Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État, madame la rapporteure, mes chers collègues, ce projet de loi revient devant notre assemblée après que la commission mixte paritaire, réunie pour l'occasion, a échoué à trouver un accord. Le Sénat avait proposé des modifications intéressantes, qui concernaient, entre autres, le régime d'autorisation préalable par la CNIL des fichiers en matière pénale mis en oeuvre par des personnes morales de droit privé ou l'encadrement plus strict des algorithmes avec, pour objectif, une limitation de leur usage dans les cas où l'administration se repose entièrement sur eux, aux seules décisions individuelles qui n'appellent aucun pouvoir d'appréciation, et le renforcement et l'application immédiate de la sanction de nullité des décisions en cas d'omission des informations obligatoires.
Ce texte procède à la fois à l'insertion dans notre législation nationale d'un règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, et à la transposition d'une directive relative au traitement de données personnelles dans un cadre pénal et d'enquête.
Comme je l'ai dit lors de la première lecture du texte, la protection des données personnelles et des libertés individuelles qu'elles accompagnent doit être un objectif permanent de notre législation, tant au plan européen qu'au niveau national. Le texte met fin à la déclaration préalable auprès d'une autorité administrative indépendante et à l'autorisation par celle-ci du traitement automatisé et informatique de données personnelles, et y substitue une sécurisation assurée par l'organisation qui récupère et exploite les données, conformément à des standards et des référentiels et sous le contrôle de cette même autorité administrative.
Ce renversement de logique commande, me semble-t-il, de faire preuve d'une vigilance accrue sur un certain nombre de points. Il en est ainsi des données en matière pénale, comme l'ont signalé nos collègues sénateurs, mais aussi, je l'avais indiqué en première lecture, des données personnelles dans le secteur de l'Éducation nationale. Parallèlement, certaines améliorations auraient pu être adoptées.
Deux points peuvent illustrer mon propos. Tout d'abord, je tiens à insister sur les algorithmes, car il existe encore à ce sujet des inquiétudes légitimes. Sont en jeu rien moins que le droit à l'information et les principes de neutralité, de loyauté, d'équité, de non-discrimination, de lutte contre la concurrence déloyale, de respect du consentement et de la vie privée. Notre groupe défend une conception ouverte et transparente de l'utilisation des algorithmes. Les données utilisées, les traitements logiques et reproductibles et leur objet doivent être accessibles à ceux pour qui ils sont utilisés et à qui ils sont opposés. Madame la ministre, nous aurions souhaité que cette information préalable soit systématique pour les administrés concernés. Il serait en effet juste de les informer que la décision prise à leur égard s'appuie sur un traitement automatisé, et surtout qu'elles puissent connaître les règles et les principales caractéristiques de ce traitement. Il devrait notamment en être ainsi pour les inscriptions à l'université, comme cela a été rappelé à de nombreuses reprises. Or cela ne sera pas le cas ! En l'état, si des décisions d'acceptation ou de refus de candidats sont prises par les établissements sur le fondement de traitements automatisés, ces derniers ne seront pas tenus de faire figurer une mention explicite sur le texte de la décision, pas plus que de communiquer à l'intéressé, à sa demande, les règles définissant le traitement, ainsi que les principales caractéristiques de sa mise en oeuvre. L'amélioration proposée par le Sénat a été refusée par le Gouvernement et le groupe La République en marche, qui réitèrent ainsi une exception significative au principe posé par la loi du 7 octobre 2016 pour une République numérique.
Parallèlement, les discussions parlementaires ont mis en évidence que la protection des données pourrait être mieux garantie à l'occasion de l'utilisation des systèmes d'exploitation des téléphones mobiles et des plateformes de services des géants du numérique, qui y recueillent et y exploitent, à chaque instant et même hors connexion, nos données personnelles. Ainsi, l'article 17 bis du texte, qui vise pourtant à garantir que les utilisateurs aient le choix parmi les applications pré-installées, prévoit que l'on pourra leur opposer un refus pour justification économique. Dans ces conditions, il est peu probable que les GAFA renoncent à accéder à nos données personnelles ! Malheureusement, ces points importants pour la protection des droits des citoyens resteront donc en suspens.
Noter groupe a décidé de s'abstenir. Nous espérions que ce texte, qui adapte des progrès portés par la nouvelle réglementation européenne, utiliserait au maximum les marges de manoeuvre que celle-ci offrait. Ce n'est pas le cas, et nous le regrettons, madame la ministre, pour qualité de la législation et pour nos concitoyens, usagers de l'administration et utilisateurs de services numériques. Il a été rappelé tout à l'heure que notre pays était avant-gardiste en 1978, mais, avec ce texte, il a perdu sa place.