Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État chargé du numérique, mes chers collègues, face aux défis croissants liés au numérique et à la protection des données personnelles, face aux scandales à grande échelle qui ne cessent de faire l'actualité, alimentant le sentiment que l'impunité règne et que les États laissent faire, l'Europe est aujourd'hui regardée comme un modèle à suivre par nombre de pays. Pourquoi ? Quelle est l'essence du nouveau cadre réglementaire qui fait sa particularité et qui, à me yeux, constitue sa condition la plus prometteuse ?
C'est que le règlement européen de protection des données préfigure une nouvelle gouvernance du numérique grâce à laquelle la société dans son ensemble pourra décider des orientations à prendre et la démocratie pourra reprendre le dessus. Les responsables politiques ont voulu mettre en place de nouveaux droits, des mécanismes de contrôle, des voies de recours qui permettront d'établir de véritables contre-pouvoirs, de redonner du pouvoir d'agir aux utilisateurs pour les rendre à nouveau capables de maîtriser leurs données personnelles et, plus largement, leur activité en ligne.
Consentement obligatoire, droit à la portabilité des données, droit à l'oubli, droit à la rectification, nouvelles protections apportées aux mineurs, possibilité d'engager des actions de groupe pour obtenir réparation… Je ne reviendrai pas sur les choix qui ont été les nôtres, que nous avons expliqués à plusieurs reprises, et qui sont à ce stade connus de tous. Le temps de la discussion théorique sur les grands principes et les dispositifs à mettre en oeuvre est révolu. Nous nous trouvons maintenant au stade de la mise en oeuvre, ce qui nous expose à de nouveaux problèmes et de nouveaux dangers. Nous avons élaboré un arsenal juridique puissant : nous ne pouvons pas nous permettre une application au rabais, en deçà des ambitions qui ont été affichées politiquement. La pente serait trop difficile à remonter, le travail effectué pendant de longues années serait perdu. Le risque est réel : c'est maintenant qu'il faut rester vigilant, et il faudra le rester dans les prochaines semaines et dans les prochains mois.
Nous recevons tous, depuis quelques semaines, des courriels et des notifications de la part de plateformes, d'applications et de services en ligne désireux d'obtenir notre consentement afin d'être, dès le 25 mai, en conformité avec le RGPD. Cependant, nous observons déjà de nombreux manquements aux règles prévues par le règlement pour le recueil de ce consentement, lequel doit être donné « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».
Or nous avons parfois affaire à de simples mises à jour des conditions générales d'utilisation, dont le contenu est de surcroît encore trop technique, trop complexe, voire incompréhensible pour la plupart des utilisateurs. Il faudrait, dans certains cas, un master en droit pour les comprendre ! De même, certaines interfaces et certains « parcours utilisateurs » sont élaborés de façon à favoriser un consentement rapide et mal informé, par le biais de techniques d'incitation à la prise de décision, ou nudge. Dans de tels cas, le clic est de lassitude, et non de conviction. Nous observons également des stratégies de chantage au service, par lesquelles des plateformes conditionnent l'accès à leurs services au consentement des utilisateurs au recueil et au traitement de leurs données personnelles. Or une telle pratique est clairement interdite par le RGPD, qui poursuit un objectif de minimisation des données. Nous observons enfin des atteintes au principe de privacy by design, lorsque les cases précochées ou les paramètres par défaut ne proposent pas les options les plus protectrices des données personnelles.
La CNIL et tous les organes régulateurs de l'Union européenne devront donc jouer leur rôle pour faire respecter l'esprit du texte dans toutes les situations, y compris celles que nous n'avons pas encore envisagées. La CNIL compte, pour cela, sur de nouveaux pouvoirs d'enquête et sur la possibilité d'infliger des pénalités financières considérables, puisque leur montant pourrait atteindre 4 % du chiffre d'affaires mondial de l'entreprise concernée. C'est donc la jurisprudence qui fixera le niveau d'ambition auquel nous pourrons prétendre de façon collective, mais il faudra pour cela que la CNIL dispose de moyens suffisants. Nous y veillerons dans le cadre de l'examen du prochain projet de loi de finances.
Mais la société civile aura aussi un rôle à jouer. D'ailleurs, elle a déjà commencé à se mobiliser avec des initiatives qu'il faut saluer dans la mesure où elles font vivre les droits, contrôles et voies de recours mis en place par le texte – contre-pouvoirs indispensables pour que son application soit effective.
Quelques exemples ? Le RGPD Book Club, un club de lecture ouvert à tous pour étudier et comprendre les enjeux du texte de façon collective ; l'Observatoire du RGPD, un compte Twitter qui suit et recueille des exemples de violation au règlement général sur la protection des données ; la fête des libertés numériques, une journée d'ateliers pratiques pour apprendre à s'emparer des nouveaux droits tels que le droit à la portabilité, organisée le 25 mai, à l'occasion de l'entrée en application du texte ; des actions collectives menées par des associations ; les forums et de sites d'entraide à la mise en conformité à destination des développeurs, dont le nombre explose…
Enfin, ce sont les citoyens eux-mêmes qui devront aussi rester vigilants. Que pouvons-nous faire en tant qu'utilisateurs ? Lire attentivement les conditions générales d'utilisation – CGU – et ne donner notre consentement qu'à ce qui nous semble juste.
Si le choix ne semble pas suffisamment large, le droit à la portabilité nous permettra de récupérer nos données personnelles pour les transférer à un autre service, plus éthique, plus protecteur des données personnelles. Il en existe déjà plusieurs, notamment français, comme les outils et applications de Framasoft, de Cozy Cloud ou de Qwant, pour n'en nommer que quelques-uns.
Nous votons donc aujourd'hui un texte ambitieux dans le cadre d'un règlement dont nous pouvons être fiers en tant qu'Européens, mais ce n'est qu'un début. Ce sera à nous tous, responsables politiques, régulateurs, société civile et citoyens de le faire vivre et de nous assurer que son niveau d'ambition reste intact.