Marie-Laure Denis, la diplomate de la donnée

En février dernier, la nouvelle présidente de la Cnil, Marie-Laure Denis, s’est installée dans l’un des anciens bureaux du ministère de la Marine marchande en succédant à Isabelle Falque-Pierrotin. « La passation s’est effectuée rapidement et j’ai vite été plongée dans le bain », se remémore la haute fonctionnaire. Une rapidité qui ne l’a pas déstabilisée et qui a, au contraire, confirmé sa grande capacité d’adaptation. Il faut dire que Marie-Laure Denis connaît bien le fonctionnement des autorités administratives indépendantes. Juriste de formation et énarque, elle a d’abord travaillé auprès du Conseil d’État, où elle était en charge des activités contentieuses et consultatives du conseil juridique du gouvernement, avant de passer par des cabinets de collectivités locales et des ministères. Depuis une quinzaine d’années maintenant, elle évolue dans l’univers de la régulation : d’abord membre du collège du Conseil supérieur de l’audiovisuel (CSA) pendant sept ans, elle devient membre de l’Autorité de régulation des communications électroniques et des postes (Arcep) puis membre du comité de règlement des différends et sanctions au sein de la Commission de régulation de l’énergie (CRE). C’est donc tout naturellement que son nom a été proposé au Parlement puis retenu il y a quelques mois pour représenter le gendarme de l’informatique et des libertés.

Articuler le droit et la réalité économique

Depuis des années, la haute fonctionnaire de 51 ans nourrit une appétence particulière pour la régulation puisqu’il s’agit « d’articuler le droit avec la réalité économique ». Après avoir été au contact des entreprises spécialisées dans les secteurs de l’audiovisuel et des télécoms, elle tire déjà un bilan satisfaisant de ses premiers mois en tant que présidente : « Les missions au sein de la Cnil sont très variées, il s’agit non seulement d’accompagner les pouvoirs publics mais aussi des millions d’entreprises. Nous devons à la fois défendre un droit, le droit à la protection des données personnelles, et mener une action de régulation économique. » Quinze jours à peine après son arrivée, Marie-Laure Denis a dû se saisir d’un dossier épineux relatif à une demande de conseil sur une expérimentation en matière de reconnaissance faciale, « un sujet dont les enjeux sont particulièrement importants », souligne la présidente. En parallèle, elle continue de s’investir sur un chantier de taille, hérité de son prédécesseur, celui de la bonne mise en application du Règlement européen sur la protection des données (RGPD).

L’année de la transition

« La donnée a pris un rôle central dans la vie économique », affirme Marie-Laure Denis. Ce constat se vérifie depuis l’entrée en vigueur du RGPD, dans la mesure où le texte prend en considération de nouveaux droits, comme celui à la portabilité des données ou un renforcement de ceux des mineurs. « Il y a un effet RGPD évident auprès de nos concitoyens », confirme la gardienne des données. C’est la raison pour laquelle la Cnil continue à assurer un rôle double auprès des entreprises : d’une part, les accompagner, et, d’autre part, les sanctionner en cas de besoin. Le ton est donné : « Il appartient aux dirigeants de se mettre en conformité et de prouver qu’ils suivent cette démarche. Pour la Cnil, le sujet de la conformité doit être traité au même titre que les problématiques de concurrence, de commerce ou de sécurité car il s’agit d’un enjeu stratégique et de réputation pour ­l’entreprise. »

« Nous devons à la fois défendre un droit, le droit à la protection des données personnelles, et mener une action de régulation économique »

Passé le temps de l’accompagnement et de l’information vient parfois celui de la répression. En ce sens, l’année 2019 sonne la fin de la tolérance pour les entreprises, censées s’être mises en conformité depuis mai 2018. « Le but n’est cependant pas de taper à tout prix sur les doigts des entreprises, tempère la régulatrice. Certes, nous devons sanctionner les manquements quand c’est nécessaire, dans un but qui est aussi pédagogique, mais nous nous attachons également à les conseiller. » À ce jour, la plus lourde amende prononcée par la Cnil pour non-respect du RGPD reste celle attribuée à Google en janvier dernier, sous l’ancienne présidence. « Je mène une politique de continuité, il n’y a pas de rupture par rapport à celle d’Isabelle Falque-Pierrotin. La protection des données doit continuer à fonctionner grâce à ses leviers historiques. » Pour ce faire, Marie-Laure Denis sait qu’elle peut compter sur l’appui des 17 membres de son collège et des services de la Cnil : « La Cnil réunit plus de 200 personnes compétentes et engagées. J’ai le sentiment de servir une belle mission », confie-t-elle.

Quatrième régulateur européen

Marie-Laure Denis affiche des plans d’action clairs pour son mandat de cinq ans. La priorité absolue reste la mise en application du RGPD afin que les concitoyens soient le plus informés possible de leurs droits. « Plus la mise en conformité des acteurs privés et publics sera forte, plus la confiance dans l’économie numérique sera confortée », affirme-t-elle. Au sein d’un lab d’innovation, ses équipes planchent également sur le cloud computing, une technologie pour laquelle des questions de sécurité et de migration des données se posent inévitablement.

Autre enjeu de taille à affronter : les assistants vocaux, que l’on retrouve sur les téléphones, les véhicules ou ustensiles de cuisine. « Face à la multiplication de ces objets connectés, il faut rendre lisibles les enjeux de protection des données pour le consommateur. La Cnil assure un rôle d’expertise technologique, que nous envient beaucoup de régulateurs, détaille la présidente. Nos équipes sont dotées de très bons experts informaticiens et nous veillons à ne pas dissocier le juridique du technologique pour réguler au plus près des usages. »

« L’année 2019 sonne la fin de la tolérance pour les entreprises, censées s’être mises en conformité depuis mai 2018 »

Enfin, Marie-Laure Denis souhaite continuer à faire de la Cnil un acteur important dans « la diplomatie de la donnée », véritable enjeu géostratégique selon elle. Le régulateur coopère en ce sens avec ses homologues européens, au sein l’European Data Protection Board (CPED) (lire pages 24-25). Des décisions communes sont adoptées à propos de la protection des données pour l’ensemble de l’Europe et ont une portée extraterritoriale, c’est-à-dire qu’elles s’appliquent à toutes les entreprises présentes en Europe, même si leur siège n’est pas situé en Europe. La présidente se félicite aussi de l’ampleur des actions menées par la Cnil, quatrième autorité chef de file¹ en régulation derrière l’Irlande, l’Allemagne et le Luxembourg. Face à l’émergence des Natu (Netflix, Airbnb, Tesla et Uber), les nouveaux Gafa, elle se montre rassurante : « Le RGPD prend en compte la notion de risque que peut entraîner pour les utilisateurs le traitement de leurs données personnelles. Plus l’opérateur est important, plus il sera soumis à des obligations de sécurité. Le RGPD est un bon outil de réponse pour faire face aux Natu et il s’impose à eux. »

Plusieurs vies en une journée

Marie-Laure Denis n’assure pas seulement le rôle de présidente de la Cnil. C’est aussi une mère de quatre enfants, qui parvient habilement à concilier vie privée et vie professionnelle « à condition d’être organisée », précise-t-elle. Lorsque son emploi du temps le lui permet et hors des moments qu’elle consacre à sa famille et ses amis, elle pratique le yoga « aussi souvent que possible », la marche nordique, la natation et le vélo. Grâce à son travail, cette fervente amatrice d’art se déplace régulièrement dans le monde mais essaie aussi de privilégier les voyages personnels. La destination qui l’a le plus marquée reste la Jordanie : « J’ai découvert, sur un territoire réduit, une culture archéologique et des paysages désertiques grandioses », se souvient-elle. Celle qui mène de front ses nouvelles missions en tant que présidente confie : « J’ai parfois l’impression de vivre plusieurs vies en une journée. » Une sensation qui n’est pas près de la quitter.

Marine Calvo

Pour un tour d'horizon des Cnil européennes, cliquer ici