Intervention de Nicole Belloubet

Je vais commencer par répondre à M. Rebeyrotte, qui a posé un certain nombre de questions, mais également fait le constat d'une prise de conscience générale, notamment par la CNIL, qui nous permet d'avancer.

Monsieur le député, vous avez fait part de votre position sur le consentement des mineurs ; je voudrais rappeler ce qui justifie la position du Gouvernement sur ce sujet. Comme je l'ai dit tout à l'heure, le Gouvernement a décidé de ne pas utiliser la marge de manoeuvre dont il disposait, et de se référer à l'âge de 16 ans, proposé par le règlement.

Comme plusieurs d'entre vous l'ont souligné, il n'y a pas un consensus absolu entre les États membres de l'UE : la République tchèque, le Royaume-Uni et l'Irlande retiennent l'âge de 13 ans, l'Espagne pourrait retenir l'âge de 14 ans, la Grèce et la Croatie l'âge de 15 ans, l'Allemagne et le Luxembourg l'âge de 16 ans ; pour sa part, la France a toujours soutenu l'âge de 16 ans lors des négociations.

Nous savons la difficulté qu'il y a à établir un seuil, d'abord parce que cet exercice comporte toujours une part d'arbitraire ou de pari, surtout lorsqu'on travaille sur l'humain. En l'occurrence, il s'agit de saisir par une règle générale une multitude de cas particuliers : chaque enfant est différent, et mesurer la maturité de chacun d'eux, en prenant en compte l'environnement dans lequel ils vivent, est forcément délicat. Nous nous sommes fixé un objectif – partagé, me semble-t-il – consistant à prendre en compte la complexité des adolescents afin de comprendre et de mesurer au mieux quelles peuvent être les conséquences de la diffusion de leurs données personnelles sur les réseaux, et quels sont les risques en termes de marchandisation de ces données, d'exposition de l'intimité et de réputation en ligne – nous connaissons tous des exemples dramatiques de situations liées à ces problématiques.

Nous estimons également que recueillir le consentement des parents peut permettre, dans certains cas, de les responsabiliser, de restaurer le dialogue au sein de la famille et de mieux connaître les pratiques numériques de leurs enfants. Par ailleurs, même si les jeunes sont considérés comme matures à un âge de plus en plus précoce – y compris et même surtout en matière numérique –, on sait que les risques de fracture les plus importants se situent au coeur même de l'adolescence, vers 14 ou 15 ans, correspondant aux classes de quatrième, troisième ou seconde. C'est à cet âge critique que l'on constate le plus d'excès et de violences sur internet, et que les jeunes sont le plus enclins à répondre à des offres de services en ligne parfois douteuses.

Enfin, nous avons considéré que l'âge de 16 ans était un seuil déjà connu en droit français pour les mineurs : c'est celui qui est utilisé pour accomplir seuls les actes d'administration nécessaires à la création et à la gestion d'une entreprise individuelle à responsabilité limitée ; c'est également l'âge nécessaire pour participer à la constitution d'une association et être chargé de son administration ; pour choisir son médecin traitant ; pour établir un testament ; pour participer à la création d'une maison des lycéens ; pour assurer la direction ou la codirection de la publication d'un journal ; pour réclamer la nationalité française pour les mineurs étrangers, etc. C'est pourquoi nous n'avons pas souhaité utiliser la marge de manoeuvre qui était proposée.

J'insiste sur le fait que le Gouvernement n'ignore pas que cette question fait débat ; les différentes propositions que vous avez évoquées en témoignent. Plusieurs amendements proposent un seuil de 15 ans qui correspond, lui aussi, à un âge retenu en droit français : c'est celui de la majorité sexuelle – ce terme est un peu impropre, mais c'est une autre question, qu'il nous sera peut-être donné d'évoquer en d'autres occasions –, mais aussi celui à partir duquel les enfants peuvent s'opposer à ce que leurs parents accèdent à leurs données de santé. J'estime qu'il n'y a pas dans ce domaine de vérité absolue et je pense que le débat parlementaire va nous permettre de trancher cette question. En tout état de cause, il faudra un vrai travail pédagogique et la mise en place d'outils de sensibilisation pour encourager les acteurs du numérique à mieux protéger les mineurs. Je vous ai indiqué les raisons pour lesquelles nous avions choisi a priori l'âge de 16 ans, mais nous restons très ouverts sur cette question.

Vous avez également souhaité m'interroger, monsieur Rebeyrotte, sur les actions menées en direction des entreprises, notamment des PME ; il est en effet nécessaire de sensibiliser les entreprises, de les informer et de leur fournir des instruments pour les aider à prendre en compte cette nouvelle réglementation. Lors des négociations portant sur le règlement, la France s'est attachée à garantir la sécurité juridique et la transparence aux acteurs économiques, notamment aux PME – une préoccupation qui se traduit dans plusieurs dispositions du règlement, qui comporte des aménagements et des dérogations pour les PME : ainsi l'article 30 prévoit que la tenue d'un registre des activités de traitement ne s'applique pas aux entreprises de moins de 250 salariés. Le Gouvernement a traduit cette exigence en termes de dérogations et d'attentions apportées aux PME en proposant de modifier l'article 11 de la loi « Informatique et libertés ». Cette rédaction crée un nouvel environnement juridique grâce auquel la CNIL devra, entre autres, accompagner encore davantage les acteurs concernés, notamment les PME. Elle pourra désormais publier des lignes directrices – ce qui est évidemment important –, des recommandations ou des référentiels destinés à faciliter la mise en conformité avec le nouveau texte. Par ailleurs, le projet de loi supprime de très nombreuses formalités préalables. Cet ensemble de dispositions et ce choix revendiqué en faveur d'un droit souple, en faveur des PME, nous permettront, je l'espère, de faciliter la prise en compte rapide des nouvelles dispositions. J'ajoute que le ministère de la justice a mené des actions de sensibilisation très importantes, à travers des dossiers de presse et des rencontres avec des associations de petites et moyennes entreprises : c'est un sujet sur lequel nous sommes très sensibilisés et très attentifs.

Enfin, vous avez soulevé la question du droit à l'oubli post mortem. Le règlement ne s'applique pas aux données des personnes décédées, comme il est précisé aux considérants 27 et 158. Ce principe n'est pas exclusif du droit national, comme l'indique le considérant 27, qui affirme que « les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées ». L'article 40-1 de la loi de 1978, modifié par la loi pour une République numérique de 2016, précise le régime qui est applicable nationalement aux personnes décédées en prévoyant que « les droits ouverts à la présente section s'éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants ». La direction des affaires civiles et du Sceau de la chancellerie rédige actuellement un décret en vue de créer un registre unique d'enregistrement des références des directives générales relatives à la conservation, à l'effacement et à la communication des données à caractère personnel, même après le décès de la personne ; il est prévu que les directives générales puissent être enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL. J'espère que ce texte répond à votre préoccupation ; je rappelle qu'il est également possible pour les héritiers, en cas de difficultés, de saisir les tribunaux pour sanctionner une atteinte qui serait portée aux droits de la personne décédée.

Monsieur Huyghe, je sais que vous connaissez extrêmement bien les questions que nous évoquons aujourd'hui. Vous avez fait le constat du développement vertigineux du numérique, souligné le rôle de la France dans l'élaboration des textes qui nous occupent, en rappelant le rôle joué par M. Alex Türk et Mme Falque-Pierrotin, qui ont successivement présidé le G29, et fait état de votre satisfaction quant à la puissance des sanctions dont pourra disposer la CNIL, et surtout quant à la publicité de ces sanctions, tout en regrettant la réécriture de l'ensemble de la loi de 1978 par ordonnance. Sur ce dernier point, je redis très simplement ce que j'ai déjà souligné dans mon propos introductif. Pour commencer, cette réécriture, prévue à l'article 20 du texte qui vous est soumis, est purement légistique ; avec tout le respect que je dois au Parlement, je ne sais si son intervention pourrait se traduire par un apport fondamental au contenu de la section I ou à l'intitulé de la section II, par exemple. Le débat au Parlement, nous l'avons maintenant, avec ce texte, puisque ce sont les décisions que nous prendrons maintenant qui se retrouveront dans la réécriture de la loi de 1978. Je vous rappelle ensuite que toute ordonnance est soumise à un projet de loi de ratification et que vous aurez donc la possibilité, comme c'est le cas actuellement avec l'ordonnance sur le droit des contrats, de débattre à nouveau d'un certain nombre de points. En tout état de cause, cette écriture qui se veut de pure légistique ne doit pas être perçue comme privant le Parlement d'un débat.

Monsieur Latombe, vous avez souhaité que l'âge de la majorité numérique soit porté à 15 ans : je me contenterai de réaffirmer devant vous que le Gouvernement est disposé à faire preuve d'ouverture lors du débat qui aura lieu sur ce point. Vous avez également abordé la question des algorithmes et des actions de groupe, points sur lesquels je crois avoir également répondu. Vous formez le voeu que le débat permette d'aboutir à de justes conciliations : je suis exactement dans le même état d'esprit et je suis persuadé que nous saurons trouver ces justes conciliations, pour reprendre votre expression, sur les différents points qui font débat.

Madame Karamanli, vous avez évoqué, entre autres points, la question des données personnelles et de l'éducation. J'entends votre préoccupation et je rappelle que le règlement européen et les protections qu'il institue s'appliquent pleinement au domaine de l'éducation. Comme vous, nous serons attentifs à cette question ainsi qu'à celle des algorithmes, très utilisés par l'éducation nationale – nous en avons un exemple récent avec l'application post-bac. Une convention a été conclue entre la CNIL et le ministère de l'éducation nationale le 10 mars 2016, qui porte sur les usages responsables et citoyens du numérique à l'école. Cette convention permet tout à la fois de concevoir des ressources pédagogiques en matière de protection des données personnelles, ce qui est très important, ne serait-ce que par rapport au point que nous avons précédemment évoqué sur l'âge du consentement, de les mettre à disposition et d'organiser des actions de formation – tout cela grâce à un comité de pilotage chargé de suivre cette convention. S'il n'y a pas là matière à répondre à la question des algorithmes, cela peut fournir des outils pédagogiques de sensibilisation, et c'est un dossier sur lequel nous serons évidemment très attentifs.

Vous avez également évoqué l'approche européenne et comparée. Nous avons évidemment regardé ce qui se fait dans les autres pays de l'UE, et je dois dire que les marges de manoeuvre ouvertes par le règlement traduisent souvent des préoccupations purement nationales, du moins est-ce ainsi que les choses m'apparaissent. C'est le cas notamment pour le NIR, qui est utilisé uniquement par la France ; c'est également le cas des données des églises, utilisées uniquement par la Pologne. Dans ces conditions, il me paraît difficile d'établir une comparaison fine, d'autant que, je l'ai dit tout à l'heure, tous les États membres n'ont pas encore établi leur nouvelle réglementation : les parlements nationaux travaillent actuellement à cette transcription du droit européen, et c'est seulement une fois que cette transcription aura été effectuée dans tous les pays que nous pourrons réellement établir un bilan.

Pour vous fournir un rapide état des lieux, je vous dirai que l'Allemagne a transposé partiellement – certains Länder n'ont pas terminé –, que l'Autriche a transposé, et que le Royaume-Uni, le Luxembourg, l'Espagne et les Pays-Bas ont déposé un projet de loi de ratification. Nous ne sommes donc pas tout à fait en retard et il sera intéressant de regarder, le moment venu, ce qu'ont fait les autres pays.

Enfin, vous regrettez que ne soient pas mentionnés le droit à l'oubli et la question de la portabilité des données, mais si ces points ne font pas l'objet de précisions, c'est qu'ils relèvent de dispositions de nature réglementaire.

M. Lachaud a exprimé ses regrets sur la précipitation dans laquelle, selon lui, nous examinons le texte, et sur la volonté du Gouvernement de légiférer par ordonnance. Il a également exprimé ses craintes d'une importante libéralisation des modalités de contrôle et de traitement des fichiers. Je reconnais que nous entendons inverser complètement la logique en vigueur puisque nous prévoyons tout à la fois de responsabiliser l'ensemble des acteurs et d'accroître les pouvoirs de contrôle de la CNIL – mais, de notre point de vue, il s'agit d'une logique beaucoup plus protectrice des citoyens. Nous nous engageons dans un bouleversement de nos procédures, certes, mais il n'y a pas lieu d'y voir une libéralisation complète des fichiers.

Je vous remercie, monsieur Peu, pour le soutien que vous apportez au texte. Vous évoquez des mesures concrètes pour renforcer la sécurité et la protection des citoyens et vous avez mentionné à juste titre le déploiement du système GALILEO qui, grâce au texte, verra d'une certaine manière sa légitimité renforcée. Je retiens également vos considérations sur le contrôle et la vente des armes, ce qui m'avait échappé au premier abord. Vous avez raison d'appeler à la vigilance sur certains points que vous relevez dans l'avis du Conseil d'État, et que la discussion permettra d'améliorer, j'en suis certaine.