Le RGPD, un facteur de confiance
Marie-Laure Denis, conseiller d’État, présidente de la Commission nationale de l'informatique et des libertés (Cnil)
Cet article a été publié dans la revue PAROLE PUBLIQUE n°28 de novembre 2021 à découvrir ici
La crise sanitaire a eu pour effet d’éclairer de manière plus vive les enjeux liés à la protection de la vie privée. Dans tous les domaines, des outils numériques reposant sur l’utilisation de nos données personnelles ont été massivement déployés pour répondre aux défis de notre organisation collective. De nombreuses interrogations en ont découlé, tant de la part des citoyens que des pouvoirs publics. Quelles sont les garanties de confiance prévues par le Règlement général sur la protection des données (RGPD) et où en sommes-nous, trois ans après sa mise en œuvre ?
Explosion des usages numériques et intrusion dans la sphère privée : quelles solutions ?
Les confinements successifs ont intensifié certaines pratiques numériques jusqu’ici plutôt marginales, préfigurant une évolution de fond de nos habitudes et accentuant certaines inégalités sociales face au numérique. Plus de 5,5 millions de téléconsultations médicales ont notamment été facturées entre mars en avril 2020 selon l’Assurance maladie, contre à peine 60 000 en 2019. De même, le télétravail est devenu en quelques semaines la norme pour plus d’un tiers des personnes en emploi, tout comme l’enseignement à distance pour les élèves et les étudiants.
Le laboratoire d’innovation numérique de la CNIL (LINC) a mené une série d’enquêtes pour mieux comprendre l’évolution de ces pratiques pendant cette période prolongée de « distanciel » et leurs effets sur la protection des données. Les résultats de ces enquêtes ont été publiés dans le Cahier Innovation & Prospective n°8, Scènes de la vie numérique.
Il en ressort tout d’abord que les outils numériques ont été perçus très positivement pour maintenir les liens sociaux dans ce contexte exceptionnel. Des formes d’intrusion se sont néanmoins fait ressentir dans la sphère domestique par l’intermédiaire des écrans. Diverses stratégies ont pu être mises en place pour protéger l’intimité familiale, comme éteindre la caméra, flouter son fond d’écran lors des visioconférences ou encore réorganiser son espace de vie pour maîtriser ce que l’on donne à voir de soi et de ses proches.
Mais le choix des outils numériques a souvent été contraint par l’employeur, l’enseignant ou les proches. Une logique pragmatique a pu prédominer : les outils gratuits, faciles d’usage, déjà largement utilisés ont pu être privilégiés. La protection des données personnelles a rarement été un critère de choix de ces outils, ce qui n’est pas sans conséquence pour le respect des droits et libertés des personnes concernées.
Les outils numériques ont été perçus très positivement pour maintenir les liens sociaux dans ce contexte exceptionnel.
Dans le domaine de l’enseignement supérieur par exemple, la CNIL a très tôt été interrogée sur les outils que pouvaient utiliser les établissements scolaires et d’enseignement supérieur pour assurer la continuité pédagogique et organiser les modalités d’examen. Il est apparu que les solutions proposées par des sociétés américaines pouvaient conduire au traitement d’une quantité importante de données sensibles, comme des données de recherche ou relatives à des mineurs, et que le risque d’un accès illégal à ces données par les autorités américaines devait être écarté. La CNIL a donc recommandé de se tourner en priorité vers des outils respectueux de la législation française et européenne, tout en accordant une période transitoire pendant laquelle elle apporte toute son aide pour identifier des alternatives possibles.
En effet, rappelons que la connaissance précise de nombreux détails – tels que l’âge, la localisation, les goûts, les comportements d’achats, l’état de santé ou même les préférences idéologiques de leurs potentiels consommateurs – est très précieuse pour les entreprises, qui peuvent mieux segmenter leur marché. En témoigne le bond spectaculaire du chiffre d’affaires des GAFAM lors du premier trimestre 2021 : 23,6 milliards de dollars de bénéfice net pour Apple contre 11,2 à la même période l’année dernière ; 17,93 milliards pour Alphabet, la maison-mère de Google, contre 6,8 en 2020 ; 9,5 milliards contre 4,9 l’année passée pour Facebook.
Ces exemples témoignent de l’importance des approches by design, qui intègrent la protection de la vie privée dès la conception des produits et services. La double expertise juridique et technique de la CNIL est de ce point essentielle pour accompagner la mise-en-œuvre de ces dispositifs. Elle met à disposition des professionnels de nombreux outils pour les accompagner, comme le site design.cnil.fr qui vise à coconstruire des parcours utilisateurs respectueux des droits des personnes.
Le RGPD : une boussole décisionnelle pour les pouvoirs publics
Loin de ne servir que des intérêts commerciaux, les données personnelles se sont aussi révélées très utiles pendant la crise pour conduire des politiques publiques efficaces. Plusieurs solutions technologiques ont participé à la gestion de la pandémie, telles que la traçabilité de la couverture vaccinale ou encore les cahiers de rappel, les codes QR et le pass sanitaire.
Les autorités de protection des données européennes, dont la CNIL, ont très tôt porté une attention toute particulière à ces dispositifs. Elles se sont appuyées sur le RGPD, dont l’ambition est précisément de garantir la confiance indispensable dans l’ère numérique, pour élaborer des recommandations communes concernant le respect des droits et libertés des personnes.
Les données personnelles se sont aussi révélées très utiles pendant la crise pour conduire des politiques publiques efficaces.
Ce cadre juridique, fixé par l’Union européenne le 25 mai 2018, s’est révélé suffisamment souple pour permettre aux États membres de prendre en compte la nécessité de traiter et de partager des informations dans une situation d’urgence exceptionnelle. Concrètement, il pose un certain nombre de principes qui continueront à servir de grille d’analyse dans un monde post-Covid :
- Le but de la collecte est-il clair et précis ? (Principe de finalité) ;
- Quelle est l’utilité de la collecte ? (Principe de nécessité) ;
- Existe-t-il un moyen moins intrusif ? (Principe de proportionnalité) ;
- Seules les données nécessaires sont-elles collectées ? (Principe de minimisation des données) ;
- Les données seront-elles effacées lorsque l’objectif fixé sera atteint ? (Principe de limitation de la conservation des données).
C’est sur la base de cette grille d’analyse européenne que la CNIL a autorisé plus de 420 recherches médicales en 2020, dont 89 en lien avec la pandémie. Elle a également rendu 10 avis sur ces dispositifs aux pouvoirs publics, allant de l’utilisation de nos données de santé à l’usage des drones, des caméras thermiques et des dispositifs de repérage de foules denses avec ou sans masque.
Concernant plus particulièrement l’application TousAntiCovid, la CNIL a par exemple rappelé à plusieurs occasions la nécessité de démontrer, au cours du temps, l’utilité sanitaire du dispositif dans le cadre de la politique sanitaire globale – ne pouvant reposer seulement sur des solutions technologiques – et les garanties nécessaires à sa mise en œuvre : volontariat des personnes, recours à la technologie Bluetooth et non la géolocalisation, recours à des pseudonymes pour minimiser les possibilités d’identifications des personnes concernées, etc. La CNIL reste particulièrement attentive aux évolutions successives d’un tel dispositif, qui pose des questions inédites en matière de protection des données personnelles.
Maintenir le cap du RGPD pour déployer la confiance dans le numérique
En conclusion, la crise sanitaire aura mis en lumière la nécessité de respecter ces principes et non d’en modifier leur portée. Deux objectifs prioritaires s’imposent à la CNIL en vue d’une régulation efficace, pragmatique et équilibrée : il faut, d’un côté, sécuriser les acteurs, et de l’autre les responsabiliser.
Concernant l’application TousAntiCovid, la CNIL a par exemple rappelé la nécessité de démontrer l’utilité sanitaire du dispositif dans le cadre de la politique sanitaire globale.
Côté pile, la CNIL poursuivra son travail de clarification des règles et de proposition de cadres sécurisants par des recommandations et des lignes directrices. L’accompagnement reste donc sa priorité sous toutes ses formes, générale, sectorielle et individuelle.
Côté face, l’effectivité du droit des personnes est le fil rouge de son action. Depuis le 25 mai 2018, le nombre de plaintes reçues par la CNIL ne cesse d’augmenter, pour atteindre près de 14 000 plaintes en 2020. Leur traitement, accompagné d’une stratégie de contrôle ambitieuse, et le cas échéant de sanction, est une mission essentielle de la CNIL, qui contribuera à conforter la confiance nécessaire à un développement numérique durable.