Intervention de Paula Forteza

« L'informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée » : cette ambition exprimée à l'article 1er de la loi « Informatique et libertés » a fait de la France un pays précurseur en matière de protection des données personnelles depuis 1978. En effet, la France a été le premier pays européen à se doter du cadre juridique et institutionnel nécessaire à la mise en oeuvre de cette politique. Mon premier souhait serait donc que nous puissions être à la hauteur de ces engagements tout au long de notre travail en commission et en séance.

Pour ce faire, il nous faudra en permanence garder à l'esprit la portée économique et sociale de ces textes. Les enjeux sont transversaux : en témoigne la présence parmi nous de collègues des commissions des Afaires européennes, des Affaires économiques et des Affaires sociales, que je salue. Si la perspective des dispositions que nous allons étudier est celle des libertés individuelles et de la protection des droits des personnes, nous devrons en évaluer les incidences de façon globale. Le Conseil d'État a appelé à mener une réflexion de société autour de l'interaction entre la protection des données personnelles et la politique numérique de la France au sens large ; je rejoins naturellement ces propos.

Les dispositions du paquet européen et du présent projet de loi constituent bel et bien un signal positif en termes de promotion de l'innovation. Ces textes tirent les conséquences des bouleversements technologiques survenus dans le traitement des données – citons par exemple le cloud computing ou l'internet des objets – et du développement de son économie. Il fallait en effet changer de paradigme pour que la protection des données personnelles soit effective dans un contexte incertain où les avancées techniques sont toujours plus rapides que la capacité du législateur à en évaluer les conséquences. Il conviendrait de laisser des marges de manoeuvre aux différents acteurs pour accomplir leurs missions et leurs activités : l'allégement des démarches administratives, la responsabilisation des acteurs, l'appel à des dispositifs de droit souple, l'homogénéisation des normes au niveau européen sont autant de bonnes nouvelles tant pour les entreprises que pour les citoyens et pour les organismes de contrôle. Il s'agit de construire les cadres de régulation de manière plus flexible, itérative et collaborative, de façon à ce qu'ils soient adaptés aux enjeux du numérique.

Ce seront aussi la portabilité des données, l'extraterritorialité des normes et le rôle accentué de la CNIL en tant qu'accompagnatrice des entreprises qui deviendront une source d'innovation en nivelant le terrain de jeux et en favorisant la concurrence loyale car – ne nous le cachons pas – tout se jouera sur la manière dont les entreprises se saisiront de cette nouvelle réglementation, en particulier les très petites entreprises (TPE) et les PME qui, pour la plupart, sont encore loin de la mise en conformité. La prise de conscience de ces difficultés sera la clef de voûte d'un dispositif qui permettra de transformer l'adaptation aux nouvelles dispositions en atouts économiques et d'en faire une véritable valeur ajoutée aux yeux non seulement des citoyens, mais aussi des consommateurs de biens et de services numériques. Cette nouvelle attractivité économique et juridique est une opportunité pour la France, qui pourra construire dans le cadre européen un modèle alternatif de croissance autour d'un numérique plus éthique, plus accessible, plus décentralisé que ne le sont actuellement le modèle américain ou le modèle chinois.

Mme la garde des Sceaux ayant déjà très bien présenté les textes européens, je me contenterai de rappeler brièvement les principaux apports du projet de loi du Gouvernement afin de bien en comprendre les enjeux.

Le RGPD est fondé sur un triple changement de la législation. Il s'agit tout d'abord d'un renforcement des droits des personnes lié à l'élargissement de la liste des données sensibles, à la protection accrue des mineurs et à de nouveaux droits tels que le droit à la portabilité des données, le droit à l'oubli ou encore le droit à ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. Ensuite, il s'agit de passer d'une logique de formalités préalables à une logique de conformité et de responsabilisation, comme l'a bien expliqué la ministre. Troisième objectif : le renforcement de la crédibilité de la régulation par l'extension de son périmètre d'application en dehors du territoire de l'UE, l'alourdissement des sanctions administratives et l'instauration d'un mécanisme de coopération entre autorités nationales de régulation afin d'assurer l'harmonisation des décisions au niveau européen. Par ailleurs, la directive constitue un instrument juridique permettant une harmonisation du niveau de protection au sein de l'UE en matière de traitement des données pénales.

Ces deux textes européens doivent être rendus applicables et transposés dans l'ensemble des États membres en mai 2018 au plus tard. Nous avons donc la responsabilité d'aboutir à l'adoption de ce projet de loi. Il s'agit d'adapter la loi « Informatique et libertés » du 6 janvier 1978 qui mérite, pour des raisons symboliques, d'être conservée et conformée aux dispositions européennes.

À cet égard, j'observe que le Gouvernement a fait le choix d'utiliser raisonnablement les marges de manoeuvre offertes par le règlement et la directive lorsqu'elles semblent pertinentes, dans une démarche d'harmonisation européenne. Pour ma part, je vous proposerai d'aller plus loin que le Gouvernement dans l'utilisation de ces marges de manoeuvre sur au moins deux points. Le premier a trait à l'action de groupe : je propose de permettre aux personnes ayant subi une violation des règles en vigueur de pouvoir obtenir réparation de leur préjudice matériel et moral par l'intermédiaire d'une association régulièrement agréée alors que l'action de groupe en matière de données personnelles est actuellement limitée à la seule constatation du manquement, contrairement à ce qui prévaut dans le domaine des discriminations et dans celui de l'environnement. Le second point concerne l'âge des mineurs : je propose d'abaisser à quinze ans l'âge à partir duquel un mineur peut consentir seul au traitement des données personnelles qui le concernent et prévoir le double consentement du mineur et de ses parents en dessous de cet âge.

Un travail sera également entrepris pour accentuer la lisibilité du texte qui, en l'état, est source de confusion pour la plupart des acteurs du secteur en raison des multiples renvois et superpositions des droits en vigueur. Nous avons d'ailleurs lancé un site sur lequel figure un dossier législatif en ligne comprenant les liens hypertexte et références qui permettent de naviguer plus facilement entre les différents textes, que vous pouvez consulter dès à présent à l'adresse suivante : https://donnees-personnelles.parlement-ouvert.fr.

Enfin, de nouvelles modifications pourraient être proposées à l'issue d'une séquence d'auditions complémentaires qui auront lieu entre l'examen en commission et la discussion en séance et auxquelles j'invite tous les commissaires à participer.

Pour le reste, je poserai à la garde des Sceaux quelques questions concernant des sujets qui me tiennent à coeur et sur lesquels j'ai souvent été interrogée lors des auditions que j'ai conduites. Tout d'abord, pouvez-vous nous présenter l'état d'esprit du Gouvernement concernant les modalités de contrôle des fichiers intéressant la sûreté de l'État, qui ne relèvent ni du règlement ni de la directive ? Vous paraît-il opportun de permettre à la CNIL d'effectuer un contrôle a posteriori sur leur fonctionnement, au-delà du contrôle ponctuel auquel elle procède par l'exercice du droit d'accès indirect et du contrôle a priori qu'exerce la Commission nationale de contrôle des techniques de renseignement (CNCTR) au stade de la mise en oeuvre d'une technique de renseignement ?

Ensuite, s'agissant de l'extension de l'action de groupe en matière de protection des données personnelles, les auditions que j'ai conduites ont montré qu'il était nécessaire non seulement de l'étendre à la réparation du dommage causé par le manquement d'un responsable de traitement ou de son sous-traitant, mais aussi de trouver les moyens d'en assurer l'effectivité en prévoyant une prise en charge des frais de procédure engagés par les associations mandatées. Qu'en pensez-vous ? Autrement, quelle solution serait envisageable ?

Troisièmement, pouvez-vous nous rassurer au sujet des garanties apportées par le Gouvernement pour encadrer les décisions administratives individuelles prises sur le seul fondement d'un algorithme, dans le cadre de la marge de manoeuvre offerte par le RGPD ? Plus particulièrement, pouvez-vous nous confirmer qu'il est toujours interdit d'adopter une décision de justice fondée sur le profilage d'un individu à partir d'un algorithme, tout comme les décisions administratives individuelles fondées sur des algorithmes auto-apprenants ?

Enfin, le projet de loi octroie de nombreuses missions nouvelles à la CNIL. Les ressources dont elle dispose vous semblent-elles suffisantes pour les mener à bien de façon efficace ? Sinon, quelles mesures prévoyez-vous à cet effet ?