Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État, mesdames les rapporteures, mes chers collègues, la protection des données n'est pas qu'une matière de spécialistes, et le texte que nous nous apprêtons à voter est d'une importance qui dépasse les quelques dizaines de députés ici présents. Les Français et les autres Européens doivent en prendre la mesure. Nos concitoyens sont impactés par ce domaine ; j'aimerais que ceux qui nous regardent ici débattre en prennent conscience. Une jeune fille de quinze ans par exemple, Lila : elle demande à ses parents si elle peut ouvrir un profil sur un réseau social, et s'ils n'y sont pas favorables, peut-elle le faire seule ? Que dire de sa cadette, douze ans, qui voit sa soeur avec envie et commence à en parler ? Emilia, quadragénaire, atteinte d'une maladie chronique et qui n'en a parlé à personne autrement qu'à ses médecins, voudrait absolument que personne ne le sache – ni son employeur, ni ses parents – , mais tient à pouvoir continuer à communiquer électroniquement avec ses soignants. Emmanuel, entrepreneur, qui a, avec des collègues de la même zone de chalandise, un projet pour échanger leurs fichiers clients et ainsi trouver des synergies pour mieux vendre. Rodrigo, jeune étudiant en école d'ingénieur et en troisième cycle à l'étranger, cherche du travail en recherche et développement dans une start-up dans le domaine de l'intelligence artificielle, mais la vidéo d'une soirée étudiante, dite spring break, un peu arrosée, est présente sur le web et peut desservir sa candidature. Ces quelques exemples peuvent être démultipliés à l'envi : ils incarnent bien les conséquences pratiques du texte que nous étudions ce soir. Celui-ci est sans doute le plus important pour les dix ou quinze prochaines années concernant la législation applicable aux données numériques et à leur traitement.
Dans notre société numérique, les données – qu'elles soient personnelles ou non – sont partout. Le terme « data » est quant à lui utilisé à tout bout de champ mais, paradoxalement, le concept reste obscur pour la grande majorité des citoyens. Cette lacune nous conduit soit à sous-estimer l'impact de ces données dans nos vies quotidiennes, soit à nourrir des craintes à leur égard – qu'elles soient fondées ou irrationnelles. En effet, nous avons aujourd'hui énormément de mal à appréhender la quantité d'informations qu'un tiers peut obtenir ou déduire de notre activité sur internet. À travers nos recherches, nos échanges, les sites que nous visitons, nous semons les morceaux d'un puzzle qui permet de dresser un portrait de nous, de nos habitudes, mais aussi de notre personnalité et de nos idées. Les usages potentiels de nos données personnelles sont proprement vertigineux et il nous faut entendre et comprendre les inquiétudes que cela génère. Ces craintes naissent notamment de la mauvaise connaissance de ces problématiques et des droits dont nous disposons. Ceux-ci existent pourtant, et ont vocation à être renforcés par ce texte – j'y reviendrai. D'un côté, il est nécessaire de faire preuve de pédagogie afin de sensibiliser le plus grand nombre et d'informer les citoyens sur leurs droits, sur les usages et les risques liés au traitement des données à caractère personnel ; de l'autre, nous ne devons pas répondre à leur inquiétude par une réglementation excessive, qui risquerait de pénaliser les entreprises et de nuire à l'attractivité de notre territoire. L'utilisation des données personnelles dans le cadre d'activités économiques n'est pas en elle-même néfaste. En effet, le modèle économique de nombreuses entreprises est aujourd'hui fondé sur un usage cohérent et justifié des données de leurs clients. Cela ne concerne pas que les start-up du numérique, c'est une réalité pour toutes les entreprises qui exploitent un fichier clients.
L'évolution de la société et des usages numériques rendait nécessaire l'évolution de notre législation en la matière. Si la France, cela a déjà été souligné plusieurs fois, fut longtemps précurseur avec sa loi Informatique et libertés, adoptée le 6 janvier 1978, il était aujourd'hui temps de faire évoluer celle-ci pour qu'elle réponde aux problématiques actuelles. Nous pensons, au groupe MODEM et apparentés, que la force de ce projet de loi d'habilitation vient de son ancrage européen. En effet, les frontières sont délicates à tracer pour les échanges de données personnelles. Il était donc nécessaire d'harmoniser les règles sur l'ensemble du territoire européen. Le « paquet données personnelles » permettra de faire de l'Union européenne un espace de sécurité pour les citoyens et d'attraction pour les entreprises, avec une vraie lisibilité des règles applicables. De plus, cette harmonisation permettra d'éviter que des entreprises choisissent de s'installer dans l'État où le droit leur est plus avantageux. Le présent projet de loi intègre en droit interne les dispositions du « paquet données personnelles » en adaptant la loi Informatique et libertés. Certains aménagements de la loi de 1978 seront réalisés par ordonnance, comme le prévoit l'article 20. Nous comprenons ce choix de recourir à une ordonnance pour ce qui sera essentiellement de la codification. Néanmoins, je tiens à signaler ici que le groupe MODEM et apparentés sera particulièrement attentif, lors de l'examen du projet de loi de ratification, à la manière dont sont intégrées en droit français certaines notions – je pense notamment à celle du consentement et à sa matérialisation – dans l'hypothèse, bien sûr, où l'amendement sur ce point déposé par mon collègue Erwan Balanant ne serait pas adopté.
Dans l'ensemble, nous sommes satisfaits des choix opérés par rapport aux marges de manoeuvre autorisées par le règlement européen. À notre sens, elles ont été utilisées lorsque cela était nécessaire, sans trop en user, pour favoriser l'application directe du règlement et ainsi oeuvrer dans le sens de l'harmonisation européenne. Nous nous félicitons ainsi des aménagements concernant la coordination entre autorités nationales de protection des données, à travers le mécanisme d'autorité chef de file. Le dispositif nous semble de nature à faciliter les démarches pour les responsables de traitement et à favoriser le dialogue et la concertation entre CNIL européennes, nécessaires à l'émergence d'une jurisprudence cohérente et efficace à l'échelle de l'Union. Par ailleurs, le changement de paradigme dans les rapports des usagers avec la CNIL nous paraît tout à fait souhaitable. En passant d'une logique d'autorisation a priori à un contrôle a posteriori, on allège la charge de travail de la CNIL pour laisser les agents se concentrer sur d'autres missions ; de plus, l'introduction de programmes de mise en conformité au sein des entreprises favorisera la sensibilisation et la responsabilisation de l'ensemble des services, ce qui n'est pas vraiment le cas actuellement. Nous nous félicitons d'ailleurs de trois amendements de la rapporteure adoptés en commission visant à prendre en compte les besoins spécifiques des petites et moyennes entreprises.
Nous sommes également satisfaits de l'abaissement du seuil de consentement pour le traitement des données personnelles à l'âge de quinze ans, décidé en commission. Nous étions plusieurs à partager cette position, que nous pensons cohérente tant avec l'âge du consentement sexuel qu'avec la maturité des adolescents. C'est pourquoi le groupe MODEM et apparentés s'opposera aux amendements visant soit à revenir à l'âge de seize ans prévu par le règlement, soit à abaisser davantage cet âge.
Par ailleurs, nous pensons que la marge de manoeuvre concernant la protection des données sensibles a globalement été utilisée à bon escient, à une exception près, que je souhaite développer ici : je veux parler des données scolaires. En effet, vous n'ignorez pas que de grandes entreprises – telles que Google ou Microsoft – développent des outils pédagogiques à destination des enseignants et des élèves. Ces outils sont souvent gratuits, mais vous savez ce qu'il y a derrière un service gratuit sur internet. Dès lors, il nous paraît essentiel de protéger davantage les données scolaires afin de protéger les données personnelles des élèves. C'est pourquoi nous vous proposerons deux amendements, l'un visant à prévoir une sensibilisation aux données personnelles dans le cadre du brevet informatique et internet des collégiens – le B2i – , l'autre visant à créer un régime spécifique et protecteur concernant les données scolaires.
Nous avons également déposé un amendement visant à permettre le recours à la médiation préalable – et facultative – en cas de non-exécution ou de non-réponse à une demande d'effacement des données personnelles. En effet, le droit actuel prévoit la saisine immédiate de la CNIL lorsqu'un citoyen rencontre une difficulté à faire usage de ce droit. Nous pensons qu'ouvrir la possibilité d'une médiation est de nature à soulager les services de la CNIL afin de pouvoir plus facilement la solliciter lorsqu'il y a une difficulté sérieuse et tenace.
Enfin, s'agissant des actions de groupe, nous sommes satisfaits que la commission ait choisi d'ouvrir la possibilité d'obtenir des réparations en cas de préjudice à la suite d'un manquement aux règles concernant les données personnelles. Cependant, il nous semble qu'il faudrait permettre de faciliter l'introduction des actions de groupe, notamment dans ce domaine. En effet, pour le moment, une telle procédure n'est permise que par le biais d'associations agréées. Les conditions de l'agrément étant assez sévères, nous vous proposerons de permettre, uniquement lorsque les associations normalement compétentes ne sont pas en mesure de faire droit aux demandes des justiciables, de recourir à un avocat pour intenter une action de groupe en matière de protection des données personnelles.
Voilà, mes chers collègues, notre position. Le groupe MODEM et apparentés soutient ce texte, qui, je le répète, est nécessaire. Il permettra à la France et à l'Union européenne de se positionner en précurseurs en matière de protection des données personnelles.