« Lorsqu’on explicite leurs droits aux individus, ils commencent à s’en saisir » – Marie-Laure Denis (CNIL)
Depuis 1978, la Commission nationale de l’informatique et des libertés (CNIL) s’assure que le numérique soit au service des citoyens et qu’il ne porte atteinte « ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
En avril dernier, son laboratoire d’innovation numérique publiait son huitième cahier Innovation & Prospective, explorant le rapport des citoyens français à la protection de leurs données. De l’envoi croissant de plaintes à l’adoption de stratégies d’évitement spontanées, la prise de conscience des Français vis-à-vis de la protection de leur vie privée en ligne laisse peu de doutes.
Pour les personnes éloignées du numérique, faire valoir ses droits en ligne n’a toutefois rien d’évident, et le rôle des accompagnateurs à cet égard est essentiel. Comment s’assurer du droit à la vie privée en ligne pour tous et toutes ?
C’est avec cette question en tête que WeTechCare s’est entretenue avec Marie-Laure Denis, présidente de la CNIL depuis février 2019.
WeTechCare : Dans votre dernier cahier Innovation & Prospective, vous distinguez quatre grands motifs de sollicitation de la CNIL. Quels sont-ils ?
Marie-Laure Denis : La CNIL reçoit plus de 20 000 questions écrites et 120 000 appels téléphoniques par an, principalement de la part de particuliers, qui l’interrogent sur des sujets pouvant aller de la suppression de contenus sur internet au cyberharcèlement, au piratage et à la diffamation, en passant par le télétravail, la vidéosurveillance et la banque.
En parallèle, la CNIL reçoit autour de 14 000 plaintes et réclamations par an. Les raisons de ces sollicitations sont très diverses. On peut identifier quatre situations principales qui conduisent les personnes à déposer une plainte devant la CNIL.
Premièrement, le retrait d’informations en ligne ou le déréférencement, dans un souci de préservation de leur réputation et de leur identité numérique.
Deuxièmement, quand elles subissent une intrusion dans leur sphère privée par de la prospection commerciale : les spams, les appels téléphoniques ou les SMS non désirés.
La troisième situation est relative à la surveillance sur le lieu du travail, qui a connu un regain d’intérêt médiatique avec le télétravail, mais qui préexistait largement, notamment avec l’usage abusif des caméras de vidéosurveillance.
Enfin, la dernière raison concerne l’inscription jugée indue dans des registres nationaux, comme ceux relatifs aux incidents bancaires, qui peuvent provoquer des difficultés importantes au quotidien pour les individus, comme, par exemple, pour obtenir un prêt.
WeTechCare : Comment a évolué le rapport des citoyens à leurs données personnelles depuis l’entrée en vigueur du RGPD (règlement général sur la protection des données) en 2018 ?
Marie-Laure Denis : Le RGPD a contribué à sensibiliser les citoyens à la protection des données personnelles. Et lorsqu’on explicite leurs droits aux individus, ils commencent à s’en saisir. Dès 2018, les plaintes reçues ont augmenté de 33 %, puis de 27 % supplémentaires en 2019 avant de se stabiliser autour de 14 000 plaintes en 2020, malgré la situation particulière liée à la pandémie qui a ralenti l’activité du pays.
De même, les questions relatives aux droits des personnes ont augmenté (+5% en 2019 et +18% en 2020) et sont de plus en plus complexes chaque année. Cela démontre là aussi un intérêt et une meilleure connaissance des citoyens sur ces sujets.
Selon nos dernières études, 87 % des Français se déclarent aujourd’hui sensibles à l’enjeu de protection des données et 68 % disent connaître la CNIL. Cette prise de conscience collective, qui se traduit par autant d’actions individuelles, s’inscrit donc dans la durée et constitue un enjeu stratégique majeur pour la CNIL.
WeTechCare : La crise sanitaire a révélé les inégalités fortes en matière d’accès et d’usage du numérique. Comment a-t-elle influencé vos activités concernant la protection des données personnelles ?
Marie-Laure Denis : La crise sanitaire a accéléré la digitalisation de la société, ce qui a généré beaucoup d’interrogations, tant de la part des citoyens que des pouvoirs publics.
Au niveau des citoyens d’une part, la CNIL a publié des recommandations en matière de télétravail ou d’éducation à distance pour répondre aux nombreuses questions qui lui ont été adressées. Elle a également constaté une augmentation des questions concernant les cyberattaques, les pertes de données, les caméras intelligentes et domestiques ou encore les mesures préfectorales et dispositifs gouvernementaux.
Au niveau des pouvoirs publics d’autre part, la CNIL a rendu 10 avis liés à la gestion de la crise et elle a autorisé de nombreuses recherches médicales. Elle a également priorisé le traitement des plaintes liées à la Covid-19, ainsi que les contrôles des dispositifs mis en œuvre en réaction à la crise, soit une trentaine de contrôles sur des sujets aussi différents que les cahiers de rappel présentés à l’entrée des bars et des restaurants ou l’usage des drones équipés de caméras pour surveiller le respect des mesures de confinement.
Par ailleurs, le LINC (Laboratoire d’Innovation Numérique de la CNIL) a mené une série d’enquêtes pour mieux comprendre les pratiques numériques durant les confinements et leurs effets sur la protection des données. Il en ressort que les outils numériques ont été perçus très positivement pour maintenir les liens sociaux dans cette période exceptionnelle.
Toutefois, les Français ont pu ressentir des formes d’intrusion dans leur sphère domestique par l’intermédiaire des écrans et ils ont mis en place diverses stratégies pour protéger leur intimité familiale : éteindre la caméra lorsque cela était possible, neutraliser ou flouter le fond, réorganiser l’espace de vie pour maîtriser ce que l’on donne à voir de soi et de ses proches, etc.
Cependant, dans leurs choix des outils, ceux-ci ont été largement contraints par l’employeur, l’enseignant ou les proches. Quand ce n’était pas le cas, une logique pragmatique a prédominé : un outil gratuit, facile d’usage, déjà utilisé par une grande partie des pairs. La protection des données a rarement été un critère, confirmant l’importance de traitements respectueux de la législation par défaut, y compris lorsqu’ils sont gratuits.
WeTechCare : Parmi les publics aux usages et à la culture numériques les plus spécifiques, vous évoquez dans votre cahier les populations jeunes et seniors. De quelle manière suggérez-vous d’aborder le sujet de la protection des données avec ces interlocuteurs ?
Marie-Laure Denis : Outre sa permanence juridique quotidienne ouverte à tous, la CNIL a initié en 2013 le collectif Educnum, composé de près de 70 acteurs de l’éducation et de la recherche, des fondations d’entreprises, des institutions publiques, pour mutualiser des ressources pédagogiques et initier des actions concrètes envers les jeunes, leurs parents, leurs enseignants, ainsi que les publics en situation de fragilité (Emmaüs Connect, ANLCI, Fondation Simplon, Bibliothèques sans frontières) et les seniors (Prévention MAIF).
La CNIL a notamment conçu, en partenariat avec le Groupe VYV, une vidéo « Comment protéger sa vie privée en 6 étapes ? » avec le youtubeur Le Rire Jaune destinée aux 12-15 ans qui a fait près de 9 millions de vues, ainsi qu’un Escape Game. Un éventail des Incollables « Ta vie privée, c’est secret ! » a été distribué à tous les collèges, ainsi que des affiches avec des conseils et bonnes pratiques. En 2021, elle a produit, en collaboration avec le CSA, la Hadopi et le Défenseur des droits, un kit du citoyen numérique, permettant d’accompagner les jeunes publics vers un apprentissage de la citoyenneté numérique.
En effet, il y a un enjeu majeur à former les mineurs, qui sont notamment exposés à de nombreux risques comme le cyberharcèlement et peuvent être très réceptifs aux techniques de manipulation utilisées pour capter leur attention. Leur donner la possibilité d’exercer leurs droits en ligne, c’est leur donner les moyens de se défendre, par exemple, pour faire effacer des commentaires injurieux, supprimer des photos ou des vidéos intimes publiées par d’autres. C’est pourquoi la CNIL a récemment publié une série de 8 recommandations pour renforcer la protection des mineurs en ligne, tant à leur destination qu’à celle de leurs parents et des acteurs du numérique.
WeTechCare : La CNIL mène-t-elle des actions auprès des publics précaires, qui sont à la fois plus éloignés du numérique et plus confrontés à la dématérialisation ? Si oui, lesquelles ?
Marie-Laure Denis : Le collectif Educnum travaille depuis plusieurs années sur le thème de l’inclusion numérique en collaboration avec les principaux acteurs impliqués sur ce sujet. En 2019, il a participé aux États Généraux du numérique lancés par le Conseil National du Numérique et a produit une contribution « Pour un numérique plus inclusif » qui formule des propositions concrètes, comme par exemple former des médiateurs numériques en intégrant les enjeux liés à la citoyenneté numérique et rendre les services en ligne plus accessibles aux personnes vulnérables.
La CNIL, quant à elle, participe au plan d’action pour l’inclusion numérique lancé en 2021 par le secrétaire d’État au numérique Cédric O, qui consiste à former des conseillers pour aller à la rencontre des publics en difficulté avec le numérique sur tout le territoire. Afin de répondre à leurs besoins concrets et faciliter leurs démarches, la CNIL a publié sur son site des fiches pratiques, telles que « Comment faire supprimer des informations me concernant diffusées sur internet ? » ou « Comment télécharger tout ce que vous avez publié sur un réseau social grâce au droit à la portabilité ? », également relayées par l’Agence Nationale de cohésion des territoires.
Enfin, la CNIL anime une mission de réflexion éthique, qui soulignait dès 2017 le potentiel effet discriminatoire des algorithmes et de l’intelligence artificielle. Ces réflexions se poursuivent plus particulièrement en lien avec le Défenseur des droits, pour garantir le respect de nos droits fondamentaux.
WeTechCare : Votre cahier cherche un point d’équilibre entre une autonomisation nécessaire des individus sur les sujets de protection des données et une « sur-responsabilisation » qui ferait abusivement peser sur les gens « la responsabilité de leur propre protection ». Où se trouve ce point d’équilibre ? Comment se traduit-il concrètement ?
Marie-Laure Denis : A travers son analyse des sollicitations reçues par la CNIL, le cahier Innovation & Prospective met en évidence l’importance fondamentale de considérer les usagers comme non-responsables des violations de leurs données qu’ils pourraient rencontrer.
S’ils disposent de droits en matière de protection des données, la responsabilité de la collecte et du traitement de données incombe aux organismes. Il serait trop facile d’imputer la faute aux citoyens, qui seraient négligents quant aux informations qu’ils dévoileraient en ligne, quand la société numérique dans laquelle nous vivons les incite souvent à fournir toujours plus de données, malheureusement parfois à leur insu.
WeTechCare : Quels acteurs mobiliser pour faire monter en compétences tous les citoyens sur ce sujet ? N’y a-t-il pas une extension du domaine de l’aidant, ce sujet devenant la responsabilité tant des proches que de l’école, tant du monde de l’inclusion numérique que de l’action sociale au sens large ?
Marie-Laure Denis : Nos enquêtes sur les pratiques numériques ont démontré que l’isolement social était un facteur d’aggravation des difficultés rencontrées avec le numérique. En cas de problème, les individus se tournent vers leurs proches : familles, amis, collègues, etc. Le rôle des aidants est ainsi crucial pour briser ces situations d’isolement et permettre aux individus d’acquérir des compétences tout au long de leur vie.
Sur le plan plus spécifique de la protection des données personnelles, nos travaux montrent que le cadre professionnel joue aussi un rôle crucial pour sensibiliser les individus sur leurs droits et les bonnes pratiques. Par exemple, on observe des transferts de compétences de la sphère professionnelle vers la sphère privée sur le choix des outils ou la gestion des mots de passe.
Enfin, l’éducation à la protection des données dans les écoles, collèges ou lycées est un levier majeur. La CNIL a notamment participé à l’initiative Educadroit, menée par le Défenseur des droits en partenariat avec le Ministère de l’Education nationale, visant à intégrer le droit comme enseignement optionnel dans le programme scolaire.
WeTechCare : Comment la CNIL collabore-t-elle avec cet écosystème ? Quelles méthodes, outils, conseils leur apportez-vous vis-à-vis de la protection des données personnelles ? Et comment intégrez-vous leur connaissance du terrain dans votre action ?
Marie-Laure Denis : Le principe du réseau Educnum est d’échanger les expériences et les bonnes pratiques, entre acteurs de terrain impliqués dans l’éducation au numérique.
D’un côté, les acteurs territoriaux, tels que l’Union nationale des associations familiales et les réseaux d’éducation populaire, disposent d’une connaissance fine des besoins des différents publics, ce qui permet à la CNIL d’adapter ses modes d’interventions pour « coller » le plus possible à leurs préoccupations concrètes.
De l’autre, la CNIL apporte au collectif de nombreuses publications sur les enjeux liés à la protection des données personnelles, ainsi que des outils fournis par le LINC, comme par exemple le logiciel CookieViz qui permet de sensibiliser le grand public aux traceurs sur Internet.
WeTechCare : Vous venez de publier votre 41ème rapport d’activité. Quel bilan faites-vous des actions de la CNIL ces dernières années, et quelle(s) direction(s) souhaitez-vous prendre demain ?
Marie-Laure Denis : Depuis 2018, la CNIL a œuvré pour faire du RGPD une réalité opérationnelle tant au niveau national qu’européen. L’augmentation du nombre de plaintes a montré que lorsque les personnes ont des droits et qu’elles les connaissent, alors elles les exercent. Notre activité s’est aussi profondément européanisée.
En 2020, les enjeux de protection de données personnelles se sont révélés particulièrement importants dans les débats de société, qu’il s’agisse de l’impact de la crise sanitaire sur nos libertés individuelles ainsi que des enjeux de souveraineté numérique européenne, avec la question des transferts de données internationaux.
En 2021, la CNIL se fixe objectif d’améliorer la mise en conformité de trois secteurs clés : celui de la publicité en ligne, de l’hébergement des données dans un cloud souverain et de la cybersécurité, dont le RGPD est instrument à part entière. Elle continuera également ses réflexions techniques, avec un livre blanc sur les données de paiement ; prospectives, avec un prochain cahier Innovation & Prospective sur l’impact environnemental des données ; éthiques, avec un colloque sur l’ouverture et le partage des données.
15