Vous écoutez « L’Actualité de la vie publique », un podcast du site Vie-publique.fr.
Patrice : A la fin des années 1960, les premiers ordinateurs font leur apparition dans l’administration française, notamment dans l’administration fiscale. Bien que le développement de l’informatique ne soit encore qu’embryonnaire à cette époque, il suscite déjà des craintes concernant les abus potentiels que les ordinateurs rendent désormais possibles en matière de surveillance et de contrôle des individus. Le 6 janvier 1978, la loi relative à l’informatique, aux fichiers et aux libertés entre en vigueur. Cette loi dite loi « informatique et libertés » pose les bases d’un système juridique de protection contre les abus possibles de l’informatique concernant les données personnelles.
Voici une nouvelle série de « L’Actualité de la vie publique » consacrée au 45e anniversaire de cette loi, dont le rôle et la place ont pris de plus en plus d’importance dans le quotidien des Français avec l’essor des technologies numériques : l’informatique bien sûr, mais également l’internet et désormais, l’intelligence artificielle.
Au sommaire de ce deuxième épisode : « La protection des données personnelles à l’ère de l’Internet »
1. Patrice : Stéphanie, pouvez-vous nous rappeler quelles ont été les principales évolutions apportées au texte de 1978 qui offrent de nouvelles garanties aux citoyens et renforcent les pouvoirs du régulateur des données personnelles ?
Stéphanie : La loi du 6 janvier 1978 comptait à l’origine moins de 50 articles. Elle en comporte désormais 128. Des modifications importantes ont été introduites par la loi du 6 août 2004 afin de transposer en droit français les dispositions de la directive européenne de 1995 sur la protection des données personnelles. Cette directive élargit le domaine des données qualifiées de personnelles afin d’englober le plus de situations possibles, simplifie leurs régimes juridiques et alourdit les sanctions pénales en cas de non-respect de la loi. Puis, la France a procédé, il y a 5 ans, à la transposition en droit français des dispositions d’un autre texte européen très important, entré en vigueur en 2016 et applicable à partir du 25 mai 2018, le Règlement général sur la protection des données (le RGPD). Cette adaptation du droit français au RGPD a été principalement réalisée par la loi du 20 juin 2018 relative à la protection des données personnelles. Le texte de 1978 a fait l’objet d’une réécriture complète (une mise à jour permise par l’ordonnance du 12 décembre 2018). La loi « Informatique et libertés » est entrée en vigueur, le 1er juin 2019, dans sa nouvelle version. Enfin, un décret du 29 mai 2019 a parachevé l’adaptation du droit français au droit européen en matière de protection des données.
2. Patrice : Quels sont les nouveaux risques concernant la protection de la vie privée apparus à partir des années 2000 avec le développement d’Internet ?
Stéphanie : Le développement d’Internet et des téléphones intelligents (smartphones) ont entraîné une évolution très rapide des usages du numérique. Ces outils technologiques de plus en plus innovants et performants ont conduit à l’émergence de nouveaux risques pour la protection de la vie privée. On peut citer par exemple le développement de la publicité ciblée et des cookies. Ces petits fichiers de connexion utilisés par les plateformes dans le cadre du ciblage publicitaire des internautes leur permettent de collecter des masses considérables de données personnelles à l’insu des utilisateurs du web. Et s’il est possible de bloquer ces cookies, ce n’est pas toujours efficace car les informations concernant leurs conditions d’utilisation peuvent rester relativement obscures ou difficilement accessibles.
[Intervention 1. Patrice. Est-ce la même chose concernant les applications mobiles ?]
Stéphanie : Oui Patrice ! Les applications mobiles qui sont devenues un des principaux moyens d’accès à des contenus ou des services numériques posent souvent des problèmes de mise en conformité avec les dispositions relatives à la protection de la vie privée.
3. Patrice : Pourquoi l’adoption d’un nouveau cadre législatif européen, avec l’entrée en vigueur du RGPD et, son application en 2018, a constitué un véritable tournant en matière de protection des données à caractère personnel ?
Stéphanie : Essentiellement pour deux raisons, Patrice ! Le RGPD a d’une part renforcé les législations nationales en matière de protection des données et d’autre part, accordé plus de pouvoirs aux autorités nationales, c’est-à-dire les différentes « CNIL européennes » chargées du contrôle et du respect des règles dans ce domaine.
[Intervention 2. Patrice. Quel est justement le cadre juridique de l’Union européenne sur lequel repose le RGPD ?]
Stéphanie : Toute personne résidant dans l’Union européenne dont les données à caractère personnel font l’objet d’un traitement est protégé par le cadre juridique adopté par l’Union conformément à l’article 8 de la Charte des droits fondamentaux de l’UE et à l’article 16 du traité sur le fonctionnement de l’UE.
[Intervention 3. Patrice. Les contrôles effectués par les « CNIL européennes » ont ainsi profondément changé de nature, n’est-ce pas ? Quel peut-être le montant d’une amende ?]
Stéphanie : Le RGPD a adopté un arsenal de sanctions plus dissuasives. Les amendes ne sont plus symboliques. Les sanctions pécuniaires peuvent s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise entre 2 et 4 % du chiffre d’affaires annuel mondial. C’est ainsi que Google, en 2021, ou Amazon, en 2020, ont été condamnées à des amendes importantes par la CNIL - respectivement 150 millions et 35 millions d’euros - pour avoir collecté les données personnelles d’utilisateurs sans leur consentement. Il s’agissait du non-respect de la législation sur les cookies. De la même manière, en 2023, la Data Protection Commission (l’équivalent irlandais de la CNIL) a condamné Meta - la décision concernait Facebook - à une amende record à l’échelle européenne de 1,2 milliard d’euros pour avoir continué de transférer des données personnelles des internautes européens vers les États-Unis.
[Intervention 4. Patrice. Le RGPD contraint donc les entreprises à se montrer plus responsables dans leurs pratiques concernant la collecte et le traitement des données ?]
Stéphanie : Oui Patrice ! Le cadre réglementaire oblige les entreprises à se montrer plus responsable vis-à-vis des usagers. Cela se traduit notamment par la mise en place en leur sein d’instances de gouvernance concernant la protection des données personnelles.
[Intervention 5. Patrice. Il y a également un important travail d’harmonisation qui est mis en œuvre entre États membres de l’UE, n’est-ce pas ?]
Stéphanie : Oui ! Le RGPD a favorisé la concertation des différentes autorités nationales et l’harmonisation des textes nationaux. Le Comité européen de la protection des données (CEPD) – institué par le RGPD et dont le rôle est principalement de veiller à l’application du règlement européen dans tous les pays membres de l’UE – œuvre à l’harmonisation en particulier des procédures administratives pour faciliter les contrôles et l’adoption des sanctions. Il effectue également un travail d’anticipation concernant l’innovation technologique au sein de l’UE à travers des avis rendus sur les éventuelles conséquences en termes de protection des données personnelles de projet développé au sein de l’Union, par exemple le projet de la Banque centrale européenne (la BCE) d’introduction de l’euro numérique ou par la mise en place de groupes de travail sur de nouveaux outils technologiques comme celui lancé sur « ChatGPT », l’IA générative développée par la start-up californienne OpenAI.
[Intervention 7. Patrice. De nouveaux textes européens vont aussi parallèlement renforcer l’arsenal juridique concernant la protection des données des usagers ?]
Stéphanie : Oui c’est le cas du nouveau règlement européen Digital Services Act (le DSA) dont l’objectif est d’encadrer les grandes plateformes technologiques et les réseaux sociaux dans l’UE, en particulier le volet protection des utilisateurs de ces plateformes ou l’Artificial Intelligence Act (l’AI Act) visant à réguler l’écosystème de l’intelligence artificielle qui a été adopté par le Parlement européen, le 14 juin 2023.
4. Patrice : Quels sont les grands sujets émergents auxquels la CNIL est confrontée aujourd’hui ?
Stéphanie : Un domaine très important sur lequel la CNIL travaille aujourd’hui mais qui est appelé à prendre une importance considérable dans les années à venir est celui de l’intelligence artificielle. Une technologie qui présente elle aussi des risques potentiels pour la vie privée. La CNIL a annoncé à ce sujet, en janvier 2023, la création en son sein d’un nouveau service chargé spécifiquement du suivi des développements de l’intelligence artificielle, même si elle travaillait sur ce sujet depuis plusieurs années déjà.
[Intervention 8. Patrice. On peut citer justement à ce titre le cas de l’Autorité nationale de protection des données personnelles italienne (la Garante per la protezione dei dati personali) qui a annoncé au printemps 2023 le blocage de « ChatGPT », le chatbot d’OpenAI ?]
Stéphanie : Oui c’est un bon exemple ! La « CNIL italienne », a pris la décision, en mars 2023, en raison de plusieurs manquements au RGPD, notamment le manque d’information des utilisateurs concernant les données collectées massivement et conservées par le robot conversationnel (dans le but d’«entraîner » les algorithmes » qui font fonctionner la plateforme), de suspendre temporairement son utilisation sur le territoire italien. Ce qui a obligé OpenAI à apporter plusieurs changements à son offre afin de se conformer au RGPD, par exemple la publication d’une description des données personnelles utilisées dans le cadre de l’entraînement de ses modèles d’IA ou encore la mise à disposition des utilisateurs européens d’un formulaire leur permettant de refuser le traitement par OpenAI de leurs données personnelles. L’IA générative est capable de comprendre et de répondre à des questions en utilisant le langage naturel. Ce type d’IA pourrait donc prendre très rapidement de plus en plus de place dans la vie quotidienne des individus. ChatGPT connaît en effet un succès phénoménal depuis son lancement auprès du grand public, fin 2022, et les grandes firmes de la Silicon Valley, comme Google ou Microsoft, se livrent depuis à une course frénétique pour la maîtrise de ces outils d’intelligence artificielle.
[Intervention 9. Patrice. Et pour finir quels sont les autres grands sujets sur lesquels travaille la CNIL ?]
Stéphanie : Les autres grands sujets qui figurent aujourd’hui au programme de travail de la CNIL sont notamment ceux de la collecte des données personnelles opérées par les applications mobiles (via un système équivalent aux cookies pour le web), le développement de la vidéosurveillance « algorithmique » ou « automatisée », la reconnaissance faciale et l’utilisation des drones qui sont susceptibles d’entraîner de nouveaux risques pour la vie privée. Ces technologies donnent en effet aux forces de l’ordre la possibilité de suivre, d’écouter ou de reconnaître n’importe quel individu. Dans le cadre de l’organisation des jeux Olympiques et Paralympiques de 2024, ces technologies pourraient être utilisées de façon importante par les forces de l’ordre. Ces nouveaux outils (notamment les caméras « augmentées ») font courir le risque d’une surveillance à grande échelle des individus, mise en œuvre au nom de la sécurité des personnes. On peut également mentionner la question nouvelle du télétravail. Son développement massif à l’occasion de la crise sanitaire a en effet soulevé de nouvelles interrogations à propos de la surveillance des télétravailleurs et de leur vie privée par les employeurs.
Vous pouvez réécouter cet épisode et toute la série gratuitement sur vos plateformes préférées et notre chaîne YouTube. N’hésitez pas à vous y abonner ! Et pour en savoir plus, RDV sur notre site internet Vie-publique.fr et nos réseaux sociaux.
Un grand merci pour votre écoute ! On se retrouve très bientôt ! Au revoir Stéphanie, au revoir à tous !