Intervention de Bastien Lachaud

Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, mon camarade François Ruffin a exposé à cette tribune les vertus de la fonction recherche, autrement connue par les aficionados sous l'appellation « Ctrl + F ». Elle ne permet certes pas d'apprécier la cohérence d'un texte, mais au moins de vérifier en quelques secondes s'il passe à côté d'un point essentiel dans la recherche. En l'occurrence, c'est malheureusement le cas. Alors que le monde entier s'ébranle à la suite des révélations du lanceur d'alerte Christopher Wylie, ce projet de loi ne comporte aucune mention de la collecte et de l'utilisation frauduleuses de données personnelles en vue de perturber des élections. L'affaire Cambridge Analytica met Facebook et ses dirigeants sur la sellette : le Sénat américain enquête ; la Chambre des communes britannique enquête ; en Allemagne et au Nigeria aussi des enquêtes sont diligentées. Or, en France, nous débattons d'un projet de loi sur la protection des données personnelles qui n'effleure même pas la question, malgré vos affirmations de dernières minutes.

Alors que le Président de la République fait tourner son monde et menace la liberté d'expression en parlant de fake news, son gouvernement et sa majorité n'ont pas vu venir, ou ne veulent pas le voir, qu'une menace plus grave encore pèse sur la démocratie, qu'une menace plus insidieuse encore et donc plus dangereuse plane sur la sincérité même des élections. Cette menace, c'est celle de la manipulation des consciences à la faveur de la collecte indue d'informations personnelles. Le président de la première puissance du monde doit-il son élection à ce genre de procédé ? Le Royaume-Uni est-il en train d'organiser son départ de l'Union européenne parce que quelques aigrefins de la communication se sont adjugé les services de savants sans conscience ? Voilà qui mériterait qu'on en discute ; voilà qui mériterait l'attention du législateur !

Mais de cela, il n'est pas question dans ce texte. Je gage que la mauvaise foi pourrait vous faire dire qu'en parlant ainsi je suis hors sujet, mais je dirais plutôt que c'est la preuve que votre texte est hors sujet. Comment, en effet, pourrait-on admettre que ce texte est abouti et ne mérite pas d'être renvoyé en commission s'il ne donne pas les moyens de protéger nos concitoyens de l'utilisation de leurs données pour dévoyer la démocratie ?

Qu'on me permette de résumer assez brièvement le problème : la société Cambridge Analytica, une filiale de la société britannique SCL Group, a aspiré les données de 80 millions d'utilisateurs de Facebook, et, à partir de ceux-ci, ce sont 250 millions à 300 millions de personnes dont les vies ont été examinées. Laurent Solly, vice-président de Facebook, a admis que des Françaises et des Français sont concernés et a promis de les en informer. Pour ma part, j'ai un doute. En tout état de cause, les goûts et les pensées de millions de personnes ont été fichés, les informations ont été croisées, on a fait la cartographie de leurs personnalités, sondant leurs intentions avant même qu'elles fussent venues à leur propre conscience.

Pourquoi faire ce travail d'espionnage intime qui n'a rien à envier aux pratiques de la STASI ? Pour réaliser le fantasme de tous les despotes : tenir, retenir ou orienter la main du peuple au moment où il exerce sa souveraineté, c'est-à-dire au moment de voter ! Au moment de faire un choix crucial, des millions de personnes ont fait l'objet d'un matraquage subreptice, leur for intime a été forcé à leur insu. À la délibération libre, à l'échange libre et conscient d'arguments, ont été substitués l'endoctrinement, le bourrage de crâne 2. 0 par les propagandistes d'un fascisme du XXIe siècle, à l'instigation notamment d'un milliardaire réactionnaire et de Steve Bannon, le grand ami de Mme Le Pen, l'invité d'honneur du congrès de son parti. On peut s'étonner que, devant ce genre de périls, le texte que nous soumet le Gouvernement reste coi.

Mais il manque aussi le traitement des questions matérielles de sécurité et ce qui doit relever de la souveraineté sur les données de notre population. Prenons l'exemple a priori très simple des data centers. Aujourd'hui, notre souveraineté s'arrête aux portes de ces immenses boîtes noires où transitent et sommeillent des milliards d'informations personnelles, alors qu'agrégées les unes aux autres, elles donnent une image de notre pays tout entier, de sa population, de ses forces et de ses vulnérabilités. Il est étonnant que le parti de la disruption ne se soit pas préoccupé de ce sujet dans un texte sur les données personnelles.

L'exploitation des données, l'open data, cette mine de croissance à l'évocation de laquelle s'extasient les thuriféraires de la start-up nation, tout ce qui leur fait briller les yeux peut aussi et surtout constituer le talon d'Achille d'une nation, fût-elle technologiquement avancée. Savez-vous, mes chers collègues, que les responsables de l'administration chargée d'assurer la cybersécurité de notre pays ne peuvent pas répondre si on leur demande où sont stockées les données de l'assurance maladie, ni sans doute si on leur demande où sont stockées les données de l'éducation nationale ? Alors que l'histoire récente aurait dû nous instruire, aurait dû hâter l'action des gouvernements pour mettre notre peuple à l'abri des espionnages de toutes sortes, rien, dans ce texte, ne le permet sérieusement. Mais où donc, en quels pays sont les serveurs qui abritent nos données et de quel droit dépendent-ils ? « Abritent », le mot est bien mal choisi puisqu'elles y sont conservées comme une pâture dans une chambre froide avant de rassasier je ne sais quelle puissance hostile ou déloyale.

Ou plutôt, je me dois d'apporter un correctif car je ne sais que trop bien quel genre de puissance se repaît depuis des années des données de ses alliés… En vertu d'un privilège juridique et politique exorbitant que notre naïveté, ou plutôt notre lâcheté, leur accorde, les États-Unis, via leurs agences de renseignement pléthoriques, dont la NSA – National Security Agency – est seulement la plus connue, ont table ouverte, chez nous, au banquet de la donnée. À ce propos, quel fut le rôle des données collectées par la NSA dans l'affaire de la vente d'Alstom à General Electric ? Cette vente a marqué une véritable perte de souveraineté industrielle pour notre pays. N'y a-t-il pas là matière à légiférer ? Ne devrions-nous pas inscrire dans la loi l'obligation non seulement pour l'État mais aussi pour les sociétés privées de disposer de leur data center sur le territoire national, relevant du droit français et non pas américain, à l'abri des mouchards en tout genre ?

On me répondra que la directive de 2016 ici transposée apporte de notables avancées dans la protection des données personnelles. Je n'en disconviens pas. Mais il suffit de les énoncer pour se dire que seuls un minimum de droits sont garantis et qu'il y a encore du chemin avant de mettre nos concitoyens hors de portée des GAFAM – Google, Amazon, Facebook, Apple, Microsoft – et autres vilains curieux. Il est heureux que le consentement des utilisateurs doive dorénavant être explicite pour autoriser la collecte de données, mais encore faut-il s'assurer que le consentement n'est pas arraché du fait des complications qu'induirait un refus de leur part ! Lorsque l'on achète un téléphone, on accepte le partage des données en l'activant ; sinon pas de téléphone. Tout le monde sait combien il est difficile de se soustraire à la pression des organes qui vivent de la collecte, du traitement et de la revente de données. Comment allons-nous agir pour garantir que les entreprises susceptibles de collecter ou d'exploiter des données ne changent pas sans cesse leurs conditions d'utilisation ? Comment allons-nous faire pour que ces conditions d'utilisation deviennent vraiment lisibles pour le profane ? Je suis au regret de vous le dire qu'après le vote de ce texte, la situation des utilisateurs ne sera guère caractérisée par la limpidité.

Et voilà bien un autre aspect de ce texte qui justifie son renvoi en commission : il n'a pas toute l'ambition qu'il prétend. Une illustration de ce problème : les codes de conduite que les entreprises sont incitées à élaborer. L'incitation est un médiocre moyen quand on veut obtenir des résultats. Qu'on se souvienne des propos d'Emmanuel Macron, apparemment sur un tout autre sujet, celui du plafonnement des rémunérations des grands patrons : en bon libéral, celui-ci s'oppose à l'idée d'une loi qui impose, mais laisser choisir et compter en l'occurrence sur la moralité des agents, c'est vraiment construire sur du sable ! De la même façon, les codes de bonne conduite ne seront vraisemblablement pas autre chose qu'une collection de voeux pieux. Là où l'intérêt matériel et, pour tout dire, la cupidité sont mis en concurrence avec les sentiments moraux, il n'est pas difficile de juger que la morale se trouve en bien mauvaise posture. Mieux vaudrait ne pas créer les conditions favorables à l'apparition de dilemmes : il ne faut en effet pas laisser le choix entre profit et éthique. Il faudrait soulager par avance la conscience de ceux qui se sentent prêts à faillir ou pas assez forts pour se donner d'eux-mêmes un code de conduite. Il est vrai que la philosophie de votre projet de loi est d'accompagner la collecte et l'exploitation des données plutôt que d'y mettre un coup d'arrêt net. L'idée de faire suer de l'or aux algorithmes suscite trop de fascination pour décider d'y renoncer, même partiellement.

Mais, a contrario, les aspects les plus ambitieux de ce projet de loi mettent en lumière son caractère inabouti.

En outre, le recours à la procédure accélérée est un accroc de plus à la pratique normale du débat parlementaire. La CNIL avait d'ailleurs souligné le caractère hâtif du procédé, en regrettant de n'avoir pas pu, par manque de temps, se prononcer sérieusement sur le contenu de la réforme. Dans son avis, le Conseil d'État lui-même avait confirmé cet état de fait.

Un dernier argument plaide en faveur du renvoi en commission : il est étonnant de devoir adopter un tel projet de loi alors que le rapport de notre collègue Cédric Villani sur l'intelligence artificielle n'a pas pu le nourrir. Encore une fois, l'exécutif nous fait avancer à marche forcée et ne tient pas compte du travail de l'assemblée. Dans le cas présent, c'est faire bien peu de cas d'un rapport auquel, par ailleurs, la majorité, comme le Gouvernement ont, non sans quelque raison, sans doute, donné tant d'écho. En tout cas, ce type d'affichage me paraît bien peu respectueux de notre collègue comme de notre assemblée.

Pour toutes ces raisons, vous comprendrez que nous demandions le renvoi du texte en commission.