Isabelle Falque-Pierrotin (CNIL) : "Les droits des internautes vont être renforcés"

"Les entreprises vont voir leurs responsabilités très renforcées" en termes de respect des données personnelles sur internet, a déclaré Isabelle Falque-Pierrotin, présidente de la CNIL, la Commission nationale informatique et libertés, lundi 27 mars sur franceinfo. 

"Il y aura surtout un niveau de sanction supérieur", grâce au nouveau règlement européen sur la protection des données personnelles, qui entrera en application le 24 mai 2018 : "Nous passons à une sanction de l'ordre de 4% du chiffre d'affaires mondial." Ces sanctions visent à "alerter les entreprises" car seulement "10% d'entre elles s'estiment à ce jour capables d'être prêtes pour 2018. C'est un changement de culture, un changement d'outils, ça ne se fait pas en un jour."

franceinfo : Sait-on ce qu'on laisse derrière soi sur internet, quand on fait des achats ou que l'on va sur les réseaux sociaux ?

Isabelle Falque-Pierrotin : Non, je crois que l'on ne mesure pas exactement l'ampleur et le fonctionnement de cet écosystème. La plupart le reconnaissent, mais la prise de conscience par les individus du fait qu'il y a un enjeu derrière la protection de leurs données personnelles croît : j'en veux pour preuve le fait que les profils Facebook sont de plus en plus des profils fermés. Un tiers des utilisateurs de WhatsApp ont opté pour ne pas croiser leur profil avec leur profil Facebook. Ces comportements, difficilement envisageables il y a encore trois ou quatre ans, montrent que les uns et les autres se posent des questions quant à l'utilisation de leurs données.

Internet : les utilisateurs "se posent des questions par rapport à l'utilisation de leurs données", explique la présidente de la Cnil pic.twitter.com/wTYZFLq2QV

— franceinfo (@franceinfo) 27 mars 2017

Du côté des entreprises, voyez-vous une évolution sur la transparence ?

Je crois que les entreprises réalisent de plus en plus que les données sont un actif immatériel, une ressource extrêmement intéressante, mais elles voient souvent les données personnelles comme une contrainte juridique et pas forcément comme un argument concurrentiel. Or je crois qu'innovation et protection des données personnelles doivent aller de pair. Les consommateurs demandent des garanties supplémentaires, donc c'est un moyen d'avoir une relation client de meilleure qualité.

N'est-ce pas une vision idéaliste ? Certaines entreprises ont intérêt à ne pas dire tout ce qu'elles collectent, pour pouvoir réutiliser et revendre les données.

Bien sûr, mais il y a des règles très précises, qui vont encore être renforcées par le règlement européen, sur la capacité à utiliser ou réutiliser ces données. Ensuite, je crois que la protection des données n'est pas simplement un coût, c'est un investissement de plus en plus rentable. Parce que justement, les attentes des consommateurs s'approfondissent en la matière, et les sanctions à la clé vont devenir très dissuasives, puisque nous passons à une sanction de l'ordre de 4% du chiffre d'affaires mondial.

Cette sanction de 4% du chiffre d'affaire mondiale pour les entreprises qui ne respecteraient pas ces nouvelles règles européennes concerne-t-elle aussi les firmes américaines sur le sol européen ?

Oui. Ce qui est nouveau, c'est qu'une entreprise américaine, même non-implantée en Europe, donc n'ayant pas d'établissement en Europe, si elle cible un consommateur européen, la loi européenne lui est applicable et elle encourt ces sanctions.

Données personnelles: en mai 2018 les entreprises étrangères devront appliquer une nouvelle loi européenne, explique la présidente de @Cnil pic.twitter.com/gHVTjvxqHm

— franceinfo (@franceinfo) 27 mars 2017

Qu'est-ce qui va changer pour les entreprises et les utilisateurs à partir de mai 2018 ?

Les droits des utilisateurs seront renforcés, ils auront de nouveaux droits comme celui à la portabilité : vous allez pouvoir récupérer les données que vous avez confié à un réseau social ou un commerçant électronique. Et les récupérer dans un format interopérable et le porter ailleurs. Cela concerne les données de navigation, les données de compte etc.

L'utilisateur pourrait donc récupérer entièrement ses données personnelles auprès des entreprises ?

Non, dans le numérique tout demeure. Mais c'est une possibilité d'avoir une maîtrise de sa vie numérique et la possibilité de faire jouer la concurrence entre acteurs puisqu'on peut récupérer ses données et se voir offrir par un autre acteur un service comparable. Le règlement européen allège les entreprises de tous les contrôles préalables, des autorisations qu'elles demandaient par exemple à la CNIL. En revanche elles voient leurs responsabilités très renforcées à travers de outils nouveaux dont les entreprises doivent se doter, par exemple un délégué à la protection des données, des études d'impact pour les traitements à risque.

 Vous effectuez des contrôles, seront-ils renforcés ?

Il y aura surtout un niveau de sanction supérieur. L'objectif du régulateur est d'alerter les entreprises. 10% d'entre elles s'estiment aujourd'hui capables d'être prêtes pour 2018. C'est un changement de culture, un changement d'outils, ça ne se fait pas en un jour.

La publicité ciblée va bientôt arriver à la télévision. Le patron de SFR, qui va l'expérimenter, le résume de la façon suivante : "ceux qui ont des chiens auront des publicités pour Canigou, ceux qui ont des chats des publicités pour Ron-ron". Qu'en pensez-vous ?

Je crois que la publicité cherche en permanence de nouveaux vecteurs pour faire passer ses messages publicitaires, et ceux-ci sont toujours soumis à ce que prévoient les textes européens, c'est-à-dire que vous pouvez faire de la publicité ciblée à condition de demander à l'utilisateur son consentement. La question est : comment est demandé ce consentement ? La publicité ciblée partout peut se faire si elle se fait sous contrôle de l'utilisateur final. Ce n'est pas toujours le cas aujourd'hui.

Isabelle Falque-Pierrotin (CNIL) : "Les droits... par franceinfo