Thomas Dautieu, directeur de la conformité juridique de la CNIL, explique dans une interview accordée à Next pourquoi, et comment, l'autorité indépendante a lancé des dispositifs d' « accompagnement renforcé » d'entreprises privées.

Peu avant la dissolution de l’Assemblée Nationale, un projet de loi de simplification de la vie économique était étudié au Sénat. Dans le texte, un amendement visait à réduire l’obligation de transparence de la CNIL en matière d’accompagnement des entreprises.

• La loi « simplification de la vie économique » réduirait la transparence de la CNIL

Si les travaux du Sénat sont suspendus jusqu’à l’élection d’une nouvelle Assemblée nationale (s’il ne siège pas, les travaux en commissions et les missions d’information, eux, continuent), Next a tout de même voulu en savoir plus sur la position de la Commission. Thomas Dautieu, son directeur de la conformité juridique, a répondu à nos questions.

> Dans quel cadre la CNIL accompagne-t-elle les entreprises ?

La CNIL est engagée depuis 20 ans dans une stratégie qui repose sur deux grands axes [la loi informatique et libertés de 1978 avait en effet profondément été mise à jour, revue et corrigée en 2004, NDLR]. Il y a l’aspect répressif, d’abord, pour lequel nous recevons entre 14 000 et 15 000 plaintes par an et prononçons environ 400 sanctions. Par ailleurs, au regard de l’évolution des textes, nous avons toujours considéré qu’on ne pouvait pas se contenter de délivrer des amendes, mais qu’il fallait expliquer le cadre de la protection des données aux administrations et aux entreprises.

Cet accompagnement se résume dans une charte de l’accompagnement des professionnels (.pdf). Un niveau relève du droit souple : ce sont des recommandations, des lignes directrices, des fiches, pour aider les responsables de traitement, à savoir ce qu’attend le régulateur sur tel ou tel point. Un deuxième niveau, plus individuel, s’adresse à des administrations ou des entreprises. Ça existe depuis longtemps, sous forme de permanence téléphonique ou de réponses à des demandes de conseil, dans la limite de nos moyens [la CNIL déclarait 288 emplois fin 2023, NDLR].

• Intelligence artificielle : la CNIL veut (re)concilier « innovation et respect des droits »

Depuis un an ou deux, on a décidé d’ouvrir de nouveaux canaux de discussions avec les responsables de traitement qui sont, d’une part, le développement de bacs à sable, sur une thématique précise, qui permet des échanges privilégiés entre les responsables de traitement sélectionnés et les acteurs de la CNIL.

Nous avons enfin lancé un programme d’accompagnement renforcé à destination des acteurs qui ne sont ni start-ups, ni gros groupes installés, plutôt entre les deux. Et cela permet aussi à la CNIL de les accompagner, sur toutes les questions qu’elles peuvent se poser, qu’elles soient techniques, juridiques, etc., pour qu’à la fin, l’entreprise considérée ait toutes les clés en main pour assurer une conformité aussi bonne que possible au RGPD.

> Sur la page de présentation de cet « accompagnement renforcé », la CNIL promet une garantie de confidentialité des échanges à l’égard des tiers (« par ex. : concurrents, clients ou salariés »). Dans quelle mesure celle-ci s’applique-t-elle ?

Une entreprise qui vient nous voir et nous cache qu’elle collecte des données, qu’elle a des difficultés de sécurité, ça n’a d’intérêt ni pour elle, ni pour nous. Le but du jeu, c’est vraiment d’avoir un dialogue le plus franc possible et de mettre sur la table toutes les questions qui se posent.

Pour cela, on garantit la confidentialité à plusieurs niveaux. En interne, il n’y aura aucune transmission au service des contrôles et des sanctions – une entreprise qui vient nous voir parce qu’elle a un problème de protection des données, aller en parler dans les deux heures à notre service des contrôles, ce serait contre-productif et incohérent.

On garantit aussi qu’on ne fera pas état publiquement des interrogations que pourrait se poser telle ou telle entreprise.

> Pourquoi, dans ce cas, chercher à réduire les obligations de transparence de la CNIL ?

Nous sommes une administration publique, ce qui signifie que nous sommes soumis au code des relations entre le public et l’administration, qui prévoit que tout document reçu ou produit par une administration devient communicable après un temps donné, en tout cas quand l’accompagnement est terminé, au titre des dispositions CADA.

Nous avons donc un écho d’entreprises qui disent « écoutez nous on aimerait bien venir discuter avec vous d’IA générative, de protection des données, néanmoins on hésite à le faire parce qu’on a l’épée de Damoclès de la demande CADA qui ferait que vous seriez obligés de communiquer sur la place publique, ou au moins au demandeur, un certain nombre de documents ».

C’est vrai que le Code des relations entre le public et l’administration prévoit qu’on puisse anonymiser, ou supprimer de ces documents, un certain nombre d’éléments qui porteraient atteinte à des secrets industriels et commerciaux ou à la sécurité des systèmes.

Néanmoins, si on veut un dialogue qui soit franc et utile avec un responsable de traitement, il y avait cette difficulté de l’application de la loi d’accès aux documents administratifs. D’où cette proposition de la CNIL reprise par le Sénat de pouvoir exclure de ce droit de communication les documents relatifs aux accompagnements d'entreprise, comme d’autres autorités indépendantes en bénéficient.

> Pouvez-vous nous partager des cas concrets d’entreprises qui vous ont dit refuser votre accompagnement à cause de ce risque ?

On a des retours de sociétés avec lesquelles on discute, et puis il y a Alliance Digitale [qui se présente comme « la principale association professionnelle qui rassemble l’ensemble des experts du marketing digital en France », NDLR] qui a publiquement pris position en amont de l’exercice de révision du RGPD, il y a quelques mois, et déclaré qu’exclure du droit de communication les documents relatifs aux accompagnements serait une avancée. Ça n’a pas été retenu au niveau européen, mais il nous a paru que la proposition n’était pas totalement irrationnelle au niveau national.

> La CNIL a-t-elle un positionnement particulier selon le secteur d’activité des entreprises qui la sollicite ?

Pour les bacs à sable oui. Le premier était dédié à la santé numérique, le deuxième à l’edtech, le troisième à l’IA dans l’administration. On rassemble de manière à avoir une cohérence entre les trois-quatre responsables de traitement sélectionnés et pour faire avancer notre propre doctrine. Et puis c’est plus facile en interne de mobiliser sur une seule thématique puisque les dossiers se répondent les uns par rapport aux autres.

Par contre, dans le cadre de l’accompagnement renforcé ou des demandes de conseil, il n’y a pas de thématiques particulières. Les trois entreprises qui avaient été retenues l’année dernière étaient Hugging Face en matière d’IA, Lifen, un gros prestataire de données de santé, et Contentsquare, un spécialiste de l’analyse de navigation sur des sites internet. On a lancé un deuxième appel il y a quelques semaines, mais les entreprises n’ont pas encore été sélectionnées.

> Quid de la société de gestion de données clients Valiuz, dont la demande d'accompagnement a étonné certains internautes (voire notre actualité) ?

Ils n’ont pas été retenus dans le cadre de l’accompagnement renforcé, ni dans le bac à sable ni dans l’accompagnement renforcé. À ma connaissance, Valiuz ne reçoit pas d’accompagnement supplémentaire à celui des autres entreprises.

• • La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

> Un reproche formulé à l’encontre de la CNIL consiste à dire qu’en se préoccupant des grosses entreprises, elle délaisse les petites, et crée de fait un avantage concurrentiel en faveur de ceux qui ne respectent pas le droit européen. Qu’en dites-vous ?

Plusieurs choses : quand vous sanctionnez un gros responsable de traitement, cela signifie qu’il gère des dizaines de millions de données. L’effet protection des données est donc plus important que si vous sanctionnez une petite PME qui a mal sécurisé son fichier client.

Il y a aussi une question de foi et d’efficacité de la procédure répressive. Néanmoins, il faut voir que notre procédure répressive est extraordinairement compliquée, avec un certain nombre d’échanges, de garanties, etc., et donc qu’il nous fallait sélectionner le type d’entreprises qu’on allait sanctionner. Il y a eu modification pour mettre en place une procédure simplifiée [il y a deux ans, NDLR], il faut juste attendre qu’elle monte en puissance. C’est un vecteur qui devrait permettre à la CNIL de multiplier les petites sanctions par rapport aux petits manquements de responsables de traitement.

Un autre élément qui est beaucoup moins visible, c’est la politique de mise en demeure de la présidente de la CNIL, qui a adressé plus de 150 mises en demeure l'an passé [168 en 2023, NDLR]. Donc il y a 150 responsables de traitement à qui la présidente de la CNIL dit « le fichier de traitement que vous mettez en œuvre n’est pas conforme à la loi et je vous impose de modifier ses conditions de mise en œuvre ». Ça n’est pas de la sanction, mais c’est aussi une autre manière de garantir la protection des données.

> Un point qui soulève l’étonnement est probablement l’écart entre le total de plaintes reçues par la CNIL et celui des sanctions finalement prononcées.

Il y a un effet entonnoir : ça n’est pas parce qu’on reçoit une plainte que les plaignants ont forcément raison. Ils peuvent se plaindre d’une méconnaissance du RGPD ou de la loi, mais que celle-ci n’existe pas. Il peut y avoir des plaintes qui ne relèvent pas de la CNIL : on en reçoit par exemple des centaines contre un groupe américain, mais celui-ci est installé en Irlande, donc c’est l’autorité irlandaise qui est compétente. Il y a des plaintes pour lesquelles une instruction est faite, un simple échange de courrier donne une réponse de l’entreprise type « oui en effet, je m’engage à mieux informer », et ça suffit.

C’est un vrai défi de répondre à 14 000 plaintes. Il peut arriver qu’à la suite d’une plainte il y ait un échange de courrier, et puis on clôt l’instruction : l’entreprise a répondu, le plaignant est rétabli dans ses droits, et ça suffit. Optiquement, on peut avoir l’impression qu’il y a peu de sanctions, mais il y a tout un effet de filtre qui fait qu’en définitive, nous ne sélectionnons que ceux qui valent la peine qu’on y consacre du temps.

• La CNIL fait le bilan des 17 483 violations de données notifiées en cinq ans

> Est-ce qu’il n’y pas un enjeu de communication sur ce type de cas, dans ces conditions ?

Peut-être qu’on ne voit que le côté émergé de l’iceberg, et pas assez le travail un peu invisible, et plus positif, que l’on fait en termes d’accompagnement au RGPD. Mais l’accompagnement qu’on déploie, il faut voir qu’il ne sert pas au seul plaisir des entreprises. Il a aussi un intérêt pour le régulateur lui-même : c’est compliqué de réguler des objets qu’on ne connaît pas bien, c’est difficile de réguler des secteurs d’activités qui bougent extrêmement vite.

Donc accompagner des entreprises, c’est gagnant-gagnant. On donne aux entreprises l’opportunité de se former au RGPD et donc de mieux protéger les droits des personnes et nous, cela nous permet de voir les sujets concrets, les problèmes pratiques.

C’est important qu’un régulateur ne soit pas hors sol. On a besoin de ce contact, donc de modalités de dialogues qui permettent concrètement de voir les problèmes auxquels font face les entreprises. On peut se demander pourquoi la CNIL consacre du temps, des équivalents temps plein (ETP) et du service public pour aider des entreprises, mais nous ça nous permet d’améliorer nos régulations, donc in fine, ça sert au plus grand nombre.

• Les effets contrastés du RGPD