exemple), présence sur les réseaux sociaux, etc.
- délivrance de "labels CNIL" qui, d'une part, "permet[tent] aux organismes de se distinguer en garantissant un haut niveau de protection des données" et, d'autre part, constituent "pour les utilisateur, (...) un indicateur de confiance qui permet ainsi d'identifier et de privilégier les organismes respectueux de leurs données" (p. 36).
- reconnaissance du rôle essentiel des correspondants "Informatique et Libertés", rôle "consacré par le projet de Règlement européen" (p. 38-39).
- réception et le traitement des notifications de violation de données personnelles - même si en 2012, le nombre de notification est faible compte tenu du fait "que les modalités de mise en oeuvre de cette nouvelle obligation n'ont été que récemment fixées", la CNIL est d'avis que "dans les mois et les années à venir, cette nouvelle mission aura des conséquences sensibles sur l'activité de la CNIL qui devra non seulement traiter les notifications des fournisseurs de services de communications électroniques, mais également accompagner ces derniers dans l'appréciation et la mise en oeuvre de mesures de protection efficaces" (p. 52-53).
- réflexion autour de la modernisation de la Convention 108 du Conseil de l'Europe, des Lignes directrices de l'OCDE, mais surtout du cadre européen de protection des données personnelles (p. 65-66).
- Concernant le cadre européen, la CNIL rappelle qu'elle voit une source d'insécurité juridique dans le fait que
- "lorsqu['une] entreprise a des établissements dans plusieurs États membres, l'autorité du pays de l'établissement principal de l'entreprise aurait, selon le projet initial, une compétence exclusive";
- les entreprises pourraient "encadrer les transferts de données hors UE grâce à des instruments juridiques non contraignants ou résultant d'une autoévaluation des risques par le responsable de traitement"; ou encore
- la Commission européenne se voit octroyer le pouvoir "d'adopter des actes délégués et d'exécution dans un nombre important de domaines"
Cette audace se retrouve également dans les différentes études menées par la CNIL, plus particulièrement celles ayant trait à la place des photos dans la vie numérique (p. 16-19), à l'informatique en nuage (p. 28-29), aux compteurs communicants (p. 32-34), aux règles de confidentialité de Google (p. 67-68), à la vie privée à l'horizon 2020 (p. 70-72).
Elle se reflète enfin dans les sujets de réflexion mis de l'avant par la CNIL pour 2013, à savoir:
- le concept de big data (p. 80-82): la CNIL rappelle que "les opportunités offertes par le Big Data sont aujourd'hui majoritairement valorisées dans le domaine du marketing et de la publicité pour des usages d'analyse des données sur le comportement des consommateurs dans le but de mieux anticiper leurs attentes" et que "dans le domaine de la sécurité publique, il s'agit d'agréger et d'analyser un ensemble de données sans le but de détecter les comportements "anormaux" et d'anticiper les menaces criminelles".
- Partant "l'extrême diversité des données susceptibles d'être analysées, la puissance de calcul permise par les technologies du Big Data, combinées aux capacités de stockage offertes par le cloud conduisent ainsi à s'interroger sur l'effectivité des principes "Informatique et Libertés" appliqués au Big Data ... ou encore "la démocratisation de l'accès à cette puissance de calcul autorise de telles potentialités de croisement et de recoupement de données (pour beaucoup cependant anonymes au départ) qu'elles ouvrent bien évidemment des possibilités infinies de profilage voire de ré-identification des personnes. L'eldorado du Big Data est constitué par ces informations qui ne sont pas nominatives a priori mais qui, grâce au volume de traces ou d'informations en réseaux combinées à d'autres sources, permettent de créer de nouvelles données directement ou indirectement nominatives. En ce sens les technologies du Big Data questionnent l'effectivité des techniques d'anonymisation".
- le droit à l'oubli numérique (p. 83-84): la CNIL considère qu'"il est nécesaire de s'interroger collectivement sur l'effectivité réelle de ce droit à propos duquel s'exprime une demande social importante", notamment en examinant la possibilité "d'offrir aux utilisateurs des fonctionnalités leur permettant de définir une date de "péremption" de leurs publication ou de gérer leurs propres publications en leur offrant directement la possibilité de les modifier ou de les supprimer", en recourant à une "obligation de déréférencement à la charge des moteurs de recherche" ou encore en prévoyant un "droit à la portabilité".
- la biométrie (p. 85-86): la CNIL souhaite s'interroger sur "la perception par les utilisateurs des dispositifs biométriques", sur "le rôle de la CNIL face à l'essor de ces dispositifs" et sur "les instruments proposés par la CNIL à disposition des responsables de traitement".
Pour plus de détails sur le 33e Rapport d'activité, voir:
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS,
- Rapport d'activité 2012, Paris, Direction de l'information légale et administrative, 2013.
- "Bilan 2012 : une activité en hausse et un pilotage de la conformité au cœur du métier de la CNIL", Actualité, 23 avril 2013.