Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, chers collègues, l'actualité est riche d'enseignements sur le sujet qui nous réunit à nouveau ce matin : celui de la protection des données personnelles.
L'affaire Cambridge Analytica a mis en lumière la manière dont une application tierce a pu obtenir de façon détournée les données de 87 millions d'utilisateurs du réseau social Facebook. Ce qui est désormais qualifié de véritable scandale par de nombreux observateurs n'a pas fini de nourrir le débat public, aux États-Unis comme en Europe. Outre-Atlantique, la prise de conscience est tout aussi brutale que salutaire. L'affaire interroge profondément l'acceptabilité de modèles économiques fondés sur la collecte massive de données personnelles lorsque cette collecte ne rencontre aucune forme de régulation, comme c'est le cas aux États-Unis.
Mark Zuckerberg a affirmé cette semaine, devant le Congrès américain : « Nous traversons un grand changement philosophique au sein de la société. » Je le crois bien volontiers, d'autant que les bouleversements technologiques qui nous attendent vont être toujours plus intenses et rapides. Car, dans un monde hyperconnecté, où les algorithmes seront aussi bien logés dans nos poches qu'au milieu de notre salon, et où assistants vocaux et voitures autonomes seront pensés pour nous faciliter la vie, les volumes de données en circulation iront toujours croissant. Face à cette perspective, les attentes de nos concitoyens nous obligent. Or le constat est sans appel : ils demandent le maximum de transparence et de souveraineté sur l'usage qui est fait de leurs données.
Fort heureusement, l'Europe est à l'avant-garde de cette bataille juridique et politique, notamment grâce à son règlement général sur la protection des données. Je ne reviendrai que brièvement sur les grandes orientations du texte que nous avons la responsabilité d'incorporer dans le droit interne, car elles sont bien connues.
En premier lieu, le règlement renforce les droits des personnes physiques, par le droit à l'oubli et à la portabilité, et facilite l'exercice de ces droits sur le plan juridictionnel. Les dispositions relatives aux principes privacy by default et privacy by design et les garanties entourant le consentement libre et éclairé achèvent de consolider cet édifice protecteur.
En deuxième lieu, le texte consacre le passage à une régulation a posteriori qui responsabilise les acteurs manipulant des données personnelles, notamment par la progressivité de leurs obligations en fonction du risque pour la vie privée et par le recours à des instruments de droit souple, propices à l'expérimentation et à l'innovation.
En troisième lieu, le RGPD constitue un véritable instrument de souveraineté européenne par son extraterritorialité et par le caractère dissuasif des sanctions qu'il prévoit.
Mais ne nous leurrons pas : beaucoup reste à faire, et certains risques menacent les avancées que nous défendons. Je pense notamment à la signature récente par le président des États-Unis du CLOUD Act, qui permet à l'exécutif américain de négocier des accords bilatéraux avec d'autres gouvernements pour faciliter les réquisitions administratives des données détenues par les entreprises numériques, y compris lorsque celles-ci sont situées en dehors du territoire, le tout sans réel contrôle du juge. Il va sans dire que cette loi soulève beaucoup d'interrogations et que nous devrons rester très vigilants pour que son application ne contourne nullement le RGPD.
Par ailleurs, si le RGPD dessine un juste équilibre entre innovation et protection, de fins réglages demeurent nécessaires pour que ses principes soient pleinement effectifs en pratique. J'ai notamment à l'esprit la nécessité d'assurer à nos concitoyens une véritable liberté de choisir leurs services numériques, pour que leur consentement ne soit jamais présumé. C'est la condition pour réinstaurer une saine concurrence entre les acteurs et nous extraire de la menace qui nous guette d'une « atrophie systémique majeure de notre économie », pour reprendre les termes de Sébastien Soriano. Le libre choix, le consentement éclairé sont des questions sur lesquels nous reviendrons très certainement lors de l'examen des articles.
Je ne résiste pas, chers collègues, à l'envie de mentionner un exemple qui a récemment été porté à ma connaissance. Il montre comment des divergences doctrinales entre autorités européennes peuvent rejaillir négativement sur la capacité de nos concitoyens à consentir au traitement qui est fait de leurs données personnelles.
En l'espèce, une plateforme d'e-commerce bien connue peut enregistrer automatiquement les données bancaires de ses clients dès le premier achat, sans jamais leur demander leur avis, et ce, en toute légalité, car son siège social est situé au Luxembourg et que son autorité de contrôle le permet. Or la réciproque n'est pas vraie pour les e-commerçants français. À l'évidence, il est grand temps de rompre avec ces pratiques et d'oeuvrer à une harmonisation des législations nationales qui soit la plus protectrice possible.
Cela étant, je suis aussi d'avis qu'un cadre protecteur des données personnelles n'est que la première brique, certes fondamentale, d'une régulation efficace des acteurs du numérique. Les suivantes sont bien identifiées, à savoir la nécessité de moderniser notre droit de la concurrence pour saisir certaines pratiques commerciales déloyales propres à l'économie des plateformes, ou la nécessité de fluidifier le marché des données pour que tous les acteurs, grands comme petits, puissent s'en servir pour innover.
C'est l'ensemble de ces sujets qu'il nous faudra traiter, sans jamais nous départir d'une vision globale, car les technologies sont en mouvement perpétuel, et les ruptures parfois imprédictibles dans leur délai d'exécution et leurs conséquences. Par conséquent, notre cadre juridique et législatif doit pouvoir épouser leurs évolutions au plus près.
Pour un numérique au service de l'humain, reposant sur ce qui pourrait être une devise, d'Helsinki à Paimpol, de Lisbonne à Lannion : neutralité, portabilité, sérendipité.