« Il faut désormais internationaliser les échanges »
Instituée par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (Cnil), autorité administrative indépendante, voit son rôle accru à l'heure de l'avènement du numérique. Présentation de ses principales missions avec la directrice adjointe des affaires juridiques, internationales et de l'expertise.
Marketing Direct : La CNIL vient de fêter ses trente ans d'existence. Trente ans de défense des consommateurs ou de respect des devoirs des professionnels ?
Sophie Nerbonne : Les deux. La loi de 1978 a instauré des droits nouveaux pour les personnes compte tenu de l'évolution technologique liée à l'image, au son. Le législateur a pris conscience du besoin de préserver la sphère de l'intimité et de la vie privée et des libertés fondamentales des individus. À cet égard, la France est un des premiers pays à créer ce droit. Depuis lors, la directive européenne de 1995 a harmonisé et posé un socle de garanties communes à tous les États de l'Union. Ainsi, les échanges de données et fichiers sont libres. C'est avant tout, un droit à l'information, c'est-à-dire informer les personnes sur l'utilisation qui va être faite de leurs données pour garantir la loyauté de la collecte. Une adresse cédée est une adresse informée. Mais également, un droit d'accès et de rectification sur les informations les concernant. Enfin, un droit d'opposition et au-delà de consentement (opt-in).
Concernant les devoirs, ils ont également été renforcés car de nombreux traitements ont basculé dans le régime de l'autorisation et non plus de la déclaration. Enfin, la commission met l'accent sur les contrôles en entreprise. La Cnil est passée de vingt contrôles par an en 2003 à plus de cent cinquante en 2007. Dans ce cadre, la CNIL va recruter de nouveaux contrôleurs.
Outre les sanctions financières, quel est votre «pouvoir» en matière de respect des lois sur les données ?
Au-delà des sanctions financières (sous forme d'amendes), nous avons la possibilité de retirer l'autorisation préalablement accordée par la Cnil ou d'enjoindre la société de cesser le traitement ou de supprimer certaines informations. On a une formation contentieuse au sein de la Cnil qui prend ces décisions. La sanction peut être contestée auprès du Conseil d'État.
Entre 2005 et mars 2008, la formation restreinte de la Cnil a prononcé plus de trente-cinq mises en demeure concernant des questions relatives au marketing, sur un total de 219, soit près de 16 %. Un avertissement non-public a été rendu en octobre. Des entreprises de toutes tailles ont été concernées et les problématiques principales étaient les suivantes : non-respect du droit d'opposition des personnes physiques à recevoir de la prospection (par courrier postal, téléphone, fax ou mail) : c'est le sujet numéro 1. Mais aussi des opérations de marketing ethnique sans respecter les dispositions de l'article 8 (marketing sur la base de la race, des mœurs sexuelles ou de la religion) ainsi que celles sur le principe de collecte loyale. Et enfin, de la collecte déloyale de bases de données à des fins de prospection (opt-in pour l'e-mailing ou Liste Orange pour la prospection par voie téléphonique). Cette activité a produit près de la moitié du nombre total de sanctions financières prononcées à ce jour.
Les réseaux sociaux traduisent-ils le débordement de l'Internet communautaire en matière d'échange de données ?
Cela fait partie des grands enjeux de la Cnil. Les mégabases constituées sur Internet le sont souvent à l'insu de l'internaute. Ces réseaux mondiaux ne doivent pas être abordés sous l'aspect franco-français, mais dans le cadre d'une internationalisation des échanges. D'où l'accent que l'on souhaite mettre sur le rôle des autorités au plan européen. Le président de la Cnil est désormais le président du G29 et il compte davantage faire entendre la voix de cette instance et en faire un interlocuteur de poids auprès de sociétés comme Facebook, Google, Microsoft. Il y a un projet global dans le cadre de la conférence mondiale des commissaires à la protection des données en octobre prochain à Strasbourg qui va réunir 70 pays. Pour les géants de l'Internet, on a prévu de se rapprocher des Chief Privacy Officer (CPO) de Microsoft, Facebook.
Ce débordement doit être encadré avec vigilance quant à son exploitation par les marques...
C'est pourquoi nous veillons beaucoup à la pédagogie et à la sensibilisation du public. Quand nous avions ouvert notre «Boîte à spams» en 2002, nous nous étions rendus compte que beaucoup de personnes qualifiaient de spam ce qui ne l'était pas. Elles avaient juste oublié de se désinscrire ou rempli des questionnaires sans prendre conscience de l'utilisation de leurs données. Nous veillons à ce que les conditions de consentement, les clauses soient les plus lisibles possibles.
Nous travaillons beaucoup sur cet aspect avec le ministère de l'Éducation nationale auprès des jeunes, très familiers d'Internet et qui considèrent d'avoir l'accès à ces données comme une démarche naturelle.
Il semble que la durée de conservation des données soit au cœur de votre démarche, en termes de protection ?
C'est en effet notre cheval de bataille car il est important de respecter le principe de finalité. Pour cela, il convient de savoir à quoi sert le fichier, si les informations recueillies sont en cohérence avec la finalité du fichier, si la durée de conservation des coordonnées (le professionnel doit fixer une durée de conservation et la justifier) et la sécurité des données (pour éviter qu'elles soient réutilisées par des tiers) sont respectées ainsi que la préservation des droits des personnes. On considère que si une personne n'a pas répondu à deux sollicitations successives, elle n'est pas intéressée et qu'il n'y a pas lieu de conserver ses données. Pour autant, les envois varient en fonction du secteur d'activité. Mais, à chaque fois, la Cnil engage un dialogue avec le professionnel.
L'effet «Big Brother» existe-t-il réellement ?
Nous y sommes déjà ! Ce n'est pas tant un Big Brother qu'il faut craindre, mais des petits Big Brother un peu partout... La carte Navigo surveille vos déplacements dans le métro, vous êtes sous l'oeil de la caméra de surveillance, votre opérateur de télécommunications peut vous localiser, les voitures sont équipées de système de géolocalisation, la carte Vélib'suit vos déplacements en vélo... Nous sommes dans un monde où les technologies laissent des traces, du coup, les fichiers abondent... mais c'est du rôle de la Cnil d'alerter sur cette société de surveillance. Certes, la vague sécuritaire entraîne une avalanche de textes démultipliant la vidéosurveillance, mais la finalité pour laquelle on recueille des données ne doit pas changer. Il faut rester vigilant sur l'utilisation des données.
Y a-t-il des secteurs plus concernés que d'autres par des plaintes sur l'utilisation abusive des données ?
La Cnil a été amenée à sanctionner de nombreuses entreprises pour l'envoi de fax ou de campagnes de marketing téléphonique, jugées comme particulièrement intrusives. Pour ce qui est du marketing électronique, le bilan est positif, grâce à la mise en place du système de l'opt-in. En 2007, la Cnil a reçu près de 4 500 plaintes pour non-respect de la loi informatique et libertés avec comme secteurs les plus concernés : crédit, prospection commerciale, travail.
Quels types d'actions menez-vous pour que les consommateurs soient suffisamment informés sur l'usage de leurs données, souvent délivrées sur la Toile ?
Nous travaillons en association avec l'Afa (Association des fournisseurs d'accès), les associations de consommateurs, l'UFC Que Choisir, l'Institut national de la consommation... Et nous nous sommes associés aux travaux qui ont abouti à la création de l'association «Signal spams», une plateforme de réception de tous les spams, qui réunit l'ensemble des parties prenantes comme la Fevad, l'Afa. Nous avons signé une convention de partenariat pour pouvoir institutionnaliser l'expérimentation déjà menée par la Cnil, baptisée du même nom: «Signal Spams».
Quels sont vos relais en entreprise ?
Les correspondants de la Cnil sont l'équivalent des CPO aux États-Unis. Et dans un environnement de plus en plus strict, il est important pour les entreprises d'avoir en interne une personne qui soit l'interface de la Cnil. C'est à partir de 2005 que ces correspondants se sont déployés. Ce n'est pas obligatoire. C'est une faculté laissée à la discrétion du chef d'entreprise. Plus de 1 500 correspondants de la Cnil sont présents aujourd'hui aussi bien dans le secteur public que privé. Les Cnam, les notaires, La Poste, Axa sont engagés dans cette démarche. Pour le moment, les entreprises sont encore réticentes, comme les banques car ces correspondants sont indépendants. Et peuvent être perçus comme des électrons libres dénonciateurs. Ce qui n'est pas le cas. Le correspondant Cnil nous fait part des difficultés rencontrées sur le terrain et nous nous engageons à lui répondre rapidement. Les candidats n'ont pas des profils de juristes. Par ailleurs, nous les formons régulièrement. C'est un nouveau métier en quelque sorte.
@ (c) Marc Bertrand
« Nous veillons beaucoup à la pédagogie et à la sensibilisation du public »
PARCOURS
Sophie Nerbonne
Après des études de droit complétées par le diplôme de l'Institut d'études politiques de Paris 1986, Sophie Nerbonne entre comme juriste d'entreprise à la Sodexho. Intégrée par concours à la Cnil en 1988, elle a d'abord été attachée juridique pour les secteurs de la justice et de l'éducation nationale puis chargée de mission pour le secteur bancaire. En 1993, elle est nommée responsable de l'unité économie, regroupant les secteurs de la banque, de l'assurance, des transports, de l'industrie, du logement, du commerce et du marketing. En 2001, elle est désignée chef de la division des affaires économiques qui regroupe les secteurs précédents avec les réseaux, télécommunications et la Net Économie. En 2005, s'y ajoutent les secteurs du travail et de l'Éducation nationale. Elle est désormais directrice adjointe de la nouvelle direction des affaires juridiques, internationales et de l'expertise.
« Pour les entreprises, il est important d'avoir une personne en interne qui soit l'interface de la Cnil. »
CHIFFRES-CLES
56404 traitements de données nominatives enregistrées.
4455 plaintes.
2660 demandes de droit d'accès censuré.
164 organismes contrôlés.
101 mises en demeure.
5 avertissements.
9 sanctions pécuniaires pour des amendes allant de 5000 à 50000 euros.
1723 organismes (au 15/12/2007) ont désigné un Correspondant informatique et libertés (CIL).