Page

Droits fondamentaux et innovation : quelle régulation à l’ère numérique ?

Édouard GEFFRAY- Secrétaire général de la CNIL

Nouveaux Cahiers du Conseil constitutionnel n° 52 (dossier : La Constitution et l’innovation) - juin 2016 - p. 7 à 16

À l'instar des précédentes révolutions industrielles, la révolution numérique bouscule l'ensemble des modèles économiques, technologiques et sociaux habituels. Mais elle modifie aussi profondément le rapport à la norme, qu'il s'agisse de sa substance, de son élaboration (comme le montre la récente consultation publique sur le projet de loi pour une République numérique) ou de son application. L'accompagnement de l'innovation implique en effet de passer d'une logique de réglementation à une logique de régulation, c'est-à-dire à un type d'encadrement et d'accompagnement qui combine la fidélité à des principes fondamentaux et à une règle de droit claire, et des nouveaux modes d'intervention du régulateur, fondés sur le droit souple(1).

Or, l'univers numérique repose entièrement sur les données, et notamment sur les données personnelles. Ce sont en effet ces données, générées le plus souvent à titre « gratuit » ou sans en avoir conscience par les individus (leurs traces), qui sont au cœur des modèles de développement numérique. Grâce aux données personnelles, il est en effet possible d'établir un continuum entre les différents compartiments de la vie publique et privée d'un individu (consommation, rencontres, loisirs, carnets d'adresse, activités culturelles, mais aussi déplacements, état de santé, voire correspondance). C'est cette faculté de collecter des données extrêmement fines et, le cas échéant, de les croiser qui est au cœur de l'émergence de nouveaux services. Il est également possible de passer de modèles commerciaux de fidélisation par la répétition à des modèles commerciaux prédictifs, grâce aux fameux « algorithmes » de traitement des données, plus ou moins sophistiqués. Le numérique permet donc un « maillage informationnel » inédit, évidemment attractif pour des acteurs privés comme pour des autorités publiques.

Deux dimensions doivent dès lors être conciliées.

La première est bien sûr l'extraordinaire facteur et potentiel d'innovation que représente le numérique. À la différence des révolutions industrielles précédentes, le propre de l'innovation numérique, en grande partie dématérialisée, est de pouvoir être diffusée extrêmement rapidement, avec un taux de pénétration des marchés extrêmement élevé. Il suffit de songer, pour illustrer cette propagation, que 80 % des Français ont accès à Internet, que près de 30 millions d'entre eux ont un compte Facebook, que plus de la moitié de la population dispose d'un smartphone, ou encore qu'il se serait vendu plus d'1,5 million d'objets connectés en 2015.

La seconde est le respect des droits et libertés fondamentaux des personnes, et leur conciliation. La première question est bien sûr celle de la protection de la vie privée. La collecte et le traitement de volumes considérables de données volatiles (ce qu'on appelle désormais le « big data ») conduit en effet à réduire ce que l'on peut appeler le « halo informationnel » qui entoure, dans l'espace public comme dans l'espace privé, chaque individu. Ces évolutions sont ainsi susceptibles de porter atteinte à la vie privée des personnes, laquelle est, de surcroît, bousculée dans sa définition, avec l'émergence sur les réseaux sociaux de nouveaux espaces qui semblent relever, par leurs effets, de la vie publique, mais sont vécus par les intéressés comme relevant de la sphère privée ou semi-privée. Mais au-delà de la vie privée, c'est bien la question de la protection des données personnelles des individus et, en toile de fond, leur capacité à maîtriser l'exploitation de celles-ci, qui est posée. Enfin, le tableau serait incomplet si n'était évoquée la question de la conciliation des droits fondamentaux à l'ère numérique. L'univers numérique n'est pas seulement un espace de consommation, de rencontre ou de culture : il irrigue l'ensemble de l'économie et de la société et devient donc le lieu d'exercice même de certaines libertés fondamentales : liberté d'aller et venir, liberté d'expression et de communication, éventuellement droit de vote, etc. Dans ce contexte, le droit à la protection des données personnelles apparaît comme un véritable « droit d'infrastructure », en ce sens qu'il conditionne, dans l'environnement numérique, l'exercice des autres.

L'enjeu est dès lors de concilier l'innovation et la protection de ces droits fondamentaux qui sont garantis par la Constitution ou la Charte des droits fondamentaux de l'Union européenne. Cette conciliation n'est ni impossible, comme on le lit parfois, ni un « mal nécessaire ». Elle est la condition sine qua non pour la création d'un environnement éthique et juridique de confiance.

Comme l'avait relevé la présidente de la CNIL(2), « la Commission nationale de l'informatique et des libertés (CNIL), en tant qu'autorité de contrôle et de régulation chargée de la protection des données personnelles, est évidemment au cœur de ces évolutions de société et de la régulation du monde numérique ». À ce titre, elle est chargée de faire vivre et respecter le cadre juridique constitutionnel, européen et législatif, et de le décliner aux acteurs de l'innovation. Émerge ainsi un nouveau type de régulation, fondée à la fois sur des principes constitutionnels et européens, des modes d'intervention du régulateur innovants et la responsabilisation des acteurs.

1 - Les droits fondamentaux, socle d'une régulation dont la personne est le centre de gravité

La protection des données personnelles illustre le dialogue fécond entre droit européen et droit national. La loi du 6 janvier 1978 « informatique et libertés » a en effet inspiré en partie les travaux du législateur européen, qui ont conduit à l'adoption de la directive du 24 octobre 1995. Celle-ci a enrichi cette protection et les missions de la CNIL, conduisant à la modification de la loi informatique et libertés en 2004. Elle sera remplacée prochainement par le règlement européen relatif à la protection des données personnelles, dont l'adoption formelle devrait intervenir au printemps 2016 et qui devrait s'appliquer à partir du printemps 2018.

Au-delà de ce cadre juridique, la protection des données personnelles fait l'objet d'une double protection, à la fois en droit constitutionnel et en droit européen.

En droit constitutionnel tout d'abord, on sait que la protection des données à caractère personnel ne constitue pas un droit constitutionnel à part entière. Elle participe en revanche du droit au respect de la vie privée, qui découle lui-même de l'article 2 de la Déclaration de 1789 («* Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l'oppression *»)(3). Le Conseil constitutionnel a également jugé que la loi du 6 janvier 1978 est « protectrice de la liberté individuelle » (Cons. const., n° 92-316 DC du 20 janv. 1993), exerçant un contrôle de proportionnalité des dispositifs qui lui sont soumis au regard de la protection de la vie privée (cf. Cons. const., 22 mars 2012, sur la loi relative à la protection de l'identité, n° 2012-652 DC).

Cette protection constitutionnelle, issue du droit au respect de la vie privée, s'inscrit dans un réseau de normes fondamentales également protectrices. Il s'agit d'abord de l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales, dont la Cour européenne des droits de l'Homme a déduit la nécessaire protection des données personnelles (CEDH, 4 décembre 2008, S. et Marper c/ Royaume-Uni, nos 30562/04 et 30566/04). Mais il s'agit surtout du droit de l'Union européenne. La Charte des droits fondamentaux de l'Union européenne consacre en effet, au titre des droits libertés, à son article 8, le droit de toute personne à la protection des données personnelles la concernant. Cet article dispose également que « ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification ». Le droit européen a ainsi détaché le droit à la protection des données personnelles de la seule protection de la vie privée, prenant acte de la difficulté croissante à distinguer clairement le périmètre de celle-ci.

L'ensemble du corpus normatif constitutionnel et européen fait donc de la protection des données un droit fondamental attaché à la personne, qui est donc placée au cœur des exigences de la régulation.

L'une des questions suscitées par la nature de cette protection est celle de son champ d'application territoriale. La directive de 1995, transposée par la loi de 2004, fixe deux critères d'application du droit européen, centrés sur le « responsable du traitement ». Celui-ci doit avoir un établissement dans l'Union européenne ou, en l'absence d'établissement, des moyens de traitements situés sur le territoire de l'Union européenne. La notion d'établissement a été précisée par la Cour de justice de l'Union européenne, qui, dans son arrêt Google Spain(4), a jugé que, dès lors qu'une entreprise disposait d'un établissement qui participait au traitement, par exemple en étant associé à la promotion de publicités ciblées, le droit européen s'appliquait.

Ces critères ne sont cependant pas toujours aisés à mettre en œuvre. La notion d'établissement ou de « moyens » de collecte n'est pas toujours évidente lorsque le traitement de données implique une chaîne complexe d'acteurs. Elle correspond fondamentalement à un critère « physique » dans un univers dématérialisé. C'est pourquoi le règlement européen sur la protection des données personnelles, qui remplacera la directive de 1995, ajoute à ces critères celui, complémentaire, du « ciblage ». En d'autres termes, le droit européen s'appliquera chaque fois qu'un résident européen sera directement visé par un traitement de données, notamment par Internet.

En posant le principe d'un droit fondamental, et en en tirant les conséquences en termes de champ d'application territorial, le droit national et européen a donc posé les bases d'une régulation adaptée aux évolutions du numérique. Il appartient alors au régulateur de faire vivre le cadre défini par le législateur.

2 - Adapter la régulation à un environnement évolutif

L'exceptionnelle capacité d'évolution technologique portée par le numérique invite à repenser les termes de la régulation en matière de protection des données personnelles.

La loi informatique et libertés a en effet longtemps été conçue autour du diptyque composé du contrôle a priori -- à travers les régimes de formalités préalables que sont les déclarations et les autorisations -- et du contrôle a posteriori, à travers la chaîne Plaintes / Contrôles / Sanctions. Cette architecture reposait en fait sur l'idée qu'un traitement de données était technologiquement stable, et que le contrôle juridique avait donc vocation à encadrer en amont les modalités de traitement, et à s'assurer en aval du respect de ce cadre.

L'univers numérique implique de profondément renouveler la nature de la régulation. La question n'est plus tant celle de la formalité, que celles de savoir d'une part, si un responsable de traitement public ou privé assure une protection optimale de ses données en permanence, et d'autre part, si l'innovation envisagée ne contrevient aux droits et libertés fondamentaux et, notamment, aux droits associés à la protection des données personnelles. Ceci implique, de la part du régulateur, qu'il soit capable d'accompagner un processus de mise en conformité des responsables de traitement, de la conception du produit à la destruction des données. La régulation repose ainsi depuis plusieurs années sur le triptyque Formalités / Accompagnement de la mise en conformité / Politique répressive, le second volet étant appelé à occuper une place croissante de l'activité.

Par ailleurs, l'émergence de traitements de masses de données (le « big data ») renouvelle les modalités de mise en œuvre des principes juridiques qui gouvernent la protection des données. Si d'aucuns tentent d'instrumentaliser le big data pour remettre en cause les principes fondamentaux de finalité et de proportionnalité du traitement, force est surtout de constater que le big data redéfinit le rapport entre la personne et le ou les responsables de traitement. Progressivement en effet, ce sont des pratiques de réutilisations des données, potentiellement très éloignées des finalités de la collecte initiale, qui émergent. Il nous faut donc collectivement construire un cadre de confiance et de régulation pertinent, qui accompagne les nouveaux services et usages, et inventer de nouvelles « cordes de rappel » sur le contrôle par les personnes du devenir de leurs données.

Le corollaire de cette évolution technologique et sociale réside enfin dans la nécessaire responsabilisation des entités publiques ou privées qui traitent des données. Parce qu'elles sont en mesure de connaître, avec une « maille informationnelle » extrêmement fine, leurs usagers ou clients, et parce qu'elles sont une responsabilité particulière à leur égard, ces entités doivent intégrer la protection des données comme un élément fondamental de la confiance de leurs interlocuteurs, et une composante de la conformité.

L'ensemble de ces évolutions est à l'origine et au cœur du projet de règlement européen sur la protection des données personnelles précédemment mentionné. Celui-ci prévoit ainsi la suppression des formalités préalables, le développement de la responsabilisation des responsables de traitements autour de nouveaux outils (le terme le plus souvent employé pour qualifier ce processus de mise en conformité dynamique étant le terme anglais accountability), et la mise en œuvre de pouvoirs répressifs étendus et conjoints par les autorités de protection des données.

Il appartient donc au régulateur de « décliner » les principes fondamentaux et règles fixées par le législateur européen et national pour répondre à la diversité des situations dans la fidélité à la protection des droits. Ceci passe, concrètement, par de nouveaux instruments, qui relèvent juridiquement de ce qu'il est convenu d'appeler le « droit souple », et qui viennent ainsi prendre le relais du « droit dur ».

3 - Quels outils pour assurer le passage à une logique de conformité ?

Dans la perspective du règlement européen, la CNIL a profondément modifié ses modes d'interventions.

En premier lieu, elle a mis en place, depuis deux ans, des « packs de conformité ». Cet outil se définit à la fois par son contenu et par sa méthode d'élaboration. En termes de contenu, l'objet est de décliner, pour un secteur particulier, les obligations issues de la loi informatique et libertés de manière opérationnelle, afin de permettre aux acteurs de connaître les exigences légales et de s'y conformer. Concrètement, les packs peuvent ainsi contenir deux volets : d'une part, des recommandations ou « bonnes pratiques » sectorielles, regardées par le régulateur comme satisfaisantes au regard des droits et principes posés par le législateur. Sans être juridiquement contraignantes par elles-mêmes, ces recommandations permettent de fixer des lignes directrices à la lumière desquelles seront examinées les situations individuelles, compte tenu naturellement de leurs caractéristiques propres. Cette formalisation est un gage à la fois de sécurité juridique pour les acteurs, et de transparence pour les personnes. D'autre part, la contrepartie de cette formalisation accessible à tous est la simplification des formalités préalables par l'adoption de décisions cadres de la CNIL (dispenses de déclaration, normes simplifiées [qui permettent, en lieu et place d'une déclaration normale, de faire un simple engagement de conformité], autorisations uniques [idem pour les autorisations]).

En termes de méthode, les packs de conformité sont élaborés avec les professionnels -- souvent via leurs fédérations -- des secteurs concernés. C'est donc au terme d'une large concertation, permettant d'identifier les besoins effectifs des métiers, mais aussi de disposer d'une connaissance fine des pratiques et des questions posées, que le contenu des packs est arrêté. Enfin, ce contenu est lui-même évolutif, évitant ainsi de « figer » définitivement une doctrine susceptible d'être remise en cause par l'émergence de nouveaux outils. Une clause de revoyure est ainsi prévue, permettant un examen périodique de l'ensemble des mesures et bonnes pratiques contenues.

Quels sont les domaines d'ores et déjà couverts par ces packs ? Le logement social, la banque, l'assurance, ou encore la maison connectée ont déjà fait l'objet de telles avancées. L'open data, pour le secteur public, et la voiture connectée, pour le secteur privé, sont prévus en 2016. Dans tous les cas, l'enjeu est d'intégrer la protection des données personnelles dès la conception du produit ou du service, et ainsi de construire une innovation respectueuse des droits des personnes.

En deuxième lieu, la régulation passe aussi, de plus en plus, par l'animation d'une « communauté » d'acteurs de la protection des données personnelles. La loi a ainsi prévu, en 2004, que les responsables de traitements pouvaient se doter d'un « correspondant informatique et libertés » (CIL) en interne. Initialement vécu comme un moyen d'alléger les formalités préalables, le CIL est devenu, avec l'émergence du numérique, un véritable acteur de la conformité interne. Le projet de règlement européen le rend obligatoire dans la plupart des administrations et dans de très nombreuses entreprises, notamment toutes celles dont l'activité repose sur le traitement de données. Ces CIL constituent un interlocuteur de référence pour la CNIL, mais aussi un acteur de la transition numérique des organismes publics ou privés. À titre indicatif, on relèvera d'ailleurs le succès de la formule : si 73 organismes avaient désigné un CIL la première année, ils étaient 8 500 fin 2011, et sont désormais plus de 16 500, aussi bien dans le secteur public que dans le secteur privé.

Enfin, l'accompagnement de l'innovation en matière de protection des données personnelles passe également par des outils de « valorisation » des comportements vertueux. La CNIL a ainsi, depuis quatre ans, développé une action de labellisation, que le législateur lui avait accordée. Concrètement, la CNIL définit, d'initiative ou à la demande d'organisations professionnelles, des référentiels, dont la satisfaction ouvre droit à la délivrance d'un label pour les entités concernées. Ainsi, les organismes s'engagent à respecter une série d'obligations, qui vont au-delà de la loi, mais leur permettent en retour de se prévaloir de ce haut niveau de conformité à l'égard de leurs clients. À titre indicatif, on relèvera que plus de 70 labels ont ainsi été délivrés, cette activité étant appelée à connaître une forte croissance.

Ces quelques exemples illustrent qu'innovation et régulation, loin de s'opposer, sont indissociables. Parce que l'innovation bouscule les repères habituels, qu'ils soient technologiques, juridiques ou sociaux, elle appelle un type de réponse capable de combiner le respect des exigences légales et d'apporter des réponses opérationnelles et lisibles à des acteurs, souvent de petite taille, dont la connaissance de la législation est inégale. La régulation est la meilleure réponse, en définissant des pratiques à la fois adaptées aux nouveaux enjeux et conformes en tout point aux exigences légales. Elle permet aussi de renforcer l'adhésion des organismes qui y sont soumis, grâce à un mode de construction fondé sur la concertation.

4 - L'interrégulation, prolongement inéluctable de la régulation par la CNIL

Comment réguler sur un territoire déterminé un phénomène par nature déterritorialisé ? Quel que soit leur champ d'intervention, tous les régulateurs sont aujourd'hui confrontés à cette question.

Outre les enjeux de territorialité du droit, et donc de souveraineté juridique, précédemment évoqués, le numérique appelle une réponse européenne et des échanges plus importants entre autorités.

S'agissant de la dimension européenne de la régulation, elle constitue certainement l'une des principales avancées du règlement européen sur la protection des données personnelles. Le choix d'un règlement implique en effet que la même norme sera désormais applicable sur l'ensemble du territoire de l'Union européenne, ce qui est à la fois un gage de sécurité juridique pour les acteurs du numérique et un élément essentiel de structuration de la régulation pour les autorités de contrôle. Surtout, le règlement prévoit désormais que les autorités de protection des données devront désormais se prononcer conjointement lorsqu'elles examineront un traitement transnational. Concrètement, lorsqu'une entreprise traitera des données dans plusieurs pays de l'Union (voire dans la totalité d'entre eux), elle bénéficiera d'un mécanisme dit de « guichet unique ». Elle n'aura ainsi pour interlocuteur premier que la « CNIL » du pays où sera installé son établissement principal, à charge pour l'autorité de protection des données de se coordonner avec ses homologues pour apporter une réponse unique à l'échelle de l'ensemble des pays concernés.

La prise de décisions conjointes sera notamment applicable, en amont, pour confirmer la conformité d'un outil (tel qu'un code de bonne conduite interne à l'entreprise) et, en aval, pour adopter des sanctions. Concrètement, les autorités de protection des données nationales pourront donc, conjointement, décider de prononcer une sanction, d'un montant maximal de 20 millions d'euros et 4 % du chiffre d'affaires (il s'agit d'un double plafond), pour l'ensemble du territoire de l'Union. En cas de désaccord, c'est le comité européen réunissant les autorités de protection des données qui rendra un avis contraignant, à charge pour l'autorité du pays de l'établissement principal de prendre alors la décision.

Concrètement, émerge ainsi un nouveau mode de régulation adapté à l'univers numérique. Fondé sur des principes et règles partagés, il permet d'apporter une réponse unique, à l'échelle de l'Union, avec une sécurité juridique renforcée pour les acteurs et un rôle consolidé, parce que conjoint, pour les régulateurs. Il s'agit d'une innovation majeure, qui repose sur un mécanisme à la fois intégré et décentralisé. Intégré, parce que la norme sera la même dans toute l'Union et que son interprétation devra être commune ; décentralisée, parce qu'elle résultera de l'exercice conjoint de leurs compétences par des autorités nationales.

Alors que le numérique constitue une nouvelle révolution industrielle, la France et ses voisins de l'Union européenne sont, en termes de régulation, désormais équipés pour accompagner l'innovation dans le respect des droits fondamentaux constitutionnellement garantis. L'enjeu n'est pas seulement juridique : il est aussi social et économique. Notre modèle de protection des données est fondé sur l'humanisme européen, qui fait de la personne le centre de gravité du dispositif. Ce modèle constitue aussi un gage de compétitivité pour les entreprises, et d'adhésion sociale pour les administrations. En plaçant la personne au cœur de leur modèle de développement, les premières pourront capitaliser sur la protection des données pour en faire un atout concurrentiel. En mettant en place des nouveaux services, et en faisant du numérique le moyen de consolider les principes qui fondent le service public (égalité, continuité, neutralité), les secondes renforceront les termes de contrat social. À son niveau et dans son domaine, la CNIL accompagne ces évolutions en développant une vision de la régulation qui concilie, en permanence, innovation et protection des droits fondamentaux, conformément à la volonté du législateur et, au-delà, du Constituant.

(1) Conseil d'État, Considérations générales, Le droit souple, 2014. Cf. notamment la contribution d'Isabelle Falque-Pierrotin, présidente de la CNIL.
(2) Nouveaux Cahiers du Conseil constitutionnel, « La Constitution et l'Internet », mai 2012.
(3) Décision du Conseil constitutionnel n° 2009-580 DC, cons. 22 du 10 juin 2009.
(4) CJUE, 13 mai 2014, Google Spain SL, C-131/12.