Différences entre les versions de « Education, sanction, prospective : que peut (vraiment) la CNIL pour protéger nos données - Soft Power »

De April MediaWiki
Aller à la navigationAller à la recherche
(Page créée avec « Catégorie:Transcriptions '''Titre :''' Éducation, sanction, prospective : que peut (vraiment) la CNIL pour protéger nos données ? '''Intervenants :''' Marie-Laur... »)
 
Ligne 92 : Ligne 92 :
  
 
==13’ 37==
 
==13’ 37==
 +
<b>Frédéric Martel : </b>Marie-Laure Denis est la présidente de la CNIL. La CNIL c’est la Commission nationale de l’informatique et des libertés, un organisme assez bien connu en fait en France et des Français ; créée en 1978 sous Valéry Giscard d’Estaing et dont le statut est celui d’une autorité administrative indépendante, pour parler du statut légal, c’est comme ça qu’on les appelle. Depuis le 2 février, la CNIL est présidée, donc dirigée par vous, Marie-Laure Denis. Vous avez succédé à Isabelle Falque-Pierrotin. Rebonsoir Madame.
  
<b>Frédéric Martel : </b>Marie-Laure Denis
+
<b>Marie-Laure Denis : </b>Bonsoir Frédéric.
 +
 
 +
<b>Frédéric Martel : </b>Je vais juste prendre un exemple parmi d’innombrables exemples, mais on a lu ces derniers jours que la CNIL venait d’infliger, début juin, 400 000 euros d’amende à un administrateur de biens qui s’appelle Sergic, ce n’est pas en soi le sujet de cette émission mais ça nous permet de comprendre comment ça fonctionne, partant de cet exemple pour expliquer un peu comment travaille la CNIL. Vous avez découvert des fiches de paie, des avis d’imposition, des pièces d’identité que des locataires qui voulaient louer un appartement auprès de cet administrateur de biens avaient donc données, des pièces d’ailleurs dont sans doute certaines étaient illégales, qui avaient été réclamées pour pouvoir louer un appartement, sauf que cet administrateur de biens les avaient conservées. Des milliers de documents de candidats qui se sont accumulés dans les serveurs de cet administrateur de biens et qui, problème supplémentaire, se sont retrouvés en accès libre à la suite d’un défaut de sécurité informatique. Qu’est-ce que vous avez fait ? Comment vous avez su tout ça ? Comment vous avez enquêté et comment vous avez sanctionné ?
 +
 
 +
<b>Marie-Laure Denis : </b>Étant arrivée il y a quatre mois, le fait générateur du litige était probablement antérieur, je ne sais pas s’il y a eu une plainte ou si la CNIL s’est auto-saisie,elle peut faire les deux en tout état de cause, si ça a donné lieu à des contrôles sur place ou des contrôles en ligne, nous pouvons également faire les deux. Ce qui est certain c’est que la CNIL est dans son rôle en veillant à ce que les données et <em>a fortiori</em> les données qui sont sensibles, vous venez de les indiquer, ne se retrouvent pas dans la nature. Et elle est très attentive à ce qu’un certain nombre de principes soient respectés, c’est-à-dire que les responsables de traitement de données ne collectent que les données qui sont nécessaires à la finalité de leur traitement, que pour la durée de ces traitements et de façon proportionnée.
 +
 
 +
<b>Frédéric Martel : </b>Vous avez par exemple la possibilité d’aller dans une entreprise, quelle qu’elle soit, d’ouvrir les ordinateurs, de demander les clefs, d’ouvrir les coffres-forts ? Quel est votre pouvoir d’action dans ces cas-là ?
 +
 
 +
<b>Marie-Laure Denis : </b>À l’inverse d’autres autorités administratives indépendantes et comme par exemple l’autorité de la concurrence, nous avons un pouvoir d’enquête. Effectivement nous pouvons nous rendre sur place sans prévenir et, comme vous dites, regarder concrètement les ordinateurs, ce qu’il en est des mesures de sécurité, s’il y a de la vidéo-surveillance et dans quelle mesure elle ne surveille pas trop scrupuleusement les salariés. C’est le genre d’enquête qu’on peut mener effectivement sur place et la sanction que vous avez évoquée, c’est la deuxième sanction émise par la CNIL depuis la mise en œuvre du RGPD, le fameux Règlement général sur la protection des données sur lequel on reviendra peut-être. La première était au mois de janvier, une sanction plus significative encore, de 50 millions d’euros contre Google pour défaut d’information de transparence et là, Sergic, 400 000 euros, pour une PME certes importante, à qui on avait demandé, parce qu’on n’agit pas non plus sans discernement. On est sensibles, naturellement, à la taille de l’entreprise, notre but n’est pas...
 +
 
 +
<b>Frédéric Martel : </b>Vous mettez des avertissements aussi.
 +
 
 +
<b>Marie-Laure Denis : </b>Oui, tout à fait. En général on met en demeure, on adresse une mise en demeure, on souligne les manquements auxquels il nous paraît devoir être remédié rapidement. Cette entreprise, au bout de plusieurs mois, ne s’était toujours pas mise en conformité et là, en l’espèce, c’est la formation restreinte de la CNIL, à laquelle je ne participe pas, qui est composée de six personnes de la CNIL dont des magistrats d’ailleurs, qui a infligé cette sanction.
 +
 
 +
<b>Frédéric Martel : </b>Les entreprises peuvent faire appel dans ces cas-là ?
 +
 
 +
<b>Marie-Laure Denis : </b>Oui, elles peuvent faire appel auprès du Conseil d’État, tout à fait.
 +
 
 +
<b>Frédéric Martel : </b>Auprès du Conseil d’État. Donc vous pouvez, dans ce cas-là, être confirmés là ou votre décision peut être annulée ?
 +
 
 +
<b>Marie-Laure Denis : </b>Annulée, modifiée, invalidée sur le montant de la sanction.
 +
 
 +
<b>Frédéric Martel : </b>On est dans un État de droit.
 +
 
 +
<b>Marie-Laure Denis : </b>On est dans un État de droit, fort heureusement, et nous essayons naturellement d’avoir des sanctions, lorsqu’on en a, qui sont proportionnées au manquement. À la fois il peut y avoir des sanctions beaucoup plus importantes maintenant quantitativement puisque le Règlement dont je parlais permet de monter jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise. Là c’est nettement moins de 1 %, entre 0,5 et 1 %. Parfois une sanction de 10 000 euros, par exemple dans un cabinet dentaire, peut, en quelques mois, conduire à mettre en conformité, par un effet boule de neige, toute une profession. Notre but ce n’est pas de taper fort pour faire un coup d’éclat, mais c’est, dans des situations différentes, d’attirer l’attention de secteurs entiers sur la nécessité de se mettre en conformité.
 +
 
 +
<b>Frédéric Martel : </b>Marie-Laure Denis vous êtes la présidente de la CNIL. On va parler de la CNIL et de son avenir, du RGPD et de où en est un après. On évoquera la donnée comme enjeu éthique. On commence avec la donnée comme enjeu de pouvoir. Gilles Fontaine.
 +
 
 +
<b>Gilles Fontaine : </b>Bonsoir Marie-Laure Denis. Vous arrivez, je ne sais pas si c’est un bon ou un mauvais moment, en tout cas c’est un moment important. Les fameux GAFAM - Google, Amazon, Apple, Facebook et autres - après avoir été poursuivis, depuis maintenant deux décennies, plus pour leurs pratiques anticoncurrentielles aujourd’hui sont dans le viseur de pas mal de régulateurs pour leurs pratiques justement vis-à-vis de la protection de la vie privée et de la donnée personnelle. Par rapport à ces GAFAM, j’imagine que le rapport de force n’est pas le même, les moyens de pression non plus, les pouvoirs de sanction sont également différents. J’image qu’on ne sanctionne pas, vous l’avez dit, un cabinet dentaire comme on peut sanctionner un Google ou un Facebook . Vous êtes arrivée il y a peu de temps, vous l’avez dit et vous avez dit que vous alliez taper assez fort et avec plus de fermeté sur les entreprises qui ne respecteraient pas la régulation. Quelle est aujourd’hui votre analyse sur le comportement de ces géants américains de l’Internet ? Comment établissez-vous, justement aujourd’hui, la qualité de ce rapport de force, parce que c’est un rapport de force finalement, les moyens de pression ? Et puis est-ce que le pouvoir de sanction est suffisant, aujourd’hui, par rapport à ces grandes entreprises ?
 +
 
 +
<b>Marie-Laure Denis : </b>On tape fort, mais en même temps, juste en incidente, on essaye aussi d’accompagner les entreprises en leur fournissant beaucoup d’outils et beaucoup de pédagogie.
 +
 
 +
<b>Frédéric Martel : </b>Vous expliquez à Google comment ça marche ?
 +
 
 +
<b>Gilles Fontaine : </b>Google est suffisamment équipé.
 +
 
 +
<b>Marie-Laure Denis : </b>C’est juste une incidente, mais sur les GAFAM je crois qu’ils ont tous les moyens, effectivement, de se mettre en conformité s’ils le veulent et probablement ont-ils d’ailleurs des pratiques, je ne sais pas si on peut les globaliser en un seul terme, je pense que chaque entreprise a peut-être des spécificités chez les mastodontes américains et puis il y a aussi les mastodontes chinois, par exemple, ou autres.<br/>
 +
Est-ce qu’on a les moyens d’agir contre les GAFAM ? D’abord, comme vous l’avez souligné Gilles Fontaine, je crois que depuis quelques années quand même, il y a beaucoup de leviers qui ont été utilisés : droit de la concurrence, vous l’avez dit, avec des amendes record, par exemple contre Google infligée par la Commission européenne notamment ; des débats sur la fiscalité on l’a vu ; le droit d’auteur ; des initiatives en matière de régulation de contenus, <em>fake news</em>, contenus haineux. Et le RGPD, le Règlement général sur la protection des données, qui est un règlement européen, a quand même cette vertu quasiment inédite dans l’Union européenne d’avoir un caractère extraterritorial, c’est-à-dire de jouer le même jeu, en réalité, que jouent d’autres pays envers nous, c’est-à-dire que même des entreprises qui n’ont pas nécessairement de siège en France mais qui utilisent les données des citoyens européens se voient appliquer ce règlement et toute la bulle de protection qui va avec.<br/>
 +
Est-ce que c’est un règlement anti-GAFAM ? Non, mais comme le Règlement général sur la protection des données est un peu assis sur la notion de risques, naturellement les risques sont plus élevés quand vous vous adressez à Facebook qui, potentiellement, s’adresse à un tiers de l’humanité et potentiellement à 550 millions citoyens européens qu’à d’autres responsables de traitement. Et comme je l’ai évoqué, 4 % du chiffre d’affaires mondial d’une entreprise qui est maintenant le montant maximal que peuvent sanctionner les autorités de protection de données dans les différents pays européens, ce sont naturellement des chiffres significatifs. On dira toujours que ce n’est pas assez ou que c’est trop, mais en tout cas avant ça n’était pas du tout ça. Il y a en plus un côté ??? qui est plus important.
 +
 
 +
<b>Gilles Fontaine : </b>4 % du chiffre d’affaires mondial, c’est beaucoup ! 50 millions d’euros, pour un Google, ce n’est pas beaucoup !
 +
 
 +
<b>Marie-Laure Denis : </b>Oui, ce n’est pas beaucoup, mais parce qu’en l’espèce le montant de la sanction que vous évoquez, qu’a infligée la CNIL au mois janvier, elle correspondait à une enquête précise, la création d’un compte sur Android en France et tout ça était proportionné. Il ne s’agit pas non plus, parce que c’est un très gros acteur, d’agir en dehors du cadre juridique qui doit être le nôtre.<br/>
 +
Ensuite il y a la portabilité des données qui est un droit nouveau issu du RGPD. C’est-à-dire que vous pouvez demander à avoir les données qui sont utilisées par un responsable de traitement pour les transférer à un autre responsable de traitement ou ne pas les transférer, d’ailleurs, même pour des choses utiles, que vous jugez utiles, de la recherche par exemple ; c’est ce qu’on appelle un peu aussi la portabilité citoyenne. Donc ça c’est une façon aussi, c’est un outil ou un instrument pour être moins captif d’un réseau, donc c’est une arme supplémentaire.<br/>
 +
Il y a une autre arme ou un autre outil, ce qui est peut-être plus adapté comme vocabulaire, pour contrecarrer la puissance des GAFA, et c’est aussi une nouveauté du RGPD, ce sont les plaintes collectives. Maintenant le Règlement européen permet à notamment des associations d’être la tête de pont.
 +
 
 +
<b>Frédéric Martel : </b><em>Class Action</em> comme on dit.
 +
 
 +
<b>Marie-Laure Denis : </b>Oui, voilà. Il y a à la fois des actions de groupe envers les tribunaux pour obtenir cette fois-ci une réparation civile d’un préjudice supposé et puis, d’autre part, des plaintes collectives qui peuvent être déposées auprès des différentes autorités de protection des données.<br/>
 +
Tous ça pour dire que nous avons des armes nouvelles ou des outils, je préfère quand même ce terme, des outils nouveaux pour, je crois, être en capacité d’influencer les GAFA en termes de protection des données, enfin dans leur montée en mise en conformité qui est nécessaire, effectivement.
 +
 
 +
<b>Frédéric Martel : </b>Sandrine Cassini.
 +
 
 +
<b>Sandrine Cassini : </b>Pour rebondir sur ce que vous dites par rapport au RGPD, on a l’impression, de manière un petit paradoxale que finalement ce Règlement a plutôt renforcé la position des GAFA dans l’écosystème parce que ce sont des entreprises énormes, qui ont des moyens énormes, et qui ont des compétences qui leur permettent de maîtriser mieux que d’autres, mieux que toutes les PME françaises ce Réglement.
 +
 
 +
<b>Frédéric Martel : </b>Les toutes petites startups.
 +
 
 +
<b>Sandrine Cassini : </b>Est-ce que vous pensez vraiment aujourd’hui que ce Règlement a rempli sa mission ? Est-ce qu’on n’a pas un petit peu tapé à côté ? C’est un peu la question qu’on se pose un an après. On a l’impression que les petites PME ont vraiment du mal à se mettre en conformité, c’est-à-dire que ça rajoute une couche de complexité qui n’est quand même pas neutre. On voit bien qu’autour, comme dans toute création de couches complexes, il y a toute une série de petites entreprises qui se sont développées autour pour vendre du conseil, ce sont les ??? qu’on voit souvent quand il y a des couches administratives qui se créent.
 +
 
 +
<b>Frédéric Martel : </b>Des effets pervers finalement.
 +
 
 +
<b>Zoé Sfez : </b>Donc certaines étaient complètement illégales et qui ne servaient à rien et vous avez mis en garde contre mais c’est un autre sujet. De fausses entreprises de conseil qui ont extorqué... Beaucoup d’arnaques.
 +
 
 +
<b>Frédéric Martel : </b>Marie-Laure Denis.
 +
 
 +
<b>Marie-Laure Denis : </b>La direction générale de la concurrence, la répression générale des fraudes.
 +
 
 +
<b>Sandrine Cassini : </b>Excusez-moi juste pour finir. Vous parlez de la portabilité des données, on peut demander ses données et les porter ailleurs, je voulais savoir si vous avez regardé si la portabilité des données est finalement mise en œuvre par Facebook, Google ; est-ce que vraiment c’est effectif ? Est-ce que d’autres entreprises françaises, parce que c’était un peu ce qu’on nous avait vendu - « vous pourrez très facilement retirer vos données de n’importe quel exploitant », on va dire - aujourd’hui est-ce que je peux retirer mes données facilement de mon assureur pour aller essayer de vendre mon profil d’assurance facilement à un concurrent, par exemple ?
 +
 
 +
<b>Frédéric Martel : </b>Marie-Laure Denis.
 +
 
 +
==26’ 24==
 +
 
 +
<b>Marie-Laure Denis : </b>Merci beaucoup.

Version du 25 août 2019 à 07:58


Titre : Éducation, sanction, prospective : que peut (vraiment) la CNIL pour protéger nos données ?

Intervenants : Marie-Laure Denis - Yves Citton -

Lieu : Soft Power, France Culture

Date : juin 2019

Durée : 1 h 28 min 10

Écouter ou télécharger le podcast

Page de présentation de l'émission

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription : MO

Description

Un an après l'entrée en vigueur du règlement général sur la protection des données (RGPD), où en sommes-nous aujourd'hui ? Au-delà, qu'est-ce qui est mis en place pour protéger nos données ? Que peut (vraiment) la CNIL ? Nous en discutons avec sa présidente, Marie-Laure Denis.

Transcription

Voix off : Soft Power, Frédéric Martel.

Frédéric Martel : France Culture. Bienvenue dans Soft Power, le magazine des industries culturelles et du numérique, en direct jusqu’à 20 heures 30.
La CNIL, la Commission nationale informatique et libertés, est là pour nous protéger. Cet organisme national a d’ailleurs comme devise, disons, protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles. Depuis février la CNIL est présidée par la magistrate Marie-Laure Denis qui est mon invitée ce soir. Bonsoir Madame.

Marie-Laure Denis : Bonsoir Frédéric Martel.

Frédéric Martel : Vous êtes conseillère d’État. Avec vous nous parlerons des données comme enjeu de pouvoir, des données comme enjeu éthique. On dressera un premier bilan du RGPD, un an après, et on essaiera aussi d’imaginer l’avenir de la CNIL, au moment où tout ça s’accélère, où évidemment ces débats sont globaux et non pas simplement nationaux. La CNIL qui a 40 ans et peut-être pas tout à fait toutes ses dents !
Vous serez interrogée ce soir par trois journalistes, Marie-Laure Denis, sur France Culture en direct : Sandrine Cassini du journal Le Monde. Bonsoir Sandrine.

Sandrine Cassini : Bonsoir.

Frédéric Martel : Gilles Fontaine de Challenges.

Gilles Fontaine  : Bonsoir Frédéric.

Frédéric Martel : Et Zoé Sfez de France Culture. Bonsoir Zoé.

Zoé Sfez : Bonsoir Frédéric. Bonsoir à tous.

Frédéric Martel : Toujours au sommaire de cette émission, nous parlerons ce soir de deux livres, celui de Françoise Nyssen, Plaisir et nécessité, un plaidoyer pro domo de l’ancienne ministre de la Culture et puis East Village Blues de Chantal Thomas.
Et puis en seconde partie d’émission, à 20 heures, votre invité innovation ce soir, Zoé Sfez ?

Zoé Sfez : C’est, comment est-ce qu’on peut dire ça, le professeur de littérature et de médias, Yves Citton, qui travaille depuis très longtemps sur la question des médias et de l’attention et qui publie, qui codirige un ouvrage assez massif et important aux éditions UGA Écologies de l'attention et archéologie des média. On va essayer de poser les enjeux théoriques de sa recherche qui est une recherche qui, évidemment, éclaire sur une série de sujets dont nous parlons toute l’année ici dans Soft Power.

Frédéric Martel : Et 20 heures 10, on continuera justement à parler de pensées et d’idées dans Le club de la presse numérique, car nous parlerons ce soir des penseurs du Web que sont ces auteurs qui nous aident justement à penser les mutations numériques. On fera un état des lieux, un tour d’horizon ; les penseurs du numérique et de la transition numérique.
Voilà pour le sommaire de ce magazine Soft Power ce soir. Cette émission est réalisée par Véronique Vila avec en régie ???. Soft Power c’est aussi sur les réseaux sociaux au mot clef softpower et un podcast chaque semaine sur le site de France Culture. Sur itunes c’est sur l‘application podcast de votre smartphone. Soft Power jusqu’à 20 heures 30 sur France culture en direct notamment.

Plaisir et nécessité, tel est le titre d’un livre que l’ancienne ministre de la Culture, Françoise Nyssen, vient de publier aux Éditions Stock. Je commence cette émission en revenant sur ce récit à la première personne dont on a d’ailleurs déjà parlé sur France Culture, notamment je crois Mathide Serrell dans sa Chronique matinale et bien sûr Françoise Nyssen elle-même invitée des Matins.
Avec un peu de recul et après une lecture attentive, je dois dire que cet ouvrage m’a intéressé car il nous livre une vision interne, à vif, du pouvoir et notamment du fonctionnement du ministère de la Culture.
Avant d’en venir à sa fonction, Françoise Nyssen décrit minutieusement dans son livre son parcours, celui d’une femme de nationalité belge qui ne s’est jamais totalement sentie chez elle dans la politique française et dans les dîners en ville. Pourtant ce parcours est plus militant qu’on ne le croyait, plus politique aussi, notamment plus à gauche. Les pages qu’elle consacre ensuite à Actes Sud, la maison d’éditions que son père, Hubert Nyssen, a fondée et dont elle a hérité sont passionnantes et bouleversantes Celles aussi qu’elle dédie à son fils Antoine, une jeune garçon surdoué qui s’est suicidé à 18 ans et dont le souvenir demeure à chaque minute d’une vie ainsi bouleversée, à chaque page de ce livre, et sans doute aussi à chaque moment de son action politique inattendue. En lisant ces pages on reste sans voix.
La tragédie de Françoise Nyssen, car c’en est une, est là dans dans brutalité ; une femme un peu hors-sol qui n’appartient à aucun parti, une éditrice brillante et convaincue qui n’avait aucun réseau politique, aucune connaissance des institutions, aucun allier dans la haute administration et pas non plus dans la presse. Tout ce beau monde, énarques et journalistes mêlés, lui a fait payer fort cher d’être une outsider.
Les chapitres qu’elle consacre à ces 17 mois passés au ministère de la Culture sont donc une description brute et parfois naïve de la rue de Valois et des ego démesurés que l’on y croise.
Le Premier ministre Édouard Philippe est la victime collatérale de ce livre. Il y est critiqué à de multiples reprises par Françoise Nyssen pour être un homme qui n’aurait pas le souci de l’art et ne s’intéresserait qu’aux questions de budget. On apprend au passage qu’Édouard Philippe était hostile au Pass Culture et il l’est sans doute toujours.
Les conseillers du Premier ministre, énarques et peu soucieux d’art eux non plus mais seulement d’audiovisuel, sont également raillés sans être nommés, tout comme la conseillère culture d’Emmanuel Macron, distante, réservée, pas assez franche. Stupéfaite, Françoise Nyssen découvre d’ailleurs que les notes qu’elle adresse au président de la République ne lui sont pas remises.
Dans son livre, elle sauve pourtant de ce jeu de massacre le président Macron dont elle trace un portrait chaleureux au chapitre 24. Un portrait, c’est beaucoup dire. Car ce livre est rédigé comme une longue interview orale, enregistrée puis retranscrite, sans aucun style. Souvent l’auteur se répète comme si elle ne s’était pas vraiment relue ou n’avait guère été éditée. D’ailleurs j’ai l’impression que ce quick book a été réalisé à partir d’entretiens oraux puis retranscrits par une plume disons bienveillante, comment savoir ?
Le livre est donc sans talent aucun. Il confirme à ses dépens qu’un éditeur est rarement un bon écrivain, une exception étant justement son père, Hubert Nyssen, dont les deux tomes de mémoires, L’éditeur et son double, que nous avons lus jadis, étaient de bonne tenue.
Dans son livre, Françoise Nyssen apparaît fondamentalement sympathique, avec une sincérité à fleur de ligne. Toute sa vie elle a cherché à corriger son image ; elle n’a pas voulu être seulement la fille de son père, ce qu’on lui a longtemps reproché. Elle a voulu être ministre en charge qui ne se laissait imposer ni les nominations ni ne perdait ses arbitrages. Son directeur de cabinet, Marc Schwartz, c’est bien elle qui l’a voulu, insiste-t-elle, pourtant il a été bientôt viré.
La mission d’Erik Orsenna sur les bibliothèques, celle Stéphane Berne sur le patrimoine, Nyssen les a voulues aussi. La culture près de chez vous, son grand plan culturel qu’elle continue à juste titre à défendre, c’est elle encore.
Bien sûr elle aurait aimé avoir un secrétaire d’État chargé de l’audiovisuel auprès d’elle pour l’alléger, lui donner de l’oxygène quand déjà elle s’asphyxiait, mais son directeur de cabinet n’en a pas voulu.
Régulièrement dans son livre, Françoise Nyssen critique les nominations trop lentes, alors même qu’elle n’avait que dix conseillers dans son cabinet, qu’elle était censée travailler avec ces directeurs d’administration centrale qui n’était pas nommés. On perçoit là une contradiction fondamentale du macronisme qui consiste à tout vouloir régenter depuis l’Élysée et, bien sûr, qui échoue à le faire dans le temps.
Françoise Nyssen est besogneuse, têtue et consciencieuse. Au ministère elle adopte une hygiène de vie rigoureuse : plus une goutte d’alcool , du yoga chaque jour et de la méditation.
Elle a été blessée, et le dit, qu’on dénonce des subventions abusives à Actes Sud ou encore un risque de conflit d’intérêt avec le milieu de l’édition, sans parler de ces fameuses mezzanines hors-normes, qui ont fait couler beaucoup d’encre. Dans le livre, l’éditrice millionnaire se défend bien ; elle est convaincue et on est plutôt enclins à croire son honnêteté. Après tout qu’Actes Sud, grande maison de littérature notamment étrangère, installée à Arles, bénéficiait d’importantes subventions est tout à fait justifié : Actes Sud est une maison d’intérêt général.

À la lecture de ce livre, écrit comme un plaidoyer, on sourit quelquefois, par exemple lorsque Françoise Nyssen écrit, je la cite : « La marge de manœuvre dont je disposais était quasi nulle », ou quand elle tente de justifier son annonce, ridiculisée par tous, de faire circuler La Joconde.
Souvent elle dit qu’elle n’a pas compris, qu’elle ne comprend pas, qu’elle ne sait pas très bien ce qui s’est passé. Heureusement pour nous, elle rend à plusieurs reprises un bel hommage à France Culture, merci pour nous.

Françoise Nyssen a été beaucoup critiquée, y compris sur cette antenne et même dans cette émission. On oublie souvent, lorsqu’on critique l’action d’un ministre, que derrière la politique il y a une personne, derrière il y a un être humain qui peut être blessé. De cette blessure Françoise Nyssen a fait un livre.

Je retiendrais finalement sa passion pour ça, pour les livres, du moins pour ses propres livres. On est surpris, en effet, que la ministre cite majoritairement des auteurs d’Actes Sud dans son propre ouvrage : Paul Auster, Nina Berberova, Edgard Morin et Nancy Houston, Henry Mandras et le grand Alaa al-Aswany, ou même Nicolas Mathieu, un peu comme si Rimbaud, Shakespeare ou Dostoïevski n’existaient pas tant qu’ils ne sont pas publiés ou traduits par sa maison d’édition.
Lorsque j’ai lu le chapitre 32 de son livre qui est construit sur le mode du Je me souviens de Gorges Pérec, j’ai commencé à douter. Le chapitre est médiocre, bien sûr, car n’importe quel auteur sans talent pourrait aligner ainsi ses « Je me souviens », mais Françoise Nyssen nous surprend d’abord agréablement. Au lieu de citer Pérec en modèle, elle cite, l’air de rien, le Je me souviens de Joe Brainard. On sait rarement en France que Pérec a plagié, du moins emprunté, sa grande idée à Joe Brainard qui avait créé avant lui ses I reember, même si Pérec a eu la délicatesse de le citer au début de son propre livre, édité à l’époque chez P.O.L puis chez Hachette et plus récemment chez Fayard. On se dit alors que Françoise Nyssen est lettrée et qu’au lieu de citer Pérec comme n’importe qui, elle cite Brainard. C’est habile et original, on l’aime davantage pour ça. Hélas, notre plaisir ne dure pas quand on découvre justement que l’éditeur français de ce Joe Brainard n’est autre qu’Actes Sud. C’est un détail bien sûr, mais le diable, on le sait, se cache dans les détails.
Françoise Nyssen était une ministre qui aimait les livres, une éditrice et maintenant une essayiste qui nous dit aimer les livres mais qui aime d’abord le seuls livres qu’elle édite et qu’elle veut nous vendre. C’est peut-être ici que réside fondamentalement le problème Nyssen.
Françoise Nyssen , Plaisir et nécessité chez Stock.

Pause musicale : Georgia, Kevin Abstract.

En écho à Tyler The Creator que nous avons écouté récemment dans cette émission, le rappeur Kevin Abstract à l’instant, lequel s’inscrit dans le même mouvement qui fait du hip-hop bien plus qu’un genre musical, mais aussi un style, un mode de vie, une attitude. Tyler The Creator et Kevin Abstract partagent d’ailleurs une même filiation : tous les deux sont ouvertement gays et en parlent dans leur rap, ce qui est rare, en tout cas reste rare, dans le hip-hop noir américain et tous deux flirtent aussi avec la pop, certains titres du troisième album solo de Kevin Abstract ayant d’ailleurs été réalisés avec la complicité du producteur et auteur pop Jack Antonoff. À l’instant c’était Georgia de Kevin Abstract.

Voix off : France Culture, Soft Power, Frédéric Martel.

13’ 37

Frédéric Martel : Marie-Laure Denis est la présidente de la CNIL. La CNIL c’est la Commission nationale de l’informatique et des libertés, un organisme assez bien connu en fait en France et des Français ; créée en 1978 sous Valéry Giscard d’Estaing et dont le statut est celui d’une autorité administrative indépendante, pour parler du statut légal, c’est comme ça qu’on les appelle. Depuis le 2 février, la CNIL est présidée, donc dirigée par vous, Marie-Laure Denis. Vous avez succédé à Isabelle Falque-Pierrotin. Rebonsoir Madame.

Marie-Laure Denis : Bonsoir Frédéric.

Frédéric Martel : Je vais juste prendre un exemple parmi d’innombrables exemples, mais on a lu ces derniers jours que la CNIL venait d’infliger, début juin, 400 000 euros d’amende à un administrateur de biens qui s’appelle Sergic, ce n’est pas en soi le sujet de cette émission mais ça nous permet de comprendre comment ça fonctionne, partant de cet exemple pour expliquer un peu comment travaille la CNIL. Vous avez découvert des fiches de paie, des avis d’imposition, des pièces d’identité que des locataires qui voulaient louer un appartement auprès de cet administrateur de biens avaient donc données, des pièces d’ailleurs dont sans doute certaines étaient illégales, qui avaient été réclamées pour pouvoir louer un appartement, sauf que cet administrateur de biens les avaient conservées. Des milliers de documents de candidats qui se sont accumulés dans les serveurs de cet administrateur de biens et qui, problème supplémentaire, se sont retrouvés en accès libre à la suite d’un défaut de sécurité informatique. Qu’est-ce que vous avez fait ? Comment vous avez su tout ça ? Comment vous avez enquêté et comment vous avez sanctionné ?

Marie-Laure Denis : Étant arrivée il y a quatre mois, le fait générateur du litige était probablement antérieur, je ne sais pas s’il y a eu une plainte ou si la CNIL s’est auto-saisie,elle peut faire les deux en tout état de cause, si ça a donné lieu à des contrôles sur place ou des contrôles en ligne, nous pouvons également faire les deux. Ce qui est certain c’est que la CNIL est dans son rôle en veillant à ce que les données et a fortiori les données qui sont sensibles, vous venez de les indiquer, ne se retrouvent pas dans la nature. Et elle est très attentive à ce qu’un certain nombre de principes soient respectés, c’est-à-dire que les responsables de traitement de données ne collectent que les données qui sont nécessaires à la finalité de leur traitement, que pour la durée de ces traitements et de façon proportionnée.

Frédéric Martel : Vous avez par exemple la possibilité d’aller dans une entreprise, quelle qu’elle soit, d’ouvrir les ordinateurs, de demander les clefs, d’ouvrir les coffres-forts ? Quel est votre pouvoir d’action dans ces cas-là ?

Marie-Laure Denis : À l’inverse d’autres autorités administratives indépendantes et comme par exemple l’autorité de la concurrence, nous avons un pouvoir d’enquête. Effectivement nous pouvons nous rendre sur place sans prévenir et, comme vous dites, regarder concrètement les ordinateurs, ce qu’il en est des mesures de sécurité, s’il y a de la vidéo-surveillance et dans quelle mesure elle ne surveille pas trop scrupuleusement les salariés. C’est le genre d’enquête qu’on peut mener effectivement sur place et la sanction que vous avez évoquée, c’est la deuxième sanction émise par la CNIL depuis la mise en œuvre du RGPD, le fameux Règlement général sur la protection des données sur lequel on reviendra peut-être. La première était au mois de janvier, une sanction plus significative encore, de 50 millions d’euros contre Google pour défaut d’information de transparence et là, Sergic, 400 000 euros, pour une PME certes importante, à qui on avait demandé, parce qu’on n’agit pas non plus sans discernement. On est sensibles, naturellement, à la taille de l’entreprise, notre but n’est pas...

Frédéric Martel : Vous mettez des avertissements aussi.

Marie-Laure Denis : Oui, tout à fait. En général on met en demeure, on adresse une mise en demeure, on souligne les manquements auxquels il nous paraît devoir être remédié rapidement. Cette entreprise, au bout de plusieurs mois, ne s’était toujours pas mise en conformité et là, en l’espèce, c’est la formation restreinte de la CNIL, à laquelle je ne participe pas, qui est composée de six personnes de la CNIL dont des magistrats d’ailleurs, qui a infligé cette sanction.

Frédéric Martel : Les entreprises peuvent faire appel dans ces cas-là ?

Marie-Laure Denis : Oui, elles peuvent faire appel auprès du Conseil d’État, tout à fait.

Frédéric Martel : Auprès du Conseil d’État. Donc vous pouvez, dans ce cas-là, être confirmés là ou votre décision peut être annulée ?

Marie-Laure Denis : Annulée, modifiée, invalidée sur le montant de la sanction.

Frédéric Martel : On est dans un État de droit.

Marie-Laure Denis : On est dans un État de droit, fort heureusement, et nous essayons naturellement d’avoir des sanctions, lorsqu’on en a, qui sont proportionnées au manquement. À la fois il peut y avoir des sanctions beaucoup plus importantes maintenant quantitativement puisque le Règlement dont je parlais permet de monter jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise. Là c’est nettement moins de 1 %, entre 0,5 et 1 %. Parfois une sanction de 10 000 euros, par exemple dans un cabinet dentaire, peut, en quelques mois, conduire à mettre en conformité, par un effet boule de neige, toute une profession. Notre but ce n’est pas de taper fort pour faire un coup d’éclat, mais c’est, dans des situations différentes, d’attirer l’attention de secteurs entiers sur la nécessité de se mettre en conformité.

Frédéric Martel : Marie-Laure Denis vous êtes la présidente de la CNIL. On va parler de la CNIL et de son avenir, du RGPD et de où en est un après. On évoquera la donnée comme enjeu éthique. On commence avec la donnée comme enjeu de pouvoir. Gilles Fontaine.

Gilles Fontaine : Bonsoir Marie-Laure Denis. Vous arrivez, je ne sais pas si c’est un bon ou un mauvais moment, en tout cas c’est un moment important. Les fameux GAFAM - Google, Amazon, Apple, Facebook et autres - après avoir été poursuivis, depuis maintenant deux décennies, plus pour leurs pratiques anticoncurrentielles aujourd’hui sont dans le viseur de pas mal de régulateurs pour leurs pratiques justement vis-à-vis de la protection de la vie privée et de la donnée personnelle. Par rapport à ces GAFAM, j’imagine que le rapport de force n’est pas le même, les moyens de pression non plus, les pouvoirs de sanction sont également différents. J’image qu’on ne sanctionne pas, vous l’avez dit, un cabinet dentaire comme on peut sanctionner un Google ou un Facebook . Vous êtes arrivée il y a peu de temps, vous l’avez dit et vous avez dit que vous alliez taper assez fort et avec plus de fermeté sur les entreprises qui ne respecteraient pas la régulation. Quelle est aujourd’hui votre analyse sur le comportement de ces géants américains de l’Internet ? Comment établissez-vous, justement aujourd’hui, la qualité de ce rapport de force, parce que c’est un rapport de force finalement, les moyens de pression ? Et puis est-ce que le pouvoir de sanction est suffisant, aujourd’hui, par rapport à ces grandes entreprises ?

Marie-Laure Denis : On tape fort, mais en même temps, juste en incidente, on essaye aussi d’accompagner les entreprises en leur fournissant beaucoup d’outils et beaucoup de pédagogie.

Frédéric Martel : Vous expliquez à Google comment ça marche ?

Gilles Fontaine : Google est suffisamment équipé.

Marie-Laure Denis : C’est juste une incidente, mais sur les GAFAM je crois qu’ils ont tous les moyens, effectivement, de se mettre en conformité s’ils le veulent et probablement ont-ils d’ailleurs des pratiques, je ne sais pas si on peut les globaliser en un seul terme, je pense que chaque entreprise a peut-être des spécificités chez les mastodontes américains et puis il y a aussi les mastodontes chinois, par exemple, ou autres.
Est-ce qu’on a les moyens d’agir contre les GAFAM ? D’abord, comme vous l’avez souligné Gilles Fontaine, je crois que depuis quelques années quand même, il y a beaucoup de leviers qui ont été utilisés : droit de la concurrence, vous l’avez dit, avec des amendes record, par exemple contre Google infligée par la Commission européenne notamment ; des débats sur la fiscalité on l’a vu ; le droit d’auteur ; des initiatives en matière de régulation de contenus, fake news, contenus haineux. Et le RGPD, le Règlement général sur la protection des données, qui est un règlement européen, a quand même cette vertu quasiment inédite dans l’Union européenne d’avoir un caractère extraterritorial, c’est-à-dire de jouer le même jeu, en réalité, que jouent d’autres pays envers nous, c’est-à-dire que même des entreprises qui n’ont pas nécessairement de siège en France mais qui utilisent les données des citoyens européens se voient appliquer ce règlement et toute la bulle de protection qui va avec.
Est-ce que c’est un règlement anti-GAFAM ? Non, mais comme le Règlement général sur la protection des données est un peu assis sur la notion de risques, naturellement les risques sont plus élevés quand vous vous adressez à Facebook qui, potentiellement, s’adresse à un tiers de l’humanité et potentiellement à 550 millions citoyens européens qu’à d’autres responsables de traitement. Et comme je l’ai évoqué, 4 % du chiffre d’affaires mondial d’une entreprise qui est maintenant le montant maximal que peuvent sanctionner les autorités de protection de données dans les différents pays européens, ce sont naturellement des chiffres significatifs. On dira toujours que ce n’est pas assez ou que c’est trop, mais en tout cas avant ça n’était pas du tout ça. Il y a en plus un côté ??? qui est plus important.

Gilles Fontaine : 4 % du chiffre d’affaires mondial, c’est beaucoup ! 50 millions d’euros, pour un Google, ce n’est pas beaucoup !

Marie-Laure Denis : Oui, ce n’est pas beaucoup, mais parce qu’en l’espèce le montant de la sanction que vous évoquez, qu’a infligée la CNIL au mois janvier, elle correspondait à une enquête précise, la création d’un compte sur Android en France et tout ça était proportionné. Il ne s’agit pas non plus, parce que c’est un très gros acteur, d’agir en dehors du cadre juridique qui doit être le nôtre.
Ensuite il y a la portabilité des données qui est un droit nouveau issu du RGPD. C’est-à-dire que vous pouvez demander à avoir les données qui sont utilisées par un responsable de traitement pour les transférer à un autre responsable de traitement ou ne pas les transférer, d’ailleurs, même pour des choses utiles, que vous jugez utiles, de la recherche par exemple ; c’est ce qu’on appelle un peu aussi la portabilité citoyenne. Donc ça c’est une façon aussi, c’est un outil ou un instrument pour être moins captif d’un réseau, donc c’est une arme supplémentaire.
Il y a une autre arme ou un autre outil, ce qui est peut-être plus adapté comme vocabulaire, pour contrecarrer la puissance des GAFA, et c’est aussi une nouveauté du RGPD, ce sont les plaintes collectives. Maintenant le Règlement européen permet à notamment des associations d’être la tête de pont.

Frédéric Martel : Class Action comme on dit.

Marie-Laure Denis : Oui, voilà. Il y a à la fois des actions de groupe envers les tribunaux pour obtenir cette fois-ci une réparation civile d’un préjudice supposé et puis, d’autre part, des plaintes collectives qui peuvent être déposées auprès des différentes autorités de protection des données.
Tous ça pour dire que nous avons des armes nouvelles ou des outils, je préfère quand même ce terme, des outils nouveaux pour, je crois, être en capacité d’influencer les GAFA en termes de protection des données, enfin dans leur montée en mise en conformité qui est nécessaire, effectivement.

Frédéric Martel : Sandrine Cassini.

Sandrine Cassini : Pour rebondir sur ce que vous dites par rapport au RGPD, on a l’impression, de manière un petit paradoxale que finalement ce Règlement a plutôt renforcé la position des GAFA dans l’écosystème parce que ce sont des entreprises énormes, qui ont des moyens énormes, et qui ont des compétences qui leur permettent de maîtriser mieux que d’autres, mieux que toutes les PME françaises ce Réglement.

Frédéric Martel : Les toutes petites startups.

Sandrine Cassini : Est-ce que vous pensez vraiment aujourd’hui que ce Règlement a rempli sa mission ? Est-ce qu’on n’a pas un petit peu tapé à côté ? C’est un peu la question qu’on se pose un an après. On a l’impression que les petites PME ont vraiment du mal à se mettre en conformité, c’est-à-dire que ça rajoute une couche de complexité qui n’est quand même pas neutre. On voit bien qu’autour, comme dans toute création de couches complexes, il y a toute une série de petites entreprises qui se sont développées autour pour vendre du conseil, ce sont les ??? qu’on voit souvent quand il y a des couches administratives qui se créent.

Frédéric Martel : Des effets pervers finalement.

Zoé Sfez : Donc certaines étaient complètement illégales et qui ne servaient à rien et vous avez mis en garde contre mais c’est un autre sujet. De fausses entreprises de conseil qui ont extorqué... Beaucoup d’arnaques.

Frédéric Martel : Marie-Laure Denis.

Marie-Laure Denis : La direction générale de la concurrence, la répression générale des fraudes.

Sandrine Cassini : Excusez-moi juste pour finir. Vous parlez de la portabilité des données, on peut demander ses données et les porter ailleurs, je voulais savoir si vous avez regardé si la portabilité des données est finalement mise en œuvre par Facebook, Google ; est-ce que vraiment c’est effectif ? Est-ce que d’autres entreprises françaises, parce que c’était un peu ce qu’on nous avait vendu - « vous pourrez très facilement retirer vos données de n’importe quel exploitant », on va dire - aujourd’hui est-ce que je peux retirer mes données facilement de mon assureur pour aller essayer de vendre mon profil d’assurance facilement à un concurrent, par exemple ?

Frédéric Martel : Marie-Laure Denis.

26’ 24

Marie-Laure Denis : Merci beaucoup.