III. LA PROTECTION DES DROITS ET LIBERTÉS
À titre liminaire, votre rapporteur souhaite, cette année encore, attirer l'attention de la commission sur l'application de la réserve de précaution aux crédits alloués aux autorités administratives indépendantes et autorités publiques indépendantes. En effet, cette mesure dite de régulation budgétaire constitue une atteinte à leur indépendance.
Le motif de la solidarité entre les entités d'un programme est invoqué par le Secrétaire général du Gouvernement pour justifier une retenue de 0,5 % sur les frais de personnel, retenue qui peut atteindre 8 % sur les dépenses de fonctionnement.
Cet argument n'est pas convaincant dans la mesure où les taux de consommation des crédits alloués montrent qu'au sein du programme 308 les autorités administratives indépendantes et autorités publiques indépendantes ne dépensent pas plus que le budget initial qui leur est alloué.
Une attention particulière doit également être portée au pouvoir de sanction dévolu à certaines autorités. L'annulation de sanctions pourrait exposer les autorités les ayant prononcées à un risque juridique et financier, si le juge mettait à leur charge des dommages-intérêts. Cela pourrait constituer une atteinte à l'indépendance des autorités n'ayant pas la capacité financière de prendre en charge de telles condamnations.
A. LA CNIL
La Commission nationale de l'informatique et des libertés (CNIL) voit son budget pour 2019 progresser de 6,59 % en autorisations d'engagement et crédits de paiement. Chargée de veiller au respect des principes généraux énoncés par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, selon lesquels l'informatique doit être au service du citoyen et ne pas porter atteinte à l'identité humaine, aux droits de l'homme, à la vie privée ou aux libertés individuelles, la CNIL est confrontée à l'augmentation régulière de son activité depuis plusieurs années.
En sa qualité de régulateur de la protection des données personnelles, la CNIL assure une mission d'information, conseille les pouvoirs publics, autorise les traitements de données personnelles les plus sensibles, accompagne la mise en conformité des organismes.
Depuis l'adoption de la loi n° 2016 1321 du 7 octobre 2016 pour une République numérique, la CNIL dispose d'un pouvoir accru de sanction, à hauteur de 3 millions d'euros. Ce texte a également initié un rapprochement avec la Commission d'accès aux documents administratifs (CADA), confié à la CNIL la certification de la conformité des processus d'anonymisation et prévu plus largement la consultation de l'autorité sur le plan législatif et réglementaire.
Cette année a été marquée par l'entrée en vigueur, le 25 mai 2018, du règlement européen sur la protection des données personnelles (RGPD).
La CNIL, qui faisait part il y a un an de son inquiétude, confirme cinq mois après cette entrée en vigueur, que le règlement européen entraîne un « changement d'échelle » dans son activité. Les plaintes de particuliers sont en forte hausse (+ 45 % depuis le 25 mai 2018) et devraient s'élever à 10 000 en 2018, contre 8 300 en 2017.
Depuis le 25 mai 2018, 30 000 organismes ont désigné 14 000 délégués (les délégués peuvent être mutualisés) tandis qu'il existait au 5 mai de la même année 5 000 CIL, correspondants informatique et libertés. La CNIL estime à environ 80 000 le nombre d'organismes devant désigner un délégué.
Cette nouvelle réglementation suscite légitimement du public une demande d'information auprès de la CNIL qui se concrétise pas une croissance des visites sur le site internet (5 millions de visite fin octobre 2018 contre 4 millions en 2017).
L'autorité avait reçu à la fin du mois d'octobre 2018 environ 700 notifications de violations soit en moyenne 7 ou 8 chaque jour. Ces violations sont le plus souvent la conséquence d'erreurs humaines mais dans 20 % des cas, existe une suspicion d'acte de malveillance.
La coopération européenne dans les dossiers transfrontaliers (soit entre un quart et un tiers des dossiers), pour lesquels la CNIL sera chef de file ou autorité concernée, représente selon l'autorité une charge considérable avec un travail supplémentaire en anglais. Le renforcement des sanctions (20 millions d'euros ou 4 % du chiffre d'affaires) implique de sécuriser la procédure répressive lorsque celle-ci est engagée, soit en cas de manquement grave, de mauvaise foi ou d'absence de coopération avec la CNIL.
Pour relever ce défi, la CNIL doit adapter ses méthodes de travail pour répondre à grande échelle aux attentes des particuliers, des entreprises et de toutes les entités concernées par le RGPD.
La mise en place du service de plainte en ligne permet ainsi un traitement plus efficace des saisines de la CNIL.
Par ailleurs, le public doit pouvoir trouver un certain nombre de réponses en ligne. C'est ainsi que le registre simplifié destiné aux petites et moyennes entreprises a fait l'objet de 150 000 téléchargements. La CNIL a créé des référentiels « RGPD » sectoriels ou thématiques afin de tracer des lignes directrices, impliquant un important travail qualitatif.
Elle travaille également en concertation avec la CADA pour élaborer un guide sur l'open data, ou avec l'ANSSI sur le thème de la sécurité.
Afin de faire face à ces défis, la CNIL se voit allouer un solde net de 9 ETPT supplémentaires pour 2019. Dans le détail, l'autorité obtient 15 postes supplémentaires et en transfère 6 dans le cadre de la mutualisation des fonctions support opérée sur le site Ségur-Fontenoy.
La CNIL obtient ainsi partiellement les renforts humains demandés, alors que le SGG estimait il y a un an que la mise en place du RGPD, en passant à un contrôle a posteriori et non plus a priori , pourrait être absorbée à effectifs constants.
La CNIL rappelle également que malgré ce rattrapage en moyens humains, qui lui permettra d'atteindre un effectif de 208 ETPT en 2019, elle reste sous dimensionnée au regard de ses homologues avec 150 agents en Irlande pour moins de 5 millions d'habitants, et 700 agents en Allemagne.