Parallèlement à la présentation de son bilan pour 2017, la CNIL a mis l’accent sur les enjeux pour 2018, avec un accompagnement pour permettre aux organismes publics et privés de comprendre la transition vers le Règlement Général sur la Protection des Données (RGPD) jusqu’au 25 mai et après, et un accompagnement vers l’innovation (cadre éthique et juridique de l’intelligence artificielle notamment). Mais sa Présidente souligne aussi le manque de moyens de l’organisme face à l’étendue de ses missions.
Premier enjeu : accompagner les professionnels pour le RGPD
La CNIL propose depuis quelques mois aux organismes publics et privés un accompagnement pour la transition vers le Règlement Général sur la Protection des Données (RGPD). Celui-ci représente une évolution substantielle du cadre juridique, et repose sur une logique de responsabilisation des organismes qui traitent les données, qu’ils soient directement responsables de ce traitement ou non (sous-traitant)
« Cette notion de responsabilisation (accountability se traduit tout d’abord par l’affirmation de deux principes: la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (souvent connues sous leur nom anglais de privacy by designet by default). Concrètement, cela signifie qu’à la fois en termes d’organisation interne, de configuration des services ou des produits et de nature et volume de données traitées, les responsables de traitements devront mettre en place des processus et mesures permettant de garantir une protection optimale des données et une minimisation de la collecte » explique la CNIL.
Les organismes devront le plus souvent se doter d’un délégué à la protection des données, tenir un registre des traitements, mener des études d’impact sur la protection des données pour les traitements à risque, notifier les failles de sécurité à la CNIL et aux personnes concernées.
La CNIL met dans ce but en place un accompagnement sur plusieurs mois, avec des outils élaborés au niveau européen ou national. A partir de mai, elle exercera un contrôle pragmatique du respect du RGPD.
Deuxième enjeu : accompagner l’innovation
La CNIL compte poursuivre les efforts d’accompagnement de l’innovation et prolonger les travaux entrepris sur le cadre éthique et juridique de l’intelligence artificielle. Pour celle-ci, elle entend même porter la discussion sur la gouvernance éthique à l’échelle internationale. En effet, « la Conférence Internationale des Commissaires à la Protection de la Vie Privée et des Données Personnelles, qui se réunira à Bruxelles en octobre 2018, a choisi l’intelligence artificielle comme sujet de travail. Sa réunion pourrait donner lieu à l’adoption par ses membres d’un texte précisant les grands principes sur lesquels devrait reposer le développement de l’intelligence artificielle » précise-t-elle.
La Commission doit de plus mener des réflexions sur la blockchain – « une technologie, au potentiel de développement fort, progressivement reconnu par le droit français » – ou encore sur le design des données. Elle souligne que « l’arrivée de services numériques reposant sur des modalités d’interaction « naturelles » (voix, geste) attire l’attention sur leur conception tout comme sur l’influence que les designers peuvent avoir sur les choix des personnes. » Ainsi, les intersections des différents champs disciplinaires design, sciences cognitives et comportementales sont des espaces que la CNIL va investiguer dans le cadre de ses activités d’innovation.
Mais la CNIL manque de moyens
La Présidente de la CNIL, Isabelle Falque-Pierrotin,, estime que la Commission est devenue en quarante ans d’existence « une marque reconnue« . « L’augmentation significative du nombre de plaintes depuis trois ou quatre ans illustre à la fois la numérisation croissante de nos sociétés et le besoin exprimé par les acteurs privés et publics d’une plus grande compréhension de ces enjeux. A cet égard la CNIL est identifiée comme un interlocuteur de confiance » a-t-elle déclaré.
Mais pour tout le travail que la CNIL doit réaliser, plaintes et RGPD notamment qui mobilisent ses services, elle a besoin de moyens. En ce qui concerne le RGPD, « c’est une énorme marche à franchir, autant en interne, où il a fallu se réorganiser, former les gens pour qu’ils montent en compétence, mais aussi en externe pour accompagner le plus grand nombre dans cette transformation. »
Actuellement, la Commission est dotée d’un budget de 17 millions d’euros. Mais c’est sur un autre plan humain qu’une nouvelle question se pose : « Je le dis maintenant depuis un an : nos moyens sont insuffisants, on a atteint un point de rupture […]. Là où, dans des pays comparables à la France, nos homologues ont des équipes de 500 personnes, […] nous n’en avons que 200 » explique la Présidente.
