Connexion
Abonnez-vous

Isabelle Falque-Pierrotin (CNIL) : avec le RGPD, l’Europe joue sa crédibilité

Quand Isabelle dore

Isabelle Falque-Pierrotin (CNIL) : avec le RGPD, l'Europe joue sa crédibilité

Le 11 avril 2018 à 14h16

Lors de la présentation de son rapport annuel hier, Isabelle Falque-Pierrotin, présidente de la CNIL, est revenue sur le sujet phare de l’année 2018 : le Règlement général sur la protection des données. Un cap vu comme un véritable pari pour l’Europe.

D’entrée, la présidente de l’autorité indépendante a dénoncé un « marketing de la peur », sur ce texte, « présenté de façon un peu biaisée dans les gazettes et l’opinion publique ». Les ingrédients sont sur la table : un texte complexe, des acteurs qui ne sont toujours pas en conformité alors que le règlement a été adopté en 2016, et le fameux couperet du 25 mai.

Plutôt que de cultiver cette crainte, Isabelle Falque-Pierrotin a préféré une nouvelle fois présenter ce RGPD sous son meilleur angle : « une chance pour l’Europe », un « cadre de confiance », des garanties nouvelles pour le consommateur, une « réponse opérationnelle à la crise de confiance », et enfin une remise en concurrence des acteurs européens face aux gloutons américains.

Pour mémoire, comme expliqué au long de notre trilogie analysant ligne par ligne le règlement, le critère du ciblage utilisé pour définir le périmètre territorial du règlement est très vaste.

Visa européen pour le train du numérique

Seront en effet soumis au RGPD non seulement les entreprises installées en Europe, mais également celles ailleurs qui ciblent ce marché. Conclusion : les valeurs du RGPD vont se propager par-delà les frontières européennes auprès de toutes les entités qui butinent de la donnée personnelle sur le vieux continent. « L’Europe remontre dans ce train numérique ! » s’est enchantée la chef de file de l’institution.

Sur la scène, la CNIL a fort à faire. « IFP » a ainsi rappelé qu’entre 2016 et 2018, elle a démultiplié les campagnes d’information à destination des acteurs. « Sur notre site, toute une série d’outils à destination des acteurs individuels ou des collectivités pour expliquer la logique du RGPD. On a par exemple fourni un logiciel pour mettre en place l’analyse d’impact, des modèles de registres. L’enjeu est d’expliquer et rationaliser le règlement ».

La CNIL compte poursuivre sa collaboration avec les différentes têtes de réseau pour porter la bonne parole, en particulier les fédérations professionnelles, les associations de collectivités locales, avec l’idée que cette pédagogie puisse être relayée le plus horizontalement possible. Plus haut vers le ciel européen, les échanges s’intensifient avec les institutions pour que les nouveaux concepts issus du RGPD bénéficient d’une convergence des régulateurs. Une quinzaine de « guidelines » ont ainsi fait l’objet d’un processus d’adoption.

Le danger d’une approche morcelée

L’urgence est là, doublée d’un danger : une Europe morcelée, par des divergences d’appréciation sur des concepts clefs comme le consentement, le privacy by design, etc. Les juristes savent que de tels défauts sont le terreau idéal pour développer des stratégies de forum shopping, et donc à profiter des faiblesses ou souplesses d’une législation d’un État membre déterminé.

C’est d’ailleurs là l’une des caractéristiques du RGPD : si un règlement s’applique directement et uniformément, cette fois le législateur européen a prévu dans le marbre de nombreuses marges de manœuvre au profit des États membres sur des options cruciales comme les données de santé ou l’âge à partir duquel un consentement peut être exprimé par un mineur.

Ce n’est sans doute pas un hasard si eBay a annoncé fin mars qu’à compter du 1er mai 2018, sa structure eBay GmbH « sera le nouveau responsable de traitement des données » pour le site dans toute l’Europe, exception faite du Royaume-Uni. En clair, l’un des fers de lance du e-commerce a préféré s’installer contractuellement dans le Land de Brandebourg plutôt qu’en France... où d’ailleurs la législation est à la traine, toujours en phase de débat au parlement après l’échec en commission mixte paritaire.

Le RGPD, un pari

Pour la représentante de la CNIL, une certitude : « L’Europe joue gros dans ce règlement. (…) Elle doit faire la démonstration non seulement que ces principes éthiques et généraux sont bons, mais aussi que le nouveau dispositif est efficient et apportera aux acteurs économiques les garanties, la sécurité qu’ils sont en droit d’attendre. À ce stade, c’est un pari. Si on réussit, on aura un standard mondial. Reste à démontrer que cela marche. C’est une épreuve de vérité collective ».

Pour jouer sur le sort, la CNIL va démultiplier les démarches, et ce à un mois et 14 jours du RGPD : un modèle de registre simplifié, outre des modèles types de mentions d’information, et toujours ce fameux guide pour les PME/TPE corédigé avec la BPI qui est annoncé la semaine prochaine. 

S’agissant des startups, Geoffrey Delcroix, en charge du laboratoire d’innovation (LINC) à la commission, décrit la stratégie développée : un accompagnement au plus près de ces acteurs qui n’ont pas souvent les ressources à déployer lors des levées de fonds.

« On veut qu’ils aient un rôle majeur dans le succès de la mise en œuvre du règlement notamment au niveau international en saisissant ses opportunités, dans des solutions innovantes ». L’idée ? Les transformer en fer de lance sur le privacy by design, la transparence, la portabilité des données… Autant d’exemples à faire reluire auprès des autres structures peut être moins motivées à sauter le pas.

Des sanctions monstres, une approche pragmatique

S’agissant du volet des sanctions, qui miroite systématiquement dès lors qu’un article évoque le RGPD, la présidente de l’autorité assure que son attitude sera « extrêmement pragmatique ».

Comme elle nous l’avait déjà expliqué, Isabelle Falque-Pierrotin rappelle que le RGPD s’appuie sur un des concepts et principes qui existent dans le droit positif depuis 40 ans en France. Cela concerne les finalités, une bonne partie des droits des personnes. L’épisode règlementaire va donc être l’occasion d’un « effort de rattrapage » d’un certain nombre d’acteurs sur lequel il serait surprenant qu’il y ait de généreuses mansuétudes.

Soufflant le chaud et le froid, la présidente considère qu’à partir du 25 mai, les régulateurs joueront leur crédibilité dans la mise en oeuvre du cadre européen. « Il n’y aura pas de période de grâce. » Néanmoins, la CNIL ne veut pas nécessairement d’un « tableau de chasse » garni de trophées, préférant s’engager dans une logique d’accompagnement et de montée en apprentissage. « On prendra en compte les efforts, la bonne foi,  du type d’entreprises, etc. Le but est de faire en sorte que les acteurs s’approprient ces nouvelles notions, pas au régulateur de gérer un quantum de sanction ».

Les préoccupations de la CNIL

L’épisode français du projet de loi sur les données personnelles, en discussion au Parlement, a suscité une vive déception au sein de l’institution et spécialement l’échec de la commission mixte paritaire où sénateurs et députés n’ont pu trouver un terrain d’entente. « Cet échec est à nos yeux extrêmement préoccupant ».

La préoccupation se concentre évidemment sur le calendrier : « nous avons un objectif opérationnel absolu. Il faut que la loi soit finalisée avant le 25 mai. Si elle ne l’est pas, l’insertion de la CNIL dans la coopération européenne sera très difficile », typiquement dans le cadre d’une plainte transfrontière qui exige la collaboration entre les autorités de contrôle de plusieurs États membres.

Autre inquiétude : les ressources. « Tous les métiers de la CNIL craquent comme au sein d’un habit un peu étroit ». Alors que le nombre de postes en place reste presque constant année après année, le RGPD va mobiliser davantage les ressources humaines de la commission, notamment sur la question des failles de sécurité où l'intervention de la commission était cantonnée jusqu’à présent aux seuls fournisseurs d’accès Internet. « Nous avons besoin d’une augmentation substantielle de nos ressources. » Le message a été transmis au gouvernement et la réponse est attendue lors de la prochaine loi de finances.

Cambridge Analytica, hors des clous des sanctions du RGPD

L’affaire Cambridge Analytica, qui concerne Facebook, ne sera en tout cas pas le levier attendu pour garantir cette quête de crédibilité. Les faits étant antérieurs à l’entrée en application du RGPD, les protagonistes reconnus coupables ne seront soumis qu’aux sanctions antérieures, soit pour la France un maximum d’un million d’euros.

Le G29, qui regroupe les autorités de contrôle, a souligné le 21 mars que la CNIL britannique, rejointe depuis par son homologue irlandais, menait actuellement une enquête. Les membres du groupement ont promis par ailleurs de travailler ensemble sur le dossier. Qu’en dit la commission française ? « Nous attendons d’avoir le retour de leur part avant de savoir si nous-mêmes sommes compétents pour engager des contrôles. Nous allons très certainement faire quelque chose, est-ce que cela sera de façon autonome ou dans le cadre du G29 ? Cela n’a pas été élucidé ».

En tout cas, pour Isabelle Falque-Pierrotin, « c’est un dossier qui prend la logique et les arguments de ces grands acteurs à revers. Il est particulièrement utile ».

Selon elle, l’affaire écorne les messages de ces ardents défenseurs de la transparence, de la démocratie, de la liberté d’expression et de la communication. « L’effet d’image est particulièrement négatif. Est-ce que cela va nous aider ? Oui. Cela fait monter la prise de conscience. On dénonce ces pratiques depuis plusieurs années, mais nous avions un peu de mal à dire aux personnes que la combinaison des données collectées à leur insu pouvait être préoccupante. On voit aujourd’hui le risque de manipulation politique. Sur le plan pédagogique, la pédagogie par le drame, c’est utile. »

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Les ingrédients sont sur la table : un texte complexe, des acteurs qui

ne sont toujours pas en conformité alors que le règlement a été adopté

en 2016, et le fameux couperet du 25 mai.



 

D’ailleurs, parmi les acteurs qui ne sont pas en conformité, on citera la CNIL avecses propositions de modèles de mentionqui ne sont pas à jour…

<img data-src=" />



&nbsp;Le pire dans tout ça étant quand même nos parlementaires qui se chamaillent et qui a un mois de la mise en place du RGPD n’ont toujours pas résolus les mille et unes questions d’ordres pratiques auxquelles devait répondre le vote du nouveau texte.



&nbsp;

&nbsp;J’avoue que ça me fait quand même un&nbsp; peu marrer de demander aux pros

d’être conforme pour le 25 mai quand les instances de contrôle sont

incapables de l’être et que les textes risquent encore de changer d’ici le 25 mai.



&nbsp;

votre avatar

«&nbsp;Autre inquiétude : les ressources. «&nbsp;Tous les métiers de la CNIL craquent comme au sein d’un habit un peu étroit&nbsp;». Alors que le nombre de postes en place reste presque constant année après année, le RGPD va mobiliser davantage les ressources humaines de la commission, notamment sur la question des failles de sécurité où l’intervention de la commission était cantonnée jusqu’à présent aux seuls fournisseurs d’accès Internet. «&nbsp;Nous avons besoin d’une augmentation substantielle de nos ressources.&nbsp;» Le message a été transmis au&nbsp;gouvernement et&nbsp;la&nbsp;réponse est attendue lors de la prochaine loi de&nbsp;finances.&nbsp;»



&nbsp;      



&nbsp;Principe de réalité &gt; droits fondamentaux&nbsp;<img data-src=" />, Madame la Présidente de la Cnil.

&nbsp;

&nbsp;NB: ceci est une caricature&nbsp;<img data-src=" />

votre avatar

Pragmatique… je demande à voir.



Les modèles d’analyse de risque proposés par la CNIL sont déjà très subjectifs. Rien que parler d’impact moraux (défini comme une “Souffrance physique ou morale, préjudice esthétique ou d’agrément.”) c’est subjectif. Alors faire une cotation de la gravité d’un impact moral…

votre avatar







127.0.0.1 a écrit :



Pragmatique… je demande à voir.



Les modèles d’analyse de risque proposés par la CNIL sont déjà très subjectifs. Rien que parler d’impact moraux (défini comme une “Souffrance physique ou morale, préjudice esthétique ou d’agrément.”) c’est subjectif. Alors faire une cotation de la gravité d’un impact moral…





Sur le DPIA la CNIL se distingue tout particulièrement: le modèle de DPIA fictif est digne d’Astérix et les 12 travaux avec la mission dans l’administration, plutôt que de coller au texte de la RGPD sur la DPIA (qui est déjà pas toujours très clair), ils y mélangent d’autres aspects qui font qu’à la fin c’est plus incompréhensible que le seul texte de la RGPD!



C’est simple il vaut mieux ne pas la regarder et s’en tenir à la lettre de la RGPD pour au moins tenter de border ce que doit être une DPIA. (le schéma final qui se veut récapitulatif est à hurler de rire, ils peuvent embaucher des gens pédagogues ^^ ).



&nbsp;





js2082 a écrit :



&nbsp;

&nbsp;J’avoue que ça me fait quand même un&nbsp; peu marrer de demander aux pros d’être conforme pour le 25 mai quand les instances de contrôle sont incapables de l’être et que les textes risquent encore de changer d’ici le 25 mai.&nbsp;





Non mais il faut être réaliste, c’est (encore) une occasion ratée.


votre avatar

Au nom de l’humour, le fameux schéma (attention 4M pour pas grand chose et sur un serveur asthmatique) :&nbsp; <img data-src=" />

https://www.cnil.fr/sites/default/files/atoms/files/171002_fiche_risque_fr_cmjk.pdf

votre avatar

Je déteste ce genre de schéma absolument incompréhensible alors qu’une fiche bien rédigée fait mieux l’affaire et est plus efficace (et accessible, tout le monde ne lit pas avec ses yeux et en plus là c’est écrit tout petit et agrandir rend le schéma encore moins lisible).

&nbsp;

C’est censé aider les gens ce truc-là ? Visuellement on a l’impression d’un beau cercle vicieux <img data-src=" />



Je vais en rester sur le texte de la RGPD, les articles de Next-Inpact et ce texte fait pour les webmestres (de mon CMS préféré en l’occurrence mais qui peut servir à tout le monde) :

&nbsp;

https://contrib.spip.net/Recap-RGPD-webmestres-SPIP

votre avatar







numerid a écrit :



Je déteste ce genre de schéma absolument incompréhensible alors qu’une fiche bien rédigée fait mieux l’affaire et est plus efficace (et accessible, tout le monde ne lit pas avec ses yeux et en plus là c’est écrit tout petit et agrandir rend le schéma encore moins lisible).

&nbsp;

C’est censé aider les gens ce truc-là ? Visuellement on a l’impression d’un beau cercle vicieux <img data-src=" />



Je vais en rester sur le texte de la RGPD, les articles de Next-Inpact et ce texte fait pour les webmestres (de mon CMS préféré en l’occurrence mais qui peut servir à tout le monde) :

&nbsp;

https://contrib.spip.net/Recap-RGPD-webmestres-SPIP





Si je tape allégrement sur les députés et les sénateurs et plus encore sur le Gouvernement s’agissant des délais et approximations invraisemblables de la Loi d’adaptation (plus des ordonnances futures) de la RGPD, la CNIL est tout aussi fautive: on a les quelques lignes directrices du G29 (qui devient le Comité) qui ont été traduites il y a quelques semaines seulement, une communication totalement infantilisante, et trois guides techniques qui se battent en duel qui sont très peu accessibles même pour les spécialistes de la matière…



La CNIL manque de moyens c’est une réalité, en revanche sur l’élaboration de guides pratiques son retard est impardonnable.


votre avatar

Je te fais un résumé : s’il y a un risque de fuite de données personnelles, il faut le minimiser. <img data-src=" />





Je confirme le manque de moyens de la CNIL : des fautes de grammaire dignes d’un (mauvais) élève de CE2, ça pique un peu dans un document officiel.

votre avatar

Entre nous, s’ils s’étaient contentés d’une simple fiche en texte plus facile à corriger, ils auraient fait l’économie du graphiste pour la mise en forme ce schéma illisible et ça leur aurait sans doute coûté moins cher s’ils n’ont pas de graphiste maison.

votre avatar

J’espère sincèrement que cette bouse a été commise par un stagiaire de 3e, parce que si c’est une production professionnelle, c’est triste. C’est clair comme du jus de boudin, les pictogrammes alourdissent le propos au lieu de l’expliciter, on est loin de l’œuvre d’art !

Isabelle Falque-Pierrotin (CNIL) : avec le RGPD, l’Europe joue sa crédibilité

  • Visa européen pour le train du numérique

  • Le danger d’une approche morcelée

  • Le RGPD, un pari

  • Des sanctions monstres, une approche pragmatique

  • Les préoccupations de la CNIL

  • Cambridge Analytica, hors des clous des sanctions du RGPD

Fermer