Intervention de Paula Forteza

Madame la présidente, chers collègues, nous nous retrouvons, en nouvelle lecture, pour examiner un texte qui a beaucoup évolué lors de son passage au Sénat avec, d'un côté, des apports que nous saluons et, de l'autre, des dispositions sur lesquelles nous sommes en profond désaccord avec nos collègues sénateurs, car elles remettent en cause les équilibres importants auxquels nous étions parvenus à l'Assemblée nationale.

Si la CMP a échoué, faute de compromis possible sur l'ensemble du texte, c'est dans un esprit constructif que je vous propose d'aborder cette réunion, afin de rétablir un texte respectueux de nos travaux en première lecture – adopté à une très large majorité de 523 voix –tout en conservant certaines avancées apportées par le Sénat.

Plusieurs des amendements que je vous proposerai d'adopter visent aussi à rétablir les dispositions qui avaient été portées par la majorité, souvent avec le soutien d'autres groupes, et que le Sénat a supprimées ou remises en question par des modifications substantielles de rédaction.

Ces dispositions constituent en effet les marqueurs de l'orientation que nous avons souhaité donner à ce projet de loi et sont le fruit d'un échange nourri avec les acteurs de l'écosystème numérique, mais également de la justice, de la recherche publique et privée ou de la protection de l'enfance.

En premier lieu, nous n'avons pas souhaité revenir sur l'équilibre que nous avions proposé entre l'exigence de protection des intérêts de l'enfant face aux traitements de ses données personnelles et l'adaptation de la législation à la réalité des pratiques numériques actuelles.

Le Sénat est revenu sur l'abaissement de 16 à 15 ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, alors même que cette proposition avait fait l'objet, à l'Assemblée nationale, d'un très large consensus, en emportant l'adhésion – fait rare – de l'ensemble des groupes politiques. Je vous proposerai de rétablir cette disposition.

De même, il ne nous paraît pas acceptable de revenir sur le renforcement des capacités d'action des usagers face aux manquements à la loi, alors même que l'actualité ne cesse de révéler des manquements affectant la vie privée de centaines de milliers, voire de millions de personnes – je pense notamment au récent scandale impliquant Facebook et Cambridge analytica.

C'est pour cette raison que nous avons défendu en première lecture l'extension de l'action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux. Je vous proposerai, par conséquent, de revenir sur les limitations d'entrée en vigueur ou de critères à remplir par les associations compétentes, adoptées par le Sénat. Sur ce sujet, devenu un enjeu de société, il y a urgence à légiférer, en pensant d'abord au citoyen.

Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre de décisions administratives. Elle apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu'un renforcement de leur droit d'information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, et souvent en contradiction avec le règlement européen, le recours à ces outils d'aide à la décision.

J'ai une conviction sur ce sujet, que nous sommes nombreux à partager : ce n'est pas le recours aux algorithmes qui pose problème mais l'absence de transparence et de contrôle de la part des citoyens. Il ne s'agit, en effet, que d'outils au service des administrations qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l'objet d'une publication par défaut pour lever toute interrogation, voire tout soupçon.

La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n'entraver ni l'innovation dans les secteurs publics ni la modernisation et la simplification des politiques publiques. C'était la logique de la loi pour une République numérique et c'est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée AI for Humanity dans lequel il a exprimé le souhait que « l'État, pour ce qui le concerne, [rende] par défaut public le code de tous les algorithmes qu'il serait amené à utiliser au premier rang desquels […] celui de Parcoursup, parce que [...] c'est une pratique démocratique. »

Je vous proposerai, par conséquent, de revenir à la rédaction de l'Assemblée nationale en la matière, sous réserve du maintien d'une disposition, adoptée par le Sénat, qui assure la publicité de l'algorithme de Parcoursup. Peut-être évoluerons-nous sur sa rédaction d'ici à la séance pour en préciser les conditions mais c'est un point important qui a fait l'objet d'un engagement présidentiel.

Enfin, nous avions aussi élargi la possibilité de saisine de la Commission nationale de l'informatique et des libertés (CNIL) aux commissions permanentes des assemblées et aux présidents de groupes parlementaires. Le Sénat a supprimé cette disposition qui constitue pourtant un élément de revalorisation des moyens du Parlement et des droits de l'opposition. Je vous proposerai donc également d'y revenir. Il est essentiel que les parlementaires puissent disposer d'une expertise en la matière. Le numérique prend une place croissante dans les textes qui nous sont soumis. Nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d'une société de confiance, projet de loi Elan (Évolution du logement, de l'aménagement et du numérique), plan très haut débit, proposition de loi relative à la lutte contre les fausses informations et présent texte.

Enfin, j'ai déposé des amendements visant à supprimer des dispositions que je considère comme contraires à l'esprit du règlement européen ou à d'autres dispositions de notre droit national et qui expliquent l'échec de notre CMP comme le fléchage du produit des amendes et des astreintes prononcées par la CNIL, qui est contraire à la loi organique relative aux lois de finances (LOLF), l'encadrement des traitements de données pénales par des organismes privés qui fragiliserait l'action des associations de victimes et d'aide à la réinsertion, la remise en cause de l'open data des décisions de justice qui deviendrait quasiment impossible à mettre en oeuvre, compte tenu des exigences posées par le Sénat en la matière ou, enfin, le durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.

S'agissant des collectivités territoriales, certaines dispositions adoptées par le Sénat ne sont pas acceptables. Je pense notamment à la création d'une dotation de 170 millions d'euros ou à l'exemption d'astreintes et d'amendes administratives pour les collectivités, même en cas de manquements graves qui persisteraient malgré les mises en demeure du président de la CNIL. Les pénalités financières sont au coeur de l'équilibre du règlement général sur la protection des données (RGPD) et du changement de paradigme sur lequel il repose. D'un côté, il élimine les autorisations préalables et allège les démarches ; de l'autre, il augmente les sanctions financières comme unique levier de dissuasion. Nous ne pouvons pas déresponsabiliser des acteurs qui manipulent chaque jour des centaines de milliers de données, parfois très sensibles, comme la composition ou les revenus des foyers. Nous voulons, au contraire, aider ces acteurs à monter en compétences pour rehausser le niveau de protection globale des données personnelles et trouver des façons de les accompagner dans le processus de mise en conformité à leur utilisation.

D'autres dispositions du Sénat vont dans le bon sens et méritent, au contraire, d'être conservées. Je pense notamment à l'amélioration de l'information à destination des collectivités territoriales, à la possibilité de mutualiser des services d'archives ou encore de conventionner entre échelons de collectivités pour mettre en place un service commun dédié à la protection des données personnelles. Par ailleurs, le Sénat a amélioré la lisibilité de la gradation des peines en cas de manquement et renforcé les obligations incombant aux responsables du traitement des données qui devront être en mesure de démontrer qu'ils se conforment à leurs obligations en matière de consentement.

Si la CMP a échoué, des accords ont donc pu être trouvés avec le Sénat et ils seront respectés à la condition qu'ils s'inscrivent bien dans la double démarche qui avait recueilli dans notre assemblée un soutien allant au-delà des rangs de la majorité : clarification des règles qui découlent du nouveau cadre européen ; accompagnement des acteurs publics et privés, qui devront au cours des prochaines années profondément adapter leurs pratiques aux nouvelles obligations qui leur sont faites.