Les enjeux de 2016 (2) : accompagner et faciliter la transition numérique des acteurs privés comme publics

08 avril 2016

Bien que déjà engagé ces dernières années, ce tournant s’accentuera en 2016, notamment parce que la loi pour une République numérique confère à la CNIL de nouvelles missions. La CNIL doit accompagner le développement de la confiance dans les services numériques dans une logique de conformité et de respect des droits des personnes.

Alors que la CNIL s’est fortement engagée ces dernières années sur l’accompagnement du secteur privé, le secteur public a également entamé sa transition numérique. L’enjeu est considérable à la fois au regard du volume des données traitées, de l’ouverture croissante des données publiques, renforcé par le projet de loi sur la République numérique, et du potentiel développement de traitements de « big data » publics. 

Qu’est-ce que le projet de loi pour une République numérique va changer pour la CNIL ?

L’ouverture des données publiques devient la règle

Le projet de loi ne remet pas en cause l’équilibre entre transparence administrative et protection de la vie privée et des données personnelles. En effet, les critères de communicabilité n’ont pas changé, et la publication – donc la réutilisation – est subordonnée au caractère librement communicable du document.

Pour autant, en passant d’une logique de la demande à une logique de l’offre, le projet de loi vise clairement à démultiplier le nombre de fichiers, y compris contenant des données personnelles, mis en open data. Ceci va donc se traduire par un accroissement sensible des demandes de conseil d’une part, de formalités d’autre part, et de réclamations individuelles, enfin, liées à l’open data pour la CNIL. En effet, alors que la législation sur la transparence de la donnée publique avait été conçue autour de la problématique de la communicabilité, l’ouverture massive des données, notamment personnelles, pose la question de leur usage a posteriori. Or, en la matière, toute réutilisation de données personnelles est soumise au « droit commun » informatique et libertés, ce qui implique une implication croissante de la CNIL dans l’accompagnement de l’open data.

Dans ce contexte, et afin de promouvoir une ouverture des données publiques respectueuse de la vie privée, la CNIL a décidé de lancer une concertation pour élaborer un « pack de conformité » en matière de données publiques. Elle a ainsi sollicité la Commission d’accès aux documents administratifs (CADA) et la mission Etalab du SGMAP pour définir, avec les administrations concernées, les bonnes pratiques en la matière.

Le rôle de la CNIL est conforté en matière d’anonymisation

Dans la version du texte issue de l’Assemblée nationale, l’article 30 prévoit que la CNIL pourra certifier des méthodologies d’anonymisation dans la perspective de leur mise en ligne et de leur réutilisation – comme elle pourra d’ailleurs le faire pour les processus d’anonymisation de traitements du secteur privé. L’anonymisation des bases de données est en effet essentielle à leur ouverture ou à leur partage : elle permet en effet de prémunir les personnes de tout risque de réidentification, et les acteurs (administrations émettrices de données, réutilisateurs, entreprises privées qui réalisent des recherches notamment statistiques), de toute mise en cause de leur responsabilité en la matière. L’homologation de méthodologies d’anonymisation par la CNIL sera ainsi un gage de protection des personnes et de sécurité juridique pour les acteurs.

Les missions de la CNIL sont élargies ou clarifiées sur plusieurs points (art. 29 du PJL) :

Le champ de la saisine pour avis de la CNIL sur les projets de lois et de décrets est élargi et clarifié, puisque, outre les dispositions relatives à la protection des données à caractère personnel, sont ajoutés les dispositions relatives au traitement de telles données. 

L’avis de la CNIL sur un projet de loi est désormais rendu public.

Deux nouvelles missions seraient confiées à la CNIL 

Conduire une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques, en impliquant des personnalités qualifiées et en organisant des débats publics. 

Régulateur des données personnelles, et à ce titre au cœur du numérique, la CNIL incarne, y compris par sa composition, la nécessité de prendre en compte la pluralité des regards et les problématiques éthiques en matière de numérique. Toutefois, il ne lui appartient pas de déterminer des positions éthiques en la matière.  Son rôle serait plutôt celui d’animatrice et de facilitatrice de ce débat, impliquant tous les acteurs concernés (chercheurs, entrepreneurs, administration, société civile). Elle compte faire en sorte que cette réflexion puisse être l’occasion d’une appropriation par les citoyens des débats liés aux enjeux éthiques du numérique.

Promouvoir, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

Enfin, les pouvoirs de sanction de la CNIL sont considérablement renforcés, par anticipation sur le règlement européen qui prévoit des sanctions pouvant atteindre 4% du chiffre d’affaires mondial.  

Quel accompagnement des acteurs privés et publics ?

Le respect de la loi « informatique et libertés » implique une mise en conformité  dynamique. Il ne s’agit pas en effet seulement de démarches administratives – dont une bonne partie va disparaître avec le règlement européen –. Il s’agit de respecter, pendant toute la vie d’un traitement de données, les principes, droits et obligations posées par la loi, notamment les droits des personnes, tout en les déclinant de manière opérationnelle. Les avantages de la conformité pour les professionnels sont en outre nombreux : assurer une sécurité juridique aux acteurs ; tirer parti du droit pour en faire un facteur de succès ; accroître le capital de confiance vis-à-vis des interlocuteurs. La CNIL a développé une gamme d’outils complémentaires permettant d’accompagner aux mieux les différents métiers et secteurs d’activité.

Les packs de conformité

Depuis deux ans, la CNIL a lancé un nouvel outil : les « packs de conformité ». Ces packs, élaborés en concertation étroite avec les acteurs d’un secteur, permettent de promouvoir auprès de ceux-ci des bonnes pratiques, de décliner les obligations légales de manière opérationnelle et de simplifier les formalités administratives. Il s’agit donc d’un outil ancré dans la réalité des métiers. 2015 a vu le lancement des packs du secteur bancaire et du secteur social et médico-social. Par ailleurs, l’accompagnement se poursuit sur les packs adoptés en 2014 : compteurs communicants, secteur des assurances, logement social. 

En 2016, deux nouveaux packs seront lancés, respectivement dédiés à l’open data pour le secteur public et au véhicules connectés, dans le droit fil des réflexions engagées dés 2014.

Sur la base du dialogue établi avec les professionnels de l’assurance s’est formé un Club de conformité qui permet d’assurer un dialogue suivi avec les entreprises. Ce Club permet ainsi d’aborder les questions nouvelles qui se posent notamment quant à l’utilisation des réseaux sociaux pour la recherche des bénéficiaires des contrats d’assurance vie en déshérence ou encore la mutualisation des fraudes en matière de sinistres automobiles. 

Les labels

80 labels ont été délivrés par la CNIL.

Créé il y a un an, le label « Gouvernance » est un gage de sécurité juridique et informatique et un instrument de valorisation. Il constitue l’une des principales applications du principe d’accountability (principe de responsabilité) prévu par le projet de règlement européen. Ce texte encourage d’ailleurs, de façon très explicite, la création et le développement des labels, certifications, et marques de protection des données, notamment à l’échelle de l’Union Européenne. Dans la perspective du règlement européen, de nouvelles formes de labellisation pourraient donc être envisagées.

Des outils d’autoévaluation 

La responsabilisation accrue des acteurs dans le cadre du règlement implique en effet, en l’absence de formalités préalables, des modes d’intervention et d’évaluation innovants. La CNIL prévoit donc de mettre à disposition des questionnaires d’autoévaluation, notamment à destination des PME/PMI.

Document reference

Les mots clés associés à cet article