Le projet de loi que nous examinons s'attache à adapter le droit national à un texte majeur, le RGPD, ainsi qu'à une directive adaptant la protection des données personnelles en matière pénale, formant ce que l'on appelle le « paquet données personnelles ».
L'idée de moderniser le cadre européen de protection des données personnelles est ancienne, puisque la Commission avait lancé une vaste consultation publique de deux ans, entre 2009 et 2011, pour faire évoluer le cadre juridique européen applicable aux données personnelles. Cela fait donc bientôt dix ans que les réflexions sont en cours, tandis que les négociations ont quant à elles duré quatre ans, de 2012 à 2016. La sensibilité de certaines données telles que les données de santé et la longueur des négociations expliquent le caractère tout à fait spécifique du RGPD, un règlement qui laisse plus d'une cinquantaine de marges de manoeuvre aux États membres.
Les aspects que je souhaite évoquer relèvent précisément de ces marges de manoeuvre nationales. Le Gouvernement a adopté une approche parcimonieuse en la matière et nous ne pouvons que le louer d'avoir privilégié l'harmonisation européenne la plus large possible. Cependant, j'estime que des marges d'amélioration existent sur plusieurs points.
Le premier point concerne l'âge du consentement au traitement des données à caractère personnel. Le règlement fixe cet âge à seize ans mais autorise les États membres à déroger à cette règle pour l'abaisser à treize ans. Il s'agit sans doute de l'une des marges de manoeuvre qui seront les plus utilisées dans l'Union, pour plusieurs raisons. Tout d'abord, la limite fixée à seize ans n'est apparue qu'au cours des négociations, puisque la proposition initiale figurant dans le règlement était de treize ans. Un consensus européen peut donc être à nouveau trouvé sur cet âge-là.
Le traitement des données à caractère personnel des mineurs doit de toute façon se faire de telle sorte que le consentement soit donné en toute connaissance de cause, facilité par les informations données par les fournisseurs de services en ligne. Mais ne nous leurrons pas pour autant : les pratiques des adolescents dans le domaine numérique sont aujourd'hui telles que le recueil du consentement auprès des autorités parentales risque de n'être presque jamais mis en pratique. En tout état de cause, les réseaux sociaux ne seront pas en mesure de vérifier l'âge effectif des personnes inscrites sur leurs plateformes, et nous créerons ainsi en Europe des difficultés réglementaires dont les premières victimes seront nos TPE et PME. C'est pourquoi je souhaite que, dans ce projet de loi, l'âge à partir duquel un adolescent peut consentir au traitement de ses données personnelles soit abaissé à treize ans, en contrepartie d'un véritable projet d'éducation aux usages.
Le deuxième point complète le premier ; il vise à permettre aux utilisateurs de services en ligne dont les données personnelles sont traitées de pouvoir déclencher une action de groupe en responsabilité. Cette marge de manoeuvre est aussi inscrite dans le règlement européen à l'article 80.1. Actuellement, le droit français issu notamment de la « loi Hamon » de 2014 et de la loi sur la justice du XXIe siècle de 2016 ne permet que des actions de groupe en cessation de traitement, et non en réparation. La logique de responsabilisation des acteurs du traitement des données induite par le règlement voudrait pourtant que la violation de la vie privée des utilisateurs entraîne une juste indemnisation à leur égard. Je souhaite donc que le projet de loi soit amendé en ce sens.
Enfin, le RGPD a pour objet de renforcer considérablement le nombre et l'efficacité d'instruments dont les autorités nationales de contrôle – en l'occurrence la CNIL – disposent pour mieux accompagner les responsables de traitement, mais aussi pour sanctionner les contrevenants de manière plus drastique. Or je pense que le législateur devrait instituer, au croisement de ces deux logiques, la possibilité de mener des actions de médiation dans les phases précontentieuses entre professionnels ou entre particuliers et plateformes.
Telles sont les observations que je souhaitais formuler sur un projet de loi dont je tiens à rappeler la cohérence et la pertinence pour adapter la loi de 1978, qui fut un texte précurseur en la matière.