Intervention de Christine Hennion

Le projet de loi sur lequel notre commission présente des observations adapte la législation nationale au Règlement Général de Protection des Données, ou RGPD, et transpose la directive 2016680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière et de sanctions pénales.

Après 4 ans de négociation, le Règlement général de protection des données doit s'appliquer d'ici le 25 mai 2018 et représente un effort sans précédent, et sans doute jusque-là inégalé, de définir un standard commun en la matière. La capacité de l'Union à légiférer en matière de protection des données personnelles tient avant tout à l'intégration de ce principe à l'article 8 de la Charte des Droits Fondamentaux repris à l'article 16 du Traité sur le fonctionnement de l'Union européenne au titre de la vie privée.

Ce texte, de portée mondiale, puisqu'il devra être appliqué par tout organisme traitant les données personnelles des résidents européens, est fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle. La restauration de la confiance des utilisateurs dans le domaine du numérique aura pour conséquence directe le développement des entreprises au sein du marché unique numérique. Les évolutions technologiques extrêmement rapides nécessitent une vigilance accrue du respect à la vie privée des personnes, de leurs libertés de citoyens et de notre souveraineté numérique. Ce règlement, et ses marges de manoeuvre nationales introduisent un renversement de la logique de contrôle. Le texte nous fait passer d'un régime d'autorisation, pour un grand nombre de traitements de données, à un régime de responsabilisation des entreprises et administrations.

Les organismes devront évaluer les risques et les impacts sur la vie privée afin de prendre des mesures proportionnées qui pourront ensuite être contrôlées par les autorités nationales. En d'autres termes, nous passons d'un droit dur à un droit souple, à l'instar des législations anglo-saxonnes. Les CNIL européennes doivent désormais guider et accompagner les responsables de traitement. En complément de ces actions de prévention, les autorités de contrôle nationales auront désormais la possibilité d'infliger des sanctions, en fonction de la gravité de la violation et des risques pour la vie privée des personnes concernées, qui pourront aller jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires mondial consolidé de l'exercice précédent.

Ce Règlement part de la réalité du fonctionnement des marchés du numérique. Il corrige des failles de la précédente directive en renforçant les droits existants des citoyens et en en introduisant de nouveaux. C'est ainsi que les droits d'accès aux données et à l'information sont mieux garantis, la notion de consentement éclairé est très largement renforcée, tandis que le droit à l'effacement, ou « droit à l'oubli », et le droit à la portabilité des données sont mis en place.

Le RGPD est un texte hybride, qui laisse plus d'une cinquantaine de marges de manoeuvre nationales. Le projet de loi met en application un certain nombre d'entre elles. Si la plupart sont justifiées, je demeure convaincue qu'il faut rechercher l'harmonisation la plus grande possible avec nos voisins européens. Il en va de l'efficacité du marché unique du numérique. Le règlement prévoit ainsi la collaboration des autorités nationales de contrôle pour s'assurer de l'application uniforme de ses dispositions à l'échelle du continent. Plutôt que de mettre en place une CNIL européenne, le choix a été fait d'un mécanisme de cohérence chapeauté par un Comité européen de protection des données, composé des présidents de chacune des autorités nationales. Les CNIL seront également amenées à conduire des enquêtes conjointes, dès lors que le responsable d'un traitement de données mis en cause exerce ses activités dans plusieurs États membres.

Plus largement, les divergences réglementaires entre les États membres ne doivent pas se faire au détriment des opérateurs économiques, et notamment des plus petits d'entre eux qui n'ont pas les capacités organisationnelles et juridiques pour s'adapter non seulement au RGPD mais encore à 27 choix différents effectués au titre des marges de manoeuvre nationales. Les projets de loi français et allemands ont fait le choix d'appliquer les marges de manoeuvre nationales aux personnes résidant dans leurs pays. Mais de nombreux autres États membres ont fait le choix inverse et appliquent leurs droits en fonction du lieu d'établissement des responsables de traitement ou des sous-traitants. Que se passera-t-il alors quand un responsable de traitement établi dans un tel État membre collectera et traitera des données personnelles d'un citoyen français ? Il faut réfléchir à un moyen d'articuler les normes nationales, pour éviter toute forme de carambolage contentieux, dans des matières aussi fondamentales que la protection de la vie privée.

Le gouvernement a fait le choix de se restreindre dans de nombreux domaines. J'estime toutefois qu'il aurait été pertinent de faire usage des marges de manoeuvre à deux reprises, et ce d'autant plus qu'il est permis d'espérer une harmonisation européenne en la matière.

Le premier cas relève de l'âge du consentement au traitement des données personnelles. Les mineurs doivent être éduqués au numérique, être guidés dans leurs premiers pas, tant dans le cadre familial que dans le cadre scolaire. Compte tenu des pratiques actuelles des adolescents, la demande d'un consentement auprès des autorités parentales jusqu'à l'âge de 16 ans paraît difficilement contrôlable. Enfin, mes entretiens avec la Commission européenne m'ont laissé comprendre qu'il y aurait une grande divergence entre les États membres quant à la fixation de l'âge minimal de consentement. Il me semblerait pertinent, dès lors, de descendre cet âge à 13 ans, de l'harmoniser à l'échelle de l'Union européenne, d'éduquer les adolescents sur les conséquences de leurs pratiques sur internet et d'obliger les sites à fournir une information claire, plutôt que de les en exclure en l'absence du consentement des parents.

Le second cas porte sur les actions de groupe. Cet instrument juridique, qui permet de lier de nombreuses plaintes individuelles, a été introduit en droit français par la loi sur la consommation de 2014, dite loi Hamon, puis étendue en 2016 par la loi relative à la justice au XXIe siècle à divers domaines, dont les données personnelles. Cette dernière action de groupe se limite toutefois à la cessation du traitement, ce qui limite fortement son intérêt. Or, le règlement autorise les États membres à mettre en place des actions de groupe en réparation en cas de violation de ses dispositions, permettant ainsi une juste indemnisation des personnes concernées. Ce type d'action de groupe existe déjà dans un certain nombre d'États membres, tels que les Pays-Bas et peut être étendu à partir de là aux résidents des autres états membres. La prise en compte de la réparation serait d'autant plus indispensable que l'âge du consentement serait abaissé à 13 ans.

Afin de garantir en amont la conformité du traitement des données avec les dispositions du RGPD, le règlement encourage les États membres à adopter des systèmes de certification cohérents. Ces certificats doivent permettre de démontrer que les responsables de traitement et les sous-traitants respectent les droits et libertés des personnes concernées. Cette certification, d'une durée maximale de trois ans, « ne diminue pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect » du RGPD. J'encourage vivement la mise en place de ce système harmonisé au niveau européen, afin d'en augmenter l'impact et de diminuer les coûts pour les entreprises.

Je pense qu'il serait par ailleurs très utile de mettre en place des actions de médiation. Elles pourraient intervenir dans une phase précontentieuse et faire en sorte que les professionnels du secteur se parlent, dans l'esprit du règlement, ainsi qu'entre plateformes et particuliers. Ce dispositif pourrait revenir à la CNIL ou un organisme tiers, à condition toutefois que cette médiation soit facultative et que les moyens du régulateur soient adaptés à cette nouvelle fonction.

Enfin, je souhaiterais voir se mettre en place un système de « bac à sable » réglementaire. Ce système vise à alléger les contraintes pour favoriser l'innovation. Il permet d'expérimenter pendant un temps, puis de se soumettre à la législation en place une fois la phase d'expérimentation achevée. Ce bac à sable doit bien entendu être sécurisé.

Pour conclure mon propos, je souhaite souligner le rôle majeur de la CNIL dans l'application de ce règlement et, à ce titre, je souhaiterais que les moyens financiers et humains de cette autorité soient renforcés.

Telles sont les propositions que je porte sur ce projet de loi, dont je souhaite souligner encore la pertinence et qui permet à la France de participer au mieux à l'un des standards continentaux les plus avancés au monde en matière de protection des données personnelles. Je vous remercie.