Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, mes chers collègues, nous nous retrouvons ce matin pour la nouvelle lecture du projet de loi relatif à la protection des données personnelles, après l'échec de la CMP. Mais le contexte a changé depuis la première lecture : le scandale Cambridge Analytica – nom de l'entreprise d'analyse de données qui est accusée d'avoir recueilli sans le consentement du réseau social Facebook les informations personnelles de 87 millions d'usagers de ce dernier, dont 210 000 citoyens français – et les excuses de Mark Zuckerberg hier, devant le Congrès, démontrent clairement que la régulation européenne qui s'instaure est une réponse adaptée aux enjeux.
Comme l'ont dit mes collègues, l'Assemblée nationale avait largement adopté ce texte en première lecture, avec 523 voix pour. Il faisait donc consensus.
Il contenait de réelles avancées pour les citoyens et les entreprises, comme le développement des possibilités offertes aux citoyens face aux atteintes à la protection des données personnelles, avec l'extension de l'action de groupe à la réparation des préjudices matériels et moraux. Le Sénat a souhaité limiter la portée de cette évolution en la différant de deux ans, ce que nous ne pouvions accepter.
Le texte initial prévoyait également la protection des personnes face au profilage, qui passe par la transparence des algorithmes ; là, encore, le Sénat a modifié ce dispositif dans son ensemble.
D'autres aspects ont pu susciter un blocage, notamment la volonté du Sénat d'exempter les collectivités territoriales des amendes relatives au traitement des données personnelles, ce qui me paraît incompatible avec le principe d'égalité. Je rappelle que l'esprit du RGPD et du projet de loi est d'instaurer de nouvelles règles pour tous, en allégeant les formalités préalables et en responsabilisant davantage les acteurs des données personnelles : entreprises, chercheurs, administrations et, bien sûr, collectivités territoriales. Ces dernières traitent des données sensibles, et elles en traitent beaucoup, c'est un fait. Pouvons-nous les soustraire à ce cadre légal protecteur ?
Avant la sanction, il faut voir dans ce texte une double protection : pour le citoyen, dont les données sont sécurisées, et pour la collectivité locale – le maire, par exemple – , qui peut ainsi s'assurer de la qualité de la collecte et du traitement, d'ailleurs souvent sous-traités, des données des citoyens.
Concernant l'application du RGPD et de ces nouvelles mesures, des inquiétudes ont pu naître. Elles sont légitimes, mais je tiens à rappeler que tous les acteurs seront accompagnés, principalement ceux qui disposent de faibles moyens pour se mettre en conformité avec les nouvelles règles.
À ce sujet, la CNIL n'est plus simplement un organe de contrôle : elle est pleinement engagée dans le rôle d'accompagnateur des acteurs que lui confie le texte et a déjà développé des outils au service des citoyens et des parties prenantes. Ce développement de son rôle doit être conforté par la mise à disposition de moyens supplémentaires.
Je voudrais enfin revenir sur les données de santé, sur lesquelles j'ai travaillé, en première lecture, comme rapporteure pour avis de la commission des affaires sociales. Sur ce point aussi, le texte contient des avancées considérables.
Le principe d'interdiction du traitement des données sensibles et des données génétiques et biométriques est conforté.
Par ailleurs, l'ouverture de l'accès aux données de santé doit permettre de favoriser la recherche, l'innovation, l'amélioration de la prise en charge des patients et la définition de nos politiques de santé publique. À cet égard, je ne peux pas ne pas citer l'excellent rapport de notre collègue Cédric Villani sur l'intelligence artificielle : « Les données sont généralement le point de départ de toute stratégie en IA, car de leur disponibilité dépendent de nombreux usages et applications. [… ] Au niveau européen, plusieurs réformes en cours doivent permettre un meilleur accès et une plus grande circulation des données. » Et il préconise que nous concentrions nos efforts sur quatre secteurs, dont celui de la santé.
Je tiens enfin à dire combien je suis satisfaite que, à l'occasion de cette nouvelle lecture à l'Assemblée nationale, la commission des lois ait rétabli les dispositions que nous avions votées en première lecture.
Je rappelle que l'équilibre dégagé par la loi de modernisation de notre système de santé n'est remis en question ni par le RGPD, ni par ce projet de loi, et que le cadre juridique de ce dernier opère une véritable conciliation entre les exigences de la vie privée et l'intérêt général.
Ce texte constitue donc une réponse adaptée au contexte dans lequel nous nous trouvons, celui d'un perpétuel changement et d'un développement exponentiel des données personnelles, particulièrement des données de santé. Il nous faut être au rendez-vous des objectifs fixés par le RGPD.