Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission, mesdames les rapporteures, mes chers collègues, la France fait partie des premières nations européennes à s'être dotées d'un cadre juridique et institutionnel protecteur des données personnelles, avec la loi du 6 janvier 1978 relative à l'informatique et aux libertés, dont nous venons de fêter les quarante ans. Les principes fondateurs de cette loi ont fait preuve d'une remarquable longévité, si bien que leur première actualisation n'est intervenue qu'en 2004.
Pour autant, les bouleversements technologiques n'ont pas cessé depuis lors. Dans les secteurs du cloud computing, de l'internet des objets ou de l'intelligence artificielle, les modèles d'affaires sont tout entier tournés vers la collecte, le traitement et l'analyse de volumes toujours croissants de données. Incontestablement, la donnée est devenue l'or noir de demain : sans exploitation des données, pas de véhicule autonome, pas de smart cities, pas d'intelligence énergétique, pas d'optimisation des flux logistiques, pas d'algorithmes suffisamment performants.
Nos concitoyens sont conscients des avancées permises par le numérique. Ils sont demandeurs de solutions innovantes et personnalisées, qui faciliteront leur quotidien et dynamiseront la création de richesse en France et en Europe. Cependant, et ne nous y trompons pas, ils font également preuve d'une conscience aiguë des risques de déstabilisation engendrés par le numérique. Propagation des fake news, automatisation de l'emploi, outils de surveillance de masse, cyberattaques : autant d'exemples qui interrogent les bienfaits supposés de la technologie.
Depuis longtemps, peut-être trop longtemps, les discours tenus sur le numérique participent d'un régime anxiogène, bien éloigné des promesses émancipatrices des pionniers de la Silicon Valley. À l'évidence, les outils numériques sont bien ce pharmakon, tout à la fois remède et poison, utilisé pour le meilleur ou pour le pire. En cette matière, le législateur occupe une place bien particulière : par ses choix, il définit l'équilibre subtil que doit viser la réglementation. Et celui qui nous occupe est bien identifié : favoriser, autant que possible, l'innovation tout en garantissant une protection élevée des droits fondamentaux, en particulier le respect de la vie privée.
Les deux textes européens qu'il nous appartient d'incorporer dans notre droit interne s'inscrivent parfaitement dans cette logique. Je veux en particulier insister sur l'approche retenue par le règlement général sur la protection des données personnelles. D'une part, le RGPD consacre un changement de paradigme en matière de régulation. Il allège les formalités préalables au bénéfice d'un contrôle a posteriori, plus à même de responsabiliser les acteurs et d'accompagner leur développement économique avec toute la plasticité nécessaire que permet le recours à des instruments de droit souples.
D'autre part, le règlement ne cède rien sur le volet « protection des droits » : en témoignent les dispositions relatives au droit à la portabilité des données, aux principes de privacy by default– protection de la vie privée par défaut – et de privacy by design– protection de la vie privée dès la conception – ou encore celles visant à garantir un consentement libre et éclairé de l'utilisateur lorsque ses données personnelles sont recueillies.
Ces dernières innovations correspondent pleinement aux valeurs humanistes sur lesquelles l'Europe s'est construite. Elles permettront à nos concitoyens de retrouver une forme de souveraineté sur leurs données, préalable indispensable pour renforcer leur confiance dans les services numériques. En ce sens, le RGPD constitue bien un avantage compétitif décisif pour l'Europe. Son extraterritorialité protégera nos entreprises face à la concurrence internationale en exigeant des entreprises étrangères qu'elles adoptent les mêmes standards de protection, et constituera un formidable outil de soft power au service d'une industrie numérique plus éthique et transparente.
C'est pourquoi il nous incombe aujourd'hui de rester fidèles aux grands équilibres du RGPD, sans pour autant nous interdire quelques réglages plus fins, afin qu'ils irriguent au mieux les pratiques. Je pense ici, en particulier, à la nécessité de prévoir des modalités d'usage des services numériques conduisant à ce que le consentement de l'utilisateur ne soit ni présumé, ni induit. Sans doute aurons-nous l'occasion d'y revenir au cours de nos débats.
Pour finir, en tant que membre de la commission des affaires économiques, je veux saluer la qualité des échanges auxquels j'ai participé en commission des lois. Je tiens notamment à vous remercier, madame la ministre, pour votre engagement sur ce texte et pour l'esprit d'ouverture avec lequel vous avez abordé son examen. Je souhaite également remercier mes collègues rapporteures pour leur implication et le sérieux de leur travail sur ce sujet éminemment important pour nos concitoyens et nos entreprises. Puissions-nous une nouvelle fois nous montrer à la hauteur de leurs attentes. Et si, j'en suis sûr, l'égalité, la fraternité et la liberté inspireront nos travaux ce soir, je forme le voeu que la neutralité, la portabilité et la sérendipité nous guident.
Je ne quitterai pas cette tribune sans avoir une pensée pour celle qui aurait eu cinquante et un ans samedi dernier, je veux parler de Corinne Erhel.