Questionner l'indépendance des régulateurs, entretien avec Joséphine Bertrand

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité française chargée de veiller au respect de la réglementation relative à la protection des données personnelles. Il s’agit d’un régulateur précurseur et emblématique : la notion même d’autorité administrative indépendante (AAI) naît en même temps que cette institution. Son indépendance repose en grande partie sur son organisation collégiale : les dix-huit commissaires - un effectif conséquent pour le collège d’une AAI - sont désignés par diverses autorités selon certaines modalités fixées par la loi. Avant les années 2000, ces commissaires étaient majoritairement issus de la haute fonction publique et du monde politique. Toutefois, au cours des vingt dernières années, l’institution s’est diversifiée, avec la nomination d’experts du numérique et d’un plus grand nombre de femmes. Cette évolution est le reflet de l’essor d’Internet et du commerce électronique, qui ont élargi les missions de la CNIL et renforcé la nécessité de démontrer la légitimité de son action. Certains changements récents, comme la modification du mode de désignation du président de l’autorité, ont néanmoins contribué à rapprocher le collège du pouvoir exécutif et donc à fragiliser son indépendance.

L’indépendance du régulateur est en réalité étroitement liée à son expertise : certains membres du collège sont susceptibles de s’exposer à des influences extérieures en ne maîtrisant pas complètement les dossiers qu’ils traitent, du fait d’un manque de connaissances techniques et d’un manque de temps. Le mandat de commissaire nécessite en effet un investissement conséquent, parfois incompatible avec une vie professionnelle active. Le collège de la CNIL présente donc des garanties d’indépendance satisfaisantes mais perfectibles.

Quel est le contexte de création de la CNIL et pourquoi a-t-il été jugé nécessaire d'inventer un nouvel objet juridique, l'AAI ?

La CNIL voit le jour en 1978 dans un contexte politique particulier. Suite à la parution d’un article du Monde dénonçant l’atteinte aux libertés individuelles que représentait le projet d’attribuer un numéro unique à l’ensemble des personnes figurant dans les fichiers de l’administration - le projet “SAFARI” - le gouvernement de l’époque fit machine arrière et chargea une commission “Informatique et Libertés” de proposer un cadre juridique d’utilisation de l’informatique assurant la protection de la vie privée et des libertés individuelles. Cette commission, présidée par le vice-président du Conseil d'État, Bernard Chenot, rendit un rapport préconisant de créer une autorité indépendante : la CNIL était née.

Il restait encore à définir les modalités d’existence de cette entité. La CNIL est la première autorité administrative indépendante (AAI) française. Sans être alors clairement défini, ce terme fut employé pour la première fois en 1978 à l’occasion de l’examen de la loi Informatique et Libertés, qui créa la CNIL. Au regard du scandale que représentait le projet SAFARI, l’AAI fut d’abord pensée comme un contre-pouvoir. Cette notion d’indépendance est d’autant plus essentielle que dans les domaines touchant aux droits et libertés fondamentaux comme celui de la protection des données personnelles, l’État est réputé partial. Une AAI doit donc pouvoir prendre ses décisions en toute liberté et à l’abri de toutes instructions et pressions. L’indépendance d’une AAI doit également se donner à voir. Comme le résume le conseiller d’État Pierre Laroque, au lendemain de la polémique autour du projet SAFARI, « ce ne sont pas des problèmes techniques qui sont à résoudre, ce sont des problèmes d’opinion publique » (section de l’intérieur du Conseil d’État, rapport n°317 699 du 8 juillet 1976). La création des AAI répond donc également à un objectif politique, celui d’offrir à l’opinion publique une garantie d’impartialité des interventions de l’État, notamment dans les domaines touchant aux droits et libertés fondamentaux.

D’autres justifications, notamment la volonté de mobiliser au sein d’une structure unique et réactive des compétences adaptées à un secteur particulier, furent ensuite avancées par le Conseil d’Etat. Associer des professionnels à la détermination des règles applicables dans une matière technique renforce en effet la crédibilité de l’autorité chargée de faire appliquer ces règles. Indépendance, efficacité et expertise justifient donc historiquement la création des AAI.

Le centre de votre analyse est la question de l’expertise, question en effet centrale, puisqu’elle fonde la légitimité des AAI. Pouvez-vous nous expliquer la méthode que vous avez mise en place pour analyser cette expertise et les grandes conclusions auxquelles vous arrivez ?

L’expertise n’est pas aisée à définir, ni à mesurer. La constitution d’une base de données recensant l’ensemble des commissaires de la CNIL et intégrant certaines variables, notamment leur formation et leur profession, s’est révélée être un exercice incontournable pour mener à bien une telle analyse. Je me suis inspirée pour cela des modèles imaginés pour une étude sur le Conseil constitutionnel (Nicolas Bau et Liora Israël).

S’agissant du collège de la CNIL, j’ai choisi de distinguer deux types d’expertise : l’expertise informatique et l’expertise juridique. J’ai choisi de considérer comme des experts les commissaires ayant suivi une formation de niveau bac +5 ou exercé une activité professionnelle significative dans l’un de ces deux domaines. Il s’agit d’une définition volontairement large, qui permet toutefois de tirer d’ores et déjà certains enseignements.

De manière générale, le collège de la CNIL présente un haut niveau d’expertise juridique. Prenons le cas de la formation restreinte, créée en 2004. La formation restreinte est l’organe de la CNIL chargé de prononcer d’éventuelles sanctions à l’encontre des responsables de traitement et des sous-traitants ne respectant pas la réglementation relative à la protection des données personnelles. Depuis sa création, au moins deux tiers de ses membres sont des experts du droit. Ce n’est pas un résultat étonnant : les hauts fonctionnaires y sont surreprésentés. Puisqu’il s’agit de questions de droit, il apparaît cohérent que cet organe concentre en son sein une certaine expertise juridique.

En revanche, le collège de la CNIL ne compte quasiment aucun expert informatique en son sein entre 1978 et 2000, ce qui peut légitimement interpeller. Hormis de notables exceptions, rien dans le parcours des “personnalités qualifiées” siégeant sur cette période ne révèle une connaissance particulière de l’informatique ni des enjeux de protection des données personnelles. Pour faire leur choix, les autorités de nomination ont donc largement privilégié une dimension politique et interpersonnelle à l’expertise théoriquement requise par la loi. En plus de fragiliser la crédibilité et la légitimité du collège, cela crée donc un doute légitime quant à l’indépendance de ces commissaires.

Les années 2000 ont constitué un tournant pour la composition du collège. Dans le contexte du développement d’Internet et du commerce électronique, la CNIL a en effet cherché à démontrer son efficacité face à la multiplication de traitements de données. Cette quête de reconnaissance a imposé une refonte de son collège. Depuis dix ans, la majorité des personnalités qualifiées du collège sont ainsi expertes du numérique.

Il est donc possible d’affirmer qu’un nombre satisfaisant d’experts ont aujourd’hui trouvé leur place au sein du collège de la CNIL. Leur présence, même minoritaire, est de nature à garantir la qualité des délibérations.

Quelles conséquences voyez-vous au rapprochement de la présidence de la CNIL avec l'exécutif à la suite de l'évolution du mode de désignation du président de l'autorité ?

Le rôle du président d’une AAI est d’en diriger les services et d’en animer le collège. Du fait de son statut, il peut exercer une influence importante sur les autres commissaires. Le président de la CNIL dispose également de certains pouvoirs : au titre de l’article 20 de la loi Informatique et Libertés, par exemple, il peut prononcer une mise en demeure et des mesures correctrices à l’égard d’un responsable de traitement ou d’un sous-traitant ne respectant pas la réglementation relative à la protection des données personnelles. La fragilisation de l’indépendance du président de la commission est donc susceptible de porter atteinte à l’indépendance de l’activité du collège dans son ensemble. Or, son mode de désignation a effectivement changé.

Jusqu’en 2016, le président de la CNIL était élu par le collège. Une telle pratique était relativement singulière au sein du paysage des AAI. Elle contribuait à l’indépendance de l’autorité, en renforçant les prérogatives du collège. Elle ne laissait pas non plus la possibilité au président de la CNIL de se sentir enclin à rendre service à ceux auxquels il devait sa nomination. Dans le passé, certains présidents de la CNIL ont été élus par le collège face à des candidatures soutenues par l’exécutif. Il s’agissait donc d’une importante garantie d’indépendance.

Adopté en 2017 sous la présidence de François Hollande, le statut général des AAI a fait évoluer le mode de désignation du président de la CNIL. Ce dernier est désormais nommé par décret du président de la République parmi les membres du collège, un procédé devenu la norme pour les AAI. Cette évolution traduit la volonté de rapprocher la présidence de l’autorité du pouvoir exécutif. Certaines pressions émanant de l’exécutif à l’égard de présidents d’AAI ont été mises en lumière par Mediapart, sans toutefois que la CNIL ne soit citée dans les affaires concernées. Au-delà d’une influence directe, ce mode de désignation alimente une suspicion de partialité à l’égard de l’exécutif, ce qui fragilise la présidence du collège.

Ce changement institutionnel va donc à rebours des principes qui ont présidé à la création de la CNIL et, plus largement, des AAI. Il soulève des inquiétudes légitimes quant à la garantie d’impartialité des interventions de l’État et à la protection effective des droits et libertés fondamentaux.

Quelles sont vos observations s'agissant de la place des femmes au sein du collège ?

Les femmes se sont difficilement et tardivement fait une place au sein du collège. La parité n’a été atteinte que par contrainte normative.

La CNIL doit pourtant en partie son existence à une femme, Claire Gaudfernau, qui fut détachée de l’Office national d’études et de recherches aéronautiques à la demande du conseiller d’État Bernard Tricot pour l’assister dans les réflexions préliminaires qui devaient conduire à la création de la commission. Claire Gaudfernau siégea au collège de la CNIL pendant les premières années de son existence. En dépit de cette contribution, très peu de femmes intégrèrent le collège avant les années 2010. Leur sous-représentation peut partiellement être imputée à la faible féminisation de la haute fonction publique et du monde politique de cette époque, dont étaient issus la plupart des commissaires.

L’évolution vers la parité ne s’amorça véritablement qu’avec l’arrivée d’Isabelle Falque-Pierrotin, première femme élue à la présidence de la CNIL en 2011. Elle œuvra activement en faveur d’une plus grande féminisation du collège, incitant les autorités de nomination à choisir davantage de femmes. Toutefois, l’impulsion déterminante en faveur de l’égalité résulte d’une ordonnance de 2015, qui impose un mode de désignation strictement paritaire. La parité fut finalement atteinte en 2019, soit plus de quarante ans après la création de la commission.

Il est intéressant de relever que la formation restreinte est demeurée majoritairement masculine depuis sa création en 2004. Cette dernière dépend en effet de l’organisation interne du collège et n’est soumise à aucune contrainte paritaire. À titre d’exemple, en 2022, les femmes n’y représentaient qu’un tiers des membres. Le cas de la formation restreinte illustre donc bien le rôle fondamental joué par la contrainte normative dans la féminisation du collège de la CNIL.

‍