Madame la ministre, monsieur le secrétaire d'État, mesdames les rapporteures, mes chers collègues, les données personnelles sont les informations qui permettent de nous identifier en tant qu'individu : le lieu où l'on habite, notre genre attribué, ce à quoi on ressemble, notre état de santé, notre orientation sexuelle, nos données biométriques, nos données bancaires. Elles renvoient aussi à nos courses sur internet, à notre commande de pizza, à nos achats en supermarché avec une carte de fidélité, à notre activité sur Facebook ou sur les sites de rencontres en ligne, à nos trajets de jogging habituels, à notre utilisation de Google, etc. La collecte de données personnelles est l'opération par laquelle sont accumulées des données sur notre identité, qui permettent de nous traquer en tant que consommateur et consommatrice ou en tant que citoyen et citoyenne. Ainsi, ce que nous sommes est une devise. Cela n'est pas nouveau ; cependant ce n'est pas notre force de travail qui est achetée ici, mais notre vie privée et la manière dont on décide de la définir.
Le numérique permet, d'une part, une collecte massive de ces données – le big data –, mais aussi le croisement de différents éléments, qui peuvent apparaître anodins, pour obtenir des données sensibles. Imaginons qu'une application qui enregistre les performances sportives – par exemple de jogging – soit fortement utilisée par le personnel militaire sur des bases situées dans des lieux sensibles. Si, enregistrant les mouvements de ses utilisateurs, elle permettait de publier une carte de leurs trajets, ces données qui semblaient anodines pourraient menacer la sécurité de bases militaires françaises à l'étranger. Je fais ici référence à l'application Strava, mise en exergue par un article du Monde daté du 29 janvier dernier. Pour l'instant, l'application garde heureusement les données anonymes, ce qui les rend imprécises ; mais l'avenir peut nous réserver quelques surprises. La protection des données personnelles à l'ère du numérique est donc un enjeu démocratique fondamental, puisque contrôler la collecte des données personnelles et l'usage qui en est fait, c'est garantir l'un des éléments qui distinguent la démocratie du totalitarisme : le droit à la vie privée. Ce risque de totalitarisme peut venir de l'État, mais il vient en réalité plus sûrement des GAFA – Google, Apple, Facebook, Amazon.
Ce que je viens de faire – définir les termes clés et quelques-uns des enjeux liés aux données personnelles à l'ère numérique – , ce travail d'information, est l'une des missions clés de la CNIL. Cependant nombre de nos concitoyens et concitoyennes ne connaissent malheureusement pas ou mal cette autorité administrative indépendante et selon nous, sa mission d'information et de formation à la protection des données sensibles n'est pas assez développée pour rendre compte des enjeux de l'éducation au numérique. La France insoumise a déposé des amendements en vue d'étayer cette fonction. La loi que nous discutons aujourd'hui, hélas, loin de renforcer la mission d'information de la CNIL, lui retire en plus le rôle principal qu'elle a assuré jusqu'à aujourd'hui : celui de contrôler a priori que les structures traitant des données personnelles n'enfreignent pas les règles de respect de la vie privée. Ce texte fait de la CNIL une instance de contrôle essentiellement a posteriori des entreprises et des institutions, permettant de s'assurer que celles-ci respectent les règles mises en place. C'est un système très insatisfaisant.
D'abord, les moyens humains et financiers de la CNIL ne lui permettront pas d'assurer un réel contrôle systématique a posteriori, là ou un système d'autorisation oblige l'examen. Surtout, cette évolution va à rebours de la course à la collecte des données numériques en réduisant l'intensité du contrôle de la CNIL, alors que la numérisation de notre quotidien est de plus en plus importante et que les techniques de croisements des données se perfectionnent à une vitesse folle. En réalité, la raison sous-jacente à ce changement de paradigme, déjà souligné par les orateurs précédents, réside dans l'explosion du marché de la collecte des données. Cette réforme laisse le champ libre aux très grandes entreprises de l'internet pour s'enrichir sur notre vie privée, les profits de certaines d'entre elles équivalant aux PIB d'États. Pour ces géants, les sanctions prévues dans ce projet de loi, lorsque par hasard la CNIL effectuerait un contrôle, constituent des sommes risibles, qui peuvent être prévues dans leurs budgets annuels. Ce changement de paradigme est un choix politique national, la directive européenne laissant aux États membres toute latitude dans ce domaine. Le gouvernement Philippe doit prendre la responsabilité de ses choix politiques et ne pas se défausser tantôt sur le Conseil constitutionnel, tantôt sur l'Union européenne, et les jours de grand vent, sur les deux à la fois.
Vous l'aurez compris, nous ne voterons pas ce texte en l'état. Je note d'ailleurs avec amusement que l'intervention de Mme Forteza mentionnait l'éducation à la protection des libertés individuelles, la transparence des travaux de la CNIL ou le contrôle des algorithmes – autant de questions mises en avant par la France insoumise, qui ont fait l'objet d'une dizaine d'amendements en commission, systématiquement rejetés par la majorité ! Je pourrai vous les citer dans le débat, j'en ai la liste complète. Nous avons abondamment amendé le texte issu des travaux de la commission. La France insoumise propose la consécration de la neutralité du net, l'interdiction de profilage à but lucratif, le contrôle citoyen sur les algorithmes ayant une importance particulière – par exemple Parcoursup – et l'interdiction du croisement de données non sensibles pouvant permettre d'obtenir des données sensibles. Nous sommes pour renforcer la CNIL en l'ouvrant à la société civile et au contrôle citoyen, et en rendant son fonctionnement plus transparent, qu'il s'agisse du processus décisionnel ou de la lutte contre les conflits d'intérêts. Enfin, nous proposons de lutter contre la mainmise et l'impunité des GAFA en créant des sanctions barémisées et pouvant s'avérer réellement élevées. Pour parer d'emblée à la critique que nous pressentons venir, La France insoumise voit également le potentiel extraordinaire, pour les progrès sociaux, démocratiques, environnementaux et scientifiques, d'une collecte de données correctement anonymisée et à but non entièrement lucratif. Ce territoire législatif – la révolution numérique pour toutes et tous au service de l'intérêt général – , la France insoumise a bien l'intention de l'investir.