Madame la garde des Sceaux, chers collègues, il s'agit effectivement de mettre en oeuvre dans le droit français ce paquet européen sur la protection des données personnelles : le règlement général sur la protection des données en matière civile et commerciale et la directive portant sur les infractions pénales. Le délai, certes, est très court, puisque tout doit être bouclé pour le mois de mai prochain.
La France a effectivement choisi de rester dans la logique de la loi du 6 janvier 1978 et de conserver la CNIL. Aussi évident qu'il puisse paraître, ce choix est un choix fort du Gouvernement, dans un cadre toutefois nouveau qui diffère de celui de la loi du 6 janvier 1978 et de ses révisions ultérieures. Le développement du numérique rend nécessaire une certaine fluidité, ce que permet le texte examiné : il fallait bien s'adapter à ces réalités.
Le principal changement est le remplacement du contrôle a priori et du régime de déclaration et d'autorisation par un contrôle a posteriori. L'exercice par la CNIL de ses missions s'en trouve évidemment modifié, mais il ressort de nos auditions et de nos rencontres avec la CNIL que celle-ci anticipe pour être au rendez-vous dès le mois de mai prochain. Autres changements, le projet de loi prévoit l'adaptation des services publics et des entreprises au droit européen et leur responsabilisation, sous-traitants compris, ce qui est une nouveauté ; il impose la production d'analyses d'impact, faites par des organismes certifiés, la désignation de délégués à la protection des données, une véritable formation sur ces questions et, conséquence logique du passage à un contrôle a posteriori, un sensible alourdissement des sanctions prévues qui pourront atteindre 4 % du chiffre d'affaires ou 20 millions d'euros.
Vous avez rappelé, madame la ministre, les quelques marges de manoeuvre qui nous sont laissées. Vous avez notamment évoqué l'âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information. Le texte initial le fixe à seize ans. Après consultation des acteurs, notre groupe soutient la proposition de notre rapporteure de l'abaisser à quinze ans. N'oublions pas la nécessité d'un accord des parents ni les sensibles efforts fournis depuis des années par les opérateurs pour prendre en compte la situation particulière des mineurs ; nous n'en souhaitons pas moins qu'ils s'emploient à améliorer la « charte d'entrée » et clarifient leur pédagogie avant de permettre l'accès à leurs services, à l'égard des jeunes mais aussi à l'égard des parents – les engagements pris au moment de consentir à une offre de services ne sont pas toujours très clairs. Il nous semble également important de maintenir une offre spécifiquement dédiée aux mineurs, qui les empêche d'accéder à certains profils sans autorisation ou, dans d'autres cas, permet de protéger leur propre profil. De tels dispositifs nous paraissent de nature à renforcer la protection des données personnelles des mineurs. Même si nous en connaissons les limites, un accompagnement de ces publics vers l'accès au numérique nous paraît possible.
Vous avez répondu sur l'action de groupe, madame la ministre, mais nous souhaitons aller au-delà de la constatation du manquement, vers la réparation, y compris sous la forme de dommages et intérêts lorsque cela s'impose.
Nous pensons que le texte réalise un certain équilibre entre innovation et protection dans les différents domaines, y compris la santé, la génétique ou la bioéthique, qu'il conviendra de ne pas trop remettre en cause : sans revenir sur la protection apportée par le droit européen, il faut permettre à l'innovation d'être au rendez-vous. Se pose également la question des algorithmes, des données nécessaires à la recherche ou des données liées au renseignement et à la sécurité. Là encore, la nécessité d'un équilibre entre protection et transparence doit être rappelée. Si le temps nous est compté, ces sujets n'en sont pas moins majeurs et nous invitons tous nos collègues à s'en emparer.
J'insiste un peu sur la question de l'âge de consentement. Que pensez-vous, madame la garde des Sceaux, de la solution des quinze ans et de la possibilité d'un renforcement de la protection des mineurs ?
Et qu'en est-il de l'accompagnement des entreprises ? La brièveté du délai impose de démultiplier l'information et d'être davantage présents à leurs côtés, pour les informer et leur permettre de se mettre aux normes.
Enfin, la question du droit à l'oubli, notamment post mortem, nous est souvent posée. Son importance s'est particulièrement manifestée lors des attentats. Qu'en est-il de la possibilité d'effacer les données relatives à une personne après le décès de celle-ci ?