b) La mise en place d'un nouveau mode de financement
(1) Présentation de la réforme
Confrontée à la faiblesse de ses moyens, la CNIL s'interroge depuis 2008 sur la pertinence de son mode de financement actuel, exclusivement fondé sur une dotation fournie par l'Etat, alors qu'au Royaume-Uni, une contribution versée par chaque société ou collectivité publique qui déclare un traitement de données couvre la totalité des charges de la commission.
Le président de la CNIL a ainsi présenté l'an passé un projet de diversification des sources de financement de la Commission , qui suppose une modification de la loi de 1978 afin de faire de la CNIL une personne morale dotée de l'autonomie financière.
Ce projet, qui, d'après la CNIL, a rencontré de la part du Premier ministre un certain intérêt, propose de passer progressivement, au plus tôt à partir de 2010, du financement actuel à un financement qui reposerait majoritairement sur des ressources propres provenant d'une contribution due à la CNIL par chaque acteur du développement informatique qui génère des traitements de données à caractère personnel (entreprises, État, collectivités locales, établissements publics, etc.).
Pour la CNIL, l'intérêt d'une telle réforme serait double : d'une part, accroître ses ressources dans une proportion probablement importante, d'autre part, faire peser le financement de l'organe chargé du contrôle de la protection des données personnelles non plus sur les seuls contribuables mais également sur les acteurs du monde informatique, qui assurent la promotion des nouveaux usages technologiques.
Vos rapporteurs soutiennent pleinement ce nouveau mode de financement dès lors, comme la CNIL semble l'envisager, d'une part, qu'il exclura du périmètre des contributeurs les particuliers et les organismes de petite taille, d'autre part, que la redevance acquittée par les autres soit fixée à un niveau raisonnable.
Recommandation n° 4 : Renforcer les moyens de la CNIL par la création d'une redevance, de faible montant, acquittée par les grands organismes, publics et privés, qui traitent des données à caractère personnel. |
(2) Les effets attendus : la création d'antennes interrégionales et le renforcement des capacités d'expertise et de contrôle de la CNIL
Selon vos rapporteurs, les ressources nouvelles générées par la mise en place du nouveau mode de financement décrit plus haut devraient être majoritairement mobilisées, d'une part, pour créer des antennes interrégionales de la CNIL, d'autre part, pour renforcer les capacités d'expertise et de contrôle de cette dernière.
En premier lieu, il apparaît nécessaire que la CNIL, à l'instar d'autres autorités administratives indépendantes telles que le Médiateur de la République, la Haute autorité de lutte contre les discriminations (HALDE) ou le Défenseur des enfants 80 ( * ) , engage une déconcentration de ses services .
En effet, l'un des défis nouveaux que doit relever la CNIL depuis quelques années est l'accélération des progrès technologiques et leur diffusion dans toutes les structures, publiques et privées, y compris les plus petites, et sur tout le territoire .
Or, ces structures ont besoin d'être conseillées et accompagnées dans la création ou le développement de leurs traitements de données personnelles, comme l'atteste le succès rencontré par les « Rencontres régionales » au cours desquelles une délégation de la CNIL dialogue, pendant deux jours, avec l'ensemble des responsables des entreprises, des administrations préfectorales, des avocats, des personnels de santé, etc. Depuis 2007, la CNIL a organisé seize rencontres de ce type dans toute la France, rencontres qui ont toutes révélé de fortes demandes de la part des responsables économiques et administratifs.
Si, en 1978, la commission des lois du Sénat s'était prononcée contre la création de délégations régionales de la CNIL, jugeant l'intérêt d'une telle mesure limitée -la plupart des banques de données étant localisées à Paris- au regard des risques de « bureaucratie » et « d'apparition de contrariété de jurisprudence » , il semble que la généralisation du recours aux fichiers et leur dissémination sur l'ensemble du territoire, dans la quasi-totalité des structures, tant publiques que privées, rendent désormais obsolète le modèle initial de la CNIL de 1978, installée seulement à Paris .
Comme le reconnaît la CNIL dans son dernier rapport d'activité, « les effectifs encore insuffisants de la Commission ne permettent pas d'exercer une présence effective sur tout le territoire, et cela peut impliquer une certaine inégalité de traitement des droits des citoyens ».
Nombre de contrôles effectués par la CNIL
en 2008
sur l'ensemble de la France
Source : CNIL
D'après les informations obtenues par vos rapporteurs, la CNIL souhaiterait ouvrir neuf antennes en province , dotées chacune d'une équipe d'environ quinze agents, d'un budget de 400.000 euros et investies de missions de contrôle, de conseil, de traitement des plaintes les plus simples et d'information.
Source : CNIL
Recommandation n° 5 : Déconcentrer les moyens d'actions de la CNIL par la création d'antennes interrégionales. |
En second lieu, de nouveaux moyens accordés à la CNIL lui permettraient de renforcer ses capacités d'expertise et de contrôle . Ce renforcement est rendu nécessaire par la multiplication et la diversification des traitements de données personnelles depuis quelques années, évolutions qui génèrent de nouveaux risques au regard du droit à la vie privée.
Certes, vos rapporteurs se réjouissent que la CNIL se soit dotée d'un service de l'expertise , composé de quatre ingénieurs de haut niveau qui sont à même d'accompagner les entreprises dans leurs projets, d'identifier, voire d'anticiper les tendances technologiques en cours et de contrôler plus efficacement les systèmes informatiques en matière de sécurité des données.
Toutefois, les auditions ont montré que la CNIL, comme l'ensemble des autorités de protection des données, souffraient d'une image trop juridique qui affecte leur crédibilité . Il est donc indispensable que ces autorités développent leur capacité d'expertise, de prospective et d'intervention dans le domaine technologique. Il paraîtrait ainsi opportun que chacune des antennes interrégionales évoquées plus haut comprenne au moins un expert.
Le renforcement de la capacité d'expertise de la CNIL pourrait utilement accompagner le développement de son activité de contrôle, trop faible à l'heure actuelle . La CNIL n'a ainsi effectué que 280 contrôles en 2008 contre environ 1.250 pour son homologue espagnol, qui affecte la moitié de ses effectifs au service de l'inspection.
En particulier, comme il a été indiqué précédemment, la CNIL est chargée de veiller au respect de l'article 34 de la loi du 6 février 1978 modifiée qui impose à tout responsable d'un traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Or, si en France aucun scandale n'a révélé des failles de sécurité graves, il semble que notre pays ne soit pas à l'abri d'une perte ou d'un vol de centaines de milliers de données, comme cela s'est produit à l'étranger ces dernières années. Ces risques nouveaux résultent à la fois de la multiplication des bases de données numériques et de leur insuffisante sécurisation , comme le constate régulièrement la CNIL, alors même que les pirates disposent d'outils toujours plus perfectionnés pour violer les systèmes de sécurité informatique.
Le développement de l'activité de contrôle de la CNIL, sur ce point, permettrait sans doute de responsabiliser les responsables de traitements à ces enjeux de sécurité, en particulier ceux qui traitent des données sensibles (cf. également infra ).
Recommandation n° 6 : Renforcer la capacité d'expertise et de contrôle de la CNIL. |
* 80 Voir le rapport budgétaire du 20 novembre 2008 de M. Jean-Claude Peyronnet sur le programme « Protection des droits et libertés » :
http://www.senat.fr/rap/a08-104-8/a08-104-8.html.