Je vous remercie, Mme la rapporteure, pour vos propos ; comme vous, je pense qu'il est indispensable de bâtir une politique numérique ambitieuse pour la France. C'est une nécessité, et je sais que le dynamisme de mon collègue Mounir Mahjoubi y contribuera grandement.
De même, comme vous l'avez dit, il est nécessaire de mettre fortement l'accent sur les PME et les TPE, pour que ce processus très innovant leur permette de faire face à une concurrence loyale. Ce nouveau cadre juridique constitue un cercle vertueux dans lequel nous devons nous inscrire.
Je ne reviens pas sur les autres points de votre intervention, en particulier l'âge des mineurs, parce que nous y reviendrons au cours du débat. Je répondrai en revanche aux quatre questions que vous avez posées.
Vous m'avez tout d'abord interrogée sur l'état d'esprit du Gouvernement concernant les « fichiers de souveraineté ». Je rappelle que ces fichiers sont exclus du champ d'application du règlement et de la directive parce qu'ils ne relèvent pas du droit de l'UE. Si les fichiers pénaux entrent quant à eux dans le champ de la directive, et s'ils sont distincts des fichiers de souveraineté, ils feront bel et bien l'objet d'un contrôle de la CNIL en application de l'article 19 du présent projet de loi. En revanche, certains fichiers liés à la sûreté de l'État qui se trouvent hors du champ du droit de l'Union et qui sont dispensés de publication au Journal Officiel font bien l'objet d'un contrôle a posteriori de la CNIL. C'est notamment le cas du fameux fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), qui vise à lutter contre la radicalisation violente.
Rappelons donc que leur nombre est très réduit : leur liste est fixée à l'article 3 du décret du 15 mai 2007 et ne comporte qu'une dizaine de fichiers gérés par les services de renseignement et choisis parmi ceux qui ont été dispensés de publication. Ces dix fichiers dits « fichiers de souveraineté » ne peuvent faire l'objet de contrôles a posteriori par la CNIL, conformément au IV de l'article 44 de la loi de 1978. Qui plus est, ils font déjà l'objet de garanties propres à concilier de manière équilibrée la confidentialité des données qu'ils contiennent avec l'exigence d'un encadrement et d'un contrôle effectifs ; ces traitements de données ne peuvent avoir lieu que sur autorisation donnée après avis de la CNIL. Comme pour tout traitement de données, la CNIL est compétente dans le cadre de l'exercice du droit d'accès indirect prévu à l'article 41 de la loi de 1978. Le Conseil d'État est désormais compétent pour connaître des recours concernant la mise en oeuvre du droit d'accès indirect. Ce dispositif issu de la loi sur le renseignement de 2015 permet de garantir qu'un juge indépendant se penchera sur le contenu de ces dix fichiers lorsqu'une personne s'inquiétera d'y figurer ou non, ce qui est une avancée considérable. La CNIL est systématiquement associée à la procédure en Conseil d'État.
Le Gouvernement considère que ces garanties sont suffisantes ; aller au-delà en conférant à la CNIL un pouvoir de contrôle a posteriori sur ces traitements risquerait de fragiliser considérablement leur alimentation et leur fonctionnement. D'une part, cela porterait atteinte au secret des modalités d'action des services de renseignement et, d'autre part, l'échange de renseignements entre les services français et ceux des autres États pourrait être freiné par la crainte des services étrangers que les renseignements confidentiels qu'ils partagent puissent être communiqués à des tiers. Nous semblons donc disposer pour nos services d'un modèle robuste, récent et efficace qui comporte des garanties réelles ; nous ne souhaitons pas prendre le risque de modifier ce dispositif à un moment où nos services sont en première ligne.
Vous m'avez également interrogée sur l'action de groupe. La loi de modernisation de la justice du XXIe siècle du 18 novembre 2016, dite « J21 », a ouvert la possibilité d'actions de groupe en matière de protection des données, devant le juge judiciaire et devant le juge administratif. Ce recours sans mandat ouvert aux associations agréées et à celles existant depuis plus de cinq ans permet donc de solliciter du juge la cessation d'un manquement. En revanche, vous l'avez relevé, il n'y a pas d'action de groupe en réparation. C'est donc une différence par rapport aux autres actions de groupe prévues par la loi « J21 ». Par ailleurs, l'action de groupe créée par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon », première action de groupe instaurée, ne peut porter que sur la réparation des préjudices patrimoniaux qui résultent des dommages matériels subis par les consommateurs.
La loi « J21 » est récente. Le Gouvernement estime donc qu'il vaut mieux évaluer ce dispositif avant d'en proposer une modification. Cela étant, les arguments développés en faveur de l'action de groupe en réparation peuvent tout à fait être entendus. Sur ce point, le Gouvernement se montrera très ouvert et attentif, mais nous ne serons a priori pas favorables à un dispositif qui reviendrait sur celui de la loi « J21 » en permettant que les associations existant non plus depuis cinq ans, mais depuis trois ans puissent mener ces actions de groupe – c'est une garantie pour les personnes qui se lancent dans ces actions que d'avoir des interlocuteurs fiables. De même, les propositions visant à permettre à la CNIL de condamner les justiciables au remboursement des frais de procédure paraissent assez éloignées de nos principes de procédure civile. Pourquoi donner à une autorité administrative, aussi indépendante soit-elle, le pouvoir de condamner une partie à rembourser des frais de justice ? Ce mélange des genres semble difficile ; je n'en serai pas moins attentive, mesdames et messieurs les députés, aux propositions qui résulteront des débats.
Une de vos questions avait trait à la garantie du Gouvernement sur les décisions administratives individuelles fondées sur un algorithme. Je sais quelles craintes suscitent les algorithmes d'apprentissage, notamment ceux d'apprentissage profond, dont la capacité de traitement des informations se rapproche de celle de l'esprit humain. Mais pour ce qui est des décisions de justice, le projet de loi soumis ne modifie pas le premier alinéa de l'article 10 de la loi du 6 janvier 1978, qui pose le principe selon lequel « aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité ». Nous n'irons donc pas plus loin, malgré les progrès qui peuvent résulter de ces algorithmes.
Enfin, les ressources aujourd'hui affectées à la CNIL lui permettent-elles d'assumer l'ensemble des missions qui sont les siennes en termes de communication, de pédagogie, de réflexion, de droit souple, de contrôle ? La question des moyens de la CNIL excède le champ de ce projet de loi et me semble plutôt relever de la discussion budgétaire. Je remarque toutefois que le budget de la CNIL a fortement augmenté depuis 2010, notamment les dépenses de personnel. L'enveloppe est ainsi passée d'un peu plus de 9 millions d'euros à 11 871 000 euros dernièrement, et, de 2010 à 2017, le plafond d'emplois est passé de 140 à 198. Les moyens alloués ont donc crû.
Le règlement européen crée de nouvelles missions pour la CNIL, mais il implique également une nouvelle philosophie dans la mise en oeuvre des traitements de données. Au contrôle a priori, caractéristique du régime de déclaration et d'autorisation, est substitué un contrôle a posteriori. La réduction substantielle des formalités préalables à accomplir que le nouveau cadre juridique européen induit devrait permettre d'alléger la charge de travail de la CNIL, qui pourra se mobiliser davantage sur sa mission de contrôle. Nous n'en sommes pas moins attentifs à la question, car il est de l'intérêt de tous que la CNIL puisse exercer ses missions de manière satisfaisante, notamment dans cette phase tout à fait essentielle de transition.
Mme Albane Gaillot a souligné les apports et les avancées du texte. Vous n'en appelez pas moins à notre vigilance sur un certain nombre de questions, madame la rapporteure pour avis, notamment celle des données de santé, bien entendu une préoccupation forte, que nous partageons. C'est la raison pour laquelle nous avons construit un système plus clair et unifié. Vous avez également insisté sur le statut dérogatoire de ces données, qui requièrent des garanties spécifiques ; c'est effectivement tout à fait important. Mme la rapporteure Forteza, qui s'est également penchée sur le problème, nous fera sur ce sujet des propositions que nous examinerons attentivement.
Madame la rapporteure pour observations Christine Hennion, vous avez insisté sur l'âge du consentement, comme M. Gosselin. Vous retenez plutôt l'âge de treize ans, tout comme Mme la présidente, et j'en prends note. De notre côté, Mme Forteza et moi-même envisageons plutôt un âge de quinze ans, quand d'autres proposent seize ans. La question est difficile et les réponses sont diverses, mais les pays européens, vous avez raison de le souligner, ont fait des choix extrêmement différents.
Sur l'action de groupe, j'ai déjà indiqué ma position.
Enfin, vous évoquez la possibilité d'actions de médiation dans des phases précontentieuses. La question mérite d'être traitée, mais je ne sais par qui, car ce n'est pas du ressort de la CNIL. En tout cas, votre proposition m'intéresse.
Non sans justesse, M. Gosselin parle de précipitation en même temps que de simplification. Il nous importait, monsieur le député, d'être prêts pour le 25 mai prochain. Les discussions ont été conduites depuis longtemps sur des textes complexes et des architectures compliquées, emboîtées. Aussi n'est-ce qu'aujourd'hui que nous vous présentons un texte. De nombreux pays européens – pas tous, certes – sont aujourd'hui dans la même situation. Bien sûr, je reconnais la complexité de la question et, nonobstant le site internet ouvert par Madame Forteza, qui nous donnera un accès numérique à l'ensemble des textes à notre disposition, la lecture n'en est pas des plus évidentes… C'est la raison pour laquelle une habilitation a été sollicitée aux fins de réécrire l'ensemble de manière très lisible. C'est tout à fait important.
Vous avez reconnu, monsieur le député, qu'il n'y avait pas de surtransposition excessive. Le Gouvernement y tient très fort, je le réaffirme devant vous. Soyez donc rassuré de ce point de vue.