Je voulais commencer en vous indiquant que ce projet de loi était attendu depuis longtemps. Il est le fruit d'un travail commun des CNIL européennes dans le cadre du G29, travail qui a largement inspiré les institutions de l'Union européenne lorsqu'elles ont élaboré le règlement et la directive que nous avons à présent à transposer dans notre droit national.
Ce paquet européen de protection des données est, comme nous l'avons jusqu'à présent entendu, globalement consensuel. Pour l'essentiel, il permettra à la CNIL d'exercer ses missions de contrôle de manière plus ciblée et, espérons-le, plus efficace.
L'article 1er du projet est emblématique du changement qu'emporte la nouvelle architecture de la protection des données personnelles en Europe. En effet, à la déclaration préalable auprès de la CNIL ou à l'autorisation du traitement automatisé de données personnelles par celle-ci se substitue une sécurisation – par l'organisation qui les récupère et les exploite – qui doit être conforme aux standards et aux référentiels établis par cette même autorité administrative.
Nous passons donc d'un régime d'autorisation préalable à un dispositif d'auto-évaluation des risques par les personnes créant et gérant des traitements de données : il s'agit d'une nouvelle logique de responsabilité, qui inspire également le projet de loi pour un État au service d'une société de confiance.
Cette philosophie exige, pour être couronnée de succès, un intérêt fort des acteurs à bien se comporter. En effet, les sanctions, quelles qu'elles soient, ne répareront pas, vous le savez, le préjudice subi.
Ce projet de loi confère ainsi à la CNIL un pouvoir nouveau, celui d'énoncer un cadre de référence, c'est-à-dire d'exercer un soft power qui entraînera les organisations vers une sécurisation croissante.
À ce titre, elle exercera un pouvoir d'agrément des organismes certificateurs. Elle pourra en outre certifier des personnes, des produits, des systèmes et des procédures.
Passer d'un système de déclaration et d'autorisation à un système d'exercice responsable, au sens où l'on répond de ce que l'on fait, constitue un véritable pari.
Il mérite d'être lancé, dès lors que les pouvoirs de contrôle de la CNIL sont sérieusement accrus et les sanctions qu'elle pourra prononcer en cas de manquement notablement alourdies.
En effet, les amendes qu'elle sera en mesure d'infliger pourront demain s'élever jusqu'à 20 millions d'euros ou, comme cela a été dit, 4 % du chiffre d'affaires mondial de l'entreprise concernée. La dissuasion doit en effet être au rendez-vous.
Que ce texte soit globalement consensuel ne signifie pas pour autant qu'il est exempt de toute critique. En premier lieu, je me dois de souligner une erreur factuelle qui s'est glissée dans l'exposé des motifs : non, ce projet de loi ne créé nullement le droit à l'oubli, pas plus que le droit à la portabilité des données, puisqu'ils ont été consacrés par la loi du 7 octobre 2016 pour une République numérique. Cela méritait d'être rappelé.
En second lieu, c'est comme souvent par ses lacunes que pèche ce projet de loi. À cet égard, la CNIL a, dans son avis du 30 novembre 2017, regretté « que d'autres propositions n'aient pas été retenues, tendant notamment à l'ajout de garanties supplémentaires lors de l'utilisation de traitements algorithmiques débouchant sur l'adoption de décisions administratives ».
En effet, bien que la commission des lois ait, à l'initiative de la rapporteure, renforcé les obligations d'information de l'administration en prévoyant que l'explication du fonctionnement de l'algorithme devait être intelligible, ces éléments d'information ne seront communiqués qu'aux personnes en formulant la demande.
L'ensemble de ce dispositif repose sur une fiction : celle d'administrés disposant du temps et de l'énergie nécessaires pour adresser de telles demandes d'explication à l'administration.