Lorsqu’elle a pris ses fonctions en 2019 à la tête de la Commission nationale de l’informatique et des libertés (CNIL), le principal chantier de Marie-Laure Denis était de faire respecter le règlement général sur la protection des données personnelles (RGPD). Alors que son premier mandat s’achève en février 2024, la présidente de l’autorité de régulation fait son bilan dans un entretien au Monde et revient sur une dernière année émaillée de nombreux travaux législatifs sur le numérique, tant au niveau national qu’européen.
Vous avez démarré votre mandat il y a plus de quatre ans, peu après l’entrée en application du RGPD. Quel bilan tirez-vous de ce texte aujourd’hui ?
Marie-Laure Denis : Le RGPD a harmonisé les régulations nationales en matière de protection des données. Il a amplifié les sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise. L’enjeu de l’utilisation des données personnelles est devenu une préoccupation pour les décideurs et a aussi fait l’objet d’une prise de conscience de la part des citoyens puisque, par exemple, le nombre de plaintes que nous recevons a été multiplié par deux chaque année environ depuis la mise en œuvre du règlement. Par ailleurs, le RGPD a permis d’exporter en quelque sorte le modèle européen : il y a maintenant des dizaines de législations dans le monde qui s’en rapprochent peu ou prou.
Le RGPD est parfois présenté comme un texte insuffisamment appliqué. Est-ce toujours le cas ?
La sanction de 1,2 milliard d’euros qui a été imposée par le collectif européen au groupe Meta ou, encore très récemment, celle de 345 millions d’euros prononcée contre TikTok ont démontré la capacité du RGPD à dépasser ces difficultés. On a atteint un régime de croisière qui fait que les sanctions sont maintenant nombreuses et dissuasives.
Depuis votre prise de fonction, quels nouveaux sujets avez-vous vu émerger ?
Début 2019, les sujets concernant l’intelligence artificielle (IA), qui peut aujourd’hui se concrétiser dans les caméras dites « augmentées », ou les IA génératives, qui ont pris de l’importance et concentrent maintenant beaucoup de l’énergie de la CNIL. Il y a beaucoup de questions qui sont posées par les entreprises, et notre volonté, sans attendre le règlement européen sur l’intelligence artificielle qui ne rentrera probablement pas en vigueur avant 2026, est de concilier la protection des données et l’innovation, pour accompagner les acteurs et apporter de la sécurité juridique.
Nous avons donc lancé un plan sur l’intelligence artificielle au printemps dernier. Dans les prochaines semaines, nous publierons sept fiches pratiques détaillant, par exemple, les modalités de constitution des bases de données pour l’apprentissage des systèmes d’intelligence artificielle. Nous publierons ensuite d’autres documents sur l’IA générative et sur les enjeux de sécurité qui sont propres aux systèmes d’intelligence artificielle. Nous avons à cœur de réaliser cet accompagnement parce que nous croyons en l’émergence d’acteurs français et européens.
Il vous reste 56.53% de cet article à lire. La suite est réservée aux abonnés.