Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État, madame la rapporteure, chers collègues, nous sommes réunis pour examiner, en lecture définitive, le projet de loi relatif à la protection des données personnelles qui finalise l'adaptation des cinquante-sept points spécifiques des quatre-vingt-dix-neuf articles du RGPD adopté le 27 avril 2016. Il est plus que temps ! Nous sommes en effet à douze jours de l'entrée en vigueur du RGPD en France, comme partout en Europe. La date fatidique du 25 mai approche. Avec mon collègue Philippe Gosselin, nous avons déjà eu l'occasion de souligner le manque d'anticipation du Gouvernement dans le dépôt du projet de loi de transposition, mis en lumière par l'engagement de la procédure accélérée le 13 décembre dernier.
En matière européenne, par-delà les grandes déclarations et les beaux discours, il est, me semble-t-il, primordial de s'attacher avec méthode et rigueur à ce que des textes aussi importants soient adoptés dans des conditions de travail sérieuses et sereines. Ces lenteurs sont d'autant plus regrettables que la France est un pays moteur dans le domaine de la protection des données personnelles et que la CNIL préside pour quelques semaines encore le fameux G29, avant que celui-ci ne devienne le Comité européen de la protection des données. La CNIL regrettait d'ailleurs, dans son avis, d'avoir été « saisie aussi tardivement » et de « ne pas avoir disposé du délai nécessaire à l'examen, dans des conditions acceptables, d'un texte d'une telle portée. » Ce grief a été repris par le Conseil d'État dans son avis, qui soulignait que « l'étude d'impact n'éclaire, en dépit de son volume, qu'assez peu les choix stratégiques que le Gouvernement a pratiqués ».
Cette précipitation a été incontestablement source de tensions entre l'Assemblée nationale et le Sénat, ce qui est regrettable, car nos collègues sénateurs ont souvent des observations intéressantes, pertinentes à faire valoir ; sur un texte aussi important, qui opère un renversement majeur des logiques antérieures, ils avaient des messages intéressants à adresser.
Il appartiendra aux entreprises de démontrer qu'elles auront eu le temps nécessaire et les capacités d'adaptation pour mettre en oeuvre les précautions et les mesures de nature à garantir pleinement le respect des données personnelles.
Qui plus est, cette adoption laborieuse – même si nous touchons au but – ne nous permettra pas de disposer, d'ici au 25 mai, d'un régime totalement consolidé et lisible, propre à offrir une sécurisation juridique complète aux dizaines de milliers d'entreprises de plus de 250 salariés concernées. Le projet de loi renvoie notamment, à l'article 20, à une ordonnance, ce qui interroge la représentation nationale. Nous souhaitons nous assurer que cette ordonnance respectera l'esprit du texte, n'aboutira pas à une fragmentation du droit mais garantira, à l'inverse, la cohérence entre les différents niveaux de législation.
Par ailleurs, si des saisines du Conseil constitutionnel devaient intervenir, elles permettraient certes de purger le texte de tout soupçon d'inconstitutionnalité, mais introduiraient de nouveaux motifs d'incertitude et d'inquiétude, alors que les entreprises ont déjà commencé à recueillir le consentement des utilisateurs. De même, l'extension de l'action de groupe à la réparation du préjudice semble être engagée par des acteurs associatifs, alors même le texte n'est pas définitivement stabilisé. Certes – de nombreux orateurs l'ont dit avant moi – , il faudra un temps d'adaptation. Par voie d'amendements, lors des précédentes lectures, les députés Les Républicains avaient porté la logique de médiation, dans un esprit de pédagogie. Nous avons plutôt été rassurés au vu du sort réservé à certains de ces amendements et par les propos qui ont été tenus, mais nous resterons extrêmement vigilants.
Alors que l'examen du texte touche à sa fin, je veux redire l'attachement du groupe Les Républicains à l'équilibre trouvé dans le projet de loi entre, d'une part, les libertés individuelles, la protection des données personnelles des citoyens et, d'autre part, les intérêts économiques des entreprises, petites, moyennes et grandes. Nous franchissons une nouvelle étape, avec ce texte européen et son application en droit français, vers la consolidation d'un marché unique du numérique en Europe. Certes, nous ne sommes pas naïfs, nous mesurons l'ampleur des chantiers européens, notamment, qu'il reste à mener, qu'il s'agisse de la taxation des GAFA, de la concordance entre le Cloud Act américain et l'article 48 du RGPD ou des nouveaux défis qui se présentent à nous. Nous espérons que tant le législateur européen que les législateurs nationaux continueront à faire preuve de détermination dans la protection réelle des données des citoyens.