Mission 2 - Accompagner la conformité / conseiller

La sphère régalienne (« Police-Justice ») constitue l’un des secteurs au sein desquels il subsiste encore un grand nombre de formalités à accomplir auprès de la CNIL. Dès lors, une partie des missions du service des affaires régaliennes et des collectivités territoriales consiste en l’instruction de demandes d’avis, aussi bien sur des projets de loi et de décrets que sur des analyses d’impact relatives à la protection des données (AIPD). Dans ce cadre, j’instruis très régulièrement des dossiers sur lesquels le Collège de la CNIL est amené à se prononcer et rendre un avis.

Cela est particulièrement intéressant puisque les traitements mis en œuvre dans cette sphère impliquent nécessairement de devoir concilier des impératifs de sécurité et de liberté, afin d’assurer la stricte proportionnalité des dispositifs de collecte de données personnelles. L’année 2020 a notamment été marquée par la modification de certains fichiers de renseignement à forts enjeux (traitements PASP, GIPASP et EASP). J’ai également pu réaliser des interventions extérieures, avec certains aménagements dus au contexte sanitaire, visant à assurer une sensibilisation sur ces enjeux et plus largement à ceux de la protection des données.

L’année 2021 sera en partie consacrée à assurer une plus grande visibilité des avis rendus par la CNIL sur ces sujets en les rendant facilement accessibles au grand public. À cet égard, un article visant à expliquer le déroulement ainsi que les grandes étapes propres à cette formalité a fait l’objet d’une publication sur le site de la CNIL.

Nous sommes 13 experts au sein du service (ingénieurs, chercheurs, consultants, designers), chacun avec ses domaines de prédilection, comme la cybersécurité, la biométrie, les objets connectés, le big data, la cryptographie, le cloud ou encore la normalisation.

Notre rôle est, d’une part, d’épauler les autres services, sur les aspects techniques des demandes soumises à la CNIL, qu’il s’agisse de demandes de conseil, de demandes d’avis sur un projet de texte, ou lors des phases contentieuses lorsqu’une expertise particulière est nécessaire ; d’autre part, de détecter, en avance de phase, quelles vont être les tendances et nouveautés technologiques afin de les appréhender et de les confronter à la loi avec l’objectif final de permettre une vraie innovation technologique, efficace et respectueuse de la règlementation relative à la protection des données.

Nous disposons également de notre « Labo », où nous effectuons des expérimentations, pour identifier les usages émergents et nouvelles problématiques, vérifier la conformité des équipements ou développer des preuves de concept, par exemple pour essayer de suivre les flux d’information entre les assistants connectés et les opérateurs de ces derniers.

Enfin, nous sommes en interaction avec les différents publics de la CNIL et les acteurs du paysage français de la cybersécurité, notamment par le biais de nos interventions au FIC ou aux Assises de la sécurité, par le traitement des notifications de violations de données et des échanges générés par ces dernières avec les autres autorités, aussi bien européennes, en charge de la protection des données, que françaises en charge de la cyberdéfense/sécurité.