Isabelle Falque-Pierrotin a expliqué que la CNIL avait eu une année 2016 « intense » et que de lourds défis l’attendaient en 2017. | ERIC PIERMONT / AFP

De l’aveu de sa présidente, Isabelle Falque-Pierrotin, l’année 2016 a été « intense » pour la Commission nationale de l’informatique et des libertés (CNIL). La présidente de l’instance chargée de la protection des données personnelles en a donné la mesure, lundi 27 mars lors de la présentation de son rapport annuel, en égrenant les principaux dossiers qui ont concerné l’institution lors de l’année passée : adoption du nouveau règlement européen sur les données personnelles ; actions lancées contre plusieurs géants du Net ; débat sur le chiffrement ; loi pour la république numérique ; polémique autour du fichier biométrique TES ; début des processus électoraux…

Ce surcroît d’activité ne s’est cependant pas traduit dans le nombre de procédures traitées par la Commission. En 2016, elle a reçu plus de 7 703 plaintes, un peu moins que l’année précédente (7 908), procédé à 430 contrôles (501 en 2015), prononcé 82 mises en demeure (93 en 2015) et infligé 13 sanctions dont 4 financières (10 en 2015). C’est plutôt du point de vue législatif que l’année 2016 a été chargée, marquée par l’adoption de « trois textes qui bouleversent la protection des données personnelles » dans le sens d’« une plus grande maîtrise de leurs données par les individus », a expliqué Mme Falque-Pierrotin.

Le défi du règlement européen

La loi pour une république numérique a été publiée au Journal officiel le 7 octobre, et l’accord Privacy Shield est entré en vigueur, après de longues négociations, le 1er août. Mais c’est surtout l’adoption définitive, en mai, du nouveau règlement européen sur les données personnelles qui a constitué, selon Mme Falque-Pierrotin, « une étape majeure pour la protection des données personnelles en Europe ». Ce règlement institue notamment des sanctions plus importantes pour les entreprises, de nouveaux droits pour les citoyens et une meilleure coordination des autorités de protection des données. Il nécessite à la fois des adaptations de la part des entreprises, mais aussi un travail législatif au niveau français pour toiletter la loi informatique et libertés de 1978. Le temps presse : le règlement s’appliquera dès le 25 mai 2018. « 2017, c’est la cote d’alerte », a ainsi prévenu Mme Falque-Pierrotin.

Les entreprises « doivent se mettre en marche » pour se conformer au règlement, a-t-elle expliqué, insistant sur le rôle d’accompagnement de la Commission. Consciente de l’effort requis, elle a tenté de rassurer : « Nous sommes convaincus qu’il n’y a pas d’innovation sans protection des données personnelles » : « Il est possible d’innover et que, loin de la contraindre, la protection des données permet de développer l’innovation. »

Autre obstacle de taille, législatif cette fois : pour être appliqué dès le mois de mai 2018, la nouvelle loi informatique et liberté « devra être déposée en conseil des ministres avant l’été ». « Pour le moins délicat », a euphémisé Mme Falque-Pierrotin.

Outre ce double chantier d’ampleur, 2017 sera l’occasion pour la CNIL de procéder à plusieurs contrôles de fichiers de renseignement, notamment ceux qui regroupent les anciens fichiers des renseignements généraux. Les données traitées par les sociétés d’assurance et les télévisions connectées passeront aussi sous la loupe de la CNIL. La Commission poursuivra aussi l’organisation du débat sur les algorithmes engagé en janvier et qui doit déboucher sur un rapport attendu en décembre.

La présidente de la CNIL a publiquement appelé à une augmentation de son budget pour les années à venir : « La CNIL se voit reconnaître des missions nouvelles depuis quatre ans. Pour être professionnelle, elle doit voir ses moyens augmenter, nous en avons fait la demande aux pouvoirs publics. »