Lutter contre les formes renouvelées de l'antisémitisme

Bien mes chers collègues, nous allons débuter notre commission par une série de désignations, Après quoi nous auditionnerons madame la présidente de la CNIL.
Comme vous le savez, je voudrais toutefois avant de passer à ces auditions saluer Alain Duart. Oui Alain, qui n'a pas l'habitude d'être nommé au micro puisque Alain, agent à la commission des lois depuis deux-mille-dix-neuf, j'allais dire depuis une éternité à l'Assemblée nationale ou presque. En tout cas plus que aucun d'entre nous prend ses sa retraite à la fin de cette année et donc il nous quittera et je veux ainsi que tous les agents, la mitrateur adjoint bien sûr les adjoints remercier Alain pour tout le travail qu'il accomplit avec ses collègues et Emmanuel qui est assis à côté pour nous, pour que nos débats, notre commission se passent dans de bonnes conditions.
Donc merci Alain Duhas et bon vent, bonne retraite. Nous en venons aux différentes nominations. Il y en a beaucoup. Cela va prendre quelques instants. Nous avons tout d'abord à régler la question des nominations pour la mission d'information sur l'utilisation des financements publics par les associations, je impliquées dans l'accompagnement et la défense des personnes migrantes. Mission d'information créée à la demande du groupe UDR et je vous propose comme corapporteur Sophie Ricourt-Vaginet et Eric, j'allais dire Eric démocrate pour Martineau, non c'est Eric Martineau pour le groupe démocrate. Si vous en êtes d'accord, nous en ferons ainsi sur une mission d'évaluation.
Nous avons parlé à plusieurs reprises à l'occasion des différents bureaux de la commission. Mission d'évaluation sur la lutte contre le narcotrafic, évidemment, avec la nécessité à la fois de suivre pas à pas l'application de la loi de 2025.
Nous avons adopté le 29 avril à l'Assemblée nationale. La nécessité également de débattre entre nous avec celles et ceux qui seront auditionnés, vus, consultés par la mission d'information sur d'éventuels ajustements. Est-ce que c'est efficace Est-ce qu'il faut aller plus loin Quelles sont les dispositions qui fonctionnent, celles qui ne fonctionnent pas Cette mission d'évaluation ? aura à mes yeux en tout cas, mais je crois aux yeux de chacun d'entre nous, une importance toute particulière.
Pourquoi C'est pourquoi elle sera composée de vingt-deux membres à proportion de chaque groupe. Et nous allons ce matin la fois décider de celles et ceux qui seront corapporteurs de cette mission d'évaluation et d'information dans le même temps et de la répartition proportionnelle de chacun des groupes.
Nous verrons ensuite celles et ceux des députés que vous souhaitez nommer parmi ces proportions dont nous décidons. Je vous propose par conséquent que nous retrouvions les rapporteurs de la proposition de loi de lutte contre le narcotrafic, Vincent Core pour le groupe EPR, Eric Poger pour le groupe droite républicaine et Roger Vico pour le groupe socialiste. S'agissant de la répartition à la proportionnelle.

Alors

madame Faucillon, moi je prends les noms qui me sont donnés et il se trouve que ce sont les députés qui ont travaillé sur je sais, je sais que vous ne me remettez jamais en cause. Donc c'était une remarque à laquelle je devais répondre quand même.
Répartition à la proportionnelle, ? ce qui donnerait, co-rapporteur compris, co-rapporteur compris. 5 députés du Rassemblement National, 3 députés pour le groupe EPR, les groupes EPR pardon LFI socialistes, 2 députés pour le groupe droite républicaine et un député pour le groupe écologiste et social, démocrate, Horizon, LIOT, GDR et UDR.
La question m'a été posée de savoir si nous devions avoir des, nous pouvions avoir des suppléants dans l'hypothèse où les titulaires seraient absents.
Non, ce n'est pas possible pour une mission d'information, mais évidemment, avec les corapporteurs, il y aura des souplesses qui seront importantes pour les travaux.
J'ai annoncé hier au bureau de la commission que je suivrai à titre personnel de façon tout à fait précise pas à pas les travaux de cette mission d'information parce qu'elle a une importance toute singulière par la nature du thème qu'elle aborde, par aussi le nombre de députés qui la composeront.
Et donc nous en reparlerons, mais je souhaite que les travaux, les auditions, j'allais dire l'agenda des travaux de la mission d'information soit systématiquement planifié de façon à que chacune et chacun de celles et ceux qui en font partie, les vingt-deux députés au total, puissent à la fois s'organiser, débattre le cas échéant des choix d'audition et donc une audition annoncée 3 jours à l'avance sans que chacune et chacun soit informée ne sera pas possible dans ces conditions mais je recevrai les corapporteurs rapidement pour qu'on puisse évoquer le mode de fonctionnement.
Si vous êtes d'accord, la mission d'évaluation est donc créée dans les conditions que je viens d'expliciter. Nous devons procéder à la nomination de plusieurs rapporteurs par ailleurs sur la recevabilité de la proposition de résolution de madame Elsa Fosillon à la création d'une commission d'enquête relative aux conséquences des accords du Touquet sur l'action publique et le respect, je cite, des libertés et droits fondamentaux des personnes migrantes.
Je vous propose que Vincent Core assure le rapport sur la résolution.
Je rappelle qu'il s'agit de juger de la seule recevabilité et pas de l'opportunité. Sur la proposition de loi de madame Caroline Yadan et plusieurs de ses collègues visant à lutter contre les formes renouvelées de l'antisémitisme, je cite, je vous propose que Caroline Yaden, première signataire et qui porte cette proposition de loi soit bien sûr notre rapporteur, sur la proposition de résolution de monsieur Christian Baptiste que je salue et plusieurs de ses collègues tendant à la création d'une commission d'enquête sur le traitement, je cite aussi judiciaire des violences sexuelles incestueuses parentales commises contre les enfants et la situation des parents protecteurs notamment des mères protectrices je vous propose de désigner Christian Bassiste pour l'assumer. Sur la proposition de loi de Paul Christophe, bonjour Monsieur le Président, et plusieurs de ses collègues visant à mettre fin au devoir conjugal, je vous propose la nomination de 2 corapporteurs, Paul Christophe et Marie-Charlotte Garin pour assurer ce texte. Je crois en avoir terminé sur, je crois en avoir terminé sur ces nominations. Nous devrons nommer mes chers collègues. Je sais bien que Johann Gilet est arrivé et que donc ça suscite un certain émoi et une certaine discussion. Mais je vous rappelle que je n'ai pas terminé ma phrase. Le groupe droite républicaine, donc vous le savez, a son temps réservé le vingt-deux janvier en séance, le 14 ici même en commission et donc nous désignerons les rapporteurs de des 3 textes dont nous sommes saisis à la rentrée, peut-être d'ailleurs à Bordeaux le 7 janvier à l'École nationale de la magistrature.
J'en ai terminé, nous allons pouvoir faire rentrer pendant la suspension la présidente de la CNIL. Madame la présidente, mes chers collègues, j'ai souhaité que la commission des lois, madame la présidente, puisse vous recevoir aujourd'hui afin d'évoquer les grands enjeux de votre activité qui concerne évidemment au premier chef les compétences de notre commission des lois. Les sujets ne vont pas manquer tant l'organe de contrôle que vous présidez joue un rôle fondamental dans la protection des libertés publiques. Je pense en premier lieu à la protection des données dans un monde où le numérique a pris une place considérable. Je pense également au développement de la vidéo protection, au développement de vidéo protection algorithmique.
Hier soir dans l'hémicycle, madame la présidente, jusqu'à minuit d'ailleurs, nous reprendrons à vingt-et-une heures 30 ce soir, nous avons débattu de l'article trente-cinq du projet de loi portant sur l'organisation des Jeux olympiques et paralympiques de deux-mille-trente.
Donc c'est un sujet d'actualité, sujet pour lequel vous êtes autorité d'accompagnement et de contrôle. Et plus globalement, les questions liées aux outils de lutte contre la criminalité fondée sur les nouvelles technologies. La CNIL a publié en janvier dernier son plan stratégique 2025 2008 qui comporte, je le rappelle, 3 axes l'intelligence artificielle avec notamment la nécessité d'articuler le RGPD avec le règlement européen sur l'intelligence artificielle, la protection des plus jeunes face aux risques liés à la surexposition aux écrans, la question en troisième lieu de la cyber sécurité.
L'ensemble de ces sujets, de ces objets concernent la commission des lois. Je le disais au premier plan. Concernant les enjeux attachés à l'accès à la sécurité des messages échangés sur les messageries chiffrées, je voudrais vous interroger Madame la présidente de la CNIL parce que vous le savez nous avions eu ce débat dans le cadre de la loi dite d'ailleurs de lutte contre l'arcotrafic avec une insertion article 8 terre par le Sénat que nous avions ici supprimé.
Et il y a en parallèle, vous le savez, dans le projet de loi dit résilience, cet article 16 bis adopté récemment par la commission spéciale de l'assemblée nationale. Vous savez que ce sujet intéresse particulièrement la commission des lois et qu'un groupe de réflexion a été organisé, doit d'ailleurs se réunir prochainement sur cette question du déchiffrement.
Quelle est la vision, l'interprétation que vous faites du champ d'application potentiel à ce stade de et de ses effets éventuels de l'article 16 bis de la loi dite résilience. Par ailleurs, l'assemblée examinera en janvier prochain une proposition de loi visant à interdire l'accès aux réseaux sociaux pour les moins de 15 ans. Cela va d'ailleurs au delà des recommandations formulées par la CNIL S'agissant de la protection des mineurs en ligne, quel regard portez-vous sur cette initiative législative Et puis enfin, quel bilan faites-vous, Madame la présidente, 18 mois après l'entrée en vigueur du règlement européen sur ? l'intelligence artificielle. Voilà quelques-unes des questions qu'à titre personnel, je souhaitais pouvoir évoquer auprès et avec vous.
Je vous laisse, madame la présidente, vous exprimer pour une intervention liminaire. Après quoi, vous le savez, je donnerai la parole aux orateurs des différents groupes pour 2 minutes, je le rappelle. Et puis, peut-être, je n'ai pas pensé à le faire de première approche, mais le ministre de l'intérieur a ce matin indiqué qu'il avait saisi votre institution concernant une cyberattaque ayant frappé le ministère de l'intérieur et notamment l'accès au fichier, je crois des antécédents judiciaires peut-être, madame la présidente, pourrez-vous nous éclairer sur cette situation et la mission qui vous a été confiée par le ministre de l'intérieur Je vous remercie.

Merci beaucoup monsieur le président pour cette introduction. Je vais peut-être si vous m'y autorisez à faire un propos liminaire qui ? évoquera plus ou moins certaines des thématiques importantes que vous avez abordées et si vous le voulez bien après mon propos liminaire, je m'efforcerai de répondre aux questions que vous avez soulevées. Monsieur le président, mesdames et messieurs les députés, je suis honorée d'échanger avec vous à nouveau avec la commission des lois.
Je suis accompagnée de Vincent Villade qui est le secrétaire général de la CNIL et de Chirine Berishi qui est notre conseillère pour les questions parlementaires et institutionnelles. Donc, il y a presque 2 ans, je partageais avec vous le bilan de 5 années d'action de la CNIL et je vous présentais mes ambitions en vue d'un second mandat. Aujourd'hui, cette audition sera l'occasion pour moi de revenir sur les accomplissements de la CNIL depuis 2 mille vingt-quatre dans ses missions traditionnelles, mais également d'évoquer les défis auxquels elle fait face, notamment concernant la régulation de l'intelligence artificielle que vous venez d'évoquer, Monsieur le Président. Permettez-moi aussi de profiter de cette occasion pour remercier les membres du collège de la CNIL, qui compte d'ailleurs 4 parlementaires et 2 députés, et ces agents qui, au quotidien, font preuve d'une grande implication pour fournir un service public de qualité. À titre liminaire, je souhaite rappeler plusieurs éléments de contexte sur la CNIL et son environnement. Certaines sont, enfin certains de ces éléments sont stables, d'autres nouveaux avec des effets structurels. Ce qui n'a pas changé, c'est que la CNIL est une autorité administrative indépendante dont le champ d'intervention couvre tous les secteurs d'activité. Son action, c'est celle d'un régulateur transversal de la donnée qui est amené à échanger avec tous les acteurs publics et privés et ainsi qu'avec de nombreux autres régulateurs tant au plan national qu'européen. De même, son budget est resté le même en 2004 et en 2025 et le nombre de ses agents a peu varié. À présent, évoquons ce qui a changé. Au cours des 2 dernières années, la CNIL a connu un accroissement sans précédent de ses missions, principalement en raison de textes européens comme le règlement sur les services numériques, connu sous l'acronyme DSA Digital Services Act, concernant la transparence des algorithmes, le ciblage publicitaire et le profilage des mineurs. Sont aussi intervenus le règlement sur la gouvernance des données, le Data Governance Act et celui sur la mise en place de l'espace européen des données de santé. Je peux également évoquer le règlement relatif à la transparence et au ciblage de la publicité à caractère politique. Et enfin, le plus important de tous en termes d'impact, peut être le règlement sur l'intelligence artificielle auquel je dédierai une partie de mon propos. Si ces évolutions renforcent le rôle de la CNIL en tant que régulateur central du numérique et amplifient la cohérence de son action, elles augmentent aussi sa charge de travail dans d'importantes proportions ainsi que les attentes des entrepreneurs, des administrations et des citoyens. Soyez convaincus que la CNIL fait tout son possible pour y répondre, même si je me dois de partager avec vous ma préoccupation de ne pas pouvoir pleinement les satisfaire en l'absence de moyens supplémentaires. Ces éléments de contexte étant posés, je vous propose de dresser un bilan des actions menées par la CNIL depuis 2024. De manière générale, l'ambition de la CNIL est de mener une régulation équilibrée entre accompagnement des acteurs et contrôle de leur pratique. Et la CNIL fait reposer son action sur 4 piliers. Le premier a pour objet d'accompagner et de conseiller les acteurs privés et publics. À ce titre, si je regarde les 2 années 2 mille vingt-quatre, 2 mille vingt-cinq, la CNIL a été auditionnée 36 fois par le Parlement, 18 fois par l'Assemblée nationale, 16 fois par le Sénat et 2 fois par l'Office parlementaire d'évaluation des choix scientifiques et technologiques. Nous avons répondu à 42 questionnaires parlementaires. La CNIL a par ailleurs rendu deux-cent-dix-sept délibérations, dont cent-quarante-cinq avis sur des projets de textes qui lui sont présentés par le gouvernement, des projets de décret, des projets de loi. Ces avis d'ailleurs sont très largement publics. Par ailleurs, nous avons répondu par écrit à 2679 demandes de conseil et traités 1040 dossiers en santé et en recherche en santé.
Je ne pas continuer avec les chiffres, mais c'est juste pour vous donner un peu une ampleur de notre activité de façon chiffrée.
Parallèlement, la CNIL a produit de nombreux guides, des fiches pratiques, des recommandations très en tout sur ces 2 années, principalement dans les domaines de l'intelligence artificielle, de la sécurité informatique ou encore de la prospection commerciale et politique. En complément, la CNIL a poursuivi la mise en oeuvre de notre programme d'accompagnement sur mesure concernant des projets innovants au travers d'un bac à sable.
Le thème choisi pour 2024, 2025 était celui de l'économie des seniors, c'est-à-dire je vous préfère ne pas dire à partir de quel âge on est un senior, mais en tout cas, c'était c'est sur l'économie des seniors ou la Silver Economy. Par ailleurs, nous avons accompagné en 2024, 2025 des entreprises innovantes après un appel à candidatures. Et par exemple, Docaposte, la Française des jeux ou Share ID qui propose des solutions de vérification d'identité ou d'âge ont été accompagnés par la CNIL pour tout ce qui concerne le traitement de leurs données personnelles. Le deuxième pilier de notre action concerne les contrôles et les sanctions.
Notre philosophie, c'est avant tout d'obtenir la conformité des organismes et nous nous attachons à clarifier les règles avant de les sanctionner.
Je crois que c'est vraiment le rôle du régulateur de donner le cap et d'expliciter quelles sont ses exigences. Pour autant, certaines pratiques remontées par les plaintes, les médias ou à l'occasion de contrôles sectoriels révèlent des manquements qui peuvent justifier des mesures correctrices. Pour y répondre, au cours de ces 2 dernières années, la CNIL a conduit 628 contrôles. Ces investigations ainsi que les suites données à l'instruction de certaines plaintes ont justifié l'adoption de 550 mesures correctrices dont 305 mises en demeure et 148 sanctions. Je précise que sur ces 2 années 2024 et 2025, le montant cumulé des amendes prononcées par la CNIL est de plus de 500 trente-cinq 1 million d'euros.
Je vous épargne les 500 trente-cinq, 300 quatre-vingt-douze, et caetera.
500 trente-cinq 1 million d'euros d'amende sur 2 mille vingt-quatre et 2 mille vingt-cinq et le montant cumulé depuis 2 mille dix-huit, c'est-à-dire l'entrée en oeuvre du RGPD des sanctions prononcées par la CNIL est de plus de 1 milliard d'euros, c'est 1100 millions d'euros. Pour conclure sur ce sujet, je me permets de souligner que la CNIL s'est pleinement emparée de la réforme législative effectuée, enfin votée en 2022 et qu'elle avait appelé de ses voeux et qui nous a permis de mettre en place une procédure de sanction dite simplifiée pour des dossiers pour lesquels il existe une jurisprudence établie.
Et ce sont ainsi 119 sanctions qui ont été prononcées par ce canal. Le troisième pilier de notre activité consiste à informer et à protéger. L'information, elle est principalement orientée vers le grand public, en particulier vers les jeunes.
Mais on s'efforce aussi de beaucoup de, donner beaucoup de documentation, de partager des bonnes pratiques avec les PME notamment. On produit des contenus pédagogiques qui visent à ce que les personnes qui en sont destinataires adoptent une meilleure hygiène numérique, notamment en matière de cybersécurité, ? et qu'elles sachent aussi comment exercer les droits qu'elles ont sur leurs données. Par ailleurs, malgré l'absence d'antenne locale, la CNIL a développé une stratégie depuis 4 ans environ visant à aller vers ces publics en multipliant les déplacements en région, notamment dans des écoles. En 2 mille vingt-cinq, la CNIL aura sensibilisé 20 mille personnes directement en présence ou à distance, dont un quart de mineurs, le plus souvent dans leur environnement scolaire. Au total, entre donc sur ces 2 années, nous avons mené 414 actions pour des publics variés partout sur le territoire. La CNIL décline ainsi cette approche vers les professionnels en organisant des journées RGPD sur des thèmes techniques et juridiques. Et par exemple, en 2024, 2025, nous avons organisé des manifestations à Caen, à Lille, à Nancy, à Nantes ou à Montpellier, par exemple. Sur ces 2 dernières années, nous avons également répondu à plus de trente-trois mille demandes d'information et répondu à plus de trente-sept mille appels téléphoniques. Donc tout ça pour vous dire qu'on a vraiment des interactions avec les publics pour lesquels on souhaite, enfin envers lesquels on souhaite interagir. Et on a aussi un pan dédié de notre activité qui concerne la protection des individus et qui se traduit notamment par l'instruction des plaintes. Toute personne peut s'adresser à la CNIL si elle estime qu'il y a une atteinte à ces données personnelles. Et depuis l'entrée en application du RGPD en 2 mille dix-huit, cet aspect de l'activité de la CNIL n'a cessé de croître pour atteindre des chiffres records. Presque dix-huit mille plaintes en 2 mille vingt-quatre, dix-sept mille soixante-douze, ce qui correspondrait déjà à une augmentation de ce qui correspondait déjà à une augmentation de 8 % par rapport à l'année précédente. Et pour vous donner un ordre de grandeur avant l'entrée en vigueur du RGPD, c'était plutôt 7 mille plaintes par an à peu près.
Ce chiffre est largement dépassé en 2 mille vingt-cinq, la CNIL ayant reçu vingt-huit pour 100 de plaintes en plus qu'en 2 mille vingt-quatre. Or des efforts considérables en termes de moyens et de rationalisation des procédures ont été effectués, de sorte que la CNIL parvient année après année à augmenter le nombre des plaintes qu'elle traite. Je souligne que nous devons faire face à des volumes tout aussi conséquents concernant les demandes d'exercice de droits indirects qui consistent à demander à la CNIL qu'elle vérifie le contenu d'un fichier dont la loi n'autorise pas la consultation directe. Cela peut concerner des fichiers de police ou de renseignements. Au total, en 2024 et 2025, à ce jour, la CNIL a reçu un et 1655 demandes d'exercices de droits indirects. Enfin, le quatrième et dernier pilier d'action de la CNIL concerne sa capacité à anticiper les évolutions et à identifier les innovations dans le domaine du numérique. Sur ce point, nous développons, développons, en tout cas nous efforçons de développer une approche pluridisciplinaire qui mobilise des agents qui ont des compétences en informatique, ? d'autres qui sont aussi des économistes ou des experts des sciences sociales, voire du design. Pour vous donner un exemple, le laboratoire d'innovation numérique de la CNIL, le LINC s'est associé avec le PEREN, le pôle d'expertise et de régulation numérique de l'État dans le cadre de travaux sur les hyper trucages qu'on connaît sous l'anglicisme deep fake.
L'objectif étant notamment d'alerter sur les risques liés à ces pratiques usurpations d'identité, escroquerie, désinformation, diffamation, humiliation. Un autre exemple emblématique depuis 2023, c'est que la CNIL dispose d'une équipe dédiée de 3 économistes qui s'intéressent aux modèles d'affaires liés à l'utilisation des données personnelles et mesurent l'impact économique de nos choix de régulation. Vous l'aurez compris, tous ces travaux, ils servent à mieux appréhender les technologies et les usages, aussi à produire des contenus pédagogiques adaptés, des outils d'accompagnement pertinents ainsi qu'à mettre en oeuvre une stratégie répressive efficiente. À présent, je vous propose de faire un point d'étape sur les 3 sujets dont je vous avais indiqué en 2024 qui constitueraient des priorités de mon nouveau mandat, l'intelligence artificielle, les applications mobiles et la protection des mineurs en ligne.
Et au moins 2 de ces sujets qui ont été évoqués par président. S'agissant de l'intelligence artificielle, la CNIL a réalisé un travail conséquent, notamment au travers de la publication de plusieurs fiches pratiques qui sont destinées à guider les organismes publics et privés dans l'application du RGPD et l'anticipation de l'application du règlement sur l'intelligence artificielle. Le Parlement suit l'intention affichée par le gouvernement de désigner la CNIL comme autorité de surveillance de plusieurs marchés au titre du règlement sur l'intelligence artificielle, il ne s'agira plus pour nous uniquement de concilier développement de l'intelligence artificielle et protection des données personnelles, mais bien de réguler des secteurs d'activité. Dans ce cadre, nous devrons veiller à ce que des pratiques identifiées comme interdites ne soient pas mises en œuvre via des systèmes d'intelligence artificielle.
Je pense à la notation sociale, à l'identification biométrique à distance en temps réel.
Mais nous devrons aussi superviser le développement et le déploiement des systèmes d'IA dits à haut risque, et ce, dans la plupart des domaines stratégiques, la biométrie, l'éducation, l'emploi, les processus démocratiques, la gestion des contrôles aux frontières par exemple. Ces nouvelles missions vont impliquer, si elles sont confirmées par le Parlement, d'élaborer une doctrine du bon usage de l'IA dans tous les domaines que je viens de citer, d'accompagner les acteurs et même de certifier leur conformité dans certains cas, de contrôler et le cas échéant, de sanctionner les mauvaises pratiques. Ces missions, nous les mènerons également en concertation avec les autres régulateurs impliqués, la direction générale de la consommation et de la répression des fraudes, l'Arcom, mais aussi avec les acteurs concernés et les chercheurs. Alors rapidement, pour ce qui concerne la régulation des applications mobiles, la CNIL a mis en oeuvre un plan d'envergure qui est comparable à celui que nous avions déployé sur les traceurs numériques, ce qu'on appelle les cookies. Après une phase de concertation avec les parties prenantes et de consultation publique, nous avons publié en avril cette année une version mise à jour de nos recommandations en vue d'offrir aux utilisateurs une meilleure maîtrise de leurs données personnelles, en vue d'accompagner les professionnels du secteur pour qu'ils puissent intégrer ces exigences dans leur processus de développement des applications mobiles. Et toutes ces différentes étapes permettent à présent, après un temps d'adaptation que nous avions laissé aux acteurs du secteur, de décliner le programme de contrôle que nous avions annoncé, mené comme une thématique prioritaire en 2 mille vingt-cinq. À ce jour, nous avons conduit une dizaine d'investigations, dont 3 devraient aboutir prochainement à des mesures correctrices. Enfin, s'agissant de la protection des plus jeunes, la mobilisation de l'ACNIs se matérialise tout d'abord par la production de nombreux contenus pédagogiques en ligne, des vidéos ou au format papier, des posters, des jeux de cartes, des livrets d'information pour les parents, pour les enseignants aussi.
Et après une première campagne destinée aux 8 10 ans, nous avons souhaité nous adresser à des adolescents qui sont particulièrement exposés. Nous avons ainsi produit un un manga, je pense un support qui leur parle plus particulièrement, dont le deuxième tome sortira en 2026 et qui aborde de manière ludique des sujets essentiels comme la protection de la vie privée, la cyber sécurité et le cyber harcèlement. Par ailleurs, la CNIL a développé grâce à des fonds budgétaires européens, une application mobile qui s'appelle Phantomap, qui est disponible en ligne depuis hier dans tous les magasins ? d'applications. Elle permet notamment aux adolescents, c'est une première, je crois, tout cas pour la CNIL, de mettre à disposition public une application mobile qui permet notamment aux adolescents de générer des mots de passe robustes, de flouter leurs profils, par exemple, d'accéder facilement à des liens pour s'opposer à la diffusion d'informations sur les réseaux ou d'être accompagné dans des situations de harcèlement, pour ne citer que quelques exemples. Enfin, dans le prolongement de sa forte implication sur le référentiel de contrôle de l'âge des mineurs portés par l'Arcom, la CNIL s'assure que les dispositifs mis en oeuvre ne portent pas une atteinte excessive à leur vie privée. Je précise que, comme pour l'intelligence artificielle et la régulation des applications numériques, je ne rapporte ici que quelques éléments particulièrement saillants de l'activité de la CNIL. Pour conclure mon propos, je souhaite évoquer un sujet qui s'ajoute aux défis identifiés en 2024 et s'impose comme une priorité au quotidien. Il s'agit de la menace cyber qui, comme vous le savez, s'est très fortement intensifiée. Près de 6 mille violations de données ont été notifiées à la CNIL en 2024.
C'est plus 20 % que celles qui avaient été notifiées en 2023. Et ce chiffre devrait être au moins multiplié par 2 en 2025. Au au delà de ces chiffres bruts, l'intensification de cette menace se reflète aussi dans l'ampleur des violations qui touchent désormais des secteurs de taille importante. Tous les secteurs et intervenants dans la vie quotidienne des Français.
Je pense aux violations de données qui ont touché France Travail, de très nombreuses fédérations sportives, des opérateurs de téléphonie, des opérateurs de grande, de la grande distribution par exemple. Sur ce thème comme sur les autres, la CNIL conseille les acteurs. Nous avons par exemple diffusé des préconisations en avril dernier sur l'authentification, sur l'importance de l'authentification multifacteurs dans un certain nombre de circonstances.
Je pourrais y revenir, le cas échéant. Nous sensibilisons aussi les personnes concernées à chaque violation, notamment en alertant sur les risques d'hameçonnage, Et nous conduisons de nombreux contrôles, dont plusieurs sont à l'origine des procédures devant la formation de la CNIL qui prononce des sanctions. Ce sujet, plus encore que tout autre, je crois, illustre l'enjeu de la protection des données au quotidien et le rôle de la CNIL en la matière, alors que la confiance des Français dans le numérique est une des conditions du développement de l'innovation numérique. Chaque jour, à la mesure de ces moyens, la CNIL s'applique à protéger les données de chacun pour sécuriser l'avenir numérique de tous. Je vous remercie de votre attention et me tiens naturellement à votre disposition pour répondre à vos questions.
Est-ce que vous souhaitez, Monsieur le Président, que je commence par les questions que vous m'avez posées Oui, je vous en prie et ensuite nous passons aux orateurs inscrits.

Merci beaucoup.

Donc, s'agissant la notification, s'agissant de la violation des données qu'a subies le ministère de l'intérieur, le ministère nous a notifié en tout cas cette violation, nous indiquant qu'il entendait poursuivre ses inves ations pour déterminer précisément les données qui avaient pu être compromises. Donc on attend une notification, ce qui arrive souvent d'ailleurs dans les cadres de de violation de données puisqu'il y a une durée réduite pour notifier cette violation à la CNIL qui est de de soixante-douze heures.
Donc sur la base d'investigation complémentaire, il y aura une nouvelle notification qui nous permettra de déterminer le périmètre de cette violation.
En attendant, nous échangeons naturellement avec le ministère de l'intérieur et avec l'ANSSI pour déterminer les conséquences à en tirer vis-à-vis de l'application du RGPD et notamment de l'information des personnes concernées. Sur votre question sur le chiffrement, Monsieur le Président, ou plutôt l'atteinte au chiffrement qui est éventuellement envisagé sur un certain nombre de réseaux.
C'est un sujet qui fait l'objet, vous le savez mieux que moi, de débats qui sont clivants passionnés au niveau national.
On l'a vu dans le cadre de la PPL narcotrafic notamment, et vous citez le projet résilience comme au niveau européen.
Et en plus, c'est un sujet qui nécessite une expertise technique forte parce que c'est un sujet qui est complexe techniquement. À la CNIL, nous nous efforçons autant que possible de l'appréhender de façon posée en mettant en balance, je mets des guillemets, les bénéfices attendus et les inconvénients de ces dispositifs conduisant à fragiliser le chiffrement. Et lorsqu'on opère cette balance, nous avons l'impression que le plateau inconvénient pèse beaucoup plus lourd que le plateau des bénéfices entre guillemets attendus. Alors bien entendu ce qui attendu de cette mesure et éventuellement sur ce qui est attendu de cette mesure pour avoir rencontré un certain nombre de services régaliens. Je constate qu'ils ont l'air entre eux assez partagés en réalité sur la question de savoir si de tels dispositifs apporteraient des gains opérationnels tangibles dans la mesure où la population cible, la population cible, ce sont les délinquants aguerris. Ce n'est pas le petit délinquant, entre guillemets, pourrait contourner ce dispositif en utilisant des solutions qui ne sont pas soumises aux droits français ou européens. À tout le moins, j'ai retiré de ces échanges, que ce soit une enquête entre guillemets exhaustive, qu'il ne s'agirait pas nécessairement d'une solution miracle entre guillemets. Du côté des inconvénients, force est de constater que les objections sont nombreuses parce qu'une atteinte au chiffrement des réseaux de communication électronique, ça consiste à porter une atteinte à la confidentialité de la communication de tous les usagers pour essayer d'appréhender quelques ou plusieurs ou nombreux peut-être délinquants aguerris. On affaiblit la communication de chacun des usagers et on peut quand même aisément imaginer que cette fragilisation du chiffrement serait aussi exploitée par des acteurs malveillants et par des acteurs étatiques tiers. J'ajoute après qu'il y a des considérations de faisabilité pratique qui sont importantes.
Je note qu'au début de cette année, Apple, par exemple, a abaissé la sécurité des données sur son cloud au Royaume-Uni en supprimant l'option.
C'était une option qui permettait de chiffrer en gros les sauvegardes sur iCloud suite, semble-t-il, je ne sais pas si c'est vrai, c'est ce que j'ai eu dans la presse, je ne pas du tout si c'est vrai, à des demandes qui lui auraient été faites de portes dérobées de backdoor.
Enfin, tout ce qui concerne justement l'atteinte au chiffrement.
Il voir aussi quelles sont la réaction ou les réactions des principaux acteurs concernés en termes de considération pratique. Dans ces conditions, un travail d'analyse me paraît effectivement indispensable.
Je sais, Monsieur le Président, pour avoir eu le plaisir de vous rencontrer il y a quelques mois où je vous avais fait une visite dans votre bureau, que vous étiez déjà très très préoccupé par ce sujet et que vous aviez l'intention, ce qui a été fait, je crois, de monter un groupe de travail, y compris avec le Sénat.
Crois que c'est vraiment le type de sujet qui mérite des analyses approfondies, non clivantes, basées sur des considérations techniques qui prennent en compte aussi les conséquences opérationnelles. Et naturellement, dans ce cadre, la CNIL sera à votre disposition pour apporter sur le champ de compétences qui est le sien en tout cas son éclairage. Alors sur les réseaux sociaux, donc sur l'accès des réseaux sociaux aux mineurs de moins de 15 ans, nous n'avons pas une prise évidente sur le terrain du RGPD pour fonder une intervention, une interdiction en tout cas systématique, même si l'esprit de ce texte, c'est précisément qu'à partir en dessous de 15 ans, globalement, le mineur ne doit pas consentir seul, car il est vulnérable. À cette zone, il y aurait une logique naturellement à ce qu'une telle interdiction soit posée, d'autant plus que chacun sait qu'il y a une hyper connexion des jeunes puisque près des 2 tiers des 8, 10 ans, les 8, 10 ans sont aujourd'hui sur les réseaux sociaux et nous serons naturellement à la disposition du Parlement pour apporter notre expertise quand celui-ci ? examinera un texte ou plusieurs textes peut-être visant à rendre effective cette interdiction. Et notre but, en tout cas toute notre philosophie sur ce sujet, c'est de veiller à ce que les enjeux de vie privée soient mis, soient pris en compte dans le cadre de la vérification en quelque sorte de l'identité des personnes pour établir leur âge.
Et c'est ce à quoi nous avons travaillé avec beaucoup d'énergie. Je dois dire que naturellement, la CNIL a cherché à concilier la protection de l'enfant.
Ça va de soi des enfants et la protection de la vie privée.
Nous avons travaillé avec l'Arcom sur le contrôle de l'âge pour l'accès aux sites pornographiques et notre laboratoire d'innovation numérique a apporté son expertise à l'Arcom pour l'établissement d'un référentiel dont vous avez entendu parler, j'imagine, dit du doux l'anonymat, c'est qu'en gros le site pornographique sur lequel l'utilisateur se connecte connaît votre âge via un tiers de confiance, mais ne connaît pas votre identité, de même que le tiers de confiance ne sait pas sur quel site vous vous êtes connecté. Il ne s'agit pas simplement d'un enjeu technique parce que nous avons la conviction que si les solutions déployées ne sont pas respectueuses de la vie privée, alors les internautes ne se les approprieront pas et contourneront ces dispositifs de vérification d'âge.
Vous avez tous entendu parler naturellement des VPN qui ? permettent de faire en sorte que le site pense que vous vous connectez d'un autre pays et n'a pas donc les moyens pour pour opérer ce contrôle de vérification d'âge.
Et par ailleurs, nous nous multiplions, c'est très important, les initiatives pour essayer de sensibiliser les jeunes en utilisant leurs codes.
C'est ce que j'évoquais dans mon propos liminaire, des déplacements sur le terrain, le manga dont je vous ai parlé, l'application Phantom App là qui est sortie depuis hier, que je vous encourage en tant que parlementaire, mais peut-être aussi en tant que parent à télécharger, parce que je crois que c'est ça ça ça peut être l'objet d'une discussion très intéressante avec les adolescents. Et puis, nous avons aussi une publié une vidéo qui a beaucoup de succès, qui est d'ailleurs diffusée ces jours-ci par France Télévision en lien avec notre homologue irlandais qu'il a diffusé également sur le ce qu'on appelle le charenting, c'est-à-dire le partage par les parents de photos de leurs enfants sur les réseaux sociaux sans avoir en tête quand même les conséquences que ça peut avoir. D'abord parce que ça nourrit très largement les réseaux de pédocriminalité. Ça, il faut en avoir conscience, ce qui n'est quand même pas rien.
Et ensuite parce que pour ces enfants, c'est leur faire peser une charge en termes de non droit à l'oubli en quelque sorte, qui peut être quand même tout à fait préjudiciable. Et puis hier, j'ai signé le renouvellement avec le ministre de l'éducation nationale d'un partenariat, de notre partenariat à la fois pour l'accompagnement et la sensibilisation des membres de la communauté éducative, l'accompagnement du ministère lui-même et de toutes ses structures dans le traitement de leurs données personnelles et l'accompagnement des enjeux innovants, notamment en matière d'utilisation de l'intelligence artificielle dans le cadre de l'éducation nationale, puisqu'il y a quatre-vingts pour 100 des élèves, semble-t-il, et aujourd'hui 20 % des professeurs qui utilisent déjà de l'intelligence artificielle. Et tout ça avec naturellement des opportunités à en tirer sur notre une individualisation éventuellement des parcours éducatifs, mais également de nombreux risques en matière de protection de la vie privée auquel nous sommes particulièrement sensibles.
Et donc, si le Parlement suit le gouvernement, la CNIL aura la mission d'être l'autorité de surveillance de marché de ces systèmes d'intelligence artificielle, notamment dans le secteur de l'éducation. Alors ça c'était sur les réseaux sociaux monsieur le président comme vous m'avez posé la question très structurante sur des sujets très importants je me permets de prendre le temps d'y répondre et sur l'intelligence artificielle, donc j'en ai dit quelques mots dans mon propos liminaire et encore à l'instant, je crois que chaque jour qui passe le confirme. Nous avons besoin d'une régulation de l'intelligence artificielle, tant cette technologie qui recèle de très nombreuses opportunités, des gains de productivité, des progrès dans la recherche médicale pour ne citer que quelques-uns, est aussi porteuse de dérives et d'abus de décisions qui peuvent être potentiellement totalement ? automatisées, sans enjeu d'explicabilité, alors qu'elles peuvent produire des effets considérables pour les personnes concernées. Le développement de biais potentiellement, puisque ces systèmes sont entraînés avec des données qui elles-mêmes peuvent être biaisées, notamment sur le genre. Lorsqu'on cherche un emploi ou autre, pour être un peu concret, On voit bien que sur la santé des plus jeunes ou des personnes vulnérables, notamment via les agents conversationnels, il peut y avoir maintenant une dépendance amicale ou voire affective qui peut être néfaste pour la santé mentale, pour ne citer que quelques enjeux et sans même aller sur les questions de manipulation de l'information, de cybersécurité, parce qu'il y a du plus et du moins sur les liens entre cyber et IA.
Donc c'est vraiment une technologie qui doit être régulée par rapport à ce constat et dans ce cadre, le règlement sur l'intelligence artificielle un esprit qui me paraît cohérent par rapport à ce constat puisqu'il propose une approche par les risques en modulant les exigences en fonction de l'importance de ces risques.
C'est une approche graduée et je crois que du coup, c'est le meilleur moyen d'éviter de faire peser des contraintes excessives sur des usages lorsque ceci ne pose pas de problème.
Et il y en a de nombreux qui ne posent pas de problème naturellement. Alors sur ce sujet de la régulation d'ailleurs, j'en profite pour dire que je m'inscris en faux contre l'idée que la régulation serait la cause du retard de la du retard européen en matière d'intelligence artificielle. D'abord parce que la régulation européenne spécifique à l'IA n'est dans sa grande majorité, en tout cas dans la dans sa grande partie, même pas encore rentrée en application, sorte qu'on ne peut pas la rendre responsable des moindres performances européennes par rapport au développement de l'intelligence artificielle en Chine ou aux États-Unis. Et si l'Europe représente 5 % du risque mondial, du capital risque mondial contre 50 % aux États-Unis ou 40 % en Chine, la régulation, je pense, ne saurait être le seul facteur à interroger.
Je crois qu'il y un rapport de un à 10 sur les investissements ces dernières années dans les systèmes d'intelligence artificielle entre l'Europe et les États-Unis par exemple.
Et puis, il y beaucoup d'autres sujets qui peuvent être des freins par rapport à ce qui se passe aux États-Unis sur notamment certaines inversions, le terme est peut être trop fort, mais en tout cas, on n'a pas la même appréhension du risque des conséquences qu'on en tire lorsqu'il y a un échec, notamment pour les entrepreneurs et les systèmes en droit de la faillite en matière sociale, et caetera ne sont pas les mêmes.
Donc je trouve ça un peu court d'attribuer retard supposé de l'IA, même si on a des beaux champions français également dans ce secteur à la seule régulation de l'intelligence artificielle.
Et je voudrais insister sur un point, c'est que je crois que les Français ont un enjeu de défiance ou de confiance aussi par rapport à ces innovations technologiques. Et la CNIL entend jouer ce rôle justement de tiers de confiance.
Ce que beaucoup de nos concitoyens qui paradoxalement d'ailleurs utilisent aussi l'IA, parfois ce qu'on appelle le shadow AI, l'IA de l'ombre dans le cadre de leurs activités professionnelles notamment sont aussi les premiers à être inquiets des conséquences de l'IA sur leur emploi par exemple ou en matière de protection de vie privée.
Et donc je crois que la meilleure façon pour que ces technologies se propagent avec toutes les promesses qui y sont attachées, c'est aussi de lever ces appréhensions via une régulation qui soit ? adaptée. Mais je ne veux pas être trop longue, Monsieur le Président, je crois que je l'ai déjà été et je voudrais laisser la parole aux autres intervenants.

Merci.
Merci beaucoup, Madame la présidente, pour vos réponses.
Je donne en effet immédiatement la parole aux différents orateurs inscrits.
Julien Rancourt pour 2 minutes.

Merci monsieur le président.
Madame la présidente, lors des jeux olympiques et paralympiques de Paris deux-mille-vingt-quatre, une expérimentation de la vidéo protection augmentée a été mise en oeuvre jusqu'en jusqu'au trente-et-un mars deux-mille-vingt-cinq. Le comité d'évaluation dans ses conclusions rendues en janvier dernier a dressé un bilan contrasté de cette expérimentation. Il a relevé des performances techniques inégales selon les opérateurs, les cas d'usage et les conditions d'utilisation ainsi qu'un nombre parfois élevé de fausses alertes, notamment dans certains cas d'usage comme la détection d'objets abandonnés. Si ces constats ne remettent pas en cause le principe de la même de la vidéoprotection augmentée, ils soulignent la nécessité d'un perfectionnement technique, d'un encadrement clair et d'une vérification humaine systématique. Le comité a par ailleurs indiqué n'avoir relevé aucune atteinte aux exigences constitutionnelles, européennes ou légales, tout en appelant à une vigilance particulière afin de prévenir tout risque de détournement, de finalité ou d'accoutumance à ces technologies et en insistant sur l'importance d'une information suffisante du public, de la formation des agents et d'un contrôle attentif des usages pour la, dans la durée. Utilisé comme un outil d'aide à la décision sans, sans automatisation des interventions ni recours à la reconnaissance faciale, la vidéo protection augmentée peut représenter un intérêt réel pour améliorer la prévention et la réactivité face à certaines situations à risque, notamment dans les grands événements. Autre point que je souhaite aborder, la sécurisation de ces événements propose également sur le recours massif à des agents de sécurité privés dont près de vingt-sept-mille ont été mobilisés lors des J0P deux-mille-vingt-quatre et qui pourraient être dotés de caméras piétons afin de sécuriser leurs interventions et de protéger les agents eux-mêmes. Comme c'est le cas pour d'autres forces de sécurité.
À ce titre, madame la présidente, quels enseignements la CNIL tire-t-elle de l'expérimentation de la vidéoprotection augmentée Avez-vous relevé d'éventuelles atteintes ? Et quelles conditions, une une possible pérennisation pardon de cette technologie pourrait-elle être envisagée selon vous Enfin, comment la CNIL appréhenderait-elle ? l'extension du port de caméra piéton aux agents de privé Je vous remercie.
Merci Guillaume Cassebarian.

Merci monsieur le président, madame la présidente, je voudrais vous interroger sur l'intelligence artificielle puisqu'en septembre, la DGE et la DGCCRF ont publié un projet de désignation des autorités nationales en charge de la mise en oeuvre du règlement européen sur l'IA. Et de ce que nous comprenons, il y aurait une vingtaine de directions ministérielles, d'entités, d'agences qui seraient impliquées dans la régulation de l'IA.
Ça fait beaucoup.
Et et donc une première question, madame la présidente, qui fait quoi dans ce dispositif de régulation Toujours dans ce projet, la CNIL devrait veiller au respect des interdictions prévues à l'IA Act, surveiller les les usages des IA à haut risque dans l'accès aux services publics essentiels et réguler les exceptions prévues à l'interdiction de la biométrie en temps réel dans l'espace public pour des fins sécuritaires.
Ce que nous comprenons de ce projet.
Et donc seconde question, la présidente, comment comptez-vous opérationnellement assurer ce rôle si ces missions devaient être confirmées par le Parlement dans la mise en place de cette régulation Et enfin, madame la présidente, nous sommes nombreux ici à être convaincus que l'intelligence artificielle, c'est un formidable levier de croissance, d'efficacité, de réponse aux besoins des usagers.
C'est un levier de développement extrêmement fort.
Et donc troisième question, sans insinuer que nous serions très forts en France pour transposer fortement des directives ou des règlements, que nous serions très forts pour contrôler et réguler, Comment pourrions-nous nous assurer ensemble que la régulation permet au secteur de se développer en France tout autant, si ce n'est plus, que chez nos voisins, afin de concilier les exigences de régulation et le développement de ce secteur essentiel Je vous remercie.
Merci Lisa Martin.

Merci bonjour madame, je vous remercie d'être parmi nous. Nous avons eu à échanger par courrier à l'automne deux-mille-vingt-quatre à propos du suivi de l'expérimentation de traitement algorithmique des images via les dispositifs de vidéosurveillance algorithmique, comme cela a été indiqué dans l'alinéa 11 de l'article 10 de la loi J0P deux-mille-vingt-quatre et autres dispositifs. Cette question, donc vous aviez eu la courtoisie de de me répondre ainsi occasion m'est donnée de poursuivre cet échange. Donc cette question évidemment revêt un caractère tout à fait crucial quand le gouvernement cherche à nouveau à imposer la poursuite de cette expérimentation ? et ce jusqu'au trente-et-un décembre deux-mille-vingt-sept. En charge de la protection des données et de la vie privée, nous attendons, j'attends bien sûr votre analyse.
D'abord, vous deviez être destinataire d'un rapport trimestriel. Qui est-ce que cela s'est bien produit Combien y en a-t-il eu Les avez-vous jugés fiables ? Dans votre réponse à mon courrier, vous évoquez la nécessité d'une évaluation rigoureuse, contradictoire, pluridisciplinaire du traitement automatisé des images enregistrées par les dispositifs de vidéosurveillance. Considérez-vous bien sûr d'une, là aussi d'une façon très courtoise, que le rapport vigoureux auquel 2 députés ont pu participer à l'élaboration correspond bien à ces caractéristiques. L'information au public qui est un élément clé, car les citoyens ont le droit de savoir qu'ils sont surveillés.
Vous savez qu'il y a eu beaucoup de de de de de non-respect des délais, par exemple d'information au public.
Quel est quel est votre point de vue sur ce sujet Voilà, merci beaucoup pour vos réponses.

Merci, la parole est à Marietta Caron-Mali.

Merci monsieur le président, madame la présidente, chers collègues. Bien sûr, la CNIL se positionne comme un acteur central de la régulation numérique en France avec une stratégie deux-mille-vingt-cinq, deux-mille-vingt-huit axée sur l'IA, la protection des mineurs, la cybersécurité dont vous en avez, vous avez parlé tout à l'heure, madame la présidente. En matière donc de l'IA, un des enjeux est d'éviter que l'infrastructure et les connaissances vitales ne soient concentrées entre les mains de quelques géants privés de la technologie opérant dans un petit nombre de pays.
Quelles sont donc à l'état vos réflexions et un lien avec le Comité européen de la protection des données, les orientations que porte la CNIL sur le sujet de la souveraineté numérique que certains traduisent par une dépendance. Dans le domaine de la protection des mineurs, notre assemblée a émis des recommandations s'est prononcée clairement pour lutter contre les addictions numériques chez les enfants et les jeunes en mettant en avant la responsabilité des plateformes numériques dans la conception de services addictifs, en appelant justement à une régulation européenne renforcée. Nos résolutions s'appuient sur le digital service act et les initiatives européennes en matière de l'IA et de protection des données et ce pour exiger des règles un peu plus strictes.
Sur ce sujet, comment se positionne la CNIL et quelles évolutions de la législation soutient-elle Enfin, le dernier élément que je je, c'était aussi évoqué, c'est ce concernant en lien avec le CEPD par rapport au l'omnibus digital que se, que ne se pose pas aujourd'hui, mais il veut s'assurer que la simplification ne devienne pas une dérégulation. Que pensez-vous de cette position Et à titre personnel, je me, j'aimerais savoir aussi que je trouve dommageable qu'on veuille réformer un cadre dont on n'a pas encore complètement mesuré l'opérationnalité du dispositif et les transformations envisagées qui diluent le les principes, me semble-t-il in fine, de moins visibles pour tout le monde aujourd'hui.
Donc c'est effectivement par rapport à ça, comment on peut préserver dans les cadres actuels et comment on peut faire l'objet d'aménagement raisonnable selon votre avis.
Merci.
Merci, la parole est à Philippe Gosselin.

Merci monsieur le président, madame la présidente.
Ravie de vous retrouver, moi qui ai siégé à la Cnil pendant quelques belles années. Vous dire aussi en propos préliminaires que je ne souhaite pas que l'on confond certaines AI avec les régionalisations, les agençisations, et caetera.
Je crois vraiment que la CNIL a tout son intérêt.
C'était une des premières et je sais le rôle qu'elle qu'elle a aussi dans une construction européenne des des des opérateurs de contrôle, on va le dire de façon large et c'est un un plaidoyer pour vous mettre très à l'aise.
3 questions sur les VSA, sur le chiffrement et le sésame et puis sur les mineurs et réseaux sociaux, quelques éléments qui ont pu déjà être abordés. On a quand même une partie importante des maires selon les les petits sondages qu'on retrouve ici et là en vue des municipales, de la population qui souhaitent un un positionnement des des candidats des municipales sur l'usage de l'IA en matière de sécurité publique.
Comment la CNIL entend-elle contribuer à l'élaboration d'un cadre législatif Comment compte-t-elle éventuellement ? s'impliquer dans ce dans ce débat qui permette un déploiement sécurisé et maîtrisé des de ces technologies ? Un autre, une autre question sur le sésame avec le le règlement européen qui remet en débat la question du chiffrement de bout en bout, qui est nécessaire à la sécurité numérique, mais qui est perçu parfois aussi comme comme un obstacle dans des enquêtes sur la pédopornographie, le narcotrafic, la la la criminalité étrangère.
Quelle ligne rouge, selon vous, ne devrait pas être franchie Voilà, ce ce le point de vue sur ce sur ces âmes.
Et puis un dernier point sur mineurs et réseaux sociaux qui nous préoccupe beaucoup évidemment et je sais que c'est une préoccupation aussi de de la CNIL.
Il y a eu il y a quelques années des opérations pédagogiques de communication, et caetera.
Mais quelles recommandations la CNIL pourrait-elle formuler pour concilier évidemment 2 principes importants, la protection des mineurs et en même temps le respect des libertés publiques et la sécurité de leurs données Je vous remercie.
Merci,

la parole est à Puria Hammir Chahi.
Merci monsieur le président.
Madame la présidente,

à côté du risque de cyber attaque a évoqué le président et qui sera je pense ré évoqué tout à l'heure il y un second danger plus silencieux mais tout aussi déstabilisateur qui mérite une attention particulière c'est celui des usages abusifs ? des fichiers par des personnes pourtant légalement autorisés à y accéder. Travaux parlementaires en particulier ceux de la commission d'enquête sénatoriale sur le narcotrafic et qui nous avaient aidés dans nos débats ont mis en lumière des détournements de fichiers de police ou judiciaires au profit des réseaux criminels.
Ils relèvent des failles persistantes dans le suivi des habilitations et dans la traçabilité effective des consultations. La puissance financière des réseaux de narcotrafic, leur capacité d'infiltration et leur stratégie d'approche ciblée font de l'accès à l'information un enjeu central de leur activité. L'actualité récente l'a illustré de manière très concrète avec la mise en examen de personnel du tribunal judiciaire de Marseille pour avoir consulté des fichiers et transmis des informations à un proche d'un groupe criminel. Ces affaires montrent qu'une habilitation formelle ne suffit pas à elle seule à garantir un usage conforme des données, ni à permettre une détection suffisamment précoce des dérives. Elle pose une question fondamentale de confiant dans l'usage des fichiers et dans la capacité des institutions à se prémunir contre ces phénomènes de corruption parfois qualifiés de basse intensité, mais en réalité aux effets dramatiques. Là encore, la CNIL a un rôle déterminant à jouer en tant qu'autorité chargée d'apprécier les conditions d'accès aux données, la proportionnalité des habilitations et l'effectivité des mécanismes de contrôle.
Lors de l'examen de la proposition de loi dite narcotrafic, on va redébattre cet après-midi en séance, vous le savez sans doute, le groupe écologiste et social avait défendu plusieurs pistes.
Un encadrement plus strict des habilitations, un meilleur suivi des consultations et un renforcement des contrôles. Dès lors, selon vous, Madame la présidente, ces leviers vous paraissent-ils pertinents pour prévenir les détournements de fichiers et lutter contre les phénomènes de corruption interne et quel renforcement vous semblerait aujourd'hui prioritaire pour garantir un usage loyal et conforme des fichiers sensibles

Si la parole est à Eric Martinot.

Merci Monsieur le Président, Madame la Madame la présidente, chers collègues.
Dans un contexte marqué par une augmentation continue et documentée des violations de données personnelles, touchant tant les acteurs privés que les administrations publiques, de nombreuses interrogations subsistent quant à l'effectivité du régime de sanctions applicables en matière de protection de données.
Alors même que le cadre juridique issu du règlement général sur la protection de données, RGPD, prévoit des sanctions administratives potentiellement dissuasives, celles-ci apparaissent dans les faits relativement peu nombreuses ou insuffisamment dissuasives au regard de la gravité et de la récurrence des manquements constatés. Ma question est donc très simple.
Pouvez-vous nous dire pourquoi ces sanctions ne sont pas plus systématiquement prononcées ou renforcées Estimez-vous que les moyens juridiques et opérationnels dont disposent les autorités de contrôle, en particulier la CNIL, sont aujourd'hui adaptés à l'ampleur et à la fréquence croissante des fuites de données.
Et le cas échéant, quelle évolution envisagez-vous Ensuite, je voudrais revenir sur la fuite de données du ministère de l'intérieur et en particulier sur le fichier des traitements d'antécédent judiciaire. Ce fichier géré par le ministère lui-même contient des informations détaillées sur les antécédents judiciaires de 1 million de personnes. Par ailleurs, plusieurs parlementaires et notamment mes collègues Philippe Gosselin et Philippe Platombe ont mis en lumière des problématiques juridiques et de conformité de ce fichier.
Notamment des manquements à la loi informatique et libertés, des données pas suffisamment mises à jour ou encore une base juridique qui repose en partie sur un décret plutôt que sur une loi explicite. Ce qui soulève des questions de sécurité juridique, de protection de liberté individuelle. Quelle mesure madame prévoyez-vous pour sécuriser ce traitement, garantir sa conformité juridique ? et prévenir de nouvelles fuites Je vous remercie. Merci Xavier Albertini.

Comme ça. Puis les bertigny comme ça c'est pas mal je vais su traiter la couleur vous avez dit non non mais je

vois monsieur le président que avez dit vous remercie monsieur le président madame le président la vidéo la vidéo surveillance algorithmique telle qu'elle est expérimentée à l'occasion des jeux olympiques et paralympiques 2 mille vingt-quatre repose sur l'analyse automatisée d'images issues de caméras existantes afin de détecter des situations ou comportements prédéfinis et non des personnes et sans recours à la reconnaissance faciale ni l'identification individuelle. Cette expérimentation strictement encadrée par la loi va être prolongée jusqu'en deux-mille-vingt-sept dans les prochains jours et on peut se demander légitimement comment concilier durablement l'exigence ? de sécurité et de préservation de la confiance démocratique face à cette technologie.
Nous avons pu prendre connaissance madame la présidente d'un précédent rapport du dix-neuf juillet deux-mille-vingt-deux de la CNIL traitant de ce sujet mais mes questions porteront plus particulièrement sur le bilan les perspectives et le positionnement de la France par rapport aux stratégies aux pratiques étrangères. Sur le bilan d'abord, avec le recul dont vous disposez et en particulier l'expérience des jeux olympiques et paralympiques deux-mille-vingt-quatre, pouvez-vous ? nous dire si ces dispositifs ont démontré selon vous une utilité réelle et objectivable en matière de prévention des risques et de sécurisation des événements et si les alertes générées ont été suffisamment pertinentes et fiables. Sur les perspectives ensuite, la prolongation de l'expérimentation jusqu'en 2 mille vingt-sept pose la question des garanties juridiques. Identifiez-vous des points de vigilance qui devraient impérativement conditionner toute évolution future de ce dispositif Et enfin, sur la comparaison internationale, comment situez-vous la France par rapport à d'autres démocraties, notamment européennes, dans ? l'usage de la vidéo surveillance algorithmique. Sommes-nous aujourd'hui sur une ligne d'équilibre entre efficacité opérationnelle et protection des libertés publiques Je vous remercie.
Merci monsieur Albertini.

La parole est à Paul Molac.

Mais merci monsieur le président, chers collègues. Donc notre groupe est très attaché à tout ce qui est liberté publique et remercie la CNIL pour son travail. Donc vous madame la présidente et et vos agents.
Dans un contexte où les technologies numériques deviennent très intrusives, où j'avais par exemple un exemple où un gamin avait un portable et donc quand il a un problème, il demande à ChatGPT ce qu'il faut qu'il fasse.
Donc on voit bien qu'aujourd'hui l'intelligence artificielle ou la connaissance artificielle serait capable de pouvoir finalement former les esprits et faire passer un certain nombre d'idées. Et donc le problème se pose de savoir qui contrôle tout ça, qui est derrière, puisqu'on voit bien qu'il y a des masses financières qui peuvent être absolument phénoménales. Il en est de même sur les technologies de surveillance qui progressent vite, parfois plus vite que le cadre démocratique qui court derrière. Alors c'est particulièrement vrai aujourd'hui pour les questions de caméras dites augmentées avec l'usage de l'intelligence artificielle.
Alors on a déjà parlé du du texte sur les jeux olympiques effectivement qui va être a priori votée et donc où il y aura cette expérimentation qui sera poursuivie. Alors ce qu'il faut savoir quand même, c'est qu'aujourd'hui on ne se contente plus de filmer dans l'espace public, on analyse en continu de manière systématique les comportements, les gestes, les déplacements. Par définition, il s'agit de technologies profondément intrusives. Or l'espace public est précisément le lieu où s'exerce les libertés fondamentales. Manifester, se réunir, s'exprimer, aller et venir librement. Le problème, c'est que le droit d'opposition consacré par la RGPD ne peut s'exercer dans le cadre de cette vidéo surveillance. Premièrement, au regard du bilan de l'expérimentation autorisée pour les jeux de 2024, avez-vous identifié des risques particuliers ou des défaillances de la vidéosurveillance algorithmique Quelles garanties effectives existent concernant la suppression rapide des images et des données collectées ? Ces garanties sont-elles réellement contrôlables et contrôlées

Merci.
La parole est à Sophie-Éricourt-Majinet pour le groupe UDR.

Merci monsieur le président. Madame la présidente, cette année nous avons examiné et travaillé sur plusieurs textes importants sur les nouvelles technologies en matière pénale et de sécurité et pas seulement sur le chiffrement monsieur le président. Nous avons travaillé sur les fichiers de police interconnectés, les outils numériques d'enquête, les algorithmes, la vidéo protection, l'exploitation en temps réel des données, l'accès aux téléphones portables. Tous ces outils sont aujourd'hui indispensables à l'efficacité des forces de l'ordre. Tout le monde conviendra aussi que les libertés doivent évoluer avec la société, avec les usages et avec les technologies tout en restant pleinement garantie. Dans ce contexte, la CNIL est amenée à se prononcer très régulièrement sur les nouveaux dispositifs opérationnels pour les forces de l'ordre. Ma question est simple, Comment la CNIL entend-elle faire évoluer ses doctrines, ses recommandations et son contrôle pour accompagner ces transformations afin que la protection des droits fondamentaux ne freine pas l'innovation, l'action publique et l'efficacité opérationnelle des acteurs de terrain. Concrètement, madame la présidente, où placez-vous le curseur entre la protection des libertés individuelles et le besoin pour les forces de l'ordre d'avoir des fichiers fiables, interconnectés et utilisables rapidement. Un deuxième sujet si vous permettez, je voudrais aussi attirer votre attention sur l'impact territorial de la régulation numérique. Les règles du RGPD et les recommandations de la CNIL sont souvent pensées pour les grandes structures, les grandes mairies, les grandes institutions. Sur le terrain, notamment dans les petites communes rurales, leur application est beaucoup plus compliquée et ne peut et peut fragiliser le fonctionnement quotidien des services. Comment l'ACT-IL prend-elle en compte ces réalités locales Prévoyez-vous des accompagnements ou des adaptations spécifiques ? pour que la protection des données ne devienne pas un obstacle à l'action des collectivités Donc en résumé, la protection des libertés, nous pensons à l'u d r ne doit pas être figée, elle doit évoluer avec la société, avec les usages et avec les technologies. La régulation numérique ne doit ni freiner l'innovation ni empêcher l'action publique. Elle n'est efficace que si elle est proportionnée à datable et connectée aux réalités du terrain.
Je vous remercie.

Merci.
Nous poursuivons. Nous avons encore 4 orateurs inscrits.
Monique Lisetti.

Oui, merci monsieur le président, madame la présidente, mes chers collègues.
Il est toujours effarant de voir le nombre de fraudes qui existent dans la distribution des prestations sociales. Monsieur Nicolas Grivel, directeur de la caisse nationale des allocations familiales, a révélé en mai deux-mille-vingt-cinq avoir repéré un montant de quatre-cent-cinquante 1 million d'euros de fraude pour l'année deux-mille-vingt-quatre, soit une augmentation de 20 % par rapport à deux-mille-vingt-trois. Sans omettre la problématique des cartes vitales surnuméraires, mais le gouvernement tente d'y apporter des solutions, notamment avec le recours à des contrôles biométriques, comme indiqué dans la réponse à une question écrite par mon collègue Patrice Martin sur la fraude aux cartes vitales.
Ainsi, le gouvernement est pour le contrôle biométrique pour les cartes vitales.
Le gouvernement donne une première piste pour endiguer les abus que connaît notre système de solidarité, mais une autre technique est encore trop peu utilisée, le regroupement de données. Comme vous le savez, les procédures de demande de prestations sociales, leur actualisation ou la déclaration d'une situation nouvelle pouvant mettre fin à leur versement se font en ligne avec énormément d'informations administratives qui ont un lien entre elles, mais qui pourtant ne se recoupent pas. Alors ou alors pardon, pas suffisamment. Ce qui est par exemple le cas pour le versement des retraites à l'étranger ou ce manque de linéarité entre nos caisses d'assurance retraite et nos administrations étrangères. Ça porte préjudice au budget de la sécurité sociale et donc à l'argent des Français. Dans son rapport deux-mille-vingt-cinq relatif à l'application des lois de financement de la sécurité sociale, la cour des comptes s'est intéressée à la fraude aux retraites.
Bien que peu, la caisse nationale d'assurance vieillesse n'apporte aucune estimation. La cour, elle, estime sur 3 pays, Algérie, Maroc et Espagne, une fraude entre 50 et quatre-vingt-dix 1 million d'euros. Elle notait également que l'échange de données entre les administrations étrangères et françaises ne couvrait que la moitié des assurés vivant à l'étranger en deux-mille-vingt-quatre. Alors madame la présidente, si vous êtes saisie de demande de recoupement de données afin de lutter contre la fraude, la CNIL serait-elle encline à donner son accord pour faire en sorte que les les deniers publics ne soient plus versés indûment à des individus qui profitent des failles du système d'allocation ou de perception de l'impôt.
Je vous remercie.

La parole était Jean-François Coulhomme.

Pardon. Merci monsieur le président, madame la présidente.
En deux-mille-vingt-quatre, la CNIL a été notifiée de presque six-mille violations de données personnelles, ce qui représente plus 20 % par rapport à deux-mille-vingt-trois. Il y a un changement de nature dans ces violations de données, c'est-à-dire que vous constatez une recrudescence des violations de grande ampleur qui touchent des dizaines de 1 million de personnes comme France Travail, les services de la mairie et récemment des bases judiciaires ou administratives. Vous identifiez à ce titre plusieurs failles principales, la compromission des informations de connexion, des défauts de mise à jour laissant les failles de sécurité perdurer et une importante part de ces fuites implique des sous-traitants.
Face à un constat aussi alarmant, nous proposons plusieurs solutions structurelles qui diminueront drastiquement les risques de fuites de données massives. Instaurer un principe de décentralisation qui limite le stockage des données au même endroit, renforcer le chiffrement des données, renforcer les moyens humains en charge du numérique dans les administrations, recourir à des logiciels libres de droit et open source permettant une auditabilité constante et ne soumettant pas les données personnelles aux gafams. Face à ces phénomènes massifs, l'enjeu n'est plus seulement celui du contrôle et des recommandations nécessaires par ailleurs, mais bien celui des modifications structurelles dans l'usage des outils numériques. En effet, le RGPD est un outil essentiel, mais il doit s'inscrire dans un projet de sobriété numérique qui questionne l'idée même de la collecte des données et qui remet à plat le besoin. De revenir à un principe de non collecte des données personnelles, de limiter les durées de conservation des des données, de favoriser le chiffrement de ces données personnelles. Votre commission n'a pas la capacité d'absorber une telle charge de contrôle.
C'est donc il faut repenser la manière dont on connecte collecte ces données en limitant au maximum à ce qui est nécessaire pour le fonctionnement d'un service ou d'une entreprise. Il apparaît nécessaire de repenser les modalités de stockage de ces données en favorisant la décentralisation et le chiffrement. Alors madame la présidente, que pensez-vous de ces propositions concrètes, concrètes et n'est-il pas selon vous nécessaire aujourd'hui de prendre de la protection des données non plus seulement par le biais de la régulation mais celui de la sobriété. Je vous remercie.
Merci Eric Poget.

Oui merci Monsieur le Président.
Madame la présidente je voudrais aborder avec vous le sujet des polices municipales puisque le Parlement va être saisi en début d'année deux-mille-vingt-six d'un projet de loi sur les polices municipales et un certain nombre d'articles vous concernent, notamment sur les caméras piétons pour les policiers municipaux et les gardes champêtres, sur le, l'utilisation de la vidéosurveillance embarquée sur des drones, mais surtout un article très spécifique sur lequel dans le passé la CNIL s'est toujours opposé, qui est la mise à disposition de lecture automatisée des plaques d'immatriculation par les polices municipales. Il y un article qui lui est dédié et je voulais savoir votre appréciation sur ces différents articles et notamment sur ce qu'on appelle le lapis puisqu'on est quand même aujourd'hui dans dans une dans une situation très paradoxale où l'état finance et encourage les communes et les mairies à se doter de ce type d'équipement, mais la CNIL empêche l'utilisation de ces équipements dans les communes.
Merci.

Merci Sandra Rigole.

Merci monsieur le président, madame la présidente, vous le releviez dans votre bilan 2024, les violations de données sont non seulement plus fréquentes, mais aussi d'une ampleur inédite. Je souhaitais donc attirer votre attention sur les données d'une sensibilité particulière, celle contenue dans les fichiers de police et judiciaires. Vous avez déjà partiellement répondu, mais il reste encore quelques aspects que vous n'avez pas abordés dans votre réponse.
Ces fichiers sont aujourd'hui au coeur du fonctionnement de la police et de la justice, le traitement des antécédents judiciaires, le TAJ, le fichier des personnes recherchées, le FPR, structurent les investigations, accompagnent les décisions prises à chaque étape de la chaîne pénale et concentrent de ce fait des informations particulièrement sensibles. Or, un risque de plus en plus préoccupant concerne les atteintes extérieures à la sécurité de ces fichiers.
Le ministre de l'intérieur, Laurent Nuez, a confirmé que les services de son ministère avaient été la cible d'une cyberattaque qualifiée d'acte très grave ayant permis l'accès à des données issues de fichiers sensibles. On a du mal à cette heure à évaluer l'importance de ce hacking, mais ça reste une alerte très importante.
Ces attaques informatiques accompagnées de revendications d'accès à des données issues de fichiers sensibles comme le TAJ ou le FR, interrogent la capacité de l'État à protéger ces systèmes face à des intrusions qu'elles révèlent de la cybercriminalité ou d'ingérences plus structurées. Les premiers éléments rendus publics indiquent que cette intrusion serait passée par les messageries professionnelles des agents, mettant en lumière non seulement des vulnérabilités techniques, mais aussi des défaillances liées aux pratiques humaines malgré les règles de prudence existantes.
Ces éléments interrogent plus largement la capacité de l'État à garantir un niveau de sécurité à la hauteur de la sensibilité des données qu'il traite.
Dans ce contexte, la CNIL joue un rôle central.
En plus des 2 enquêtes judiciaires et administratives ouvertes, vous avez été saisi de cette affaire.
Le groupe écologiste et social se demande dès lors si, de votre point de vue, le cadre juridique, et c'est sur cette partie que vous n'avez pas répondu, et les pratiques actuelles sont suffisants pour prévenir le type d'atteinte extérieure et garantir un niveau de sécurité à la hauteur de ce qui est nécessaire ou si vous identifiez au contraire des fragilités appelant à un renforcement des exigences, notamment en matière de sécurisation des systèmes et de prévention des intrusions.

Merci et pour terminer Antoine Léauban.
Merci.

Merci monsieur le président, madame la présidente, bonjour.
Je vais vous poser une question qui est peut-être un petit peu en décalage par rapport aux questions qui ont été posées aujourd'hui, mais qui concerne le répertoire électoral unique, qui est un fichier ? qui qui regroupe les inscrits sur les listes électorales qui a été mis en oeuvre avec la loi de du premier août deux-mille-seize ? et qui globalement a fait ses preuves élection après élection pour pour gérer le un très grand fichier électoral, mais qui reste néanmoins décrit par commune. Et une question se pose avec ce fichier électoral unique, c'est la possibilité de passer petit à petit à une inscription automatique sur les listes électorales, c'est-à-dire de faire en sorte que on passe uniquement par ce fichier là pour faire cette inscription automatique sur les listes électorales.
C'était la recommandation numéro du rapport que j'ai produit dans le cadre de la commission d'enquête sur les élections que nous avons organisées au sein de cette assemblée. Et les acteurs que nous avons additionnés nous ont dit, c'est possible, mais il faudrait pour cela faire des croisements de fichiers et notamment peut-être utiliser le dispositif France Connect pour pouvoir aboutir à ces croisements de fichiers.
Par ailleurs, autre question qui se pose avec ce répertoire électoral unique, il faudrait pouvoir l'enrichir des adresses mail et des numéros de téléphone pour pouvoir informer les électeurs de l'évolution de leur situation électorale et je pense à cela notamment parce que des électeurs se trouvent parfois radiés des listes électorales sans être dûment informés et parfois sans être au courant du fait qu'ils ont été radiés. Donc que pensez-vous du fait d'aller croiser différents fichiers pour permettre à terme une inscription automatique sur les listes électorales Je veux dire, on a un peu l'impression que la CAF ou les impôts sont tout à fait capables de venir nous chercher au fin fond du petit village où on habite quand quand on doit 200 euros ou qu'on a eu un trop perçu de 200 euros.
Mais quand il s'agit de l'inscription sur les listes électorales, il semble que ce soit plus compliqué de faire en sorte que tous les citoyens soient effectivement inscrits.
Donc que pensez-vous d'un d'un tel croisement de fichiers et de l'alimentation du répertoire électoral unique avec les adresses mail et les numéros de téléphone

Merci madame la présidente, je vous propose de d'apporter vos vos réponses à ces 15 successives orateurs qui vous ont interrogé sur des points très très divers.
Madame la présidente, vous avez la parole.

Merci beaucoup monsieur le président et et merci beaucoup, Mesdames et Messieurs les députés, pour toutes ces questions très variées qui illustrent d'ailleurs variété du champ d'activité de la CNIL.
Je vais essayer de m'efforcer autant que possible de vous apporter réponses, peut-être en regroupant certaines réponses à des thématiques qui ont été abordées par plusieurs d'entre vous. Alors sur la vidéo surveillance algorithmique, beaucoup de questions dans la perspective des débats que vous avez en ce moment même pour prolonger l'expérimentation qui avait vu le jour au moment des j o 2 mille vingt-quatre dans la perspective des j o de 2030, ? donc des questions de monsieur Julien Rancoul, notamment une des questions de Philippe Gosselin, des questions également de monsieur Xavier Albertini, de monsieur Paul Molac. Voilà donc je vais essayer de m'efforcer de les de répondre de façon synthétique à vos différentes préoccupations. D'abord, je pense que la vidéo surveillance algorithmique, c'est quoi Il faut distinguer déjà la vidéo surveillance algorithmique en différé, c'est-à-dire la consultation d'images, notamment dans le cadre d'enquêtes judiciaires. Ça, c'est vraiment un sujet totalement différent.
C'est encadré. Voilà, ce n'est pas ce qui fait aujourd'hui, je pense, l'objet de vos débats.
Et puis cette couche algorithmique qui est faite pour identifier certains ? comportements, pour aider à la décision, notamment des forces l'ordre. Sur ce sujet, j'ai plusieurs convictions. La première, c'est qu'il ne s'agit pas d'une technologie qui est anodine, même lorsqu'elle n'est pas couplée avec de la reconnaissance faciale, Parce que par nature, la caméra a augmenté, qu'elle soit sur des pylônes, qu'elle soit sur des drones, même si en réalité, elle a peu été utilisée ou pas, a été utilisée d'ailleurs sur des drones, je crois, dans l'expérimentation j o 2024. Elle amène un changement de degré dans la surveillance parce que cette surveillance, elle est permanente vingt-quatre heures sur vingt-quatre en temps réel et elle est en quelque sorte, elle se prévaut dans l'esprit peut être public, un peu généralement d'une espèce d'infaillibilité supposée, alors même qu'on voit au regard du bilan d'ailleurs de qui ont été faits qu'il y a.
Mais il faut différencier selon les cas d'usage des faux positifs, ? parfois entre 50 et soixante-dix pour 100 pour des cas d'usage, notamment liés à la détection d'armes par exemple, ou je crois à quelqu'un qui tombe ou quelque chose comme ça ou de feu, voilà.
Et à l'inverse beaucoup moins et il y des usages qui sont beaucoup plus enfin dont pour lesquels l'utilisation de la vidéo surveillance algorithmique a montré qu'elle était plus fiable lorsqu'elle a été déployée pour les idiots.
Je pense notamment à 2 cas d'usage qui sont les franchissements de zones interdites et puis les véhicules qui arrivent en sens inverse.
Donc quelqu'un m'a interrogé aussi sur ce que je pensais du bilan de l'expérimentation et de la commission vigoureux.
D'abord sur le principe, je me réjouis que si j'ose dire, parce que ce n'est pas très courant, n'ose pas dire pour une fois, en tout cas, c'est une des rares fois où il y a une vraie évaluation parce que souvent on nous dit on fait une expérimentation, vous allez voir, on va évaluer, on reçoit un bilan d'une page et demi et puis c'est un peu la porte ouverte à la généralisation après.
Là, je dois dire qu'il y a eu une vraie, une vraie évaluation avec un comité indépendant.
D'ailleurs, la CNIL a désigné 2 personnes au sein de ce comité et c'est ce qui permet d'affiner la réflexion en fonction des cas d'usage dans un cadre assez particulier pour les j o dans la mesure où il y avait beaucoup de forces de l'ordre qui étaient présentes, ce qui peut atténuer en quelque sorte l'intérêt aussi de cette expérimentation. Est-ce qu'il y quelque chose à avoir en tête par rapport au débat sur une éventuelle généralisation à un moment qui sont plus portés dans le cadre du PJL sur la sécurité intérieure, mais dont on ne connaît pas les contours aujourd'hui. Donc il ne s'agit pas d'une technologie anodine parce que ce changement de degré, ça conduit à un changement de nature la surveillance parce qu'il n'y a plus de limites potentielles à la surveillance puisque elle ne dépend pas du nombre de perdus qui regardent des caméras puisque vous avez une alerte pour l'aide à la décision.
Il n'y plus de limite humaine. La deuxième, j'ai un peu abordé ma deuxième conviction, c'est qu'il faut pas verser dans le solutionnisme technologique. La caméra augmentée par elle-même ne résout pas les difficultés qu'elle identifie. Et voilà, je crois qu'il faut de façon très posée regarder les cas dans lesquels ça fonctionne, les cas dans lesquels ça fonctionne.
Moi j'en ai cité quelques-uns et je dirais aussi avec la casquette qui est la mienne sur la protection de la vie privée, sachant que nous à la CNIL finalement et c'est ça tout l'intérêt et la beauté si j'ose dire de nos actions de régulation avec le collège et les agents, c'est que nous essayons toujours de concilier des objectifs qui sont chacun légitimes.
La sécurité publique, c'est un objectif tout à fait légitime naturellement, la protection de la vie privée aussi.
Donc c'est où mettre le curseur C'est un terme qui a déjà été employé dans le cadre questions.
Comment concilier ces exigences C'est la même chose si je peux me permettre sur la question pour la fraude.
Comment concilier des objectifs qui sont d'ailleurs de valeur constitutionnelle tous les 2, la fraude, la lutte contre la fraude, la protection de la vie privée, et caetera.
Donc c'est vraiment ce à quoi nous nous attelons. Et je constate que dans les traitements qui ont été faits pour les j o, il y des traitements de données qui sont moins intrusifs que d'autres sur les 8 cas d'usage.
Quand on cherche par exemple, à mesurer la densité ou les mouvements de foule, par définition, les conséquences potentielles, ce n'est pas d'aller chercher un individu en fonction de ce qu'on a vu sur une caméra, c'est plus pour une aide à la décision collective, faire bouger les gens, les mettre ailleurs, trouver des sorties, et caetera.
Et ça, c'est moins intrusif.
Je trouve que ça pose moins de problèmes en termes de protection des données.
Donc, je trouve que sur ces débats, il faut sortir du côté un peu binaire.
On est pour, on est contre, c'est noir, c'est blanc, et caetera.
Mais poser les faits sur la table.
Il y eu une évaluation sérieuse, indépendante. Tirons en les conséquences pour essayer de concilier les 2 objectifs que je citais.
Ensuite, la CNIL depuis le début, la CNIL a dès 2 mille dix-neuf, quand elle a fait un document sur la reconnaissance faciale et dès 2 mille vingt-deux, quand de façon très anticipée par rapport aux 2 mille vingt-quatre, elle a exprimé justement une position publique sur la la vidéo surveillance algorithmique, appelée au débat et rappeler que c'était vraiment au législateur de fixer le cadre de de cette technologie, sachant avec les garanties appropriées.
Et pour nous, ces garanties, d'abord il y avait une garantie dans l'expérimentation justement parce que ça supposait un bilan et qu'il y ait un débat après ces jeux.
Il y a naturellement, c'est l'éléphant dans la pièce, le fait qu'il n'y ait pas de reconnaissance faciale, qu'on ne puisse pas identifier les personnes.
Il s'agit de détecter des comportements pour aider à la décision.
Il ne s'agit pas de prendre la décision non plus à la place des forces de l'ordre.
Et c'est d'autant plus important qu'on voit qu'entre les faux négatifs qu'on détecte pas et les faux positifs qu'on sur détecte, C'est quand même très bien qu'il y ait une analyse humaine, qu'il n'y ait pas de captation sonore notamment.
Enfin, il y avait d'autres garanties dans la loi de 2 mille vingt-trois, 2 mille vingt-trois sur les j o, l'article 10 de mémoire.
Et cette position de la CNIL qui appelle à ce qu'il ait des garanties, si je peux me permettre, elle est adossée aussi à la jurisprudence constitutionnelle et à l'analyse du Conseil d'État.
Donc on ne tire pas de notre chapeau.
Naturellement, on a une expertise sur ces sujets. On est là pour rappeler et rappeler la nécessité de ces garanties pour trouver le bon curseur.
Mais en plus, ça correspond à l'état du droit Et nous serons attentifs dans le texte sur la sécurité du quotidien, mais dont on ne connaît pas les contours du tout à l'enjeu de la généralisation, si j'ai bien compris, la vidéo surveillance algorithmique dans des centres de supervision urbains pour l'ensemble ou pour en tout cas un certain nombre de communes qui est un enjeu différent naturellement de celui d'une expérimentation ? dans le cadre d'un événement précis et nous serons particulièrement attentifs sur les questions, les principes que nous regardons quand nous analysons un traitement de données qui est le principe de nécessité.
Est-ce que c'est bien nécessaire pour quelqu'un d'usage, et caetera, et de proportionnalité notamment et compte tenu du changement éventuel significatif de périmètre, quelles sont les garanties appropriées Alors je regarde si sur la VSA, il y avait naturellement des questions plus précises.
Alors monsieur Julien Rancoul a posé une question sur les caméras piétons.
Donc les caméras individuelles, elles sont déjà largement déployées, comme vous le savez, par la police, la gendarmerie, les gardes champêtres à chaque fois d'ailleurs ça fait l'objet d'un avis de la CNIL sur le texte qui le prévoit, les agents de la sécurité de la SNCF et de la RATP, la CNIL ne remet pas en cause dans ses avis les finalités poursuivies par ses caméras, la prévention des infractions, la collecte des preuves.
Naturellement, ça peut même avoir pour effet de faire baisser la tension dans un certain nombre cas, bien entendu.
Mais les exigences de la CNIL, elles portent sur la doctrine d'emploi pour prévoir les conditions de déclenchement de ces enregistrements sur l'information des personnes.
C'est très important pour nous qu'il y ait un signal visuel pour que les gens sachent qu'ils sont enregistrés. Et puis il y a des droits en aval naturellement.
On est aussi très attentif à l'accès aux données et à la durée de conservation des données, qu'il y ait peu de personnes qui y accèdent, qu'elles ne soient pas conservées trop longtemps. Et sur l'extension éventuelle, il faut y réfléchir au cas par cas en essayant d'éviter qu'il y arrive de banalisation quand même de cette forme de surveillance. Je je regarde si sur la v ça, il y avait des questions plus précises. Je je reviens sur votre question plus précise Effectivement, alors sur les des signataires, nous-mêmes, nous avons déjà fait beaucoup de rapports parce qu'on on a dû faire un un des rapports trimestriels, en tout cas au, enfin en tout cas, on a fait des rapports, me semble-t-il.
Non, je confonds avec la crise covid en fait sur laquelle on a beaucoup fait de rapports.
Alors sur sur sur les rapports, il me semble qu'on a reçu des rapports. Combien ? Ça, je ne saurais pas vous le dire, mais c'est une question sur laquelle je peux vous écrire une deuxième fois.
En tout cas, merci d'avoir signalé que j'avais répondu à votre première sollicitation. La deuxième, votre deuxième question, c'était donc, excusez-moi madame la députée.

Et il y avait le fait que vous soyez vous informés tous les 3 mois, ça vous venez de dire que vous n'étiez plus certaine que ça avait été le cas et l'information au public.

Oui, alors sur, donc sur sur le caractère rigoureux de l'évaluation, je je pense qu'il a été rigoureux et sur le caractère pluridisciplinaire, nous nous sommes attachés par exemple à avoir des représentants qui soient des scientifiques ou des juristes et enfin experts de de ces sujets.
Donc ça, je crois que c'est le cas sur l'information. J'ai lu notamment dans un certain nombre de rapports, y compris une mission d'information du Sénat, que l'information était perfectible parce qu'elle était, elle n'était pas, elle était individuellement pas nécessairement très compréhensive, pédagogique, visible, et caetera.
Donc ça, c'est un point naturellement qu'il faut vérifier. J'ajoute que la CNIL, au-delà d'avoir prononcé cet avis en amont des traitements de données qui ont été mis en oeuvre sur les J0A reçu une vingtaine de plaintes, a réalisé une dizaine de contrôles, notamment sur l'accès aux sites.
4 qui ont porté sur les sujets, vous savez, de QR code, d'accès à des sites qui étaient sécurisés par la preuve d'un QR code qui permettait aux gens de rentrer dans ces zones sécurisées. 6 sur la vidéo surveillance algorithmique, à la fois sur des traitements de données mis en oeuvre par le ministère de l'intérieur, mais aussi auprès des opérateurs de transport public, indépendamment du fait que nous avions été voir les tout débuts de la mise en oeuvre de ces de la vidéo sur l'algorithme, mais de façon très encore plus expérimentale, si j'ose dire, à l'occasion du tournoi de Roland-Garros et d'un concert qui avait eu lieu à Bercy. Et nous avons, en plus de ces 6 contrôles, réalisé 3 contrôles et nous n'avons pas trouvé de manquement dans le traitement de ces données qui étaient conformes aux préconisations qui étaient celles de la loi, c'est-à-dire pas de détournement de cas d'usage. Les données, la vidéo surveillance algorithmique n'était pas utilisée pour des usages autres que les 8 cas qui avaient été prévus par la loi.
Les données étaient bien supprimées quand il le fallait, les questions d'habilitation, d'accès, et caetera.
Donc de ce point de vue là, le bilan était ? satisfaisant. Alors sur la vidéo surveillance algorithmique, j'ai l'impression d'avoir répondu si ce n'est pas le cas, naturellement, vous n'hésiterez pas à me à me le dire. Alors après donc sur sur les caméras piétons, j'ai répondu aussi.
Alors après, il y avait des sujets liés à enfin les questions portant sur l'IA de monsieur Casbarian, de madame Garamoy, notamment et peut-être d'autres. Alors sur l'IA, qui fait quoi Alors c'est vrai que quand on regarde, vous savez en réunissant les agents de la CNIL il y a quelques mois, j'aurais projeté ? la feuille effectivement, donc vous avez dû avoir connaissance qui permet de savoir qui fait quoi. Ça ne me paraît pas, cela dit, une fois le choc absorbé pour essayer de comprendre effectivement ce graphique diffusé par notamment la direction générale des entreprises qui travaille beaucoup sur ces sujets et en très bonne concertation avec nous en ce qui nous concerne. Ce n'est pas tout à fait étonnant non plus parce qu'en matière de surveillance des marchés, comme c'est aussi une régulation produit en quelque sorte, de même qu'il y a un régulateur faut qu'il y ait un régulateur qui regarde, qu'il y ait plusieurs régulateurs. Alors la CNIL, elle, a une compétence, indépendamment du fait qu'elle ait une autorité de droit fondamentale et qu'elle se coordonne avec les autres, le défenseur des droits et d'autres, l'Arcom par exemple. On doit veiller à ce que les systèmes qui sont interdits par le règlement sur l'intelligence artificielle, notamment la notation sociale, l'analyse des émotions, sauf dans certains cas précis de recherches médicales et autres, n'aient pas lieu.
Donc ça, naturellement, nous nous y attelons et ça, c'est déjà en vigueur.
Et puis, il y a la surveillance des marchés dits à haut risque et qui décline une approche sectorielle.
Et c'est la raison pour laquelle il y a potentiellement plusieurs autorités qui sont impliquées.
Et la CNIL devrait être, si le Parlement suit les préconisations du gouvernement, donc l'autorité de surveillance de marché pour la plus grande partie de ces secteurs interdits de ces secteurs à haut risque.
Alors soit seul, soit en lien avec, par exemple, la direction générale de la consommation et de la répression des fraudes sur des sujets qui peuvent être liés au secteur du travail, soit avec l'Arcom sur la surveillance des processus démocratiques, par exemple, il y élections, par exemple. Et puis, il y a des instances de coordination aussi qui sont prévues. Donc, surtout sur une régulation qui touche tous les secteurs d'activité, ? qui est aussi systémique, ça ne paraît pas anormal qu'il y ait plusieurs régulateurs et la CNIL est heureuse, tout cas compte tenu des enjeux éthiques, notamment du déploiement de ces technologies, ? de pouvoir continuer à accompagner les secteurs.
La philosophie du collège de la CNIL, je crois que aviez aussi une question sur l'innovation, ce n'est pas du tout de freiner cette innovation, bien au contraire, mais c'est de l'accompagner avec toutes les garanties qui soient ? nécessaires. Et tout ça passe par la sensibilisation, la formation des salariés.
J'ai parlé de l'IA de l'ombre, le fait qu'il y a voilà une entreprise, administration peut voir ces données divulguées parce qu'un de ses salariés, un de ses agents a utilisé un agent d'IA dont il ne s'est pas assuré de la sécurité. Et comment la CNIL assure son rôle La CNIL assure son rôle d'abord dans l'accompagnement, on a un certain nombre d'ingénieurs qui sont des spécialistes de l'IA.
J'ai créé un service de l'intelligence artificielle il y a 3 ans. D'ailleurs le parlement lui-même on parlait de vidéosurveillance algorithmique après tous ces 2, ces des algorithmes nous avaient demandé d'accompagner les fournisseurs d'algorithme pour les j o avant que le ministère de l'intérieur lui même les sélectionne.
On avait mis dans le camp, les mains dans le cambouis, on avait soulevé les capots, on avait regardé comment ça fonctionnait.
On a une expertise sur ce sujet, on a accompagné des acteurs français comme parfois leur nom ne le dit pas, qui est de l'IA en open source, Donc on a une expertise sur l'IA et puis on est en train de s'organiser avec les moyens qui sont les nôtres pour assurer notre rôle.
Donc à ce stade, avec une approche graduée par les risques, vous avez évoqué un risque de surtransposition, je ne le vois pas du tout aujourd'hui et encore une fois, c'est ce que je disais peut-être dans une réponse à une des questions du président, je ne crois pas du tout que la réglementation européenne sur l'IA et l'articulation qui doit en être fait avec le RGPD qui continue à s'appliquer soit la source d'un retard du développement de l'intelligence artificielle.
Je pense qu'il y bien d'autres facteurs qui pourraient être explorés pour expliquer cet état de fait.
Alors madame Caramonli mettait l'accent sur la concentration par des géants privés et aborder les questions de souveraineté numérique.
C'est vrai que c'est une question essentielle puisque on voit que maintenant très largement à travers les services des très grandes plateformes numériques que se décline en quelque sorte l'accès à l'IA. Donc c'est tout l'enjeu de l'analyse de nos dépendances technologiques. Il y en a nécessairement, mais lesquels sommes nous prêtes à accepter auprès de quel acteur Dans quelle proportion Je crois que le contexte géopolitique aide maintenant davantage qu'il y a 2 ou 3 ans à valoriser le discours qu'a toujours tenu la CNIL sur ces sujets, sur ces enjeux.
Ce qui est un autre point aussi pour les entreprises, c'est que les administrations, c'est qu'elles deviennent très facilement captives en réalité de ces acteurs étrangers parce que c'est difficile de sortir des contrats qui sont passés, parce qu'il y a des questions de coûts qui augmentent de façon captive souvent.
Donc, c'est vraiment une réflexion générale qui nous inspire sur tous les pans notre activité. Regardez, par exemple, vous connaissez bien la commission des affaires sociales pour avoir été auditionné par vous à un moment une fois le rôle qu'a joué la CNIL sur le fait que les données de santé des français par exemple ne devaient pas être hébergées via la plateforme nationale des données de santé par un hébergeur qui était extra européen et auquel a accès, compte tenu des lois américaines, ? potentiellement les services de renseignement d'un État étranger. Donc ça, c'est un sujet qui nous occupe beaucoup. Vous aviez posé aussi une question, je crois, sur omnibus. Alors omnibus, pour ceux d'entre vous qui n'en seraient pas totalement familiers, ce sont les textes, ce qui n'est pas intuitif, de choc de simplification si on essaye de comprendre ce qu'est un omnibus de choc de simplification de l'Union européenne. Il y en a un qui est en cours sur l'intelligence artificielle, l'autre qui concerne plusieurs textes, dont le RGPD.
Je crois qu'il y une autre députée qui m'a interrogé également sur le sujet.
Alors on comprend le souci d'ajuster des textes et après tout le RGPD à 7 8 ans, c'est l'âge de raison en quelque sorte, on peut se poser la question de savoir ce qui peut être amélioré ou pas donc nous on n'a pas d'hostilité de principe à une démarche de simplification et on peut se dire que compte tenu de la multiplication des textes européens notamment dans le numérique il faut peut-être voir si voilà, il y a une bonne articulation, si ces textes sont lisibles pour les citoyens, les administrations, les entreprises. Et d'ailleurs, je constate qu'il y a déjà eu un texte dit omnibus qui a supprimé pour les entreprises, je crois, moins de 750 salariés, l'obligation qui était de tenir un registre des traitements de données. Ce qui peut se comprendre et en même temps, quand même savoir quelles sont les données que vous traitez, c'est un peu la base de l'hygiène numérique. Voilà, donc on peut espérer quand même qu'un certain nombre d'acteurs qui traitent des données continuent à se poser ces questions. Donc on n'a d'hostilité de principe mais ceci étant dit on est en train d'examiner ces projets et le collectif européen des CNIL, le comité européen de la protection des données rendra un avis en début d'année prochaine sur ces textes et c'est à cette occasion que la CNIL fera valoir ces points d'alerte, ces éventuelles lignes rouges.
C'est un sujet sur lequel on doit d'ailleurs discuter avec le collège de la CNIL et dix-huit membres du collège de la CNIL dès demain.
Cela dit, je crois qu'il faudrait quand même se garder de 3 écueils dans plusieurs écueils dans l'analyse enfin en tout cas dans l'adoption de ces textes.
Le premier écueil, c'est qu'il faut quand même veiller à ne pas se renier parce que ça n'est pas parce que certains pays extra européens et de grandes entreprises en formule des critiques véhémentes sur la régulation européenne qu'il faut, je sais, ce n'est probablement pas le bon terme, mais en tout cas la détricoter en partie comme si par magie, ça allait faire apparaître des des champions européens. Et et et au contraire, les actions de régulation, elles sont souvent conçues pour préserver les choix des des utilisateurs pour ce qu'on a fait par exemple sur la régulation sur les cookies, tout ce qui atténue ça limite les capacités qu'ont les individus de contrôler leurs données et renforce de facto les très grands acteurs du numérique. Donc je pense encore une fois que les véritables leviers sont ailleurs. Et pour vous donner quand même sur sur le RGPD une idée des des sanctions prononcées par l'ensemble des européennes depuis 7 ans, c'est 5,6 1 milliard d'euros de sanctions sur le seul fondement du RGPD et des avec des injonctions parce que le but, ce n'est pas simplement amendes, c'est que les traitements changent et des vraies actions.
Par exemple, quand meta utilise les données sur certains des services que vous utilisez pour entraîner son IA, Si elle vous a proposé un formulaire d'opposition et si vous en avez été informé, c'est après un bras de fer pour dire les choses et à renfort de beaucoup d'encarts publicitaires dans les médias pour dire qu'elle allait priver l'Europe entière de ses services d'IA parce que le RGPD, parce que ceci, parce que cela, finalement un marché de quatre-cent-cinquante 1 million de consommateurs qui je crois rapportent vingt-cinq pour 100 des revenus de l'ensemble des gafams est quand même attractif et je crois qu'il ne faut pas se priver de dire quelles sont les règles auxquelles nous tenons.
Je crois que ça, c'est une action emblématique, ça qui a protégé les utilisateurs. Je pense qu'il faut aussi veiller à ce que la régulation, elle soit prévisible parce que l'encre est à peine sèche d'un certain nombre de textes européens, qu'elle bouge à nouveau, notamment sur le règlement sur l'intelligence artificielle. Et je pense que le rôle d'un régulateur qui soit européen, national, nous à notre niveau d'autorité administrative indépendante, c'est de fixer un cap, de sécuriser le cadre juridique et je crois qu'il y beaucoup d'inconvénients à à avoir cette incertitude réglementaire et une régulation qui ne soit pas prévisible et nous je pense qu'on en parlera avec le collège de la CNIL plus avant encore, on sera très attentif parce que des notions cardinales du RGPD comme le périmètre des données personnelles, la notion même de données à caractère personnel et donc le champ d'application même du RGPD ne soit pas ne soit pas restreinte même s'il y une jurisprudence de la cour de justice de l'union européenne sur ce sujet, il ne faut pas, il faut veiller à ne pas extrapoler la portée de cet arrêt récent sous couvert de simplification. C'est la même chose sur la question du droit d'accès aux données qui peut être un irritant pour un certain nombre d'entreprises et qui peut être détourné.
Il peut y avoir des abus, mais il faut parler de la façon dont ces abus doivent être traités et là aussi, pas prendre, je pense, de décisions radicales.
Et je me permets de vous renvoyer pour ceux que ça intéresse, sur le caractère ténu, vous l'avez dit vous-même, qu'il y a entre simplification et dérégulation éventuelle, à un article intéressant d'une professeure de droit de Columbia qui s'appelle Anou Bradfort, très récent, dans un magazine cette semaine, qui est une experte de la géopolitique du numérique, qui montre à quel point l'effet Bruxelles, en quelque sorte le fait que ? par adhésion, un certain nombre de pays, notamment en matière de protection des données, ont pris des législations qui se conforment en quelque sorte, qui se rapprochent beaucoup du RGPD. L'effet Washington, qui n'est pas de qu'elle n'emploie pas elle même, qui consiste plutôt à imposer des changements dans cette régulation, mais pas par attractivité. Voilà, ne procède pas de la même, de la même essence ou de la même nature et crée un certain nombre d'incertitudes. Voilà ce que je pouvais dire, notamment sur omnibus, sur l'IA. Oui, donc j'ai répondu à ça, Martin. Sur le DSA, on a une convention tripartite, notamment avec l'Arcom et la DGCCRF pour, en ce qui nous concerne, regarder plus précisément les sujets de publicité en ligne de qui concerne notamment les mineurs, lutter ensemble aussi contre tout ce qui est interface trompeuse, ? et caetera.
On a une très belle action avec la DGCCRF notamment sur ce sujet.
Donc nous, on n'est pas la principale autorité compétente sur la base du DSA, c'est plutôt l'Arcom, mais on a des interactions et une vraie coordination entre nous. Alors Philippe Gosselin me parlait chiffrement.
Ça, c'est un sujet sur lequel je pense que j'avais répondu et sur indépendamment de la question sur l'intelligence artificielle, sur les mineurs et les réseaux sociaux, j'ai aussi essayé de répondre avec le prisme de la CNIL naturellement qui est celui plutôt de veiller à la protection des données dans le cadre de l'identification de l'âge des mineurs sur les réseaux sociaux.
À titre personnel, j'avoue que je fonde un certain nombre d'espoirs dans le ce qu'on appelle le wallet européen qui devrait être très largement un portefeuille d'identité numérique ? qui devrait être très largement ? diffusé, accessible à partir de la fin de l'année 2026 et qui permettrait de sélectionner un seul attribut de l'identité, c'est-à-dire l'âge par exemple, sans qu'on sache qui je suis.
C'est naturellement beaucoup plus protecteur de la vie privée que de demander une pièce d'identité qui est confiée ? sans sans parler des sujets d'autorité parentale, et caetera qui est confiée à une très grosse plateforme étrangère donc ça c'est ce sont naturellement des sujets auxquels nous nous intéressons tout particulièrement alors madame Amir Chahi je crois Monsieur pardon, je suis confus.
Monsieur Amir Chahi, relevait le fait qu'il pouvait y avoir un accès abusif de personnes à des fichiers régaliens notamment.
C'est un point très important. Effectivement, l'actualité récente l'a encore illustré et en tout cas, c'est vraiment une des rubriques qui est systématiquement ? abordée dans le cadre de tous nos avis publics sur lesquels le collège de la CNIL rend des avis lorsqu'il y a un fichier qui est créé, lorsqu'il y a un fichier qui est modifié et qu'on est consulté. Dans le cadre de nos contrôles aussi.
C'est systématiquement un sujet que nous regardons. Qui a accès aux fichiers A fortiori, les fichiers ? régaliens. On voit, je crois que se développer des actions de corruption, il faut le dire, sont certainement liées au narcotrafic et à d'autres sujets. Donc c'est, mais je pense que les autorités politiques, pour en avoir parlé avec les différents ministres concernés, sont particulièrement au fait de ces sujets particulièrement vigilants. Donc dans le cadre de nos contrôles, nous regardons ça également.
Nous avons le collège de la CNIL a aussi adopté et publié une recommandation sur ce qu'on appelle la journalisation, c'est-à-dire pouvoir repérer des extractions, notamment de données qui sont inhabituelles, qui sont anormales ? à des moments qui sont bizarres, qui doivent alerter en quelque sorte.
Donc, je crois que c'est vraiment l'ensemble de ces sujets en ce qui nous concerne, nos avis en amont et l'accompagnement que l'on peut rendre, les contrôles et des guides en quelque sorte de bonnes pratiques qui peuvent aider, mais dans une prise de conscience collective et de vigilance à détecter des usages atypiques.
Par exemple, au ministère de l'Indre, nous avons contrôlé l'année dernière, je crois, une vingtaine de traitements du ministère de l'intérieur.
Nous avons des contrôles qui sont en cours dans l'administration pénitentiaire, sur les fichiers de l'administration pénitentiaire. Donc c'est typiquement effectivement le sujet, un sujet qui nous paraît très important. Voilà alors il a eu un certain nombre de questions sur les violations de données. Monsieur là je vais pas dire madame monsieur Martinot avec des vous interrogez sur le rôle de la CNIL en la matière. Donc effectivement, nous ce qui nous a préoccupé l'année dernière, c'est de constater indépendamment de l'augmentation du nombre de violations de données plus 20 %, ça a été dit qu'ils nous ont été notifiés.
Le fait qu'il y a eu un doublement des violations de données de plus d'un 1 million de personnes en quelque sorte, ce qui fait que la plupart d'entre nous avons des données en réalité personnelles qui peuvent être croisées par des cybercriminels. Et c'est la voie des tentatives de hameçonnage, d'usurpation d'identité, sans compter pour les entreprises, le risque de devoir cesser leur activité.
On l'a vu avec Jaguar en Angleterre et avec toute la kyrielle de sous-traitant à quel point ça peut être très pénalisant y compris pour l'économie.
On a beaucoup d'exemples parlant Air France, France Travail, des fédérations françaises de sport, des logiciels concernant des laboratoires médicaux des médecins et caetera.
Avec des répercussions concrètes fortes, on l'a vu pour la fédération française de dire des cambriolages à la suite de la violation de ces données qui sont probablement liées pour récupérer des armes à ce type de violation.
Donc il ne vraiment pas minimiser les conséquences de ces sujets.
D'ailleurs, le sujet de la cybersécurité, c'est un des axes stratégiques de la Cnip 2 mille vingt-cinq, 2 mille vingt-trois.
Alors nous agissons à la fois en amont. Par exemple, nous avons suite à ce constat du doublement des violations en 2 mille vingt-quatre concernant des grosses bases de données imposées à partir du premier janvier dans quelques jours, une authentification multifacteurs, ce n'est pas simplement le mot de passe qui a été compromis et qui permet d'accéder à tout pour les accès à distance des grandes bases de données de plus d'un 1 million de personnes parce qu'on n'a pas tiré toutes les conséquences de l'essor du télétravail et du fait qu'un salarié d'un opérateur téléphonique ou d'un opérateur de grande distribution, et caetera peut accéder à distance ou un sous traitant ou un prestataire à toute une base de données.
Donc avec l'authentification multifacteurs, comme quand vous interagissez avec votre banque via une application bancaire, ça doit limiter les choses.
Tout ceci lié à des actions de sensibilisation et de formation qui sont très importantes parce que l'une d'entre vous dit qu'il y avait beaucoup de failles humaines.
Et nous, on pense que 80 % des grandes violations de 2024 auraient pu être évitées s'il y avait eu une authentification multifacteurs couplée avec de la journalisation et de la sensibilisation et de la formation des salariés.
Donc non seulement nous agissons en amont avec ces recommandations, avec un guide que nous publions chaque année qui est actualisé de l'état de la menace, avec des avis, des conseils, des recommandations sur les mots de passe, mais et toutes les interactions que nous avons avec l'écosystème de la cyber sécurité. Mais nous agissons aussi pendant les les violations puisque nous apportons des conseils de premier niveau aux personnes, aux sociétés, aux administrations qui nous notifie une violation de données, en tout cas pour celles qui ne sont pas en lien avec l'ANSSI puisque nous avons un rôle très complémentaire de l'ANSSI puisque nous nous intéressons à tous les responsables de traitement de données, alors que l'ANSSI avec l'expertise qui est la sienne et ses moyens naturellement comme vous le savez se concentrent sur les acteurs ou les secteurs les plus importants et nous voyons avec ces acteurs qui nous notifie des données si et comment ils doivent informer les personnes.
En fait, c'est pour ça que vous recevez aussi des informations de tel ou tel acteur.
C'est parce qu'il est passé par la case CNIL qui lui a dit mais là, il faut que vous informiez individuellement chaque personne dont les données ont été compromises pour attirer son attention sur la vigilance à avoir, pas aujourd'hui, demain et après-demain, mais pendant plusieurs semaines ou plusieurs mois sur les tentatives de hameçonnage, d'usurpation de l'identité dont vous pouvez avoir, que vous pouvez avoir et on transmet pour les grandes bases de données, les rançongiciels, ces informations aussi au parquet compétent, le cyber j 3 du tribunal judiciaire de Paris pour qu'il ait une bonne visibilité sur la menace.
Et après nous sanctionnons.
Nous avons mené en 2024 une cinquantaine de contrôles avec un prisme de cybersécurité et nous intensifions ces contrôles.
Il y 15 % des sanctions rendues par la CNIL qui comportent au moins un manquement à des obligations de sécurité. Et après naturellement tout ça prend un peu de temps parce qu'il y a un contradictoire enfin on n'est pas on fait du droit et on essaye de bien le faire et je peux vous dire que j'ai saisi la commission qui prononce les sanctions qui s'appelle la formation restreinte ? la CNIL de 6 cas importants et de 6 sanctions qui pourraient être rendues par la formation restreinte au cours du premier trimestre au cours du premier semestre deux-mille-vingt-six pour matérialiser le fait qu'un responsable de traitement insuffisamment diligent s'expose à de lourdes amendes et naturellement on travaille en étroite collaboration avec l'ANSSI et naturellement compte tenu du mouvement impulsé par les textes comme Nice 2 ou le PJL, résilience. Donc ça, c'est sur les violations de données. Il me semble que j'ai eu des questions sur la fraude aussi, la fraude sociale, madame Monique Grizetti. Alors bon, naturellement, on cherche à concilier là aussi l'objectif de lutte contre la fraude qui est totalement légitime, la fraude fiscale, la fraude sociale avec la protection de la vie privée.
Et la lutte contre la fraude, c'est un objectif de valeur constitutionnelle. Alors nous avons rendu des avis à de nombreuses reprises sur des sujets qui concernent les fraudes et à chaque fois, on n'a pas des postures de principe, mais on regarde au cas par cas ce qu'il en est en déclinant 4 principes cardinaux, savoir s'il y des finalités précises pour lutter contre la fraude, nous assurer qu'il y a une minimisation des données qui sont collectées, que ces données sont exactes, qu'elles sont pertinentes et on s'assure des questions de sécurité.
Et le grand point de vigilance pour nous dans la lutte contre la fraude, que ce soit dans le cadre des contrôles qu'on fait auprès des traitements de la DGFIP notamment, puisqu'elle a certains traitements automatisés pour détecter non pas pour décider du contrôle fiscal lui-même, mais pour sélectionner un certain nombre de cas qui peut, je crois que c'est un fichier qui s'appelle CVR de mémoire ou des contrôles qu'on fait et qu'on a fait là, par exemple auprès de CNAF, c'est la question de la décision automatisée. Il ne faut pas, en tout cas au titre du RGPD, que la décision soit purement automatisée parce que ça peut entraîner des discriminations, des biais.
On l'a vu aux Pays-Bas avec un scandale qui a concerné des fraudes supposées aux prestations sociales qui en réalité, ? et on avait demandé aux personnes de les rembourser et c'était des personnes particulièrement vulnérables.
S'est avéré que les algorithmes étaient biaisés et ça a même contribué à la chute d'un gouvernement néerlandais il y a quelques années.
Donc on est très vigilant sur ces sujets et par ailleurs, au-delà des traitements nouveaux, l'enjeu, c'est de mettre en oeuvre les traitements existants avec des moyens suffisants et également. Donc ça, c'est sur la fraude. Alors l'impact territorial de la régulation du numérique est notamment le cas, c'est la question de Sophie Ricourt-Vanier, je crois.
J'espère ne pas avoir recherché nom sur les collectivités locales, les relations entre la CNIL et les collectivités territoriales. Donc la CNIL accompagne les collectivités territoriales dans le cadre de leur mise en conformité au RGPD, notamment sur les aspects cyber. On produit des contenus dédiés.
Par exemple, avons un cours en ligne, un MOOC comme on dit sur le RGPD qui a un module spécifique qui concerne les collectivités ? locales.
On entretient des liens privilégiés chez l'INBERITHY le sait bien, on a signé des partenariats avec l'association des maires de France, association des départements de France, association des régions de France et le réseau déclic qui regroupe plus de 7 mille communes. Et nos grands axes de collaboration sont concernent la sensibilisation des élus, l'accompagnement via des réponses à des demandes de conseil. On participe chaque année depuis quelques années au salon des maires où nous avons un stand.
C'est très important pour nous d'ailleurs de pour mieux capter aussi quelles sont les difficultés auxquelles sont confrontés les élus et les questions qui se posent pour bien adapter notre régulation. On a un service de l'accompagnement des délégués à la protection des données qui naturellement est particulièrement tourné vers les délégués des collectivités locales et pour les plus petites d'entre elles qui peuvent mutualiser ces délégués avec des structures plus importantes.
Et pour les prochaines années, les priorités identifiées concernent l'intelligence artificielle, la cybersécurité, bien entendu, et la circulation des données, les partages des données, notamment entre les collectivités et les administrations. Et le fait maintenant de nous déplacer en région depuis quelques années systématiquement permet de nourrir ces liens plus particuliers avec les élus locaux. Voilà ce que je pouvais vous dire. Alors sur il y avait une question sur les lapis je crois donc sur les lapis d'ailleurs la CNA été auditionné dans le cadre d'une d'une PPL d'une proposition de loi au sénat élargit, je crois, le périmètre des infractions.
Donc le LAPI, c'est la lecture automatisée des plaques d'immatriculation, comme vous le savez, qui désigne tout algorithme, en fait, qui permet en fait de lire ces ces plaques à la fois pour la prévention et la répression des infractions et à la fois pour le contrôle stationnement ou pour vérifier que le respect des règles de circulation. Alors en ce qui concerne la prévention et la répression de certaines de certaines infractions, infractions. D'ailleurs, nous avons publié sur notre site, c'est très compliqué, c'est sujet de lecture de plaques d'immatriculation, c'est vrai, est-ce qu'on doit de faire les collectivités locales, ce qu'elles ne peuvent pas faire, et caetera.
On a publié sur notre site en juin dernier une fiche qui récapitule tout ça et qui dit que oui, les collectivités peuvent financer ces dispositifs, donc à des fins de répression ou de prévention d'infraction, mais via des conventions de prestations de matériel passé avec le ministère de l'intérieur, sachant qu'aucune opération de traitement de données au bénéfice de la collectivité ne doit être ne doit être réalisée et qu'aucun accès aux données du dispositif LAPI par la police municipale ne doit être permis.
Et puis il y a l'utilisation du LAPI par pour le contrôle du stationnement payant. Et là, la CNIL admet la collecte de plusieurs données dont les numéros d'immatriculation, l'eurodatage, la géolocalisation des véhicules et les communes peuvent d'ailleurs prendre des décisions pour prendre des délibérations de leur conseil municipal pour écarter le droit d'opposition, sachant que nous nous focalisons aussi sur nécessité d'une politique d'information suffisante sur la mise en oeuvre de ces traitements et le fait que les personnes doivent avoir un droit d'accès et de rectification de leurs données. Je regarde s'il y avait d'autres sujets. La violation du ministère de l'intérieur dont j'en ai parlé, s'agissant du fichier TAJ, le traitement des antécédents judiciaires où c'est un fichier où il y a dix-sept 1 million de personnes auteurs d'infraction, le fichier d'enquête pénale et et encore plus de personnes victimes. Je me permets de préciser que la CNIL a enfin la formation, la commission des sanctions de la CNIL, la formation restreinte a prononcé un rappel à l'ordre il y a un an, avec une injonction de mettre de mettre à jour ce traitement exactement d'ici un an.
Comme c'est un traitement très très lourd, notamment en ce qui concerne l'exactitude des données puisque ce dont on s'est aperçu en faisant un contrôle, c'est que les relax par exemple ou les décisions de l'institution judiciaire n'étaient pas suffisamment répercutées, mises à jour par le ministère de l'intérieur qui est le responsable de traitement de ces de ce fichier, mais qui dépend aussi de l'autorité judiciaire et de la chancellerie pour le mettre à jour.
Et donc ce rappel alors pour la première fois, il a été adressé aux 2 ministères puisqu'on a considéré que la chancellerie était de ce fait également concernée.
Et nous venons d'adresser un courrier d'ailleurs il y a quelques semaines à la chancellerie notamment pour lui indiquer qu'il fallait que les systèmes d'information alors l'idéal ça serait qu'il soit automatisé en tout cas d'ici un an et réellement améliorer la situation. Le rappel à l'ordre concernait aussi l'information des personnes et j'ai déjà dit aux 2 ministères concernés que la CNIL contrôlera à nouveau le respect des conditions édictées dans ce rappel à l'ordre dès que la période pour cette mise à jour aura échue, c'est-à-dire dans une année environ. Voilà, alors est-ce que j'ai alors sur le répertoire électoral unique, j'avoue que nous sommes très alors d'abord parce que c'est arrivé à 2 ou 3 reprises dans les questions, vous avez évoqué des croisements de fichiers, et caetera.
Il y a une idée qui circule que la CNIL est absolument opposée à l'interconnexion des fichiers, alors interconnexion mise en relation, enfin ça ne veut pas dire exactement la même chose nécessairement, mais ça n'est pas une position de principe ou une posture.
On regarde à chaque fois qui est faisable et il y a des tas de fichiers qui peuvent être mis en relation sous réserve d'un ? certain nombre de garanties.
Et je comprends votre souci sur l'automatisation en quelque sorte du fichier électoral.
J'avoue que je n'ai pas d'éléments particuliers sur le répertoire électoral unique.
Donc ça, on pourra peut-être venir vers vous si si si vous le voulez bien, monsieur Léaumont si enfin dès que nous aurons pu le faire, sachant que la CNIL s'intéresse beaucoup au sujet des élections à chaque échéance électorale nous mettons en place un observatoire des élections qui nous permet de remonter notamment des signalements des plaintes qui concernent notamment la politique par SMS ou par appels téléphoniques avec un certain nombre de citoyens qui se plaignent. Alors ça arrive d'ailleurs beaucoup les week-ends qui précèdent les scrutins d'ailleurs, on a une espèce de massification des appels ou des SMS.
On a réuni récemment avec la membre du collège concerné les responsables des principaux partis politiques pour appeler leur attention sur la mise en œuvre du règlement européen sur la transparence de la vie politique qui, en ce qui concerne nos sujets, prévoit maintenant qu'il n'y ait pas de collecte indirecte des données des personnes à qui on adresse de la communication politique.
Donc, faut une collecte directe qui, et ça, c'est un vrai changement, demande le consentement de ces personnes et plus seulement une possibilité d'opposition quand vous avez déjà reçu en quelque sorte une communication politique, l'interdiction des données de collecte des données des mineurs de moins de 17 ans et un certain nombre de sujets de ce type.
Quand nous étions au salon des maires, nous avons d'ailleurs publié et distribué très largement une plaquette sur les élections et nous essayons d'être très réactifs quand nous voyons des manquements, même des sanctions qui ont été prises encore récemment.
On a fait une publication de plusieurs sanctions dans le cadre de cette procédure simplifiée que j'évoquais, qui sont donc des sanctions anonymes, mais qui concernent pour des et qui peut aller jusqu'à 20 mille euros potentiellement un certain nombre d'acteurs politiques pour lesquels on a constaté des manquements j'ai l'impression monsieur le président en nous approchant en plus de l'heure du déjeuner d'avoir essayé de répondre à la plupart des questions.

Mais Madame la présidente, l'heure du déjeuner n'est jamais pour nous une frontière. Nous sommes habitués en commission des lois à la franchir et chaque semaine. Vous remercie beaucoup madame la présidente pour la précision de vos réponses aux différentes questions qui ont été apportées.
Nous allons suspendre quand nous avons une commission dite à l'article quatre-vingt-huit immédiatement après votre audition.
Encore merci madame la présidente.