C. LA COMMISSION NATIONALE DE CONTRÔLE DES TECHNIQUES DE RENSEIGNEMENT
La CNCTR qui a remplacé, en application de la loi du 24 juillet 2015, la CNCIS a vu son périmètre d'action élargi. L'année 2016 sera la première année d'activité « pleine », permettant un certain recul. Des moyens humains ont été alloués en cours d'année 2015 à la CNCTR désormais chargée de rendre un avis préalable sur toutes les demandes de mise en oeuvre des techniques de renseignement prévues par le code, et de contrôler l'exécution des autorisations accordées par le Premier ministre ainsi que celle des mesures de surveillance des communications électroniques internationales.
Son président, M. Francis Delon, indique que cet élargissement des missions en 2015 s'est opéré sans rupture alors même que l'institution ne disposait pas initialement des moyens nécessaires et que les contrôles a posteriori se sont mis en place, de sorte que la CNCTR peut garantir que l'action des services est vérifiée. Il indique que la centralisation des données, nécessitant des réseaux sécurisés, devrait se poursuivre, ce qui facilitera le contrôle exercé par l'autorité.
La CNCTR estime disposer des moyens d'exercer ses missions qui viennent d'être élargies pas la décision du Conseil constitutionnel du 21 octobre 2016 et dans l'attente du décret ajoutant un service de renseignement pénitentiaire aux services du « second cercle » déjà autorisés à mettre en oeuvre des techniques de renseignement.
Cet accroissement des missions, issu de plusieurs textes législatifs adoptés ces derniers mois ou en cours d'adoption, s'accompagne, le plus souvent mais non systématiquement, de moyens supplémentaires, notamment en personnels, qui expliquent que le budget global du programme 308, à périmètre quasi identique (entrée de l'ARDP en 2016) est en constante augmentation.
D. LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
La CNIL est confrontée depuis plusieurs années à une forte croissance des demandes et requêtes qui lui sont soumises : plaintes en matière de protection des données personnelles, demandes de déréférencement, autorisation de traitement des données personnelles les plus sensibles, contrôle de la mise en oeuvre des traitements avec un pouvoir de sanction porté à 3 M€ (loi pour une République numérique), blocage administratif de sites pédopornographiques ou faisant l'apologie du terrorisme. L'activité devient plus complexe dans un environnement mondial, les grands acteurs de l'internet se situant hors de France.
L'entrée en vigueur en mai 2018 du règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données implique une refonte des procédures de la loi informatique et libertés de 1978. Ce règlement va également conduire à multiplier le nombre de correspondants informatique et libertés qui passeront de 16 500 (en 2015) à environ 50 000. Les décisions seront prises conjointement par les « CNIL européennes » et les sanctions portées à 4 % du chiffre d'affaires mondial consolidé. L'autorité est dès lors confrontée depuis plusieurs années à un gros travail d'anticipation de cette échéance européenne.
Le Secrétaire général du Gouvernement tempère cette inquiétude en indiquant que le règlement européen instaurera un changement de logique dans le contrôle qui deviendra a posteriori et non systématique, entraînant une baisse de l'activité de la CNIL.
Malgré de réels efforts de rationalisation, notamment grâce à une nouvelle version du téléservice de plainte en ligne pour les requêtes qui lui sont transmises, permettant un traitement plus rapide, la CNIL estime que ses moyens humains sont « justes », son budget ne tenant pas compte des nouvelles missions qui lui sont dévolues. Ses représentants ont enfin attiré l'attention de votre rapporteur sur la compétence en matière de blocage des sites internet qui pose un certain nombre de difficultés. En premier lieu, la personnalité qualifiée au sein de la CNIL chargée de contrôler le dispositif n'a pas de suppléant, ce qui n'est pas sans difficulté matérielle en matière d'organisation car elle peut être sollicitée toute l'année. Par ailleurs, la CNIL rencontre des difficultés croissantes pour trouver parmi ses agents (au nombre de huit actuellement) des volontaires pour cette mission lourde et pénible de visionnage des sites pédopornographiques ou faisant l'apologie du terrorisme. Elle a sollicité une mise à disposition d'un agent du ministère de l'intérieur qui serait mieux qualifié pour maîtriser l'accès sur internet à ces sites malveillants qui empruntent des circuits détournés pour essayer d'échapper à la vigilance des pouvoirs publics.
La loi du 7 octobre 2016 pour une République numérique attribue de nouvelles compétences à la CNIL qui ne sont pas prises en compte dans le PLF 2017, notamment en matière de droit à l'oubli, avec un délai de trois semaines à respecter, ainsi qu'en matière d'homologation de méthodes d'anonymisation. La CNIL fait dès lors part de ses craintes, ses agents étant de plus en plus sollicités, source de tensions au sein de l'institution.