Intervention de Rémy Rebeyrotte

Je tiens ici à remercier tous les représentants des organismes, du monde des entreprises, des associations ou des services de l'État qui ont participé aux près de quarante heures d'auditions organisées par Paula Forteza, notre rapporteure, que je salue amicalement.

L'exercice n'était pas facile : transposer d'ici le mois de mai, dans le droit national, le « paquet européen » – règlement européen sur la protection des données et directive – permettant d'adapter la protection des données numériques personnelles aux enjeux nés du développement considérable du numérique, et s'appuyer sur les quelques marges de manoeuvre ouvertes par le droit européen pour définir l'équilibre que nous souhaitons entre liberté et protection, entre possibilité d'innovation – notamment pour les start-up du secteur – et protection des individus – questions du consentement réel, de la portabilité des données, du droit à l'oubli…

Le Gouvernement a choisi de ne pas remettre en cause les grands principes de la loi de 1978 et donc l'existence de la CNIL, car l'une et l'autre continuent à faire autorité sur le plan national comme international, même si le paquet européen modifie en profondeur les règles actuellement en vigueur.

Le passage d'un système d'autorisation a priori à un dispositif de contrôle a posteriori est un grand changement, dont découle la modification des missions de la CNIL, qui devra, dans ce cadre, opérer sa mutation et sans doute être dotée de nouveaux moyens.

Il en résulte également le renforcement du consentement explicite et de la portabilité des données, une plus grande responsabilisation de tous les acteurs, privés comme publics, traitants ou sous-traitants, avec la mise en place d'un délégué à la protection des données personnelles dans les entreprises et structures de plus de 250 salariés, des études d'impact, la labellisation d'organismes certificateurs, la formation et la pédagogie en direction de l'ensemble des acteurs.

Enfin, des sanctions plus lourdes seront prononcées en cas de faute, pouvant aller jusqu'à des amendes à hauteur de 4 % du chiffre d'affaires ou 20 millions d'euros.

Grâce à un dialogue franc et exigeant avec le Gouvernement – et je remercie Mme la garde des sceaux pour la qualité des échanges et la clarté des positions – nous avons réussi à faire bouger les lignes dans le cadre des marges de manoeuvre qui nous étaient proposées, et évité à plusieurs reprises une surlégislation, conservant l'esprit de simplification et d'ouverture du nouveau texte européen.

Plus de quarante amendements significatifs ont été adoptés sur des sujets essentiels. J'en citerai quelques-uns.

Les données génétiques et biométriques, comme les données de santé, demeurent particulièrement sensibles et protégées. Pour autant, dans la mesure où elles peuvent être anonymisées, elles doivent permettre, dans des cadres précis, de développer la recherche et l'innovation, sans allonger les démarches ni remettre en cause la protection de la personne. La CNIL devra élaborer des codes de bonne conduite et des règlements types en concertation avec les organismes publics et privés concernés.

Les personnalités qualifiées qui siégeront à la CNIL devront voir leur profil s'élargir au-delà des compétences juridiques. quant à l'âge du libre consentement pour l'accès aux réseaux numériques, prévu initialement par le texte européen à seize ans, il a été abaissé à quinze ans. Avant cet âge, l'accord explicite des parents et du jeune mineur sera exigé. Globalement, le texte renforce l'information et la pédagogie, notamment portées par l'éducation nationale, la clarté du consentement, son explicitation, l'accès et la protection des mineurs.

En cas de manquement d'un opérateur ou de l'un de ses sous-traitants, l'action de groupe a été renforcée puisqu'elle pourra se traduire par des droits à réparation ou des dommages et intérêts. L'information à destination des PMI-PME sera elle aussi renforcée, et la médiation facilitée. Au même titre que les présidents des deux assemblées, les commissions permanentes et les présidents des groupes parlementaires pourront saisir la CNIL sur les projets ou les propositions de loi relatifs aux données numériques.

Je n'ai pris que quelques exemples, mais le débat parlementaire a indiscutablement permis d'enrichir et de préciser ce texte. À cela, et c'est le propre des textes importants, il faut ajouter les débats de société qui se sont ouverts ou prolongés à travers nos échanges, portant par exemple sur la question de l'effacement des données post-mortem, pour laquelle le Gouvernement a annoncé un décret important, sur celle de l'accès facilité et souhaité à une pluralité de moteurs de recherche, sur celle de la propriété des données, de leur statut et de leur dimension patrimoniale, et sur celle de la place et de la maîtrise des algorithmes.

Pour toutes ces raisons, mes chers collègues, je veux vous remercier, car la richesse du débat a permis d'ouvrir de nombreuses portes. Nous vous invitons à voter en faveur de ce texte.