Entretien avec Marie-Laure Denis, présidente de la CNIL : Stratégie 2025–2028 et enjeux de régulation numérique

Dans le cadre de la stratégie 2025-2028, la CNIL entend conseiller le gouvernement français sur ses engagements internationaux en matière de protection des données. Quelles sont les priorités identifiées pour renforcer la souveraineté numérique de la France et de l’Europe face aux modèles réglementaires observés aux États-Unis et en Chine ?

En tant qu’autorité compétente pour protéger les données personnelles en France – et en Europe en coopération avec nos homologues européens -, la CNIL a analysé et évalué des règlementations et des technologies étrangères afin d’identifier les risques qu’elles peuvent comporter pour les droits des personnes concernées, notamment en permettant à des autorités gouvernementales de pays tiers d’accéder à leurs données personnelles. Le RGPD offre plusieurs leviers permettant d’assurer notre souveraineté numérique en particulier, les règles en matière de sécurité des données et celles encadrant leurs transferts hors de l’Union européenne. 

La CNIL met régulièrement à disposition des pouvoirs publics son expertise juridique et technique sur ces sujets. En 2024, elle a ainsi répondu à 37 sollicitations des parlementaires (auditions et réponse à des questionnaires) et rendu 68 avis sur des projets de texte à la demande du gouvernement. A ces occasions, les questions relatives à la souveraineté numérique de la France et de l’Europe, ainsi que les enjeux liés aux risques cyber sont régulièrement abordés. C’est dans cette logique que la CNIL souhaite pleinement soutenir les représentants français lors de ces négociations internationales afin de faire valoir le modèle européen et français de protection des données personnelles comme le prévoit la loi Informatique et Libertés (art. 8(4)d de la LIL).

L’explosion des usages numériques, le développement du ciblage publicitaire et la révolution de l’intelligence générative placent la donnée, personnelle ou non, au cœur des politiques publiques et des stratégies économiques. Elles représentent aussi un enjeu géopolitique comme en témoignent les révélations d’Edward Snowden en 2013, qui ont mis à jour plusieurs programmes de surveillance institutionnalisés. 

Dans ce contexte, il est ainsi extrêmement important que nous continuions à soutenir des standards élevés en matière d’accès aux données par les gouvernements en ligne avec les développements jurisprudentiels européens (arrêts de la Cour européenne de justice Schrems I et II) qui imposent que les données transférées bénéficient d’un niveau de protection équivalent à celui garanti au sein de l’Union. Le RGPD constitue à cet égard une protection de notre patrimoine informationnel. 

En effet, si les préoccupations de souveraineté économique ne font pas, en tant que telles, partie des missions de la CNIL, elles rejoignent néanmoins celles de la protection des données personnelles en Europe. L’exemple par excellence est celui des données de santé, en particulier celles du système national des données de santé opéré par la Caisse nationale d’assurance maladie. En plus d’être des données sensibles concernant toute la population française, ces données sont un atout stratégique pour la recherche et l’innovation en santé. La CNIL a tenu et tient toujours sur ce point une position ferme : ces données ne doivent pas être hébergées dans leur ensemble par un acteur extra-européen. C’est dans la même optique que nous avons appelé publiquement à ce que le projet de certification européen sur la sécurité du cloud, EUCS, intègre à un certain niveau des critères permettant de protéger les données contre l’accès par des autorités d’Etats extra-européens. 

Le contexte géopolitique instable confère une actualité supplémentaire à cet enjeu de souveraineté. Il gagne également en force au niveau de l’Union européenne et c’est un rééquilibrage essentiel après avoir constitué un marché unique qui, sur le numérique au moins, profite largement aux acteurs extra-européens, en particulier américains et chinois. 

A cet égard, s’agissant des Etats-Unis, une partie des transferts de données personnelles sont autorisés du fait de la décision d’adéquation de la Commission européenne en lien avec le Data Privacy Framework (DPF). Ce système d’auto-certification permet aux entreprises certifiées de recevoir des données personnelles européennes sans autre garantie appropriée. Nous suivons attentivement les évolutions nationales qui pourraient avoir un impact sur cette décision d’adéquation. En ce qui concerne la République populaire de Chine, l’autorité de protection des données irlandaise a récemment sanctionné la société TikTok du fait de transferts de données vers la Chine non conformes au RGPD. 

Aujourd’hui, l’enjeu est de permettre la circulation des données au niveau international, nécessaire à l’essor économique et l’innovation, tout en préservant nos valeurs et en protégeant nos citoyens et nos entreprises. C’est dans cette optique que nous souhaitons participer aux échanges au niveau international et diffuser l’idée auprès des pouvoirs publics que la protection des données personnelles n’est pas un obstacle au commerce et à l’innovation, mais un vecteur important de notre autonomie stratégique, de nos libertés individuelles et de protection de notre patrimoine informationnel. 

Face aux critiques selon lesquelles le RGPD pourrait freiner l’innovation, notamment dans le domaine de l’intelligence artificielle, comment la CNIL envisage-t-elle la conciliation entre protection des données personnelles et développement technologique ?

Notre principal défi, en tant qu’autorité de protection des données (DPA), est d’accompagner le développement des services d’IA dans le respect de la protection des données personnelles – condition sine qua non pour leur diffusion et leur adoption – en articulant au mieux les différents textes réglementaires, le RGPD et le règlement IA dans le cas de l’Union européenne.

La CNIL s’est engagée dans cette voie, en particulier depuis la création de son service de l’Intelligence Artificielle, il y a presque deux ans, notamment en clarifiant le cadre juridique et en fournissant des outils pratiques pour concevoir des systèmes d’IA de confiance.

La CNIL a ainsi produit du droit souple (lignes directrices, recommandations, etc.), qui précise l’application de la loi à des cas d’usage et apporte de la sécurité juridique aux acteurs. La mise à disposition de ces outils, qui se veulent concrets et opérationnels, se fait au travers d’échanges et de consultations que la CNIL organise en amont de ses productions afin de mieux appréhender la réalité des activités et de les prendre en compte dans son processus de décision. Concrètement, il s’agit de préciser à travers une série de « Fiches pratiques IA » (12 à ce jour) comment concilier innovation et respect des droits des personnes.

Parallèlement, elle propose des outils de formation innovants, tels que des cours en ligne (MOOC) ou des webinaires, dédiés à l’IA et destinés aux professionnels : sécurité des systèmes d’IA, présentation de fiches pratiques mentionnées précédemment, technologies protectrices de la vie privée basées sur l’IA (PETs pour Privacy Enhancing Technologies).

Enfin, la CNIL déploie une stratégie d’accompagnement au plus près des acteurs pour prendre en compte leurs préoccupations concrètes et réguler sans entraver l’activité économique (création d’un « bac à sable » thématique annuel non réglementaire et d’un dispositif « accompagnement renforcé » pour les entreprises innovantes, etc.).

Les entreprises et les fédérations professionnelles peuvent aussi solliciter des « avis » en vue d’obtenir une réponse écrite de la CNIL sur un cas incertain d’application de la loi (plus de 1 500 réponses par an). 

La CNIL participe activement aux travaux du Comité européen de la protection des données (CEPD). Comment cette coopération contribue-t-elle à l’harmonisation des pratiques entre les différentes autorités de protection des données en Europe, et quels sont les défis rencontrés dans ce processus ?

La coopération au sein du CEPD contribue à l’harmonisation de l’application du RGPD au sein de l’UE tout d’abord par la publication de positions communes (recommandations, bonnes pratiques, lignes directrices, etc.) qui sont le fruit d’un travail entre les autorités européennes dont fait partie la CNIL. Le Comité prend aussi des positions via des avis ou des déclarations comme, par exemple, sur le projet de règlement procédural ou des courriers comme dernièrement sur la simplification du RGPD. Cette voix unique a pour objectif de réduire la fragmentation pouvant résulter de l’application de législations nationales. Le CEPD travaille également à l’élaboration de formats plus simples, comme des fiches adossées à ses lignes directrices les plus complexes (par exemple, la fiche sur l’intérêt légitime publiée fin 2024). 

D’une manière générale, le RGPD a permis 4 avancées majeures. La première réside dans l’exportation du modèle européen au-delà de nos frontières, notamment grâce à son effet extraterritorial. La seconde est la mise à disposition du collectif européen des outils de régulation des acteurs majeurs du numérique (plus de 3 milliards d’euros d’amendes en montant cumulé avec des effets de mise en conformité). La troisième consiste en la consolidation des droits des personnes et leur adaptation aux évolutions numériques. La dernière, qui nous intéresse particulièrement ici, a été d’imposer aux organismes d’avoir une hygiène des systèmes d’information et de veiller à leur sécurité.

Il a fallu plusieurs années pour que le processus de coopération se fluidifie, notamment pour trouver des compromis entre les trente autorités représentées et tenir compte des législations nationales parfois disparates (par exemple, sur l’âge minimum du consentement d’un enfant). A cet égard, en complément des travaux menés par le CEPD en son sein pour assurer une bonne coopération, notamment pas la production de règles internes, la Commission européenne a rédigé un règlement d’harmonisation des procédures administratives nationales qui est en cours de finalisation.  Il vise à rationaliser la coopération entre les autorités chargées de la protection des données dans les situations transfrontalières. 

L’intelligence artificielle est un axe majeur de votre plan stratégique. Quels sont les principaux défis identifiés par la CNIL en matière de régulation de l’IA, et comment envisagez-vous de les adresser, notamment en ce qui concerne la transparence des algorithmes et la protection des droits fondamentaux ?

L’IA est une nouvelle révolution technologique comparable à l’essor des smartphones, y compris par sa vitesse de propagation. Pour que cette technologie donne son plein potentiel, il faut notamment que les utilisateurs, particuliers, entreprises et administrations puissent avoir confiance. Pour cela il faut clarifier le cadre légal et contrôler les éventuelles dérives. C’est ce que le CNIL s’applique à faire depuis janvier 2023 avec la création de son service de l’intelligence artificielle ; le plan stratégique en est la continuité logique. 

En pratique, dans les 3 ans à venir nous souhaitons poursuivre trois objectifs principaux :

• contribuer au partage de connaissances et d’expertise au sein de l’écosystème de l’IA ; ;
• clarifier le cadre juridique applicable et mettre en œuvre une régulation effective et équilibrée ;
• sensibiliser le grand public aux enjeux de l’IA et le former à l’exercice de ses droits ;
• contrôler la conformité des systèmes d’IA.

Il ressort nettement que les missions de la CNIL actuelles se recoupent largement avec les objectifs du règlement sur l’intelligence artificielle (RIA), à cela s’ajoute le fait que les modèles d’IA reposent sur l’utilisation de données, souvent personnelles. Ainsi, la CNIL régule déjà l’IA et est un candidat naturel pour exercer de la surveillance de marché au titre du RIA.

Elle devrait ainsi se voir attribuer de nouvelles compétences pour l’application de ce règlement. Dans cette hypothèse, un de ses défis sera de s’adapter pour mener pleinement ses nouvelles missions. Il s’agira de veiller à ce que les systèmes d’IA mis sur le marché européen soient sûrs et respectent les droits fondamentaux des citoyens, de garantir la sécurité juridique pour faciliter l’investissement et l’innovation dans l’IA ou encore de faciliter le développement d’un marché unique pour les applications d’IA sûres et dignes de confiance et de prévenir la fragmentation du marché. 

Comment la CNIL envisage-t-elle de clarifier le cadre juridique applicable à l’IA, notamment en articulant le RGPD avec le futur règlement européen sur l’IA (AI Act) ?

La CNIL est chargée de veiller au respect du RGPD, qui est une réglementation fondée sur des principes généraux applicables à tous les systèmes informatiques puisque « neutre » technologiquement. Il s’applique donc aussi aux données personnelles traitées pour ou par les systèmes d’IA, y compris lorsqu’ils sont soumis aux exigences du RIA.  

En pratique, la CNIL prévoit de s’appuyer sur ces exigences pour guider et accompagner les acteurs dans le respect du RIA, mais également du RGPD en proposant une vision intégrée des règles applicables. La CNIL considère, en effet, que ce nouveau règlement doit permettre aux acteurs de mieux comprendre leurs obligations quand ils développent ou déploient des IA. 

Ainsi, dans ses fiches pratiques, la CNIL précise comment l’application du RIA peut faciliter celle du RGPD. A titre d’exemple, la documentation exigée par le Règlement IA pour certains systèmes à haut risque peut alimenter une analyse d’impact sur la protection des données requise par le RGPD.

La CNIL travaille par ailleurs au sein du Comité européen de la protection des données (CEPD), qui rassemble les autorités de protection des données européennes, à des lignes directrices visant à préciser l’articulation entre Règlement IA et RGPD. Ces travaux mobilisent également la Commission européenne via son Bureau de l’IA.

Comment s’organise la collaboration de la CNIL avec d’autres autorités en France, telles que l’ANSSI, pour harmoniser l’application des réglementations internationales ?

Dans le cadre du projet de transposition de la directive NIS2, la CNIL avait été saisie pour avis par le Parlement. Elle avait alors souligné l’impact positif que ce texte pourrait avoir sur le renforcement global de la cybersécurité des acteurs. 

Elle avait en outre identifié, en discussion avec l’ANSSI, une opportunité à renforcer l’articulation entre les deux institutions sur l’ensemble de la chaîne : de la définition des exigences de sécurité à l’action répressive, en passant par la notification des incidents de sécurité. Cette articulation doit répondre à un besoin d’efficacité mais également de lisibilité et de simplicité pour les nombreux acteurs soumis à NIS 2 et au RGPD.

La CNIL prévoit d’accroître sa présence sur le terrain pour sensibiliser les publics aux enjeux de la protection des données. Quels sont les principaux axes de cette stratégie éducative ?

L’essor fulgurant des nouvelles technologies et des services numériques a transformé nos sociétés, ouvrant la voie à une ère dominée par le numérique. Cette évolution constitue une opportunité considérable pour l’innovation et la croissance, mais repose sur un équilibre délicat entre exploitation des données et respect de la vie privée. Elle soulève également des préoccupations majeures en termes d’éthique.

La protection de la vie privée des enfants constitue une priorité justifiant la mobilisation de moyens importants. La CNIL va continuer à collaborer activement avec tous les acteurs concernés (parents, éducateurs, acteurs publics, associations, entreprises, régulateurs et organisations internationales) pour promouvoir un environnement numérique plus sûr et favorable à leur développement. Cela passera notamment par le renforcement de la présence de la CNIL sur l’ensemble du territoire national pour informer les mineurs sur leurs droits et les modalités de leur exercice et aussi sur le fonctionnement des services numériques, les risques liés à leur utilisation et les conséquences de leurs choix. L’élaboration d’outils pédagogiques de sensibilisation co-construits et tenant compte des usages et des besoins se poursuivra, comme en témoigne la publication récente, par la CNIL, d’un « manga » pour sensibiliser les adolescents à la protection des données personnelles et à la vie privée en ligne.

La CNIL doit également aider le grand public, plus généralement, à prendre la mesure des risques quant à la sécurité des données personnelles et à recourir à des solutions et des outils adaptés, face à l’augmentation préoccupante des cas d’usurpation d’identité, de cyberattaques et d’hameçonnage. La promotion sur le terrain d’une culture de la sécurité sera ainsi développée, notamment au travers d’initiatives, comme celle portée en partenariat avec Cybermalveillance.gouv.fr et l’Union nationale des associations familiales (Unaf), et qui a abouti à la diffusion de deux guides sur les cybermenaces pour les familles et les seniors.

Quelle position adopte la CNIL face aux incertitudes autour du Data Privacy Framework, et que recommandez-vous concrètement aux entreprises françaises qui s’appuient sur des services de fournisseurs américains, au risque de se retrouver en situation de non-conformité si ce mécanisme venait à être invalidé ? Quelles mesures la CNIL met-elle en place pour s’adapter à l’évolution incertaine du cadre juridique régissant les transferts de données personnelles de l’Europe vers les États-Unis ?

Tout d’abord, il convient de préciser qu’il appartient à la Commission européenne de suivre les évolutions du cadre de protection des données aux Etats-Unis et de déterminer si elle doit revoir ou non sa décision du 10 juillet 2023. Pour mémoire, cette décision constatait que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’Union européenne.

Comme le prévoit la jurisprudence de la CJUE (arrêts Schrems 1 et 2), les autorités de protection sont tenues d’appliquer la décision d’adéquation de la Commission européenne, dès lors qu’elle n’a pas été retirée par la Commission elle-même ou invalidée par la CJUE. Néanmoins, la CNIL interroge très régulièrement la Commission européenne sur son analyse de la situation et l’efficacité des mesures à même d’assurer au mieux la protection des données des européens dans le cadre des transferts transatlantiques.

Dans l’hypothèse où ce mécanisme serait invalidé, la CNIL, en lien avec ses homologues, en tirerait les conséquences.
Pour autant, au niveau national, la loi pour sécuriser et réguler l’espace numérique a introduit, pour les administrations et opérateurs de l’Etat, l’obligation d’héberger les données d’une sensibilité particulière sur des offres respectant des critères de souveraineté. Si le cadre est limité à l’Etat, en réalité l’enjeu me paraît pouvoir être étendu à un certain nombre d’entreprises, par exemple celles qui traitent des données tout aussi stratégiques ou précises sur la vie privée des citoyens. Sur ce second point, je pense par exemple à la consommation énergétique des foyers ou aux déplacements des Français ou à leurs communications. Il faut être en mesure de faire entrer la question de la sensibilité des données dans les choix qui sont opérés en matière de numérique et de recours au cloud.  Il ne s’agit pas, à court ni à moyen terme, de supplanter les hyperscalers étrangers mais de rendre disponible une offre souveraine pour les projets d’une certaine sensibilité.