Merci, chère Anne Padova.
Ladies and gentlemen...
Je fais juste quelques mots, en fait.
Ladies and gentlemen, good morning to everyone.
It's a pleasure for me to be here with you this morning and to be able to address this conference which promises to be a fruitful moment for exchanges and learners.
Allow me to start by welcoming you in Paris and by thanking the IPP and its CEO Trevor Yooks for his invitation to join this meeting.
Since we are in Paris, I will be addressing you in French this morning but I wanted to say a few words in English personally to welcome you all in your room.
And as you said, the English translation might be available.
Mesdames et messieurs, bonjour à tous.
C'est un plaisir pour moi d'être parmi vous ce matin et de pouvoir m'exprimer en ouverture de cette conférence pour, en plus, qu'il soit le 20e anniversaire cette année qu'on a appelé Anne Padova de l'IPP.
Une conférence qui promet d'être riche en échanges et en enseignements et donc je vous remercie d'avoir invité à m'ouvrir.
Je souhaite que les débats auxquels la CNIL participera durant ces deux jours renforcent un peu plus les liens essentiels qu'il nous faut entretenir avec l'ensemble des acteurs de l'écosystème numérique.
Alors, quelles sont les actions et les priorités de la CNIL pour les mois à venir ?
Nous avons élaboré une nouvelle feuille de route stratégique pour 2019, 2020 et 2021.
Et dans cette feuille de route, la CNIL a affirmé sa volonté de poursuivre son rôle d'autorité de contrôle efficace et pragmatique du numérique.
Alors, c'est pas qu'on veut jeter des fleurs, mais nous souhaitons vraiment être ancrés dans la réalité du quotidien des Français.
Le fil rouge de notre feuille de route, c'est l'appropriation, la concrétisation par tous, les individus, les professionnels, le collectif européen, les promesses et les potentialités du RGPD.
Nous souhaitons en ce sens que la CNIL fasse valoir toute son expertise juridique et technologique.
Comme nous sommes à l'IAPP, je tiens à vous informer notamment que nous poursuivons des travaux en matière de certification.
Après la certification des compétences des délégués à la protection des données, nous allons publier au mois de mai prochain un nouveau schéma de certification pour les organismes de formation qui souhaitent dispenser des formations sur le thème du RGPD.
Ce schéma qui comprend un référentiel d'agrément pour les organismes certificateurs et un référentiel de critères de certification est très attendu car il est lié au contexte plus large de la réforme nationale de la formation professionnelle.
Un autre sujet que Dorian Panova a esquissé, c'est la question de la publicité en ligne et des cookies, qui est un sujet pour lequel nous avons un plan dédié.
Vous aurez l'occasion d'échanger plus en détail aujourd'hui sur ce sujet dans le panel auquel participera un représentant d'ACLU notamment.
Nous avons adopté un projet de recommandation relative aux modalités du recueil du consentement.
Ce projet est soumis en ce moment même à la consultation publique.
Il ne s'agit pas d'un texte prescriptif et d'une proposition de mode d'emploi de nos lignes directrices publiées le 4 juillet dernier et qui est elle-même un rappel du droit positif existant.
Concernant le calendrier, nous avons déjà annoncé que nous prendrions une recommandation définitive à la fin de cette consultation publique, c'est-à-dire en mars ou en avril, et l'ACLU accordera ensuite une période d'adaptation aux acteurs qui a été validée par le Conseil d'État de six mois après l'adoption de cette recommandation.
Enfin, et sans être exhaustif, ce matin, sur l'ensemble de nos actions du moment, nous travaillons actuellement sur la protection de la vie privée dans les services de cloud, un secteur où il y a parfois de très bons sous-traitants et de petits donneurs d'ordre.
Au-delà du seul secteur du cloud, nous souhaitons par ailleurs mettre l'accent sur la cybersécurité, dont la protection des données personnelles est une composante importante.
Dans cette optique, les cibles de l'ACNIC, c'est-à-dire les cibles en termes d'accompagnement, seront le grand public et les PME notamment, parce que les très grandes entreprises ont davantage de ressources et de moyens.
Nous allons par exemple ainsi certainement actualiser notre recommandation sur les mots de passe, lesquels concernent quand même 8 attaques sur 10.
Nous venons de publier également un guide à l'attention des acteurs du développement web et applicatif, qui comprend des recommandations en matière de sécurisation des sites web, des applications et des serveurs.
C'est aussi à travers ce type d'action très concrète que nous envisageons notre rôle en tant que régulateur du quotidien numérique des personnes et des organisations.
Que ce soit en matière de protection des données personnelles, mais aussi d'autres champs comme celui que nous allons aborder, la cybersécurité, l'année entamée est pleine de défis pour l'ACNIC.
Ces défis, ce sont aussi les vôtres, ce sont ceux de l'ensemble des acteurs de l'écosystème numérique, et nous devons y répondre avec ambition et cohérence.
Et c'est dans cet esprit que s'inscrit notre action.
L'ACNIC est aussi active sur le plan européen, en contribuant à l'ensemble des travaux de l'EDPB, le Comité Européen de la Protection des Données.
Vous savez qu'il réunit l'équilibre européen.
Nous avons été particulièrement présents ces derniers mois sur la problématique de l'accès aux preuves électroniques par des autorités publiques étrangères, que ce soit dans le cadre du Cloud Act, de la révision de la Convention de Budapest, ou du projet de règlement de la Commission sur l'accès aux preuves électroniques.
Nous nous sommes aussi impliqués dans l'élaboration de lignes directrices sur des sujets clés, comme le champ d'application territoriale du RGPD, la vidéosurveillance, les véhicules connectés, ou encore ce qu'on appelle communément le privacy by design.
Ce ne sont que quelques exemples.
Nous sommes, d'une manière générale, très impliqués au plan européen, que ce soit au niveau de l'élaboration de la doctrine, ou que ce soit dans le traitement des plaintes transfrontalières, parce que 20% de nos plaintes aujourd'hui sont traitées dans cette mécanique transfrontalière.
Donc l'européanisation de nos activités se développe, et je m'en fais le cité.
Je souhaitais maintenant évoquer un peu le modèle de régulation qui est le nôtre, qui est celui de l'Europe, et lever éventuellement quelques doutes.
Parce que dans quelques mois, ça c'est aussi un anniversaire, nous célébrons le deuxième anniversaire de l'application effective du RGPD.
Un rapport de la Commission européenne sur sa mise en oeuvre est d'ailleurs attendu en mai prochain.
Et en effet, mai 2018 fut une étape majeure pour nous tous, et le règlement se traduit déjà par des réalités positives.
Tout d'abord, une sensibilisation plus forte du grand public et des professionnels.
Pour nous, elle se traduit très concrètement par une augmentation des appels et des demandes de conseils.
Je vous donne quelques chiffres.
Quelques 150 000 appels téléphoniques ont été reçus l'an passé, sans compter les 14 000 plaintes reçues, c'est-à-dire une augmentation de 27% par rapport à 2018, donc en 2019, qui avait déjà eu une augmentation de 42% des plaintes entre mai 2018 et mai 2019.
En 2019, la fréquentation d'un site Internet s'est maintenue au niveau inédit atteint en 2018, donc ce n'est pas juste l'effet d'actualité en quelque sorte RGPD, avec 8 millions de visites sur notre site.
Nous constatons aussi que certains...
et je signale que sur notre site il y a un certain nombre d'éléments et de documents que nous traduisons en anglais et ce, plus en plus.
Nous constatons aussi que certains instruments du règlement commencent à être pleinement intégrés.
En France, il y a plus de 20 000 délégués à la protection des données personnelles qui ont été nommés dans plus de 65 000 organismes.
Au niveau français, toujours, nous constatons donc une prise de conscience de plus en plus forte des enjeux et nous conservons une politique répressive active.
L'ambassade a tenu la FAQ 300 en contrôle, elle a penché 8 sanctions financières et une cinquantaine de mises en demeure, pas toutes publiques, mais une partie publique, un tiers à peu près.
La plupart du temps, l'accompagnement est suffisant, c'est ce qu'il explique quand on fait une sorte de décalage entre le nombre de plaintes et le nombre de sanctions, l'accompagnement est suffisant pour assurer la conformité au règlement, en étant en lien avec les entreprises avec lesquelles on reçoit des plaintes.
Lorsque les traitements de données sont massifs ou comportent des risques graves, et que le rappel ne suffit pas, nous passons naturellement à un stade supérieur.
Alors ça, c'était en gros pour notre activité.
S'il essaie d'amener des perspectives plus globales au plan mondial, le règlement continue de faire l'objet d'une attention particulière.
Le RGPD a eu des effets bien au-delà de l'Union, que ce soit en matière de mise en conformité, mais aussi de développement législatif dans les deux tiers.
Ce sujet sera notamment, je crois, lors d'un des panels de cette conférence, demain.
Et donc, en quelque sorte, le RGPD est devenu quand même, dans les débats sur la privacy, une sorte de marqueur.
Dans le même temps, nous constatons que la gouvernance des données, dans un écosystème numérique mondialisé, peut aussi être le théâtre d'un certain nombre de confrontations de modèles et de standards existants.
Nous pensons donc qu'il est essentiel de poursuivre nos efforts dans l'affirmation du modèle européen.
Il faut que la dynamique RGPD se poursuive et nous devons pour cela accentuer nos efforts dans la concrétisation de l'accompagnement des outils, mais aussi des mesures correctrices et d'exemption lorsque cela s'avère nécessaire.
Rendre concretes nos actions, y compris au niveau européen, avec des décisions collectives pour garantir la crédibilité de notre modèle en Europe et au-delà.
Alors que nous poursuivons donc tous, je crois, nos efforts, il y a un certain nombre de doutes voire de critiques qui commencent à se faire entendre notamment sur le rôle des autorités chefs de file et des décisions concernant les très grands acteurs.
Parfois ça nous semble critique de l'absence de décisions concernant de grands acteurs.
Alors c 'est vrai que ces éventuelles mesures correctrices relatives aux grands acteurs du numérique monopolisent la tension, voire la patience et il est vrai qu'il est essentiel d'appuyer au plus vite à des décisions, parce que c'est justifié naturellement,
sur des cas emblématiques qui sont attendus par tous et pour cela nous devons entre les différentes autorités de protection données, œuvrer efficacement et de concert.
Et il faut que ces décisions soient présentées rapidement.
Cependant, il faut reconnaître que le système du guichet unique est l'unique, si j'ose dire, au monde, et le mécanisme le plus sophistiqué existant en matière de protection des données.
Et même si des difficultés ont pu être identifiées dans l'assemblée du système, nous travaillons à améliorer son fonctionnement.
Et il fonctionne déjà, puisque, par exemple, plus de 80 décisions sur des cas transfrontaliers ont été adoptées en application du guichet unique.
Et près de 150 projets de décision sont actuellement travaillés par l'ensemble des autorités concernées au niveau européen .
A l'instar du Conseil, le Comité européen de la protection des données élabore actuellement sa contribution pour alimenter les réflexions de la Commission dans la rédaction de son rapport sur le bilan des besoins d'application du RGPD.
Cette contribution sera discutée et probablement adoptée à l'occasion de la prochaine plénière de l'UDPD.
Ces discussions sont fondamentales afin de dégager un message uni, coordonné, collectif sur le fonctionnement de notre coopération et plus largement sur la mise en oeuvre du RGPD.
En conclusion, je rappellerai que le 25 mai 2018 a marqué l'entrée dans une nouvelle ère pour la protection des données.
Tous les Européens se sont investis dans la construction et la réussite de ce nouveau modèle.
L'année 2020 est probablement le moment d'une certaine forme de vérité.
Il est désormais crucial de concrétiser encore plus les promesses du RGPD.
Il y va de notre crédibilité à tous.
Ce modèle, c'est celui d'une régulation de la donnée qui réaffirme les droits fondamentaux que sont la protection des données personnelles et le respect de la vie privée, tout en facilitant et en intégrant les nouvelles réalités de l'écosystème numérique.
Je souhaite insister sur l'importance du dialogue entre le régulateur et les acteurs numériques afin de donner un bien d'émission.
Deux jours de discussion ne sont certainement pas de trop pour aborder l'ensemble des problématiques auxquelles vous devez faire face au quotidien.
Je tiens à remercier beaucoup l'IAPP pour l'invitation faite à l'ACNIC de prendre part à ces échanges.
Vous aurez d'ailleurs à plusieurs reprises l'occasion de dialoguer avec des représentants de l'ACNIC sur de nombreux sujets au coeur des enjeux du moment.
Ces débats sont aussi une opportunité pour nous et ça c'est très important pour le régulateur de prendre le pouls de vos préoccupations et de prendre le pouls des acteurs qui sont au coeur des actions de mise en conformité.
N'hésitez pas à nous faire remonter, au contraire, les difficultés concrètes auxquelles vous pouvez être confrontés dans l'application du cadre juridique que nous devons ensemble défendre et concrétiser.
Après avoir lu un certain nombre de choses sur l'économie de l'attention et le fait qu'on n'a pas une attention qui peut être soutenue très longtemps, en tout cas en ce qui me concerne, je vais conclure en vous souhaitant à tous une excellente conférence.
Je vous souhaite une bonne fin de jeu et une bonne chance pour ce week-end.
Je vous remercie.