Intervention de Josiane Corneloup

Au moment où le numérique et la mobilité révolutionnent notre rapport au monde, il est bien évidemment impératif de mieux protéger les personnes contre les manipulations potentiellement malveillantes de leurs données. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et la loi pour une République numérique du 7 octobre 2016 y répondent en partie. Toutefois, l'adoption du Paquet européen de protection des données à caractère personnel par le Parlement européen et le Conseil le 27 avril 2016 est l'occasion de renforcer notre droit face aux nouvelles menaces qui pèsent sur la vie privée. C'est ce que propose le présent projet qui adapte le nouveau RGPD à notre législation et transpose dans notre droit la directive européenne concernant les infractions pénales.

Vous l'avez évoqué, la philosophie d'ensemble du texte repose sur une logique de responsabilité renforcée des acteurs du traitement et de leurs sous-traitants. Les articles 7, 9 et 13 dont notre commission s'est saisie s'inscrivent pleinement dans ce nouveau paradigme juridique. L'article 7 élargit le champ d'interdiction de traitement des données sensibles aux données génétiques, biométriques et concernant l'orientation sexuelle d'une personne, tout en accordant des dérogations spécifiques à l'État, en cas d'utilité publique ou sécuritaire. Il s'agit d'une avancée importante en termes de protection de la part intime de l'être humain.

L'article 9 supprime le régime de déclaration préalable auprès de la CNIL, sauf pour les traitements réalisés par des personnes publiques ou privées qui mettent en oeuvre le NIR ou par l'État en sa qualité de puissance publique. La responsabilisation des entreprises est donc à l'oeuvre : la CNIL en assurera le suivi et le contrôle, il s'agit d'un dispositif équilibré et fluide.

L'article 13 s'applique aux traitements de données de santé, en établissant un recours à des référentiels et des méthodologies de référence homologués par la CNIL, tout en conservant la procédure de déclaration et d'autorisation actuellement en vigueur, donc de formalité préalable pour le traitement à des fins de recherches scientifiques.

C'est sans doute dans le domaine de la santé que subsistent quelques écueils. Par exemple, le traitement du NIR des patients dans le cadre de la télémédecine est de nature à freiner le développement de dispositifs innovants – pourtant promus par le Gouvernement – puisqu'il nécessitera une autorisation par voie réglementaire. Nous comptons sur vos explications, madame la rapporteure, pour lever ce point d'interrogation marginal.

Malgré tout, ce projet marque une avancée pour la sécurité des données personnelles et le droit des personnes, qui pourront en outre demander l'effacement ou la récupération de leurs données. Aussi, le groupe Les Républicains le votera.