Monsieur le président, madame la ministre, monsieur le secrétaire d'État, mesdames les rapporteures, chers collègues, le texte que nous examinons aujourd'hui en séance est à la fois original et essentiel.
Original, car il n'est pas si fréquent que cela de discuter des modalités d'application d'un règlement communautaire. L'article 288 du Traité sur le fonctionnement de l'Union européenne prévoit en effet que les règlements sont directement applicables dans tout État membre. L'originalité du RGPD, le Règlement général sur la protection des données, c'est qu'il laisse une très grande marge de manoeuvre aux différents États membres, de sorte que pas moins de cinquante-sept points peuvent faire l'objet d'adaptations nationales.
Essentiel, car le sujet, la protection des données personnelles, est au coeur de toutes nos activités humaines. Or le RGPD d'avril 2016 représente, quarante ans après la loi Informatique et libertés et la création de la CNIL, une avancée majeure pour la consolidation d'un régime commun de traitement, de partage et de libre circulation protégée de nos données.
Je crois être l'une des rares personnes présentes ce soir dans l'hémicycle à avoir déjà voté sur le RGPD, et voté en sa faveur, puisque j'ai eu l'occasion de le faire en tant que membre du Parlement européen ; il m'est donc particulièrement agréable d'en débattre à nouveau ce soir.
Autant que faire se peut, nous devons être attentifs à ne pas amoindrir le travail d'harmonisation si difficilement réalisé entre les partenaires européens. Le projet de loi dont nous débattons aujourd'hui et qui transpose le RGPD cherche à trouver le meilleur équilibre possible entre, d'un côté, les droits de l'individu et les libertés individuelles et, de l'autre côté, les intérêts de l'entreprise ou de la puissance publique, en tenant compte des bouleversements en cours et à venir. Chacun est autant producteur que consommateur d'informations et de données, et chacun est de plus en plus attentif à obtenir des garanties pour la protection de ces données. Un certain nombre d'études récentes montrent que de plus en plus de personnes considèrent que la protection des données est la première source d'inquiétude pour l'usage de l'internet.
Si des marges de manoeuvre importantes sont laissées aux États membres pour transposer le RGPD, c'est bien pour adapter les dispositifs proposés à la complexité du sujet ainsi qu'à la sensibilité très forte des questions liées à l'accès aux données personnelles, notamment à des fins de sécurité publique ; c'est aussi pour permettre la prise en compte de cultures et d'histoires nationales différentes à l'intérieur de l'espace européen. Il convient toutefois de prendre garde à ne pas aboutir à l'inverse de ce que nous recherchons, en créant des contraintes et des freins inutiles, qui pénaliseraient nos entreprises, entreprises qui se sont déjà largement mobilisées pour se mettre en conformité avec le RGPD et attendent avant tout de notre part de la lisibilité. Ce nouveau règlement les responsabilise – c'est le changement de paradigme dont il a déjà été question. Il reviendra aux entreprises de démontrer qu'elles ont pris toutes les précautions nécessaires, mis en oeuvre tous les dispositifs prévus pour garantir le respect des données personnelles. La fin du système déclaratif doit permettre une approche plus dynamique de cette matière sensible.
Il nous faut envisager l'avenir avec optimisme, mais aussi faire preuve de pédagogie. La CNIL s'y emploie, de même que beaucoup d'autres organismes et cénacles. Nous devons être particulièrement attentifs à cela. C'est pourquoi nous avons, avec plusieurs collègues, déposé des amendements visant à encourager la médiation d'entreprise, plutôt que la sanction immédiate, de manière à renforcer l'accompagnement.
Pour terminer, je veux insister sur la difficulté avec laquelle a été atteint cet équilibre. Il s'agit, je le répète, d'un compromis européen inespéré, délicat, intéressant, entre, d'un côté, les libertés individuelles et le droit des individus et, de l'autre côté, les intérêts économiques. Afin de conserver cet équilibre européen difficilement atteint, il nous faut éviter tout retour à une fragmentation juridique européenne, à tout ce qui pourrait créer de l'instabilité, du morcellement, à tout ce qui aurait l'effet inverse de celui recherché.
À mon sens, le RPGD n'est pas qu'un ensemble de contraintes réglementaires, c'est aussi une occasion ; il peut constituer un levier de croissance pour nos entreprises, même s'il y a beaucoup d'investissements et de recrutements à opérer dans les années à venir, notamment au sein des petites et moyennes entreprises françaises.