Monsieur le président, madame la présidente de la commission des lois, madame la rapporteure de la commission des lois, madame la rapporteure pour avis de la commission des affaires sociales, mesdames et messieurs les députés, le projet de loi relatif à la protection des données personnelles que j'ai l'honneur de vous présenter au nom du Gouvernement a pour objet d'adapter au droit de l'Union européenne la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Il transpose ainsi, dans notre droit national, un nouveau cadre juridique européen qui entrera en vigueur en mai prochain et qui est composé de deux textes : le règlement 2016679 et la directive 2016680.
Ces deux textes européens sont l'aboutissement très attendu d'une phase de réflexion et de négociations qui a duré plusieurs années. En les adoptant, notre continent a exprimé concrètement une ambition très forte en matière de protection des données à caractère personnel.
La France a toujours été aux avant-postes de la protection des données. Nous avons été les premiers en Europe à nous doter d'un texte général protégeant les données à caractère personnel avec la loi de janvier 1978, à une époque où l'on parlait d'informatique et non pas encore de numérique. La Commission nationale de l'informatique et des libertés, la CNIL, instituée alors, a depuis servi de modèle dans de nombreux États européens.
L'avènement de l'ère du numérique et son développement exponentiel nous obligent aujourd'hui à refonder la protection juridique des données personnelles. Nos concitoyens en ressentent naturellement la nécessité. Selon une récente étude de l'institut CSA, 85 % des Français se disent préoccupés par la protection de leurs données personnelles en général, et 90 % pour ce qui concerne cette protection sur internet.
C'est dans ce contexte que la Commission européenne a présenté, en janvier 2012, deux projets définissant un nouveau cadre juridique applicable à la protection des données à caractère personnel.
La France a pris une part très active dans les négociations afin de maintenir et de promouvoir son modèle de protection, qui constitue encore aujourd'hui une référence en Europe et dans le monde. Dans le même temps, elle s'est préoccupée des conditions dans lesquelles les entreprises européennes, et particulièrement les PME, peuvent exercer leurs activités sans subir d'entraves excessives, notamment par rapport à la concurrence d'autres entreprises. Je sais que c'est d'ailleurs l'une de vos préoccupations.
Fruit d'un compromis entre des États qui avaient des approches et des intérêts parfois divergents, le paquet européen de protection des données a été adopté le 27 avril 2016. Il se compose de deux textes : d'une part, un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel , qui constitue le cadre général de la protection des données – les obligations qu'il prévoit seront également applicables aux opérateurs installés hors de l'Union européenne et offrant des biens et services aux Européens – et d'autre part, une directive qui vise les traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
Je vous propose de présenter rapidement ces deux textes puis d'évoquer la voie qu'a empruntée le Gouvernement pour les traduire dans notre droit national.
Le nouveau règlement crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l'ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l'Union européenne. C'est un point absolument fondamental : le droit européen s'appliquera chaque fois qu'un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris par internet ou par le biais d'objets connectés, tels les montres connectées ou les objets mesurant l'activité physique, et ce, quelles que soient la nature et la localisation du support de stockage et de traitement.
Le règlement crée une procédure de coopération intégrée entre les autorités de protection des données des États membres sous l'égide du Comité européen de la protection des données. C'est un progrès majeur qui permettra d'assurer une application uniforme des nouvelles obligations s'imposant aux opérateurs, notamment lorsqu'un traitement est transnational.
L'enjeu est bien ici celui de l'affirmation d'une conception européenne de la protection des données personnelles, qui diffère de celle promue par la Chine ou par les États-Unis. L'Europe entend ainsi continuer à donner l'exemple d'un continent qui sait concilier les valeurs du progrès et de la protection des droits et des libertés fondamentales. Elle agit ainsi d'une double manière : d'une part, en renforçant la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles et, d'autre part, en offrant aux opérateurs économiques un environnement attractif.
Le règlement conforte les droits déjà existants, comme le droit à l'information, tout en instaurant de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles : il permet ainsi la récupération par les personnes concernées des données personnelles qu'elles ont fournies, dans un format réutilisable, ainsi que leur transmission à un autre responsable de traitement.
C'est l'une des conditions pour fonder la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles. Cet enjeu avait d'ailleurs été mis en lumière par le rapport d'information publié, sous la précédente législature, par deux membres de la commission des lois, Mme Anne-Yvonne Le Dain et M. Philippe Gosselin, spécialiste de ces questions.
Au-delà des nouveaux droits affirmés pour les citoyens, le texte définit un environnement attractif pour des opérateurs économiques plus responsables.
Comme Mme Isabelle Falque-Pierrotin, présidente de la CNIL, a pu le souligner, le règlement européen inaugure une nouvelle ère dans la régulation en consacrant un changement de paradigme : il s'agit d'alléger considérablement les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus.
Le nouveau règlement remplace en effet le système de contrôle a priori, fondé sur des déclarations et des autorisations préalables, par un système de contrôle a posteriori, plus adapté aux évolutions technologiques ce qui est absolument fondamental si nous souhaitons développer un encadrement juridique efficace. Il appartiendra désormais à chaque responsable de traitement d'apprécier les risques que présente ce dernier.
Cette responsabilisation des opérateurs – le responsable de traitement lui-même ou son sous-traitant, conjointement responsables – se traduit par de nouveaux principes que sont, d'une part, la protection des données dès la conception et, d'autre part, la protection des données par défaut. Les responsables de traitement ont donc l'obligation d'intégrer les exigences de la protection des données personnelles très en amont de la conception de leur produit ou de leur service, et d'offrir, par défaut, au consommateur, le niveau de protection le plus élevé.
Des analyses relatives à l'impact des traitements sur la protection des données devront être conduites par les responsables de traitement lorsque celui-ci est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes.
La désignation d'un délégué à la protection des données sera obligatoire dans le secteur public. Elle le sera aussi lorsque l'activité principale d'une entreprise concerne le suivi, à grande échelle, régulier et systématique des personnes ou le traitement à grande échelle de données sensibles ou relatives à des condamnations.
Les responsables de traitement devront notifier les violations de données personnelles à l'autorité de contrôle, ainsi qu'aux personnes concernées, en cas de risque élevé pour leurs droits et libertés.
En responsabilisant les acteurs de cette manière, le projet de loi consacre aussi de nouvelles modalités de régulation, à travers des outils de droit souple. C'est également un point essentiel pour donner à cette régulation toute sa crédibilité vis-à-vis de l'ensemble des acteurs. La CNIL devra encore mieux accompagner les acteurs, notamment les PME, qui auront à s'adapter aux nouvelles obligations en matière de protection des données.
En contrepartie de ces outils du droit souples, les pouvoirs de la CNIL seront renforcés. De plus, les sanctions encourues, considérablement augmentées, sont portées jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé.
Le règlement européen ainsi décrit sommairement met donc fin à la fragmentation des régimes juridiques existant au sein de l'Union européenne, qui induit un coût évalué par l'Union à 2,9 milliards d'euros par an pour les entreprises. Il entend instaurer un climat de confiance dans l'environnement en ligne. Cette confiance, essentielle au développement économique, sera fondée sur un cadre juridique sécurisé pour les opérateurs, compatible avec la volonté d'attractivité de notre territoire, renforcée par un droit souple et précis.
L'Union européenne, nous le savons, représente aussi un marché de consommateurs important dans le domaine du numérique : il y a là un fort enjeu technologique et économique. Dans ce domaine, la France semble particulièrement bien armée car elle peut faire valoir une culture de la protection des données et une véritable expertise juridique, comme en témoigne son rôle important lors des négociations sur le règlement.
Quant à la directive, elle fixe les règles applicables à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale. Pour la première fois, l'Union entend réglementer le traitement de ces données dans un cadre national : auparavant, seuls les transferts de données d'un État membre à un autre étaient soumis à des règles européennes.
La directive s'applique donc aux traitements mis en oeuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Sont ainsi concernés en France les fichiers tels que le fichier national des empreintes génétiques, le fichier national des interdits de stade, ou encore le fameux traitement des antécédents judiciaires – TAJ.
La directive n'est en revanche pas applicable dès lors que le traitement est mis en oeuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n'est pas compétente. Elle n'est pas non plus applicable aux traitements intéressant la sûreté de l'État et la défense, qui ne relèvent pas du droit de l'Union européenne. Nous aurons l'occasion de revenir sur ce point relatif aux fichiers de souveraineté, essentiels pour assurer la sécurité de nos concitoyens dans le contexte de menace terroriste que nous connaissons depuis plusieurs années.
Les principales innovations de la directive consistent en la création en matière pénale d'un droit à l'information de la personne concernée par les données personnelles traitées et en la consécration d'un droit d'accès, de rectification et d'effacement. Ces droits s'exercent par principe de manière directe par la personne concernée auprès du responsable de traitement, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.
Avec ce règlement et cette directive, le paquet européen apporte donc une modification très profonde de notre mécanisme de protection des données personnelles.
La France, je l'ai dit précédemment, y a fortement contribué avec pour objectif tout à la fois de permettre à notre continent de répondre à ces nouveaux enjeux face aux autres acteurs mondiaux, étatiques ou non, et de promouvoir un modèle solide et opérationnel de protection des droits fondamentaux, conforme à nos aspirations.
Mesdames, messieurs les députés, je voudrais à présent m'arrêter un instant sur les conditions de transposition de ces deux textes, car je sais que c'est l'une de vos préoccupations, comme celle des acteurs concernés. Je peux vous assurer que c'est également celle du Gouvernement.
La logique même du droit européen nous oblige à un exercice de transposition objectivement compliqué. Si la directive doit faire l'objet d'une transposition, le règlement, comme tous les règlements européens, est directement applicable dans notre droit.
Par conséquent, au regard des règles européennes, le projet de loi ne peut recopier les dispositions du règlement. C'est la raison pour laquelle les dispositions directement applicables et qui se suffisent à elles-mêmes ne figurent pas dans le texte de loi qui vous est proposé, ce qui, j'en conviens, peut déconcerter.
Il en est ainsi des dispositions relatives au délégué à la protection des données ou de celles attachées aux droits des personnes concernées qui ne se retrouvent pas dans le projet de loi mais qui pourront être directement invoquées à compter du 25 mai 2018. Il faudra donc, en tout état de cause, lire cette nouvelle loi de 1978 avec le règlement européen à portée de main. Dans les faits, il faut disposer de versions commodes avec des liens hypertextes pour que tout le monde puisse s'y retrouver. En ce sens, je salue l'initiative prise par la commission des lois, qui a mis en ligne un tel outil.
Mais le projet de loi qui vous est soumis ne constitue pas seulement un simple exercice de transposition de la réglementation européenne. En effet, le règlement européen prévoit plus d'une cinquantaine de marges de manoeuvre, qui autorisent les États membres à préciser certaines dispositions. La plupart de ces marges de manoeuvre permettent de maintenir des dispositions qui existaient déjà dans notre droit national.
D'autres, en revanche, peuvent être mises en oeuvre notamment afin de prendre en compte l'évolution technologique et sociétale que la loi de 1978 ne permet pas d'appréhender aujourd'hui.
Le Gouvernement, conformément à la démarche de simplification des normes souhaitée par le Président de la République et à sa volonté d'éviter la surtransposition des textes européens, a fait le choix d'épouser la nouvelle philosophie du règlement et de supprimer la plupart des formalités préalables à la mise en oeuvre des traitements. Ce choix a notamment été salué par la Commission nationale de l'informatique et des libertés.
Le Gouvernement a cependant souhaité maintenir des formalités préalables pour les traitements des données les plus sensibles. Il en va ainsi pour les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes, pour les données génétiques ou encore pour les traitements utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques, le fameux RNIPP.
Les traitements utilisant des données de santé font aussi l'objet d'un régime protecteur et unifié. Enfin, dans le champ d'application de la directive, sont également maintenues les formalités préalables à la création de tout traitement mis en oeuvre pour le compte de l'État.
Par ailleurs, le Gouvernement n'a pas initialement souhaité user de la marge de manoeuvre permettant de fixer en dessous de seize ans l'âge à partir duquel un mineur peut consentir seul – sans autorisation parentale – à une offre directe de services de la société de l'information, c'est-à-dire, pour parler plus clairement, accéder aux réseaux sociaux. L'article 8 du règlement permet d'abaisser ce seuil jusqu'à treize ans. Votre commission des lois a fait le choix de le porter à quinze ans. Sur ce point, le Gouvernement est très attentif à vos propositions et souhaite que le débat soit réellement ouvert. Notre préoccupation commune est en effet de mieux protéger les mineurs, mais aussi de réinstaurer un dialogue au sein de la famille sur ces questions, en apportant aux parents une meilleure connaissance des pratiques numériques de leurs enfants.
Pour terminer, je voudrais dissiper un certain nombre d'incertitudes concernant l'habilitation que le Gouvernement sollicite dans le cadre du projet de loi. Le Gouvernement souhaite bien entendu que nous soyons prêts le 25 mai prochain, et nous le serons. C'est ce qui explique le choix du texte resserré qui vous est présenté, un texte qui ne remet pas sur la table l'ensemble de la loi de 1978 – ce que le droit européen n'exige nullement, comme je vous l'ai dit.
L'objet de l'habilitation qui vous est demandée est de permettre une « codification » dans la loi fondatrice de 1978 des modifications apportées à notre droit par le présent projet de loi, afin d'offrir un cadre juridique lisible à chaque citoyen et à chaque acteur économique. Il ne s'agira nullement, dans le cadre de cette réécriture, de revenir sur les choix auxquels le Parlement aura été amené lors des débats et du vote du texte.
Vous l'aurez tous compris en lisant celui-ci : l'accessibilité et l'intelligibilité du droit requièrent une réécriture générale de la loi du 6 janvier 1978, pour que celle-ci retrouve son ambition originelle : celle d'être un véritable code de la protection des données personnelles des Français. C'est le sens de cette habilitation, qui permettra d'adopter, lors de la réécriture, un plan clair, avec un titre premier rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre deuxième consacré au champ du règlement général de protection des données – RGPD – , un titre troisième dédié à la directive et un titre quatrième voué aux dispositifs applicables hors du champ de l'Union européenne.
Les travaux que vous avez menés en commission des lois ont permis de clarifier de nombreux points et de faire émerger des questions, par exemple sur les traitements des données en milieu scolaire, sur l'extension de l'action de groupe à la réparation du préjudice ou sur l'adaptation des PME au nouveau système. Grâce au travail considérable fourni par votre rapporteure, Mme Paula Forteza, ainsi que par Mme Albane Gaillot, rapporteure pour avis de la commission des affaires sociales, et Mme Christine Hennion, signataire du rapport d'information de la commission des affaires européennes, nous avons pu, je crois, améliorer très substantiellement le texte ; je vous en remercie sincèrement.
Pour conclure, je souhaite que chacun puisse mesurer la portée de cette réforme à l'aune non seulement du projet de loi qui vous est proposé mais aussi, plus largement, des textes mis en oeuvre par l'Union européenne. Or ce nouveau cadre est, je le crois, une vraie réussite pour l'Europe et les citoyens de l'Union européenne.