Tout d'abord, je pense qu'il faut que nous reproduisions ce genre d'exercice qui nous permet vraiment de mener notre mission de contrôle et d'évaluation.
Nous pouvons être fiers du cadre juridique mis en place pour protéger les données personnelles en France et en Europe, parce que le bilan international est très positif. Il a été cité comme un exemple lors de plusieurs scandales à l'international, par exemple dans le cas de Cambridge Analytica. Il a été pris comme modèle par certains pays pour adapter leur réglementation, notamment en Californie, mais également dans d'autres pays comme l'Inde ou le Brésil.
Au regard de son application, tous les décrets qui étaient nécessaires pour la mise en oeuvre de la loi ont été pris. Nous pouvons saluer la réactivité du Gouvernement, des administrations et des parlementaires, sur ce texte complexe et technique.
Nous pouvons également féliciter la Commission nationale de l'informatique et des libertés (CNIL) pour son travail d'accompagnement des acteurs concernés. Philippe Gosselin,qui siège à la CNIL, nous en dira quelques mots par la suite.
Plusieurs acteurs ont contribué à la mise en oeuvre concrète de ce texte. Tout un écosystème s'est développé, qui s'appelle l'écosystème des Regtech, qui un peu comme les Fintech lors de la vague de régulation du secteur bancaire après la crise financière de 2008 sont venus épauler la mise en oeuvre de cette nouvelle régulation du numérique qui apparaît. Ce sont notamment des start-ups, des entrepreneurs, des petites entreprises, qui développent les fonctionnalités nécessaires pour améliorer le parcours utilisateur.
Ces entreprises, ces start-ups, développent par exemple des fonctionnalités de recueil des données pour permettre leur portabilité, pour suivre de manière transparente leur utilisation.
Toutefois, malgré la diligence des acteurs institutionnels, malgré le travail de la CNIL, malgré l'apport de cette nouvelle industrie ou de cette nouvelle filière des Regtech, les acteurs de terrain ont pu avoir du mal à mettre en oeuvre ce texte de loi, surtout les petites et moyennes entreprises (PME). En effet, cela impliquait beaucoup d'investissements de leur part, une réorganisation en interne pour revisiter les systèmes d'information ainsi que la gestion des bases de données, avec parfois la nécessité de recruter de nouveaux profils à la croisée du droit et de l'informatique, notamment ces data protection officer (DPO) qui sont les délégués de la protection des données rendus dorénavant obligatoires du fait de la loi.
Un an après l'entrée en vigueur de ce cadre juridique, j'ai eu l'occasion de me rendre dans des entreprises de différentes tailles, acteurs dans divers domaines allant du transport à la cybersécurité. Il reste quelques inquiétudes, notamment sur la question des sous-traitants : comment le partage des responsabilités se fait-il entre l'entreprise et le sous-traitant ?
Il y a aussi des inquiétudes par rapport au changement de paradigme acté par ce texte, consistant à passer d'une autorisation a priori à un contrôle a posteriori. Il y a donc une responsabilisation des acteurs qui s'interrogent toujours : « Répondons-nous vraiment aux critères ? Sommes-nous en conformité ? ». Cela étant, les acteurs français ont vraiment pris au sérieux ce nouveau cadre, et ont déployé les efforts nécessaires pour répondre à leurs obligations.
Je considère pour ma part qu'il s'agit d'une loi moderne. Elle pose un cadre, des valeurs, de nouveaux droits, des définitions, une gouvernance, tout en restant technologiquement neutre. C'est cela qui lui permettra d'être durable à l'heure où les avancées technologiques sont de plus en plus rapides. Par ailleurs, cela implique aussi que l'interprétation du texte puisse évoluer selon les situations et s'adapter.
Tous les acteurs devront faire vivre ce texte, par exemple, les citoyens en s'emparant de la possibilité de faire appel à l'action de groupe. Nous avons déjà eu en France plusieurs actions de groupe de la part d'associations comme La Quadrature du Net (LQDN), l'Union fédérale des consommateurs – Que Choisir (UFC-Que choisir), l'Internet Society France (ISOC France).
Nous voyons aussi que les décisions de la Cour de justice de l'union européenne ont un rôle important pour interpréter ce texte. Par exemple, des décisions prises ces dernières semaines, sur le consentement lié aux cookies ou sur le déréférencement à l'international dans le cadre du droit à l'oubli, viennent préciser le droit applicable.
En tant que parlementaire, nous devons poursuivre ce travail car nous sommes amenés à légiférer sur plusieurs sujets qui touchent aux données personnelles. Par exemple, les données de santé, notamment dans le cadre de nos débats récents sur la bioéthique, ou les données de transport. Nous devons nous inscrire, chaque fois que nous touchons aux données personnelles, dans ce cadre qui a été établi. Nous devons réutiliser les mêmes concepts qui sont maintenant porteurs de droits. Nous avons parfois tendance à vouloir réinventer de nouvelles notions, alors que nous avons une boîte à outils vraiment prête à usage.
Dans les prochains mois, plusieurs sujets vont réinterroger ce cadre juridique et vont nous faire revenir à ces grands concepts sur lesquels nous nous sommes prononcés en 2018. Je pense notamment à la disposition du projet de loi de finances pour 2020 visant à donner la possibilité aux administrations fiscales de recueillir des données sur les réseaux sociaux pour lutter contre la fraude fiscale. Si nous avançons dans ce sens, nous allons devoir travailler sur un cadre de consentement clair et de notification des utilisateurs. Il faudra que nous nous interrogions pour savoir si la durée de conservation des données est adaptée, tout comme celle de l'expérimentation. Il faudra également encadrer le stockage des données pour s'assurer qu'il est suffisamment sécurisé.
Nous pourrions être saisis prochainement d'un autre sujet, celui de la reconnaissance faciale. Nous avons déjà eu des expérimentations au niveau local à Nice, et ce procédé devrait être déployé peut-être dans le cadre des Jeux olympiques. Il s'agit d'une technologie dont la maturité n'est pas encore éprouvée et qui manipule des données biométriques extrêmement sensibles. Il faudra que nous suivions tout cela de près.
Enfin, la commission des Lois pourrait se saisir, Madame la présidente, du sujet de l'identité numérique. Nous devons suivre la mise en oeuvre de cette infrastructure numérique indispensable, la loi du 20 juin 2018 en a tiré les conséquences et a permis de transposer la directive « police-justice » pour nous assurer qu'elle respecte les règles en vigueur de protection des utilisateurs.