Intervention de Paula Forteza

Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission des lois, chers collègues, nous avons célébré le 6 janvier dernier les quarante ans de la loi Informatique et libertés, par laquelle notre pays, précurseur en la matière, s'est doté d'un cadre juridique et institutionnel ambitieux en vue de mettre « l'informatique [… ] au service de chaque citoyen », ainsi que le dispose l'article 1er de cette loi.

Aujourd'hui, nous allons débattre d'un projet de loi qui aura pour effet de modifier profondément ce cadre juridique et comporte des conséquences nombreuses et transversales – comme en témoigne la présence sur nos bancs de collègues appartenant aux commissions des affaires européennes, des affaires économiques et des affaires sociales.

Comme l'ont indiqué Mme la garde des sceaux et M. le secrétaire d'État, ce projet de loi adapte notre droit au nouveau cadre juridique européen, composé, d'une part, du règlement général sur la protection des données et, d'autre part, de la directive sur les fichiers de police et de justice, qui entreront tous deux en vigueur en mai 2018. Ces textes européens sont l'aboutissement d'une longue phase de réflexion et de négociation et symbolisent l'ambition de notre continent dans le domaine de la protection des données personnelles : l'ambition de construire un écosystème numérique plus éthique, plus ouvert et plus décentralisé que celui qui existe par exemple aux États-Unis ou en Chine.

De ce point de vue, je me réjouis que le Gouvernement ait choisi d'utiliser raisonnablement les marges de manoeuvre offertes par le règlement et la directive dans le cadre d'une démarche d'harmonisation européenne. Ce choix était d'autant plus important qu'il nous faudra nous inscrire demain dans une coopération européenne renforcée – c'est l'une des conditions d'une protection effective des données des citoyens européens.

Les nouvelles règles en la matière tirent les conséquences des bouleversements technologiques survenus dans le traitement des données, dont le cloud computing, l'internet des objets et l'intelligence artificielle. Elles reposent sur un changement de paradigme, à la fois protecteur des personnes et propice à l'innovation numérique et à l'entrepreneuriat. Je citerai notamment à cet égard l'allégement des démarches administratives, qui facilitera l'accès aux données ou réduira les délais impartis avant d'autoriser leur traitement, favorisant ainsi l'innovation ; la responsabilisation des acteurs et le recours à des dispositifs de droit souple, qui offrira plus de flexibilité au régulateur pour s'adapter aux avancées techniques, lesquelles sont rapides et imprévisibles ; la portabilité des données et l'extraterritorialité des normes, à même de favoriser une concurrence loyale pour les entreprises européennes ; le rôle accru de la CNIL dans l'accompagnement des entreprises, qui contribuera à niveler le terrain de jeu pour les petites et moyennes entreprises.

En effet, une attention particulière devra être accordée à ces dernières, parfois encore éloignées de la mise en conformité – même si l'on assiste à une véritable prise de conscience de la vulnérabilité de certaines données et que les entreprises souhaitent rattraper leur retard en la matière pour accroître leur attractivité. Voilà pourquoi la commission des lois a adopté plusieurs amendements visant à prendre en considération leurs spécificités, en particulier concernant l'élaboration des outils de droit souple de la CNIL tels que les codes de bonne conduite ou la certification.

Sans renoncer à l'ambition gouvernementale de respecter le plus possible le consensus qui s'est dégagé entre les États membres, la commission des lois a adopté des dispositions allant plus loin que l'intention initiale du Gouvernement.

Tout d'abord, les personnes ayant subi une violation des règles en vigueur pourront obtenir réparation de leur préjudice matériel et moral par l'intermédiaire d'une association régulièrement agréée, au-delà de la seule constatation du manquement. Cette disposition aligne le régime de l'action de groupe en matière de données personnelles sur celui de l'action de groupe en matière de discriminations ou d'environnement, et permet aux personnes un recours effectif dans un domaine dont la grande technicité et la complexité inhibent les plaintes individuelles.

La deuxième évolution concerne la protection des mineurs face au traitement de leurs données. La commission a abaissé à quinze ans l'âge à partir duquel un mineur peut consentir seul au traitement des données personnelles qui le concernent. Je n'ignore pas la difficulté de légiférer sur ce type de question, et je sais que nous aurons à en débattre. Cette évolution est le résultat d'un compromis délicat, ainsi que des auditions et des consultations que nous avons menées sur le sujet. J'ai également déposé un amendement qui clarifie les règles applicables aux mineurs de moins de quinze ans, afin de prévoir le double consentement du mineur et de ses parents.

La troisième évolution s'inscrit dans une logique générale d'amélioration des connaissances du numérique. Cela passe, certes, par une sensibilisation sur ces enjeux auprès des entreprises, de la société civile et des citoyens, mais cela doit aussi se faire auprès du législateur. C'est pourquoi, dans un souci d'amélioration des textes législatifs touchant au numérique, nous ouvrons la possibilité pour les commissions permanentes de saisir la CNIL lors de l'étude d'une proposition de loi. Les débats à venir nous permettront de nous interroger sur la possibilité d'approfondir encore cette exigence de qualité législative.

Sur d'autres sujets, la commission a fait un travail de clarification et de mise en cohérence des dispositions proposées, ce qui a permis de répondre à certaines remarques qui nous étaient apparues pertinentes au cours des auditions, notamment sur l'encadrement des données biométriques, génétiques et de santé, qui présentent une sensibilité particulière.

Au cours de la discussion, je vous proposerai de nouveaux enrichissements du texte en faveur, par exemple, d'une plus grande transparence des travaux de la CNIL, de l'éducation à la protection des données personnelles ou de l'encadrement des algorithmes. Nous aurons également d'autres sujets de discussion, notamment sur le contrôle des huit fichiers de sûreté qui échappent aujourd'hui aux prérogatives de la CNIL – sujet sur lequel je souhaiterais obtenir quelques précisions de la part du Gouvernement. Nous aurons aussi à débattre de la pertinence d'établir un droit de propriété sur les données personnelles. Cette position a trouvé un écho dans les médias pendant ces dernières semaines ; je ne la partage pas.