Par Anne-Charlotte Andrieux et Rebecca Käppner
La Commission nationale de l’informatique et des libertés (CNIL) a publié ce 23 juin le nouveau programme de recherche de son laboratoire d’innovation numérique (LINC) pour l’année 2022/2023.
La publication de ce nouveau programme pour l’année à venir s’inscrit dans une démarche prospective visant notamment à apporter plus de visibilité sur les travaux en cours et à venir.
En effet, si le rôle principal de la CNIL consiste à informer et accompagner les professionnels et les particuliers dans leur mise en conformité, l’exercice de leurs droits et à sanctionner les manquements qu’elle constate, la CNIL participe également à l’innovation en ce qu’elle s’intéresse aux problématiques émergeantes et aux conséquences que ces dernières pourraient avoir sur la vie privée de chacun.
Le laboratoire d’innovation numérique contribue à cette dernière mission. Créé en 2016, il cherche à proposer un regard différent sur certains sujets actuels et publie en conséquence de nombreux articles et cahiers Innovation & Prospective (cahiers IP). Le dernier en date, le cahier IP8 « Scènes de la vie numérique », vise à analyser le rapport quotidien des individus à la protection de leurs données personnelles et de leur vie privée.
Si le nouveau programme de travail auquel est assujetti le laboratoire s’inscrit dans la continuité de cette dernière étude, il englobe également d’autres thématiques dites « prioritaires ».
La contribution de la protection des données à celle de l’environnement
Le laboratoire d’innovation numérique de la CNIL a déjà eu l’occasion de travailler sur l’articulation entre la protection des données et celle de divers enjeux sociétaux comme par exemple l’évolution de la menace cybercriminelle ou encore le développement des techniques publicitaires basées sur le profilage psychologique et émotionnel.
Le nouveau programme de travail devra cependant se pencher sur un autre enjeu : celui de la protection de l’environnement.
Préoccupation majeure pour les Français, ce sujet fait l’objet d’une actualité législative abondante à travers notamment la loi AGEC mais également la loi du 15 novembre 2021 visant à réduire l’empreinte environnementale du numérique en France.
En août 2021, le LINC s’était déjà lancé dans une exploration prospective des liens entre données et environnement en faisant appel aux imaginaires collectifs. Cette exploration avait notamment abouti, début de l’année 2022, au lancement d’un site « Climatopie » par le LINC et l’agence Plan.Net France proposant six récits prospectifs sur la question.
Lors de cette nouvelle étude il s’agira alors d’évaluer l’impact du numérique sur l’environnement en mettant en balance d’un côté le coût environnemental de la protection des données et de l’autre sur le coût en liberté de la protection environnementale.
Les recherches effectuées par le LINC sur cette question d’articulation entre la protection des données et les enjeux environnementaux permettront de compléter les études déjà menées par l’organisme[1] afin d’aboutir à la publication en cours d’année d’un cahier IP.
Les liens entre la régulation des données personnelles et l’économie
En outre, le nouveau programme de travail du LINC aura également pour fonction d’appréhender les liens entre la régulation des données personnelles et l’économie. Cette thématique s’inscrit dans la continuité de la publication par la CNIL en 2021 d’un nouveau livre blanc sur les données et moyens de paiement.
Explorer les moyens d’incitation
L’objectif du LINC sera de découvrir des moyens d’incitation autres que la sanction pécuniaire, considérée comme étant la plus répandue, afin d’exhorter les acteurs économiques à se mettre en conformité et ainsi respecter la loi.
Etudier les nouveaux marchés de la donnée
Le LINC devra également chercher à comprendre les modèles économiques des revendeurs de données en identifiant notamment les chaînes de reventes, ainsi que les différents modes de vente qu’ils proposent.
En effet le phénomène des « data brokers », ces courtiers qui collectent, agrègent et revendent des données, a pris tellement d’ampleur récemment que la CNIL a cru bon de mener des opérations de contrôle auprès de ces derniers. Elle a même lancé une étude sur les données de géolocalisation collectées par des applications mobiles afin de déterminer si elle peut retrouver l'identité des personnes dont les données anonymisées de géolocalisation sont revendues par des courtiers.
Le rapport quotidien des individus à la protection de leurs données personnelles
Cette thématique constitue le prolongement des observations émises dans le cahier IP8 « Scènes de la vie numérique » mentionné ci-dessus.
Etudier les moyens à disposition des individus pour protéger leur vie privée
Dans ce cadre, le LINC devra étudier les différentes possibilités laissées aux utilisateurs pour s’opposer ou se soustraire à la collecte de leurs données personnelles.
Aussi bien les stratégies « actives » (comme l’obfuscation[2] proposée par l’extension CookieFactory) que « passives » (comme l’anonymisation) devront être exposées afin de mettre en lumière et de répertorier les pratiques se révélant comme étant les plus adaptées.
Un projet a déjà été entrepris sur cette thématique par les étudiants de l’incubateur des politiques publiques de SciencesPo Paris qui a abouti à la mise à disposition, par le biais d’associations, d’outils d’aide pour les citoyens afin de leur permettre d’exercer plus aisément leurs droits.
Analyser le recours à l’exercice des droits
Le LINC devra également rendre compte des bonnes pratiques comme des difficultés rencontrées dans l’exercice des droits sur les principaux services numériques.
Accompagner le développement de « corps intermédiaires de la donnée »
La CNIL s’est engagée dans le cadre du Partenariat pour un gouvernement ouvert (PGO) à accompagner le développement de « corps intermédiaires de la donnée ». Elle a pris pour engagement d’amorcer le dialogue avec les sociétés civiles, tels que les syndicats ou les associations, afin que la protection des données soit considérée comme un enjeu commun.
Le LINC a en ce sens organisé en mars 2022 une série d’ateliers thématiques avec les acteurs concernés qui donneront matière à des comptes-rendus, ouverts à contribution.
Les nouvelles formes de captation des données
Enfin, le LINC devra étudier la manière dont les nouvelles pratiques peuvent être utilisées pour améliorer la précision des données collectées mais aussi pour contourner les protections qui ont été mises en œuvre.
En effet, l’avancée des nouvelles technologies donne lieu à l’apparition de nouvelles pratiques comme notamment le tracking internet[3] ou encore l’analyse automatique des émotions s’appuyant sur diverses données (vidéo, texte, voix…).
La CNIL a d’ailleurs dû récemment prendre position sur ce sujet s’agissant du déploiement des caméras dites « intelligentes » ou « augmentées » dans les espaces publics, ces dernières étant capables d’analyser les images qu’elles captent de manière continue pour en tirer des conclusions. On peut observer que l’utilisation de technologies d’intelligence artificielle se fait de plus en plus fréquente dans ce contexte, donnant lieu à la mise en place d’un nouveau cadre doctrinal de la part de l’autorité de contrôle.
****
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.
[1] Données et environnement : comment prévenir les marées noires du XXIe siècle ? et Environnement : des données, des capteurs et des captés.
[2] Définition : « L’obfuscation consiste à produire délibérément des informations ambiguës, désordonnées et fallacieuses et à les ajouter aux données existantes afin de perturber la surveillance et la collecte des données personnelles. »
[3] Définition : « Le tracking Internet consiste à observer et analyser les comportements d'un utilisateur d'Internet à des fins marketing et commerciales. »