Intervention de Marie-Laure Denis

Nous avons rendu 31 avis dans le cadre de la crise sanitaire, et avons pris part à 13 auditions parlementaires, dont celle-ci. D'une façon plus générale, nous réalisons autant d'accompagnement que d'actions répressives, de traitement de plaintes ou de contrôle. Nous sommes convaincus du caractère indispensable de la pédagogie sur ces sujets, y compris auprès des plus jeunes. D'ailleurs, nous faisons beaucoup d'éducation au numérique sous le prisme de la protection des données. Nous animons le dispositif EDUCNUM et publierons prochainement des ressources pour les 8-10 ans en partenariat avec l'éducation nationale. Nous sommes, je crois, l'une des rares autorités administratives indépendantes (AAI) à répondre au téléphone. Certains députés ont d'ailleurs pu découvrir nos permanences téléphoniques, très instructives. Le dispositif Besoin d'aide permet également de poser des questions par email. Un service d'une dizaine de personnes est par ailleurs spécialisé dans l'accompagnement des délégués à la protection des données, aujourd'hui au nombre de 30 000 en France. Nous mettons aussi des outils à disposition, dont un mooc s'enrichissant depuis trois ans de divers modules, ayant fait l'objet de 140 000 créations de comptes. Nous observons ainsi un réel besoin de pédagogie. J'espère surtout que nos concitoyens et le milieu entrepreneurial, qui a vu arriver le RGPD avec une certaine réticence, en voient l'intérêt. Aucun développement durable et serein de l'économie numérique ne sera possible sans cette confiance. J'identifie un risque de réputation, mais également un avantage concurrentiel distinctif pour certaines entreprises dans le fait de protéger les données de leurs concitoyens.

Nos 290 agents ne nous permettent pas de mener un accompagnement très individualisé. Nous le faisons donc à travers les têtes de réseaux, sauf pour les très gros acteurs ou certaines technologies pouvant occasionner des effets importants.

Nous faisons beaucoup de droit souple et de référentiels à destination des cabinets médicaux et paramédicaux ou des pharmacies, par exemple. Notre site a enregistré 11 millions de connexions l'année dernière. C'est autant que le ministère de la justice, ce qui illustre bien un besoin de contenu auquel nous essayons de répondre. Nous avons également publié un guide en lien avec BPIFrance concernant les exigences différant entre les très petites entreprises et les grands groupes. Nous nous rendons notamment à Station F pour « évangéliser » les start-ups à la protection des données.

J'ai essayé d'adopter des orientations projetables à l'extérieur de Paris. Nous allons faire le tour des régions. Nous nous sommes déjà rendus à Lyon, où nous étions réunis avec la plus grande association de délégués à la protection des données. Nous étions 300, pour 500 demandes, et avons évoqué le principe du RGPD.

L'année dernière, j'ai lancé le Bac à sable par lequel nous accompagnons chaque année, par le biais d'un appel à projets, une dizaine d'acteurs sur une thématique particulière : santé numérique, numérique dans l'éducation…. Nous tiendrons un colloque sur ce dernier sujet début novembre.

Nous n'avons pas la prétention de servir de modèle à qui que ce soit, mais l'accompagnement constitue l'un des fondamentaux de notre ADN. Nous essayons en permanence de nous adapter et de répondre aux préoccupations posées au plus près du terrain.

Les données de l'historique de proximité de TousAntiCovid sont conservées et tracées pendant quinze jours à compter de leur enregistrement par l'application. L'application sera en outre désactivée le 31 janvier prochain. Par ailleurs, la CNIL a obtenu des garanties en matière de vie privée sur ce dispositif dès le début de sa mise en œuvre.

Concernant l'angoisse possible vis-à-vis de l'écrasement des fichiers, je crois, comme le collège de la CNIL, que la plupart des dispositifs doivent avoir une date de péremption et être désactivés, sauf dans deux cas. Je pense à des raisons de pharmacovigilance, notamment concernant les vaccins, et aux besoins de recherche, dans des conditions assurant la protection de la vie privée des personnes dont les données sont utilisées, calibrées par nous-mêmes.

Ce sujet pose plus globalement la question de l'évaluation de ces dispositifs. Nous la réalisons en silo, système d'information par système d'information. Il nous paraît important de réaliser une évaluation plus globale de leurs interactions.

Effectivement, il pourrait être utile d'évaluer TousAntiCovid au regard de l'évaluation du système d'information Contact Covid. Quelles sont les interactions entre l'un et l'autre ? Sont-ils utiles en même temps ? À quel moment de la propagation du virus ? L'utilité de TousAntiCOvid porte peut-être davantage sur l'identification de pics de contamination au tout début, en plus d'une complémentarité avec les actions d'enquêtes manuelles lorsque le virus circule davantage.

S'agissant de données de santé particulièrement sensibles, nous avons été accompagnés par un médecin. Nous avons également adopté des méthodes de contrôle qui n'empêchaient pas les équipes des organismes concernés de travailler, notamment au plus fort de la crise. Nous avons réalisé ces contrôles en temps réel, et avons obtenu des modifications très rapides sur un certain nombre de sujets, par un dialogue continu avec les responsables de traitement.

À ma connaissance, nous ne faisons pas appel à des cabinets de conseil. Je crois que nous n'en aurions pas les moyens.

Le secret médical est une notion fondamentale dans le cadre de la mise en œuvre de systèmes d'information tels que ceux-ci, raison pour laquelle le législateur doit en délimiter les contours et les éventuelles exceptions.

Madame Chassaniol, nous reviendrons vers vous concernant votre question, dont le lien avec l'objet de cette audition est ténu. La CNIL est très attentive aux modalités de mise en œuvre des fichiers régaliens d'une façon générale. Nous contrôlons régulièrement les fichiers des ministères de l'intérieur ou de la défense. Par exemple, le fichier des empreintes génétiques a fait l'objet d'une sanction de la CNIL et d'un rappel à l'ordre public il y a un an, ainsi que d'une injonction de mise en conformité, notamment sur les durées de conservation.

La CNIL est la seule autorité de protection des données de l'Union européenne à disposer d'un laboratoire d'innovation numérique, le LINC, adoptant une approche multidisciplinaire d'ingénieurs, de chercheurs, de sociologues. Ils travaillent entre autres sur les enjeux de régulation économique de la donnée, de nouveaux textes européens étant attendus sur le partage et l'ouverture des données ou l'intelligence artificielle. Nous disposons de nos propres ressources, bien qu'elles ne soient pas suffisantes.

Nous produisons des livres blancs, sur les assistants vocaux ou les données de paiement, par exemple.

Vous parliez de solliciter d'autres expertises. Le gouvernement a mis en place au ministère de l'économie le PEReN, service permettant de réaliser des études numériques. Un certain nombre d'AAI peuvent avoir accès ou définir en commun des études. Nous le faisons également.