Intervention de Philippe Gosselin

Permettez-moi de nous replacer rapidement dans le contexte historique, à la veille de l'anniversaire que nous célébrerons jeudi comme il se doit avec la garde des Sceaux et la présidente de la CNIL à l'occasion des quarante ans de la CNIL et de la loi du 6 janvier 1978. Nous ne sommes plus dans le contexte des années 1974 où les fichiers du système SAFARI défrayaient la chronique et avaient incidemment permis de créer les premières autorités administratives indépendantes, appelées à former le « carré magique » de la transparence : la Commission des opérations de bourse, le Médiateur, la Commission d'accès aux documents administratifs et la CNIL – tel est l'héritage de cette belle période.

À la veille de célébrer le quarantième anniversaire de la CNIL, nous allons profondément modifier la loi de 1978 – pour de bonnes raisons, du reste, même s'il a fallu attendre ce texte assez longtemps. En mars 2012, j'avais commis une proposition de résolution européenne sur le sujet ; l'an dernier, Mme Anne-Yvonne Le Dain et moi-même avons essayé de préparer le terrain pour faciliter la transmission du relais d'une mandature à l'autre sans que nous ne nous trouvions acculés et obligés de légiférer dans la précipitation à la veille de l'entrée en application du RGPD le 25 mai ; c'est pourtant ce que nous constatons ce soir et je le regrette, même si je n'en incrimine pas particulièrement la garde des Sceaux, car je sais que ses services ont travaillé en bonne intelligence. Je déplore tout de même la précipitation dans laquelle nous nous trouvons. Alors que nous examinons en séance publique un texte sur la simplification, je constate qu'il reste des progrès à faire pour que cette simplification s'étende au deuxième sous-sol de cette noble maison et traverse les murs des différents ministères…

Quoi qu'il en soit, ce texte est d'une très grande importance et marque un profond changement de paradigme. La loi de 1978 nous avait habitués à une forme de « confort », à la fois pour les particuliers et pour les entreprises, sous la forme d'un système de déclarations préalables et d'autorisations. Demain, la charge de la preuve sera totalement inversée : il reviendra aux entreprises de démontrer qu'elles ont pris toutes les précautions nécessaires pour garantir le respect des données personnelles. Tout cela n'est pas simple à mettre en oeuvre. La question de la protection des données personnelles des particuliers suscite aussi le débat : nous avons notamment soulevé le cas des mineurs, dont le consentement demeure un point important. Je constate d'ailleurs que le débat n'est pas clos entre les commissions et la majorité : le Gouvernement défendra l'âge de seize ans en se calant sur le règlement européen tandis que Mme la rapporteure proposera l'âge de quinze ans, comme je le ferai par amendement, par cohérence – car l'opposition sait parfois faire preuve de sagacité et a même certaines lueurs… La question de l'âge ne fait pas l'unanimité puisqu'il est également proposé de le fixer à treize ans ; nous verrons ce que donnera le débat, qui traverse aussi la société car les parents, les jeunes et les adolescents peuvent eux aussi avoir des points de vue différents. Il est bon que ce débat puisse se poursuivre.

De même, il faut saisir l'occasion de ces textes pour renforcer les droits de nos concitoyens, affirmer la protection des mineurs et affirmer de nouveaux droits dans la continuité et la complémentarité avec la loi pour une République numérique, dite loi Lemaire, qui a été promulguée en 2016 et qui nous a quelque peu bousculés. Les débats ont régulièrement renvoyé à l'adaptation du règlement européen et de la directive, mais nous sommes restés en deçà de ces textes pour d'autres raisons.

En clair, la discussion doit se poursuivre, ce qui se fera de façon intéressante, je n'en doute pas. À ce stade, je vous assure de l'écoute attentive de l'opposition. Nous donnons volontiers acte au Gouvernement de sa volonté de ne pas surtransposer – encore faudra-t-il que les débats confirment cette volonté puisqu'il existe une cinquantaine de possibilités de surtransposition. Il ne faudrait pas que les positions françaises alourdissent trop les procédures. À titre personnel, je souhaite que nous préservions la singularité de la protection des données en France, qui est affirmée et réaffirmée avec force et conviction par la CNIL qui, ces dernières années, a su prendre une place très particulière en Europe en matière de protection des données, et qui permet sans doute de promouvoir à juste titre un modèle français voire européen auquel nous sommes attachés, excluant toute marchandisation poussée à l'extrême tout en réaffirmant la protection des données en général et de certaines données particulières comme les données de santé.