Intelligence artificielle, JO, protection des enfants... La Cnil présente ses grands chantiers sur 5 ans

Lors d'une audition devant la Commission des lois de l'Assemblée nationale, Marie-Laure Denis – présidente de la Commission nationale de l'informatique et des libertés (Cnil) – a fait le bilan de son premier mandat de cinq ans. Ayant de très fortes chances d'être renouvelée dans sa fonction, elle a également présenté ses perspectives pour l'autorité dans les années à venir. 

Une boussole exigeante mais pragmatique

"Durant ces cinq dernières années, la Cnil a représenté une boussole exigeante mais pragmatique pour protéger la vie privée de nos concitoyens", a déclaré la présidente, à la tête de la Commission depuis le 2 février 2019. Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD), deux changements importants se sont produits, a-t-elle raconté. Le premier s'est traduit par "une nouvelle donne pour les entreprises" nécessitant "une action de pédagogie" de la part de la Cnil. Le second, et le plus visible, est l'augmentation "massive" des plaintes. "Leur nombre a doublé depuis 2018 pour atteindre un pic de plus de 16 000 en 2023", a précisé la présidente. 

Son mandat a également été marqué par la crise sanitaire liée à la pandémie de Covid-19. "Elle a posé de nouvelles questions en matière d'utilisation des données personnelles et a nécessité un accompagnement sans précédent de la Cnil (...) des pouvoirs publics, de la recherche médicale et pour contrôler le droit des personnes", a-t-elle détaillé. En pratique, durant cette période, l'autorité a rendu "dans des délais records" 31 avis sur des projets de textes, répondu à 12 auditions parlementaires, transmis puis publié 5 rapports d'évaluation au Parlement ainsi que délivré 169 autorisations de recherche en santé. 

Un accroissement des risques cyber

Troisième défi du mandat écoulé : l'accroissement des risques cyber, notamment sur les collectivités territoriales, les PME et les établissements de santé. Pour y répondre, la Cnil "accentue ses efforts d'accompagnement et de contrôle" car "les attaques cyber peuvent être souvent évitées ou atténuées en appliquant des mesures de sécurité simple". Elle est également à l'origine d'un guide "largement accessible par les professionnels". 

"Mais j'ai conscience que dans un environnement mouvant, traversé par l'émergence des nouvelles technologies (..), la seule consolidation des actions entreprises ne saurait suffire à répondre aux enjeux", a-t-elle déclaré face aux parlementaires. Ainsi, elle leur a présenté "les grandes lignes" de son éventuel second mandat. 

Ne pas freiner le développement d'un ChatGTP français

A quelques semaines du vote de l'AI Act, dont une version a récemment fuité dans la presse, la présidente de la Commission voit "la conciliation entre le développement de l'intelligence artificielle et la protection des données personnelles" comme un véritable "défi". "J'utilise le mot 'défi' à dessein parce que le RGPD c'est la minimisation des données et l'IA demande des quantités gigantesques de données ; le RGPD fait le tri entre données sensibles et non sensibles et l'IA exploite toutes les données (...)", a-t-elle noté. Mais elle en est persuadée : "il y a des réponses à ces questions" citant l'exemple de l'invention du droit à l'oubli par l'Union européenne pour parer à l'apparition des moteurs de recherche. "J'estime que le rôle de la Cnil est de veiller à ne pas freiner l'éventuel développement d'un ChatGPT français tout en protégeant ses utilisateurs", a-t-elle conclu.

Autre sujet de préoccupation : la régulation des applications sur les téléphones portables qui traitent de nombreuses données personnelles, parfois très sensibles (géolocalisation...). "Un large ensemble de recommandations est en cours d'élaboration et viennent d'être soumis à consultation publique, a indiqué la présidente. Je souhaiterais les faire aboutir au cours de l'année 2024." Un temps d'adaptation sera fixé pour que les entreprises du secteur puissent se conformer aux nouvelles exigences.  

La protection des enfants, top priorité

Marie-Laure Denis a également à coeur de davantage protéger les enfants dans leurs relations avec le numérique. Considéré comme "le sujet le plus urgent et le plus complexe", la Commission souhaite continuer "à produire des contenus pédagogiques en élargissant les publics visés". Sa présidente compte également renforcer les contrôles sur un point bien précis : l'obligation pour les réseaux sociaux d'exiger un contrôle parental pour l'inscription des mineurs de moins de 15 ans. 

Enfin, les Jeux olympiques de Paris – événement qui va se tenir du 26 juillet au 11 août 2024 – vont mobiliser la Cnil. Elle "continuera d'accompagner les pouvoirs publics dans leur souci légitime d'assurer la sécurité de cet événement hors norme", a détaillé la présidente. L'autorité devra aussi contrôler au respect de la vie privée dans deux situations : la vidéosurveillance algorithmique et le contrôle des passants dans les périmètres de sécurité autour des sites.

Un demi milliard d'euros d'amende depuis 2019

Depuis sa création en 1978 par la loi Informatique et Libertés, la Cnil a changé plusieurs aspects de son fonctionnement, sous l'impulsion notamment de Marie-Laure Denis. Une transformation qui a "porté ses fruits" citant les deux dernières années durant lesquelles l'autorité a "pour la première fois depuis plus de 10 ans traité plus de plaintes [qu'elle] n'en a reçu".

Le montant des amendes infligées augmente également. "Depuis 2019, le montant des amendes prononcées s'est élevé à plus d'un demi milliard d'euros, a-t-elle dévoilé. Avant cette date, la plus grosse sanction de la Cnil se comptait en centaine de milliers d'euros." A titre d'exemple, parmi les sanctions les plus importantes, on peut citer celle de 40 millions d'euros adressée à Criteo en juin 2023, 60 millions d'euros à l'encontre de Microsoft pour la violation de la législation sur les cookies ou encore celle touchant l'entreprise Cleaview AI de 20 millions d'euros.