La réunion débute à 21 heures.
Présidence de Mme Yaël Braun-Pivet, Présidente.
La Commission auditionne Mme Nicole Belloubet, garde des Sceaux, ministre de la Justice, procède à la discussion générale puis entame l'examen du projet de loi relatif à la protection des données personnelles (n° 490) (Mme Paula Forteza, rapporteure).
Nous entamons ce soir l'examen du projet de loi relatif à la protection des données personnelles, déposé sur le bureau de l'Assemblée nationale le 13 décembre 2017.
Plusieurs rapporteurs ont travaillé sur ce texte : Mme Paula Forteza, rapporteure de la commission des Lois ; M. Philippe Gosselin, co-rapporteur d'application ; Mme Albane Gaillot, rapporteure pour avis de la commission des Affaires sociales ; Mme Christine Hennion, rapporteure de la commission des Affaires européennes, qui s'est saisie pour observations.
Nous avons le plaisir d'accueillir Mme Nicole Belloubet, garde des Sceaux, ministre de la Justice, à qui je donne la parole.
Je suis très heureuse de retrouver la commission des Lois pour présenter ce projet de loi relatif à la protection des données personnelles, dont l'objet est d'adapter au droit de l'Union européenne (UE) la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Il est nécessaire, en effet, de transposer le nouveau cadre juridique européen, composé de deux textes : d'une part, le règlement 2016679 et, d'autre part, la directive 2016680. Ce cadre juridique entrera en vigueur en mai 2018.
Ces textes européens sont l'aboutissement d'une longue phase de réflexion et de négociations, et ils traduisent l'ambition très forte de notre continent dans le domaine de la protection des données à caractère personnel.
Cette protection constitue en effet l'une des dimensions nouvelles, de plus en plus importante au quotidien, du droit au respect de la vie privée. Elle est consacrée par la Charte des droits fondamentaux de l'Union européenne, en son article 8.
La France a toujours été très attentive et le plus souvent pionnière sur ces questions. Notre pays a ainsi été l'un des premiers en Europe à se doter non seulement d'une législation globale de protection des données à caractère personnel, avec la loi du 6 janvier 1978 dont nous venons de fêter les quarante ans, mais également d'une autorité de contrôle : la Commission nationale de l'informatique et des libertés (CNIL).
Le développement de l'ère numérique oblige cependant à repenser le cadre applicable aux données personnelles. Je n'ai pas besoin de souligner à quel point le partage et la collecte de telles données connaissent un développement spectaculaire. C'est par ce biais que les nouvelles technologies transforment aujourd'hui profondément notre économie mais également les rapports sociaux qui nous lient.
Dans le même temps et très légitimement, la protection de leurs données constitue un motif de préoccupation croissante chez nos concitoyens. Selon une récente étude de l'institut CSA, 85 % des Français se disent préoccupés par la protection de leurs données personnelles en général, soit une augmentation de 4 points par rapport à 2014. Cette question suscite encore plus d'inquiétude dès lors qu'il s'agit de la protection des données sur internet : le pourcentage atteint alors 90 % des personnes interrogées, ce qui représente 5 points de progression par rapport à 2014. C'est une préoccupation largement partagée en Europe, car il s'agit là d'un phénomène qui ne connaît pas les frontières.
Devant de telles transformations, il était donc nécessaire que l'Union européenne envisage une évolution de la réglementation en la matière. C'est dans ce contexte que la Commission européenne a présenté, en janvier 2012, deux projets distincts définissant un nouveau cadre juridique applicable à la protection des données à caractère personnel.
La France a pris une part très active dans les négociations afin de maintenir et de promouvoir son modèle de protection, qui constitue encore aujourd'hui une référence en Europe et dans le monde. Dans le même temps, elle s'est préoccupée des conditions dans lesquelles les entreprises européennes, et plus particulièrement les petites et moyennes entreprises (PME), pourraient exercer leurs activités sans subir d'entraves excessives, notamment en matière de concurrence – je sais que c'est d'ailleurs l'une de vos préoccupations.
Fruit d'un compromis, le « paquet européen de protection des données » a été adopté par le Parlement européen et le Conseil le 27 avril 2016. Ce paquet se compose, d'une part, d'un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations qu'il définit seront également applicables aux opérateurs installés hors de l'Union et offrant des biens et services aux Européens.
À ce règlement s'ajoute une directive, qui vise les traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
Avant d'aborder la méthode retenue pour faire évoluer notre cadre juridique, permettez-moi de vous en dire un peu plus sur ces deux textes.
Le nouveau règlement crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l'Union européenne. C'est un point très important : le droit européen s'appliquera donc chaque fois qu'un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement des données, y compris par internet ou par le biais d'objets connectés – par exemple, les montres connectées, les objets mesurant l'activité physique, les appareils domotiques, les consoles de jeux connectées – et ce, quelles que soient la nature et la localisation du support de stockage et de traitement.
Le règlement crée une procédure de coopération intégrée entre les autorités de protection des données des États membres – en France, la CNIL. Cela constitue un progrès majeur dans l'organisation de notre continent face à ces enjeux. Cette coopération intégrée permettra d'assurer une application uniforme des nouvelles obligations s'imposant aux opérateurs, notamment lorsqu'un traitement est transnational, sous l'égide du Comité européen de la protection des données.
Cette innovation permet à la France et à l'Union européenne de promouvoir l'affirmation d'une conception spécifique de la protection des données personnelles, conception qui diffère de celle promue notamment par les États-Unis. Cette conception européenne repose sur deux piliers : le renforcement de la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles d'abord, l'organisation, pour les opérateurs économiques, d'un environnement attractif, afin que l'Europe continue à donner l'exemple d'un continent qui sait concilier les valeurs de progrès et la protection des droits et libertés fondamentales.
Je reviens quelques instants sur ces deux points, et tout d'abord sur la mise en oeuvre de nouveaux droits pour les citoyens. Le règlement conforte les droits des personnes physiques en matière de données les concernant déjà garantis dans la loi de 1978 – notamment le droit d'information – tout en instaurant de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Ce droit à la portabilité permet ainsi la récupération par les personnes concernées des données personnelles qu'elles ont fournies, dans un format réutilisable, ainsi que leur transmission à un autre responsable de traitement. Ce cadre juridique sécurisé permettra en conséquence de renforcer la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles.
Les incidences de ces nouvelles normes européennes en matière de protection des données personnelles sur la législation française ont d'ailleurs été très bien analysées dans le rapport de la mission d'information conduite par deux membres de la commission des Lois, Mme Anne-Yvonne Le Dain et M. Philippe Gosselin, présenté le 22 février 2017, sous la précédente législature. Ce rapport, comme d'autres contributions, a permis de nourrir les travaux conduits par la chancellerie pour rédiger le projet de loi qui vous est aujourd'hui soumis.
En second lieu, le règlement crée un environnement plus attractif pour des opérateurs économiques plus responsables. Ainsi que Mme Isabelle Falque-Pierrotin, présidente de la CNIL, a déjà eu l'occasion de le rappeler, le règlement européen inaugure une nouvelle ère dans la régulation, puisqu'il consacre un changement de paradigme : il s'agit d'alléger considérablement les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus.
Ainsi, le nouveau règlement remplace le système de contrôle a priori, basé sur les régimes de déclaration et d'autorisation préalables, par un système de contrôle a posteriori plus adapté aux évolutions technologiques, fondé sur l'appréciation par le responsable du traitement des risques que présente ce dernier.
Cette responsabilisation des opérateurs, que ce soit le responsable du traitement lui-même ou son éventuel sous-traitant, selon un régime de responsabilité conjointe, s'incarne par de nouveaux principes : la « protection des données dès la conception » (privacy by design) et la « protection des données par défaut » (privacy by default). Ces principes imposent aux responsables de traitement d'intégrer les exigences de la protection des données personnelles très en amont de la conception de leur produit ou de leur service, et d'offrir au consommateur, par défaut, le niveau de protection le plus élevé.
Des analyses concernant l'impact des traitements sur la protection des données devront être conduites par les responsables de traitement lorsque celui-ci est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
La désignation d'un délégué à la protection des données sera obligatoire dans le secteur public. Elle le sera aussi lorsque l'activité principale d'une entreprise concerne le suivi, à grande échelle, régulier et systématique, des personnes, ou le traitement à grande échelle de données sensibles ou relatives à des condamnations.
Les responsables de traitement devront notifier les violations de données personnelles à l'autorité de contrôle ainsi qu'aux personnes concernées en cas de risque élevé pour leurs droits et libertés.
En responsabilisant les acteurs, le projet de loi consacre également de nouvelles modalités de régulation, à travers des outils de droit souple. Dans ce nouvel environnement juridique, la CNIL devra accompagner plus encore les acteurs, notamment les PME, qui doivent s'adapter aux nouvelles obligations en matière de protection des données.
En contrepartie, les pouvoirs de la CNIL sont renforcés et les sanctions encourues considérablement augmentées, puisqu'elles pourront être portées jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé d'une entreprise.
Le règlement général sur la protection des données (RGPD) met donc fin à la fragmentation des régimes juridiques au sein de l'UE, laquelle induisait un coût évalué par l'Union à 2,9 milliards d'euros par an pour les entreprises. Il entend instaurer un climat de confiance dans l'environnement en ligne, confiance essentielle au développement économique. Elle sera fondée sur un cadre juridique sécurisé pour les opérateurs, compatible avec le souci de soutenir l'attractivité de notre territoire, laquelle sera renforcée par un droit souple mais précis.
L'Union européenne représente aussi un marché de consommateurs important dans le domaine du numérique : il y a là un enjeu économique et technologique. Dans ce domaine, la France semble particulièrement bien armée, car elle peut faire valoir une culture de la protection des données et une véritable expertise juridique dans ce domaine, comme en témoigne son rôle important lors des négociations sur le règlement.
À côté du règlement, la directive fixe les règles applicables en matière pénale à la protection des personnes physiques, s'agissant du traitement des données à caractère personnel. C'est la première fois que l'Union se dote d'un cadre normatif pour réglementer le traitement de ces données au niveau national : auparavant, seuls les transferts de données d'un État membre à un autre étaient soumis à des règles européennes, formalisées dans la décision-cadre du 27 novembre 2008.
La directive s'applique aux traitements mis en oeuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Sont ainsi concernés, en France, les fichiers tels que le fichier national des empreintes génétiques, le fichier national des interdits de stade, ou encore le fameux TAJ – traitement des antécédents judiciaires.
La directive n'est en revanche pas applicable dès lors que le traitement est mis en oeuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n'est pas compétente. Elle n'est pas non plus applicable aux traitements intéressant la sûreté de l'État et la défense, qui ne relèvent pas du droit de l'Union.
Les principales innovations de la directive consistent en la création en matière pénale d'un droit à l'information de la personne concernée par les données personnelles traitées et en la consécration d'un droit d'accès, de rectification et d'effacement. Ces droits s'exercent, par principe, de manière directe par la personne concernée auprès du responsable de traitement, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.
Avec ce règlement et cette directive, le paquet européen se traduit donc par une modification profonde de notre mécanisme de protection des données personnelles. La France y a fortement contribué, avec pour objectif tout à la fois de permettre à notre continent de répondre à ces nouveaux enjeux face aux autres acteurs mondiaux, étatiques ou non, et de promouvoir un modèle solide et opérationnel de protection des droits fondamentaux.
Néanmoins, le croisement de ces deux textes dans un domaine juridique complexe nous a contraints à faire des choix de méthode pour traduire le droit européen en droit français. Je voudrais m'y arrêter un instant car je sais que c'est une de vos préoccupations comme celle des acteurs concernés – et je peux vous assurer que c'est également la nôtre.
Rappelons que si la directive doit faire l'objet d'une transposition en droit interne, le règlement est en revanche directement applicable. Par conséquent, au regard des règles européennes, le projet de loi ne peut recopier ses dispositions. C'est la raison pour laquelle les dispositions directement applicables et qui se suffisent à elles-mêmes ne figurent pas dans le projet de loi : il en est ainsi des dispositions relatives au délégué à la protection des données ou de celles attachées aux droits des personnes concernées, qui pourront néanmoins être invoquées directement à compter du 25 mai 2018. Il faudra donc, en tout état de cause, lire cette nouvelle version de la loi de 1978 avec le règlement européen à portée de main, ce qui, je vous le concède, n'est pas toujours évident… Il nous reviendra de proposer, sur les sites officiels, notamment celui de la CNIL, des versions commodes, avec des liens hypertextes, afin que tout un chacun puisse s'y retrouver.
Mais le projet de loi qui vous est soumis ne constitue pas seulement un simple exercice de transposition de la réglementation européenne : le règlement européen prévoit plus d'une cinquantaine de marges de manoeuvre qui autorisent les États membres à préciser certaines dispositions. La plupart de ces marges de manoeuvre permettent de maintenir des dispositions qui existaient déjà dans notre droit national. D'autres, à l'inverse, peuvent être utilisées afin notamment de prendre en compte l'évolution technologique et sociétale que la loi de 1978 ne permet plus d'appréhender.
Le Gouvernement, conformément à la démarche de simplification des normes souhaitée par le Président de la République et à sa volonté d'éviter la surtransposition des textes européens, a fait le choix d'épouser la nouvelle philosophie du règlement et de supprimer la plupart des formalités préalables à la mise en oeuvre des traitements.
Cependant, afin de ne pas affaiblir la protection des données à caractère personnel, et bien que ce ne soit exigé ni par le règlement ni par la directive, le Gouvernement a fait le choix de maintenir certaines formalités préalables pour le traitement des données les plus sensibles, par exemple pour les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes, pour les données génétiques, ou encore pour les traitements utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR). Les traitements utilisant des données de santé font eux aussi l'objet d'un régime protecteur et unifié. Enfin, dans le champ d'application de la directive, sont également maintenues les formalités préalables à la création de tout traitement mis en oeuvre pour le compte de l'État.
Par ailleurs, un point important, qui retient tout naturellement votre attention, doit être précisé. Le règlement fixe à seize ans l'âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information – autrement dit, pour parler clairement, accéder aux réseaux sociaux. Le Gouvernement a ici fait le choix de ne pas utiliser la marge de manoeuvre prévue à l'article 8 du règlement, qui permet aux États membres d'abaisser ce seuil jusqu'à treize ans. Le projet de loi ne contenant aucune disposition sur l'âge du consentement, le règlement s'applique directement et l'âge limite reste fixé à seize ans.
Notre préoccupation commune est bien entendu de mieux protéger les mineurs, et la fixation d'un seuil est toujours un exercice délicat. On tente de saisir par une norme générale des cas éminemment particuliers, surtout lorsqu'il s'agit d'identifier ce que peut être le seuil de maturité d'un enfant ou d'un mineur. La France avait défendu le seuil de seize ans, en deçà duquel l'autorisation parentale sera nécessaire pour autoriser le traitement des données. Les autres pays de l'Union font des choix très divers. Nous avons souhaité maintenir notre position dans le cadre du projet de loi, mais j'ai bien conscience que ce point fait débat.
Il nous semble, en tout état de cause, que la mise en place d'une autorisation parentale, sans lourdeur procédurale excessive, doit être l'occasion de réinstaurer le dialogue au sein de la famille sur ces questions et permettre ainsi une meilleure connaissance par les parents des pratiques numériques de leurs enfants. Il s'agit également de prendre en considération la difficulté pour les adolescents de comprendre et de mesurer les conséquences de la diffusion de leurs données personnelles et les risques inhérents encourus, en termes de marchandisation des données personnelles à des tiers, de réputation en ligne. Je crois que nous sommes tous d'accord sur ces objectifs ; le débat nous permettra certainement de progresser.
Je voudrais enfin dissiper un certain nombre d'interrogations concernant l'habilitation que le Gouvernement sollicite dans le cadre du projet de loi. Le Gouvernement souhaite qu'en mai prochain, date limite de transposition de la directive, nous soyons prêts ; nous le serons. Pour cette raison, il a fait le choix d'un texte le plus resserré possible, qui ne remette pas sur la table l'ensemble de la loi de 1978, ce que le droit européen n'exige nullement.
L'objet de l'habilitation qui vous est demandée est de permettre une codification des modifications apportées à notre droit et à la loi fondatrice de 1978 par le projet de loi qui vous est soumis, afin d'offrir un cadre juridique lisible à chaque citoyen et acteur économique. Il ne s'agira aucunement de revenir sur les choix que le Parlement sera amené à faire lors de l'examen du projet de loi. Vous l'avez tous compris en lisant ce texte, l'accessibilité et l'intelligibilité du droit requièrent une réécriture intégrale de la loi du 6 janvier 1978, pour qu'elle retrouve son ambition originelle : celle d'être un véritable code de la protection des données personnelles des Français. C'est le sens de cette habilitation, qui permettra d'adopter un plan clair, avec un titre Ier rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre II consacré au champ du RGPD, un titre III consacré à la directive et un titre IV consacré aux dispositifs hors du champ de l'UE.
L'ordonnance, qui sera édictée au plus tard à l'automne, sera donc de nature exclusivement légistique. Entre mai et la sortie de l'ordonnance, soyez par ailleurs assurés que tous les outils pédagogiques et de communication seront mis en place, avec la CNIL et les professionnels, au service des citoyens et des entreprises. Je suis d'ailleurs persuadée que nos débats auront aussi cette vertu pédagogique et qu'ils permettront d'écarter les inquiétudes les plus vives qui sont normales à l'occasion d'un tel changement de paradigme.
Pour conclure, je souhaite que chacun puisse mesurer la portée de cette réforme à l'aune non seulement du projet de loi qui vous est proposé mais, plus largement, des textes mis en oeuvre par l'UE. L'exercice de transcription du droit européen présente toujours un caractère un peu contraint, mais le nouveau cadre adopté par l'Union pour la protection des données personnelles est, me semble-t-il, une magnifique réussite pour l'Europe et les citoyens de l'UE.
« L'informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée » : cette ambition exprimée à l'article 1er de la loi « Informatique et libertés » a fait de la France un pays précurseur en matière de protection des données personnelles depuis 1978. En effet, la France a été le premier pays européen à se doter du cadre juridique et institutionnel nécessaire à la mise en oeuvre de cette politique. Mon premier souhait serait donc que nous puissions être à la hauteur de ces engagements tout au long de notre travail en commission et en séance.
Pour ce faire, il nous faudra en permanence garder à l'esprit la portée économique et sociale de ces textes. Les enjeux sont transversaux : en témoigne la présence parmi nous de collègues des commissions des Afaires européennes, des Affaires économiques et des Affaires sociales, que je salue. Si la perspective des dispositions que nous allons étudier est celle des libertés individuelles et de la protection des droits des personnes, nous devrons en évaluer les incidences de façon globale. Le Conseil d'État a appelé à mener une réflexion de société autour de l'interaction entre la protection des données personnelles et la politique numérique de la France au sens large ; je rejoins naturellement ces propos.
Les dispositions du paquet européen et du présent projet de loi constituent bel et bien un signal positif en termes de promotion de l'innovation. Ces textes tirent les conséquences des bouleversements technologiques survenus dans le traitement des données – citons par exemple le cloud computing ou l'internet des objets – et du développement de son économie. Il fallait en effet changer de paradigme pour que la protection des données personnelles soit effective dans un contexte incertain où les avancées techniques sont toujours plus rapides que la capacité du législateur à en évaluer les conséquences. Il conviendrait de laisser des marges de manoeuvre aux différents acteurs pour accomplir leurs missions et leurs activités : l'allégement des démarches administratives, la responsabilisation des acteurs, l'appel à des dispositifs de droit souple, l'homogénéisation des normes au niveau européen sont autant de bonnes nouvelles tant pour les entreprises que pour les citoyens et pour les organismes de contrôle. Il s'agit de construire les cadres de régulation de manière plus flexible, itérative et collaborative, de façon à ce qu'ils soient adaptés aux enjeux du numérique.
Ce seront aussi la portabilité des données, l'extraterritorialité des normes et le rôle accentué de la CNIL en tant qu'accompagnatrice des entreprises qui deviendront une source d'innovation en nivelant le terrain de jeux et en favorisant la concurrence loyale car – ne nous le cachons pas – tout se jouera sur la manière dont les entreprises se saisiront de cette nouvelle réglementation, en particulier les très petites entreprises (TPE) et les PME qui, pour la plupart, sont encore loin de la mise en conformité. La prise de conscience de ces difficultés sera la clef de voûte d'un dispositif qui permettra de transformer l'adaptation aux nouvelles dispositions en atouts économiques et d'en faire une véritable valeur ajoutée aux yeux non seulement des citoyens, mais aussi des consommateurs de biens et de services numériques. Cette nouvelle attractivité économique et juridique est une opportunité pour la France, qui pourra construire dans le cadre européen un modèle alternatif de croissance autour d'un numérique plus éthique, plus accessible, plus décentralisé que ne le sont actuellement le modèle américain ou le modèle chinois.
Mme la garde des Sceaux ayant déjà très bien présenté les textes européens, je me contenterai de rappeler brièvement les principaux apports du projet de loi du Gouvernement afin de bien en comprendre les enjeux.
Le RGPD est fondé sur un triple changement de la législation. Il s'agit tout d'abord d'un renforcement des droits des personnes lié à l'élargissement de la liste des données sensibles, à la protection accrue des mineurs et à de nouveaux droits tels que le droit à la portabilité des données, le droit à l'oubli ou encore le droit à ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. Ensuite, il s'agit de passer d'une logique de formalités préalables à une logique de conformité et de responsabilisation, comme l'a bien expliqué la ministre. Troisième objectif : le renforcement de la crédibilité de la régulation par l'extension de son périmètre d'application en dehors du territoire de l'UE, l'alourdissement des sanctions administratives et l'instauration d'un mécanisme de coopération entre autorités nationales de régulation afin d'assurer l'harmonisation des décisions au niveau européen. Par ailleurs, la directive constitue un instrument juridique permettant une harmonisation du niveau de protection au sein de l'UE en matière de traitement des données pénales.
Ces deux textes européens doivent être rendus applicables et transposés dans l'ensemble des États membres en mai 2018 au plus tard. Nous avons donc la responsabilité d'aboutir à l'adoption de ce projet de loi. Il s'agit d'adapter la loi « Informatique et libertés » du 6 janvier 1978 qui mérite, pour des raisons symboliques, d'être conservée et conformée aux dispositions européennes.
À cet égard, j'observe que le Gouvernement a fait le choix d'utiliser raisonnablement les marges de manoeuvre offertes par le règlement et la directive lorsqu'elles semblent pertinentes, dans une démarche d'harmonisation européenne. Pour ma part, je vous proposerai d'aller plus loin que le Gouvernement dans l'utilisation de ces marges de manoeuvre sur au moins deux points. Le premier a trait à l'action de groupe : je propose de permettre aux personnes ayant subi une violation des règles en vigueur de pouvoir obtenir réparation de leur préjudice matériel et moral par l'intermédiaire d'une association régulièrement agréée alors que l'action de groupe en matière de données personnelles est actuellement limitée à la seule constatation du manquement, contrairement à ce qui prévaut dans le domaine des discriminations et dans celui de l'environnement. Le second point concerne l'âge des mineurs : je propose d'abaisser à quinze ans l'âge à partir duquel un mineur peut consentir seul au traitement des données personnelles qui le concernent et prévoir le double consentement du mineur et de ses parents en dessous de cet âge.
Un travail sera également entrepris pour accentuer la lisibilité du texte qui, en l'état, est source de confusion pour la plupart des acteurs du secteur en raison des multiples renvois et superpositions des droits en vigueur. Nous avons d'ailleurs lancé un site sur lequel figure un dossier législatif en ligne comprenant les liens hypertexte et références qui permettent de naviguer plus facilement entre les différents textes, que vous pouvez consulter dès à présent à l'adresse suivante : https://donnees-personnelles.parlement-ouvert.fr.
Enfin, de nouvelles modifications pourraient être proposées à l'issue d'une séquence d'auditions complémentaires qui auront lieu entre l'examen en commission et la discussion en séance et auxquelles j'invite tous les commissaires à participer.
Pour le reste, je poserai à la garde des Sceaux quelques questions concernant des sujets qui me tiennent à coeur et sur lesquels j'ai souvent été interrogée lors des auditions que j'ai conduites. Tout d'abord, pouvez-vous nous présenter l'état d'esprit du Gouvernement concernant les modalités de contrôle des fichiers intéressant la sûreté de l'État, qui ne relèvent ni du règlement ni de la directive ? Vous paraît-il opportun de permettre à la CNIL d'effectuer un contrôle a posteriori sur leur fonctionnement, au-delà du contrôle ponctuel auquel elle procède par l'exercice du droit d'accès indirect et du contrôle a priori qu'exerce la Commission nationale de contrôle des techniques de renseignement (CNCTR) au stade de la mise en oeuvre d'une technique de renseignement ?
Ensuite, s'agissant de l'extension de l'action de groupe en matière de protection des données personnelles, les auditions que j'ai conduites ont montré qu'il était nécessaire non seulement de l'étendre à la réparation du dommage causé par le manquement d'un responsable de traitement ou de son sous-traitant, mais aussi de trouver les moyens d'en assurer l'effectivité en prévoyant une prise en charge des frais de procédure engagés par les associations mandatées. Qu'en pensez-vous ? Autrement, quelle solution serait envisageable ?
Troisièmement, pouvez-vous nous rassurer au sujet des garanties apportées par le Gouvernement pour encadrer les décisions administratives individuelles prises sur le seul fondement d'un algorithme, dans le cadre de la marge de manoeuvre offerte par le RGPD ? Plus particulièrement, pouvez-vous nous confirmer qu'il est toujours interdit d'adopter une décision de justice fondée sur le profilage d'un individu à partir d'un algorithme, tout comme les décisions administratives individuelles fondées sur des algorithmes auto-apprenants ?
Enfin, le projet de loi octroie de nombreuses missions nouvelles à la CNIL. Les ressources dont elle dispose vous semblent-elles suffisantes pour les mener à bien de façon efficace ? Sinon, quelles mesures prévoyez-vous à cet effet ?
Je tiens au préalable à remercier la commission des Lois pour son accueil chaleureux.
La commission des Affaires sociales s'est saisie pour avis des articles 7, 9 et 13 du projet de loi, sur lesquels elle a émis aujourd'hui un avis favorable. Je ne reviendrai pas sur la présentation de ces articles et concentrerai plutôt mon intervention sur les défis que représente le nouveau cadre juridique européen et national. Les responsables de traitement seront demain des acteurs déterminants du respect du nouveau cadre légal. L'appropriation des normes et leur impact économique ont été régulièrement abordés au cours des auditions que j'ai menées. Une certaine anxiété demeure et se nourrit parfois de la rédaction qui a été retenue. Sur ce point, il me semble nécessaire de faire oeuvre de pédagogie.
Rappelons tout d'abord que la protection des données à caractère personnel n'est pas née avec le RGPD mais existe depuis 1978. En somme, nombreux sont les acteurs qui découvrent aujourd'hui qu'ils agissent en marge et parfois en infraction avec le droit en vigueur. Il importe donc de les accompagner dans l'application des normes européennes et nationales ; c'est à mon sens le premier défi.
Le deuxième défi concerne la CNIL. Elle a parfaitement anticipé les évolutions du RGPD en adoptant une doctrine d'emploi et en accompagnant les différents acteurs. Divers packs sectoriels ont ainsi été adoptés – le pack assurance, par exemple. La puissance publique doit quant à elle prendre toute sa part pour faciliter la transformation de la CNIL vers ce rôle d'accompagnateur en renforçant ses capacités opérationnelles ; c'est un enjeu majeur.
Le dernier défi concerne les acteurs des données. J'entends par là les citoyens eux-mêmes, qui sont producteurs de données, ainsi que les responsables de traitement. Le principe de vigilance formulé par la CNIL dans sa synthèse du débat public qu'elle a animé dans le cadre de l'examen de la loi pour une République numérique nécessite que les citoyens s'approprient davantage la notion de consentement accordé à l'utilisation de leurs données personnelles, particulièrement de leurs données de santé. Un réel fossé existe entre le souci de protéger ces données et l'empressement quant au consentement accordé afin de profiter des outils de la vie quotidienne. J'ai notamment vu des internautes publier des informations relatives à leur santé – comme le NIR – sur les réseaux sociaux. Ce fossé doit être comblé. Dans un univers où tout a tendance à être numérisé, il nous faut donc entreprendre un ambitieux chantier de sensibilisation.
Ce dernier défi concerne aussi ceux qui seront appelés à participer au traitement de données à caractère personnel. S'agissant des données de santé, je pense aux professionnels de santé, aux industriels et aux organismes de recherche. Le recueil du consentement, le droit à l'information, le droit de rectification supposent de leur part une démarche éthique qui compte autant que la qualité des données recueillies. Cette démarche s'appliquerait aussi bien à la collecte des informations qu'au stade de leur traitement et de leur analyse. Je salue donc les orientations prises dans le texte qui visent à développer des labels et des certifications en appuyant l'idée d'un label éthique.
Il va de soi que tous ces enjeux n'appellent pas une réponse dans ce projet de loi. Il me semble cependant utile d'être attentifs à ces points si l'on souhaite que ce nouveau cadre réponde aux besoins sociétaux et à la demande de protection.
Le projet de loi que nous examinons s'attache à adapter le droit national à un texte majeur, le RGPD, ainsi qu'à une directive adaptant la protection des données personnelles en matière pénale, formant ce que l'on appelle le « paquet données personnelles ».
L'idée de moderniser le cadre européen de protection des données personnelles est ancienne, puisque la Commission avait lancé une vaste consultation publique de deux ans, entre 2009 et 2011, pour faire évoluer le cadre juridique européen applicable aux données personnelles. Cela fait donc bientôt dix ans que les réflexions sont en cours, tandis que les négociations ont quant à elles duré quatre ans, de 2012 à 2016. La sensibilité de certaines données telles que les données de santé et la longueur des négociations expliquent le caractère tout à fait spécifique du RGPD, un règlement qui laisse plus d'une cinquantaine de marges de manoeuvre aux États membres.
Les aspects que je souhaite évoquer relèvent précisément de ces marges de manoeuvre nationales. Le Gouvernement a adopté une approche parcimonieuse en la matière et nous ne pouvons que le louer d'avoir privilégié l'harmonisation européenne la plus large possible. Cependant, j'estime que des marges d'amélioration existent sur plusieurs points.
Le premier point concerne l'âge du consentement au traitement des données à caractère personnel. Le règlement fixe cet âge à seize ans mais autorise les États membres à déroger à cette règle pour l'abaisser à treize ans. Il s'agit sans doute de l'une des marges de manoeuvre qui seront les plus utilisées dans l'Union, pour plusieurs raisons. Tout d'abord, la limite fixée à seize ans n'est apparue qu'au cours des négociations, puisque la proposition initiale figurant dans le règlement était de treize ans. Un consensus européen peut donc être à nouveau trouvé sur cet âge-là.
Le traitement des données à caractère personnel des mineurs doit de toute façon se faire de telle sorte que le consentement soit donné en toute connaissance de cause, facilité par les informations données par les fournisseurs de services en ligne. Mais ne nous leurrons pas pour autant : les pratiques des adolescents dans le domaine numérique sont aujourd'hui telles que le recueil du consentement auprès des autorités parentales risque de n'être presque jamais mis en pratique. En tout état de cause, les réseaux sociaux ne seront pas en mesure de vérifier l'âge effectif des personnes inscrites sur leurs plateformes, et nous créerons ainsi en Europe des difficultés réglementaires dont les premières victimes seront nos TPE et PME. C'est pourquoi je souhaite que, dans ce projet de loi, l'âge à partir duquel un adolescent peut consentir au traitement de ses données personnelles soit abaissé à treize ans, en contrepartie d'un véritable projet d'éducation aux usages.
Le deuxième point complète le premier ; il vise à permettre aux utilisateurs de services en ligne dont les données personnelles sont traitées de pouvoir déclencher une action de groupe en responsabilité. Cette marge de manoeuvre est aussi inscrite dans le règlement européen à l'article 80.1. Actuellement, le droit français issu notamment de la « loi Hamon » de 2014 et de la loi sur la justice du XXIe siècle de 2016 ne permet que des actions de groupe en cessation de traitement, et non en réparation. La logique de responsabilisation des acteurs du traitement des données induite par le règlement voudrait pourtant que la violation de la vie privée des utilisateurs entraîne une juste indemnisation à leur égard. Je souhaite donc que le projet de loi soit amendé en ce sens.
Enfin, le RGPD a pour objet de renforcer considérablement le nombre et l'efficacité d'instruments dont les autorités nationales de contrôle – en l'occurrence la CNIL – disposent pour mieux accompagner les responsables de traitement, mais aussi pour sanctionner les contrevenants de manière plus drastique. Or je pense que le législateur devrait instituer, au croisement de ces deux logiques, la possibilité de mener des actions de médiation dans les phases précontentieuses entre professionnels ou entre particuliers et plateformes.
Telles sont les observations que je souhaitais formuler sur un projet de loi dont je tiens à rappeler la cohérence et la pertinence pour adapter la loi de 1978, qui fut un texte précurseur en la matière.
Permettez-moi de nous replacer rapidement dans le contexte historique, à la veille de l'anniversaire que nous célébrerons jeudi comme il se doit avec la garde des Sceaux et la présidente de la CNIL à l'occasion des quarante ans de la CNIL et de la loi du 6 janvier 1978. Nous ne sommes plus dans le contexte des années 1974 où les fichiers du système SAFARI défrayaient la chronique et avaient incidemment permis de créer les premières autorités administratives indépendantes, appelées à former le « carré magique » de la transparence : la Commission des opérations de bourse, le Médiateur, la Commission d'accès aux documents administratifs et la CNIL – tel est l'héritage de cette belle période.
À la veille de célébrer le quarantième anniversaire de la CNIL, nous allons profondément modifier la loi de 1978 – pour de bonnes raisons, du reste, même s'il a fallu attendre ce texte assez longtemps. En mars 2012, j'avais commis une proposition de résolution européenne sur le sujet ; l'an dernier, Mme Anne-Yvonne Le Dain et moi-même avons essayé de préparer le terrain pour faciliter la transmission du relais d'une mandature à l'autre sans que nous ne nous trouvions acculés et obligés de légiférer dans la précipitation à la veille de l'entrée en application du RGPD le 25 mai ; c'est pourtant ce que nous constatons ce soir et je le regrette, même si je n'en incrimine pas particulièrement la garde des Sceaux, car je sais que ses services ont travaillé en bonne intelligence. Je déplore tout de même la précipitation dans laquelle nous nous trouvons. Alors que nous examinons en séance publique un texte sur la simplification, je constate qu'il reste des progrès à faire pour que cette simplification s'étende au deuxième sous-sol de cette noble maison et traverse les murs des différents ministères…
Quoi qu'il en soit, ce texte est d'une très grande importance et marque un profond changement de paradigme. La loi de 1978 nous avait habitués à une forme de « confort », à la fois pour les particuliers et pour les entreprises, sous la forme d'un système de déclarations préalables et d'autorisations. Demain, la charge de la preuve sera totalement inversée : il reviendra aux entreprises de démontrer qu'elles ont pris toutes les précautions nécessaires pour garantir le respect des données personnelles. Tout cela n'est pas simple à mettre en oeuvre. La question de la protection des données personnelles des particuliers suscite aussi le débat : nous avons notamment soulevé le cas des mineurs, dont le consentement demeure un point important. Je constate d'ailleurs que le débat n'est pas clos entre les commissions et la majorité : le Gouvernement défendra l'âge de seize ans en se calant sur le règlement européen tandis que Mme la rapporteure proposera l'âge de quinze ans, comme je le ferai par amendement, par cohérence – car l'opposition sait parfois faire preuve de sagacité et a même certaines lueurs… La question de l'âge ne fait pas l'unanimité puisqu'il est également proposé de le fixer à treize ans ; nous verrons ce que donnera le débat, qui traverse aussi la société car les parents, les jeunes et les adolescents peuvent eux aussi avoir des points de vue différents. Il est bon que ce débat puisse se poursuivre.
De même, il faut saisir l'occasion de ces textes pour renforcer les droits de nos concitoyens, affirmer la protection des mineurs et affirmer de nouveaux droits dans la continuité et la complémentarité avec la loi pour une République numérique, dite loi Lemaire, qui a été promulguée en 2016 et qui nous a quelque peu bousculés. Les débats ont régulièrement renvoyé à l'adaptation du règlement européen et de la directive, mais nous sommes restés en deçà de ces textes pour d'autres raisons.
En clair, la discussion doit se poursuivre, ce qui se fera de façon intéressante, je n'en doute pas. À ce stade, je vous assure de l'écoute attentive de l'opposition. Nous donnons volontiers acte au Gouvernement de sa volonté de ne pas surtransposer – encore faudra-t-il que les débats confirment cette volonté puisqu'il existe une cinquantaine de possibilités de surtransposition. Il ne faudrait pas que les positions françaises alourdissent trop les procédures. À titre personnel, je souhaite que nous préservions la singularité de la protection des données en France, qui est affirmée et réaffirmée avec force et conviction par la CNIL qui, ces dernières années, a su prendre une place très particulière en Europe en matière de protection des données, et qui permet sans doute de promouvoir à juste titre un modèle français voire européen auquel nous sommes attachés, excluant toute marchandisation poussée à l'extrême tout en réaffirmant la protection des données en général et de certaines données particulières comme les données de santé.
Je vous remercie, Mme la rapporteure, pour vos propos ; comme vous, je pense qu'il est indispensable de bâtir une politique numérique ambitieuse pour la France. C'est une nécessité, et je sais que le dynamisme de mon collègue Mounir Mahjoubi y contribuera grandement.
De même, comme vous l'avez dit, il est nécessaire de mettre fortement l'accent sur les PME et les TPE, pour que ce processus très innovant leur permette de faire face à une concurrence loyale. Ce nouveau cadre juridique constitue un cercle vertueux dans lequel nous devons nous inscrire.
Je ne reviens pas sur les autres points de votre intervention, en particulier l'âge des mineurs, parce que nous y reviendrons au cours du débat. Je répondrai en revanche aux quatre questions que vous avez posées.
Vous m'avez tout d'abord interrogée sur l'état d'esprit du Gouvernement concernant les « fichiers de souveraineté ». Je rappelle que ces fichiers sont exclus du champ d'application du règlement et de la directive parce qu'ils ne relèvent pas du droit de l'UE. Si les fichiers pénaux entrent quant à eux dans le champ de la directive, et s'ils sont distincts des fichiers de souveraineté, ils feront bel et bien l'objet d'un contrôle de la CNIL en application de l'article 19 du présent projet de loi. En revanche, certains fichiers liés à la sûreté de l'État qui se trouvent hors du champ du droit de l'Union et qui sont dispensés de publication au Journal Officiel font bien l'objet d'un contrôle a posteriori de la CNIL. C'est notamment le cas du fameux fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), qui vise à lutter contre la radicalisation violente.
Rappelons donc que leur nombre est très réduit : leur liste est fixée à l'article 3 du décret du 15 mai 2007 et ne comporte qu'une dizaine de fichiers gérés par les services de renseignement et choisis parmi ceux qui ont été dispensés de publication. Ces dix fichiers dits « fichiers de souveraineté » ne peuvent faire l'objet de contrôles a posteriori par la CNIL, conformément au IV de l'article 44 de la loi de 1978. Qui plus est, ils font déjà l'objet de garanties propres à concilier de manière équilibrée la confidentialité des données qu'ils contiennent avec l'exigence d'un encadrement et d'un contrôle effectifs ; ces traitements de données ne peuvent avoir lieu que sur autorisation donnée après avis de la CNIL. Comme pour tout traitement de données, la CNIL est compétente dans le cadre de l'exercice du droit d'accès indirect prévu à l'article 41 de la loi de 1978. Le Conseil d'État est désormais compétent pour connaître des recours concernant la mise en oeuvre du droit d'accès indirect. Ce dispositif issu de la loi sur le renseignement de 2015 permet de garantir qu'un juge indépendant se penchera sur le contenu de ces dix fichiers lorsqu'une personne s'inquiétera d'y figurer ou non, ce qui est une avancée considérable. La CNIL est systématiquement associée à la procédure en Conseil d'État.
Le Gouvernement considère que ces garanties sont suffisantes ; aller au-delà en conférant à la CNIL un pouvoir de contrôle a posteriori sur ces traitements risquerait de fragiliser considérablement leur alimentation et leur fonctionnement. D'une part, cela porterait atteinte au secret des modalités d'action des services de renseignement et, d'autre part, l'échange de renseignements entre les services français et ceux des autres États pourrait être freiné par la crainte des services étrangers que les renseignements confidentiels qu'ils partagent puissent être communiqués à des tiers. Nous semblons donc disposer pour nos services d'un modèle robuste, récent et efficace qui comporte des garanties réelles ; nous ne souhaitons pas prendre le risque de modifier ce dispositif à un moment où nos services sont en première ligne.
Vous m'avez également interrogée sur l'action de groupe. La loi de modernisation de la justice du XXIe siècle du 18 novembre 2016, dite « J21 », a ouvert la possibilité d'actions de groupe en matière de protection des données, devant le juge judiciaire et devant le juge administratif. Ce recours sans mandat ouvert aux associations agréées et à celles existant depuis plus de cinq ans permet donc de solliciter du juge la cessation d'un manquement. En revanche, vous l'avez relevé, il n'y a pas d'action de groupe en réparation. C'est donc une différence par rapport aux autres actions de groupe prévues par la loi « J21 ». Par ailleurs, l'action de groupe créée par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon », première action de groupe instaurée, ne peut porter que sur la réparation des préjudices patrimoniaux qui résultent des dommages matériels subis par les consommateurs.
La loi « J21 » est récente. Le Gouvernement estime donc qu'il vaut mieux évaluer ce dispositif avant d'en proposer une modification. Cela étant, les arguments développés en faveur de l'action de groupe en réparation peuvent tout à fait être entendus. Sur ce point, le Gouvernement se montrera très ouvert et attentif, mais nous ne serons a priori pas favorables à un dispositif qui reviendrait sur celui de la loi « J21 » en permettant que les associations existant non plus depuis cinq ans, mais depuis trois ans puissent mener ces actions de groupe – c'est une garantie pour les personnes qui se lancent dans ces actions que d'avoir des interlocuteurs fiables. De même, les propositions visant à permettre à la CNIL de condamner les justiciables au remboursement des frais de procédure paraissent assez éloignées de nos principes de procédure civile. Pourquoi donner à une autorité administrative, aussi indépendante soit-elle, le pouvoir de condamner une partie à rembourser des frais de justice ? Ce mélange des genres semble difficile ; je n'en serai pas moins attentive, mesdames et messieurs les députés, aux propositions qui résulteront des débats.
Une de vos questions avait trait à la garantie du Gouvernement sur les décisions administratives individuelles fondées sur un algorithme. Je sais quelles craintes suscitent les algorithmes d'apprentissage, notamment ceux d'apprentissage profond, dont la capacité de traitement des informations se rapproche de celle de l'esprit humain. Mais pour ce qui est des décisions de justice, le projet de loi soumis ne modifie pas le premier alinéa de l'article 10 de la loi du 6 janvier 1978, qui pose le principe selon lequel « aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité ». Nous n'irons donc pas plus loin, malgré les progrès qui peuvent résulter de ces algorithmes.
Enfin, les ressources aujourd'hui affectées à la CNIL lui permettent-elles d'assumer l'ensemble des missions qui sont les siennes en termes de communication, de pédagogie, de réflexion, de droit souple, de contrôle ? La question des moyens de la CNIL excède le champ de ce projet de loi et me semble plutôt relever de la discussion budgétaire. Je remarque toutefois que le budget de la CNIL a fortement augmenté depuis 2010, notamment les dépenses de personnel. L'enveloppe est ainsi passée d'un peu plus de 9 millions d'euros à 11 871 000 euros dernièrement, et, de 2010 à 2017, le plafond d'emplois est passé de 140 à 198. Les moyens alloués ont donc crû.
Le règlement européen crée de nouvelles missions pour la CNIL, mais il implique également une nouvelle philosophie dans la mise en oeuvre des traitements de données. Au contrôle a priori, caractéristique du régime de déclaration et d'autorisation, est substitué un contrôle a posteriori. La réduction substantielle des formalités préalables à accomplir que le nouveau cadre juridique européen induit devrait permettre d'alléger la charge de travail de la CNIL, qui pourra se mobiliser davantage sur sa mission de contrôle. Nous n'en sommes pas moins attentifs à la question, car il est de l'intérêt de tous que la CNIL puisse exercer ses missions de manière satisfaisante, notamment dans cette phase tout à fait essentielle de transition.
Mme Albane Gaillot a souligné les apports et les avancées du texte. Vous n'en appelez pas moins à notre vigilance sur un certain nombre de questions, madame la rapporteure pour avis, notamment celle des données de santé, bien entendu une préoccupation forte, que nous partageons. C'est la raison pour laquelle nous avons construit un système plus clair et unifié. Vous avez également insisté sur le statut dérogatoire de ces données, qui requièrent des garanties spécifiques ; c'est effectivement tout à fait important. Mme la rapporteure Forteza, qui s'est également penchée sur le problème, nous fera sur ce sujet des propositions que nous examinerons attentivement.
Madame la rapporteure pour observations Christine Hennion, vous avez insisté sur l'âge du consentement, comme M. Gosselin. Vous retenez plutôt l'âge de treize ans, tout comme Mme la présidente, et j'en prends note. De notre côté, Mme Forteza et moi-même envisageons plutôt un âge de quinze ans, quand d'autres proposent seize ans. La question est difficile et les réponses sont diverses, mais les pays européens, vous avez raison de le souligner, ont fait des choix extrêmement différents.
Sur l'action de groupe, j'ai déjà indiqué ma position.
Enfin, vous évoquez la possibilité d'actions de médiation dans des phases précontentieuses. La question mérite d'être traitée, mais je ne sais par qui, car ce n'est pas du ressort de la CNIL. En tout cas, votre proposition m'intéresse.
Non sans justesse, M. Gosselin parle de précipitation en même temps que de simplification. Il nous importait, monsieur le député, d'être prêts pour le 25 mai prochain. Les discussions ont été conduites depuis longtemps sur des textes complexes et des architectures compliquées, emboîtées. Aussi n'est-ce qu'aujourd'hui que nous vous présentons un texte. De nombreux pays européens – pas tous, certes – sont aujourd'hui dans la même situation. Bien sûr, je reconnais la complexité de la question et, nonobstant le site internet ouvert par Madame Forteza, qui nous donnera un accès numérique à l'ensemble des textes à notre disposition, la lecture n'en est pas des plus évidentes… C'est la raison pour laquelle une habilitation a été sollicitée aux fins de réécrire l'ensemble de manière très lisible. C'est tout à fait important.
Vous avez reconnu, monsieur le député, qu'il n'y avait pas de surtransposition excessive. Le Gouvernement y tient très fort, je le réaffirme devant vous. Soyez donc rassuré de ce point de vue.
Je propose que nous nous en tenions, pour la discussion générale, à un orateur par groupe. Chacun pourra ensuite s'exprimer lors de l'examen des nombreux amendements déposés.
Madame la garde des Sceaux, chers collègues, il s'agit effectivement de mettre en oeuvre dans le droit français ce paquet européen sur la protection des données personnelles : le règlement général sur la protection des données en matière civile et commerciale et la directive portant sur les infractions pénales. Le délai, certes, est très court, puisque tout doit être bouclé pour le mois de mai prochain.
La France a effectivement choisi de rester dans la logique de la loi du 6 janvier 1978 et de conserver la CNIL. Aussi évident qu'il puisse paraître, ce choix est un choix fort du Gouvernement, dans un cadre toutefois nouveau qui diffère de celui de la loi du 6 janvier 1978 et de ses révisions ultérieures. Le développement du numérique rend nécessaire une certaine fluidité, ce que permet le texte examiné : il fallait bien s'adapter à ces réalités.
Le principal changement est le remplacement du contrôle a priori et du régime de déclaration et d'autorisation par un contrôle a posteriori. L'exercice par la CNIL de ses missions s'en trouve évidemment modifié, mais il ressort de nos auditions et de nos rencontres avec la CNIL que celle-ci anticipe pour être au rendez-vous dès le mois de mai prochain. Autres changements, le projet de loi prévoit l'adaptation des services publics et des entreprises au droit européen et leur responsabilisation, sous-traitants compris, ce qui est une nouveauté ; il impose la production d'analyses d'impact, faites par des organismes certifiés, la désignation de délégués à la protection des données, une véritable formation sur ces questions et, conséquence logique du passage à un contrôle a posteriori, un sensible alourdissement des sanctions prévues qui pourront atteindre 4 % du chiffre d'affaires ou 20 millions d'euros.
Vous avez rappelé, madame la ministre, les quelques marges de manoeuvre qui nous sont laissées. Vous avez notamment évoqué l'âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information. Le texte initial le fixe à seize ans. Après consultation des acteurs, notre groupe soutient la proposition de notre rapporteure de l'abaisser à quinze ans. N'oublions pas la nécessité d'un accord des parents ni les sensibles efforts fournis depuis des années par les opérateurs pour prendre en compte la situation particulière des mineurs ; nous n'en souhaitons pas moins qu'ils s'emploient à améliorer la « charte d'entrée » et clarifient leur pédagogie avant de permettre l'accès à leurs services, à l'égard des jeunes mais aussi à l'égard des parents – les engagements pris au moment de consentir à une offre de services ne sont pas toujours très clairs. Il nous semble également important de maintenir une offre spécifiquement dédiée aux mineurs, qui les empêche d'accéder à certains profils sans autorisation ou, dans d'autres cas, permet de protéger leur propre profil. De tels dispositifs nous paraissent de nature à renforcer la protection des données personnelles des mineurs. Même si nous en connaissons les limites, un accompagnement de ces publics vers l'accès au numérique nous paraît possible.
Vous avez répondu sur l'action de groupe, madame la ministre, mais nous souhaitons aller au-delà de la constatation du manquement, vers la réparation, y compris sous la forme de dommages et intérêts lorsque cela s'impose.
Nous pensons que le texte réalise un certain équilibre entre innovation et protection dans les différents domaines, y compris la santé, la génétique ou la bioéthique, qu'il conviendra de ne pas trop remettre en cause : sans revenir sur la protection apportée par le droit européen, il faut permettre à l'innovation d'être au rendez-vous. Se pose également la question des algorithmes, des données nécessaires à la recherche ou des données liées au renseignement et à la sécurité. Là encore, la nécessité d'un équilibre entre protection et transparence doit être rappelée. Si le temps nous est compté, ces sujets n'en sont pas moins majeurs et nous invitons tous nos collègues à s'en emparer.
J'insiste un peu sur la question de l'âge de consentement. Que pensez-vous, madame la garde des Sceaux, de la solution des quinze ans et de la possibilité d'un renforcement de la protection des mineurs ?
Et qu'en est-il de l'accompagnement des entreprises ? La brièveté du délai impose de démultiplier l'information et d'être davantage présents à leurs côtés, pour les informer et leur permettre de se mettre aux normes.
Enfin, la question du droit à l'oubli, notamment post mortem, nous est souvent posée. Son importance s'est particulièrement manifestée lors des attentats. Qu'en est-il de la possibilité d'effacer les données relatives à une personne après le décès de celle-ci ?
Je souscris totalement aux propos tenus tout à l'heure par notre collègue Philippe Gosselin. Il n'en sera pas surpris puisque j'étais son prédécesseur à la CNIL – en fait, nous avons même eu le plaisir de siéger ensemble. J'ajouterai simplement quelques points.
Le droit à la vie privée et à la protection des données personnelles est l'un des grands enjeux du XXIe siècle, notamment eu égard au développement vertigineux du numérique et des réseaux sociaux. Il nous faut trouver une ligne de crête entre la protection de nos concitoyens et les intérêts de nos entreprises, qu'il s'agit de ne pas handicaper face à des concurrentes qui ne sont pas soumises aux mêmes règles.
Je veux rendre un hommage appuyé à ceux qui sont à l'origine de cette directive européenne, fruit de plus de dix ans d'un travail engagé par le « G29 » (groupe de travail de l'article 29 sur la protection des données), organe qui regroupe l'ensemble des CNIL européennes, longtemps présidées par l'ancien président de la CNIL, le sénateur du Nord Alex Türk, auquel je veux rendre hommage, et poursuivi par Mme Isabelle Falque-Pierrotin, actuelle présidente de la CNIL et également présidente du « G29 ».
Un certain nombre de dispositions du règlement, transposées par ce projet de loi, notamment l'alourdissement sensible des sanctions encourues, me satisfont particulièrement. La formation restreinte, organe de jugement de la CNIL, dont j'étais membre, infligeait parfois des amendes d'un montant ridicule au regard de la puissance économique des entreprises sanctionnées, telle Google. Une sanction doit être significative et dissuader de récidiver. Au demeurant, pour beaucoup d'entreprises, la pire sanction, c'est la publicité de la sanction… Je me souviens d'un grand organisme de formation dont la sanction avait été rendue publique. C'est cette publicité qui lui avait le plus nui… à tel point qu'il a fait des efforts considérables et est même devenu un modèle en la matière !
Je regrette, comme notre collègue Philippe Gosselin, le recours à la procédure accélérée mais, vous l'avez dit tout à l'heure, nous sommes pris par les délais. Il est vrai que l'année 2017, année électorale, ne se prêtait pas à l'examen d'un tel projet de loi par nos assemblées. Je n'en regrette pas moins amèrement que la réécriture d'un texte aussi fondamental que la loi « Informatique et libertés » se fasse par ordonnances. L'enjeu de la protection des données personnelles méritait un grand débat démocratique dans nos assemblées ; or vous vous apprêtez à nous en priver. C'est d'autant plus dommage que cela aurait été un moment de pédagogie vis-à-vis de nos concitoyens et l'occasion d'un choix de société : quelle société du numérique voulons-nous ? quelle protection de la vie privée et des données personnelles voulons-nous dans cette société ? Je vous conjure, madame la garde des Sceaux, d'user de votre influence pour que l'on revienne sur la décision de recourir aux ordonnances. Il est fondamental que nous nous emparions démocratiquement de ce sujet plutôt que de le laisser à de hauts fonctionnaires. Aussi grandes que soient leurs qualités, c'est aux élus du peuple qu'il revient de réécrire ce texte.
En tout état de cause, ces changements législatifs et réglementaires devront s'accompagner d'un important travail de pédagogie, notamment auprès de notre jeunesse, qui devra être engagé et amplifié par l'éducation nationale. Combien d'exemples avons-nous de ces jeunes qui viennent nous voir parce qu'ils sont poursuivis par des images d'eux-mêmes qu'ils avaient publiées sur les réseaux sociaux et qui ne les mettent pas en valeur, pour utiliser un doux euphémisme, au moment de rencontrer de potentiels employeurs !
La protection des données à caractère personnel est un droit fondamental inscrit à l'article 8 de la Charte des droits fondamentaux de l'UE. La question préoccupe de plus en plus les citoyens, notamment sous l'angle du droit au respect de la vie privée. D'un autre côté, les données personnelles sont aujourd'hui des pièces essentielles des modèles économiques des entreprises, encore plus avec l'essor du numérique et du big data.
Le projet de loi soumis à notre examen vise à mettre la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en conformité avec le droit européen à la suite de l'adoption, le 27 avril 2016, du « paquet européen de protection des données ». Il permettra l'application effective de textes qui marquent – nous le pensons sincèrement – un progrès pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.
Le « paquet européen de protection des données » se compose d'un règlement directement applicable dans les États membres à compter du 25 mai 2018, qui fixe le cadre général de protection des données, ainsi que d'une directive applicable aux fichiers de la sphère pénale, qui doit être transposée d'ici au mois de mai prochain. Mes collègues l'ont dit : nous déplorons vivement le délai qui nous est imparti pour adopter ce projet de loi. À l'avenir, il faudra anticiper.
Le RGPD est original en ce que, sur une cinquantaine de points, il prévoit des marges de manoeuvre pour les États membres.
Le nouveau cadre juridique européen renforce les droits des personnes et responsabilise davantage l'ensemble des acteurs qui traitent des données personnelles, tout en leur fournissant des outils pour leur permettre de se mettre en conformité, par exemple un délégué à la protection des données, des analyses d'impact, etc. Il améliore la crédibilité de la régulation en renforçant la coopération entre les autorités de contrôle européennes et en instaurant des sanctions plus lourdes.
Bien que relativement technique, ce projet de loi n'en comporte pas moins de nombreux enjeux politiques. Ses dispositions visent une meilleure harmonisation et une plus grande cohérence entre tous les pays de l'UE afin qu'un organisme ne puisse plus choisir l'État dont le droit serait le plus avantageux pour lui. Le groupe du MODEM et apparentés salue le travail accompli par Mme la rapporteure Paula Forteza, la qualité des auditions auxquelles elle a procédé et celle des différents amendements déposés par ses soins. Le groupe votera ce texte dans son ensemble.
Nous n'en souhaitons pas moins aborder ce soir deux points sur lesquels nous avons déposé des amendements. Puisse une véritable discussion s'engager à l'occasion de leur examen, sans esprit partisan.
Il s'agit pour commencer de l'âge de la majorité numérique que nous proposons de fixer à quinze ans et non seize ans, comme la chancellerie le souhaite. Nos raisons tiennent autant à la cohérence législative qu'aux conseils et avis recueillis lors des auditions. Il s'agit ensuite de préserver le champ scolaire en le sanctuarisant. Comment parler de majorité numérique et autoriser l'exploitation de données issues de nos écoles et de nos collèges ? Nous aurons sans doute l'occasion d'en discuter, notamment aux côtés de nos collègues des groupes La France insoumise et Nouvelle Gauche, qui ont également déposé des amendements allant dans le même sens.
Enfin, nous aborderons avec bienveillance, en vue d'une discussion apolitique parce que d'intérêt général, les amendements sur le consentement, les algorithmes et les actions de groupe. Nous n'avons pas aujourd'hui de position claire sur ces points, et nous souhaitons que les débats de ce soir nous permettent de nous positionner. À l'inverse, même si nous pensons que le sujet mérite d'être discuté et même si les États-Unis nous ont montré qu'il fallait en discuter, un amendement sur la neutralité du net n'a pas sa place dans ce texte ; c'est là une position plus ferme de notre part.
C'est ainsi avec un esprit d'ouverture que nous abordons l'examen de ce texte si important, qui affectera significativement le quotidien de nos concitoyens, et, en même temps, notre compétitivité dans la compétition mondiale du big data. Nous avons ce soir l'obligation de parvenir à une juste conciliation de ces exigences.
Le groupe de la Gauche démocrate et républicaine votera ce projet de loi pour trois raisons principales. Premièrement, il va permettre de renforcer les moyens de protéger nos concitoyens contre les cyberattaques ; deuxièmement, certaines mesures concrètes, relatives au système de positionnement par satellites Galileo, vont permettre de renforcer la sécurité et la protection des citoyens, mais aussi de sortir de la dépendance à des systèmes de positionnement par satellites étrangers, dont le contrôle échappe aux pays européens ; troisièmement, la transposition de la directive va permettre de renforcer le contrôle de la circulation et du commerce des armes – cet aspect de la directive, initié par la France après les attentats de janvier 2015, va constituer un outil servant à sécuriser la vente d'armes à feu, mais aussi à lutter plus efficacement contre son trafic.
Cela dit, nous espérons que les débats feront évoluer la loi et l'enrichiront en un certain nombre de points sur lesquels le Conseil d'État et la CNIL ont indiqué qu'il convenait de faire preuve de vigilance. En la matière, nous reprenons à notre compte l'essentiel des observations de notre rapporteure, Mme Forteza.
En écoutant les uns et les autres, on se rend compte que certaines préoccupations sont largement partagées. Pour ma part, madame la garde des Sceaux, j'aurai deux remarques à formuler.
D'une part, considérant qu'il a fallu dix ans de négociations, de travail parlementaire et de propositions émanant de la commission des Lois et de la commission des Affaires européennes, pour construire, avec le Parlement européen, un règlement et une directive, nous regrettons beaucoup que le Gouvernement ait décidé d'engager la procédure accélérée pour l'examen de ce projet de loi, même si nous pouvons comprendre que le calendrier électoral n'ait pas permis de le faire plus tôt : le seul fait que ce texte porte sur les droits et libertés imposait que l'on se donne le temps nécessaire à une vraie discussion.
D'autre part, comme l'a dit le Conseil d'État, « l'étude d'impact n'éclaire, en dépit de son volume, qu'assez peu les choix stratégiques que le Gouvernement a pratiqués », ce qui me conduit à vous demander des précisions sur trois points.
Premièrement, notre groupe souhaite savoir s'il a été procédé à une approche européenne et comparée. Le principe d'autorisation préalable concernant les traitements automatisés de données est remplacé par une auto-évaluation avec un contrôle a posteriori de la CNIL, dont le rôle va donc énormément évoluer. Le régime d'autorisation préalable n'est conservé que dans trois domaines : les données « sécurité sociale », les données biométriques et génétiques, et les données de santé. J'aimerais savoir si vous avez regardé ce que prévoient les autres législations européennes, et quels autres États européens ont fait le choix de passer du principe de l'autorisation préalable à celui de l'auto-évaluation. Par ailleurs, des études d'impact ont-elles été menées dans d'autres États, mettant en évidence les bénéfices et les inconvénients relatifs à la protection des secteurs d'intérêt public ?
Deuxièmement, comme l'a dit l'un de nos collègues, le projet de loi ne traite pas les données relatives à l'éducation et à la scolarité différemment de celles relatives aux autres domaines concernés, en dépit de l'avis exprimé par plusieurs spécialistes. M. Serge Abiteboul, informaticien, membre de l'Académie des sciences et du Conseil national du numérique, a ainsi déclaré : « Le principe essentiel reste celui-ci : l'éducation nationale doit contrôler pleinement l'accès aux données et les mettre au service exclusif de l'éducation ». Madame la garde des Sceaux, les données relatives à l'éducation et à la scolarité n'auraient-elles pas dû être considérées comme relevant d'un secteur sensible ?
Troisièmement, le projet de loi ne traite pas des droits des personnes à être informées de l'utilisation des traitements algorithmiques à leur endroit, notamment quand des décisions administratives pourraient leur être opposées. Ne pensez-vous pas que nous devrions prévoir que les règles relatives à l'utilisation des algorithmes, ainsi que les principaux effets attendus de leur utilisation, soient systématiquement communiqués aux administrés lorsqu'une décision leur est opposée sur la base d'un algorithme ?
Enfin, nous regrettons que des sujets dont nous avons longuement débattu au Parlement par le passé, notamment le droit à l'oubli ou la portabilité des données, ne soient pas traités par ce projet de loi – même s'ils le sont par le règlement.
Pour ce qui est de la réécriture de la loi de 1978, nous souhaitons qu'elle ne se fasse pas par ordonnances, mais puisse bénéficier de nos échanges en commission et en séance publique. Si je connais un certain nombre de hauts fonctionnaires travaillant dans différents ministères et dont les compétences ne sont plus à démontrer, je considère cependant qu'il faut toujours associer le Parlement à l'examen des textes portant sur des sujets aussi importants que celui-ci : il est en effet dommage de se passer de sa « capacité d'étonnement », jadis rappelée par Guy Carcassonne, qui lui permet souvent de porter un regard plus juste sur les textes et de les enrichir.
Madame la garde des Sceaux, je commencerai par exprimer le regret qu'inspirent au groupe de la France insoumise les conditions de préparation de ce projet de loi et la précipitation dans laquelle il est examiné, dénoncées tant par la CNIL que par le Conseil d'État. Nous déplorons aussi le choix du Gouvernement de légiférer par ordonnance sur des questions aussi importantes qui touchent aux droits et aux libertés numériques de l'ensemble de nos concitoyens.
En l'état, notre groupe ne pourra pas voter ce projet de loi, estimant que le Gouvernement a largement excédé ce qui était demandé par les textes européens, pour insuffler au texte une logique qui libéralise totalement le recours au fichage et qui affaiblit le rôle d'autorisation et de contrôle de l'État. Alors que les textes européens, notamment le règlement et la directive de 2016, avaient constitué des avancées positives en matière de droits, le Gouvernement profite de cette transposition pour réformer profondément le mode de contrôle de la CNIL sur les fichiers, en généralisant un régime de contrôle sous forme de supervision et en restreignant les déclarations préalables et autorisations à des domaines très limités.
En refusant de définir la notion de mission d'intérêt public, ou plutôt de lui donner un champ élargi, vous imposez une libéralisation pratiquement totale sur la totalité des fichiers. De même, le Gouvernement libéralise très largement la possibilité de développer le traitement des données à l'article 12, et le profilage administratif à l'article 14. Nous aurions préféré qu'il reste dans l'esprit initial du règlement et de la directive de 2016 en renforçant les droits et libertés numériques plutôt qu'en favorisant leur utilisation déraisonnée et marchande. Nous avons déposé plusieurs amendements visant à ce que les GAFA ne puissent continuer à échapper aux règles les concernant – en l'état actuel, les infractions ne sont sanctionnées que par des amendes d'un montant insignifiant pour ces sociétés –, et à renforcer les moyens de la CNIL et la transparence, en évitant les conflits d'intérêts. Enfin, nous proposons également des amendements relatifs à la neutralité du net ; cette question a toute sa place dans ce texte et nous l'estimons centrale pour la préservation des données personnelles. Tant que nous n'aurons pas l'assurance que toutes les questions que je viens d'évoquer ne sont pas réglées, nous ne pourrons voter ce texte.
Je vais commencer par répondre à M. Rebeyrotte, qui a posé un certain nombre de questions, mais également fait le constat d'une prise de conscience générale, notamment par la CNIL, qui nous permet d'avancer.
Monsieur le député, vous avez fait part de votre position sur le consentement des mineurs ; je voudrais rappeler ce qui justifie la position du Gouvernement sur ce sujet. Comme je l'ai dit tout à l'heure, le Gouvernement a décidé de ne pas utiliser la marge de manoeuvre dont il disposait, et de se référer à l'âge de 16 ans, proposé par le règlement.
Comme plusieurs d'entre vous l'ont souligné, il n'y a pas un consensus absolu entre les États membres de l'UE : la République tchèque, le Royaume-Uni et l'Irlande retiennent l'âge de 13 ans, l'Espagne pourrait retenir l'âge de 14 ans, la Grèce et la Croatie l'âge de 15 ans, l'Allemagne et le Luxembourg l'âge de 16 ans ; pour sa part, la France a toujours soutenu l'âge de 16 ans lors des négociations.
Nous savons la difficulté qu'il y a à établir un seuil, d'abord parce que cet exercice comporte toujours une part d'arbitraire ou de pari, surtout lorsqu'on travaille sur l'humain. En l'occurrence, il s'agit de saisir par une règle générale une multitude de cas particuliers : chaque enfant est différent, et mesurer la maturité de chacun d'eux, en prenant en compte l'environnement dans lequel ils vivent, est forcément délicat. Nous nous sommes fixé un objectif – partagé, me semble-t-il – consistant à prendre en compte la complexité des adolescents afin de comprendre et de mesurer au mieux quelles peuvent être les conséquences de la diffusion de leurs données personnelles sur les réseaux, et quels sont les risques en termes de marchandisation de ces données, d'exposition de l'intimité et de réputation en ligne – nous connaissons tous des exemples dramatiques de situations liées à ces problématiques.
Nous estimons également que recueillir le consentement des parents peut permettre, dans certains cas, de les responsabiliser, de restaurer le dialogue au sein de la famille et de mieux connaître les pratiques numériques de leurs enfants. Par ailleurs, même si les jeunes sont considérés comme matures à un âge de plus en plus précoce – y compris et même surtout en matière numérique –, on sait que les risques de fracture les plus importants se situent au coeur même de l'adolescence, vers 14 ou 15 ans, correspondant aux classes de quatrième, troisième ou seconde. C'est à cet âge critique que l'on constate le plus d'excès et de violences sur internet, et que les jeunes sont le plus enclins à répondre à des offres de services en ligne parfois douteuses.
Enfin, nous avons considéré que l'âge de 16 ans était un seuil déjà connu en droit français pour les mineurs : c'est celui qui est utilisé pour accomplir seuls les actes d'administration nécessaires à la création et à la gestion d'une entreprise individuelle à responsabilité limitée ; c'est également l'âge nécessaire pour participer à la constitution d'une association et être chargé de son administration ; pour choisir son médecin traitant ; pour établir un testament ; pour participer à la création d'une maison des lycéens ; pour assurer la direction ou la codirection de la publication d'un journal ; pour réclamer la nationalité française pour les mineurs étrangers, etc. C'est pourquoi nous n'avons pas souhaité utiliser la marge de manoeuvre qui était proposée.
J'insiste sur le fait que le Gouvernement n'ignore pas que cette question fait débat ; les différentes propositions que vous avez évoquées en témoignent. Plusieurs amendements proposent un seuil de 15 ans qui correspond, lui aussi, à un âge retenu en droit français : c'est celui de la majorité sexuelle – ce terme est un peu impropre, mais c'est une autre question, qu'il nous sera peut-être donné d'évoquer en d'autres occasions –, mais aussi celui à partir duquel les enfants peuvent s'opposer à ce que leurs parents accèdent à leurs données de santé. J'estime qu'il n'y a pas dans ce domaine de vérité absolue et je pense que le débat parlementaire va nous permettre de trancher cette question. En tout état de cause, il faudra un vrai travail pédagogique et la mise en place d'outils de sensibilisation pour encourager les acteurs du numérique à mieux protéger les mineurs. Je vous ai indiqué les raisons pour lesquelles nous avions choisi a priori l'âge de 16 ans, mais nous restons très ouverts sur cette question.
Vous avez également souhaité m'interroger, monsieur Rebeyrotte, sur les actions menées en direction des entreprises, notamment des PME ; il est en effet nécessaire de sensibiliser les entreprises, de les informer et de leur fournir des instruments pour les aider à prendre en compte cette nouvelle réglementation. Lors des négociations portant sur le règlement, la France s'est attachée à garantir la sécurité juridique et la transparence aux acteurs économiques, notamment aux PME – une préoccupation qui se traduit dans plusieurs dispositions du règlement, qui comporte des aménagements et des dérogations pour les PME : ainsi l'article 30 prévoit que la tenue d'un registre des activités de traitement ne s'applique pas aux entreprises de moins de 250 salariés. Le Gouvernement a traduit cette exigence en termes de dérogations et d'attentions apportées aux PME en proposant de modifier l'article 11 de la loi « Informatique et libertés ». Cette rédaction crée un nouvel environnement juridique grâce auquel la CNIL devra, entre autres, accompagner encore davantage les acteurs concernés, notamment les PME. Elle pourra désormais publier des lignes directrices – ce qui est évidemment important –, des recommandations ou des référentiels destinés à faciliter la mise en conformité avec le nouveau texte. Par ailleurs, le projet de loi supprime de très nombreuses formalités préalables. Cet ensemble de dispositions et ce choix revendiqué en faveur d'un droit souple, en faveur des PME, nous permettront, je l'espère, de faciliter la prise en compte rapide des nouvelles dispositions. J'ajoute que le ministère de la justice a mené des actions de sensibilisation très importantes, à travers des dossiers de presse et des rencontres avec des associations de petites et moyennes entreprises : c'est un sujet sur lequel nous sommes très sensibilisés et très attentifs.
Enfin, vous avez soulevé la question du droit à l'oubli post mortem. Le règlement ne s'applique pas aux données des personnes décédées, comme il est précisé aux considérants 27 et 158. Ce principe n'est pas exclusif du droit national, comme l'indique le considérant 27, qui affirme que « les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées ». L'article 40-1 de la loi de 1978, modifié par la loi pour une République numérique de 2016, précise le régime qui est applicable nationalement aux personnes décédées en prévoyant que « les droits ouverts à la présente section s'éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants ». La direction des affaires civiles et du Sceau de la chancellerie rédige actuellement un décret en vue de créer un registre unique d'enregistrement des références des directives générales relatives à la conservation, à l'effacement et à la communication des données à caractère personnel, même après le décès de la personne ; il est prévu que les directives générales puissent être enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL. J'espère que ce texte répond à votre préoccupation ; je rappelle qu'il est également possible pour les héritiers, en cas de difficultés, de saisir les tribunaux pour sanctionner une atteinte qui serait portée aux droits de la personne décédée.
Monsieur Huyghe, je sais que vous connaissez extrêmement bien les questions que nous évoquons aujourd'hui. Vous avez fait le constat du développement vertigineux du numérique, souligné le rôle de la France dans l'élaboration des textes qui nous occupent, en rappelant le rôle joué par M. Alex Türk et Mme Falque-Pierrotin, qui ont successivement présidé le G29, et fait état de votre satisfaction quant à la puissance des sanctions dont pourra disposer la CNIL, et surtout quant à la publicité de ces sanctions, tout en regrettant la réécriture de l'ensemble de la loi de 1978 par ordonnance. Sur ce dernier point, je redis très simplement ce que j'ai déjà souligné dans mon propos introductif. Pour commencer, cette réécriture, prévue à l'article 20 du texte qui vous est soumis, est purement légistique ; avec tout le respect que je dois au Parlement, je ne sais si son intervention pourrait se traduire par un apport fondamental au contenu de la section I ou à l'intitulé de la section II, par exemple. Le débat au Parlement, nous l'avons maintenant, avec ce texte, puisque ce sont les décisions que nous prendrons maintenant qui se retrouveront dans la réécriture de la loi de 1978. Je vous rappelle ensuite que toute ordonnance est soumise à un projet de loi de ratification et que vous aurez donc la possibilité, comme c'est le cas actuellement avec l'ordonnance sur le droit des contrats, de débattre à nouveau d'un certain nombre de points. En tout état de cause, cette écriture qui se veut de pure légistique ne doit pas être perçue comme privant le Parlement d'un débat.
Monsieur Latombe, vous avez souhaité que l'âge de la majorité numérique soit porté à 15 ans : je me contenterai de réaffirmer devant vous que le Gouvernement est disposé à faire preuve d'ouverture lors du débat qui aura lieu sur ce point. Vous avez également abordé la question des algorithmes et des actions de groupe, points sur lesquels je crois avoir également répondu. Vous formez le voeu que le débat permette d'aboutir à de justes conciliations : je suis exactement dans le même état d'esprit et je suis persuadé que nous saurons trouver ces justes conciliations, pour reprendre votre expression, sur les différents points qui font débat.
Madame Karamanli, vous avez évoqué, entre autres points, la question des données personnelles et de l'éducation. J'entends votre préoccupation et je rappelle que le règlement européen et les protections qu'il institue s'appliquent pleinement au domaine de l'éducation. Comme vous, nous serons attentifs à cette question ainsi qu'à celle des algorithmes, très utilisés par l'éducation nationale – nous en avons un exemple récent avec l'application post-bac. Une convention a été conclue entre la CNIL et le ministère de l'éducation nationale le 10 mars 2016, qui porte sur les usages responsables et citoyens du numérique à l'école. Cette convention permet tout à la fois de concevoir des ressources pédagogiques en matière de protection des données personnelles, ce qui est très important, ne serait-ce que par rapport au point que nous avons précédemment évoqué sur l'âge du consentement, de les mettre à disposition et d'organiser des actions de formation – tout cela grâce à un comité de pilotage chargé de suivre cette convention. S'il n'y a pas là matière à répondre à la question des algorithmes, cela peut fournir des outils pédagogiques de sensibilisation, et c'est un dossier sur lequel nous serons évidemment très attentifs.
Vous avez également évoqué l'approche européenne et comparée. Nous avons évidemment regardé ce qui se fait dans les autres pays de l'UE, et je dois dire que les marges de manoeuvre ouvertes par le règlement traduisent souvent des préoccupations purement nationales, du moins est-ce ainsi que les choses m'apparaissent. C'est le cas notamment pour le NIR, qui est utilisé uniquement par la France ; c'est également le cas des données des églises, utilisées uniquement par la Pologne. Dans ces conditions, il me paraît difficile d'établir une comparaison fine, d'autant que, je l'ai dit tout à l'heure, tous les États membres n'ont pas encore établi leur nouvelle réglementation : les parlements nationaux travaillent actuellement à cette transcription du droit européen, et c'est seulement une fois que cette transcription aura été effectuée dans tous les pays que nous pourrons réellement établir un bilan.
Pour vous fournir un rapide état des lieux, je vous dirai que l'Allemagne a transposé partiellement – certains Länder n'ont pas terminé –, que l'Autriche a transposé, et que le Royaume-Uni, le Luxembourg, l'Espagne et les Pays-Bas ont déposé un projet de loi de ratification. Nous ne sommes donc pas tout à fait en retard et il sera intéressant de regarder, le moment venu, ce qu'ont fait les autres pays.
Enfin, vous regrettez que ne soient pas mentionnés le droit à l'oubli et la question de la portabilité des données, mais si ces points ne font pas l'objet de précisions, c'est qu'ils relèvent de dispositions de nature réglementaire.
M. Lachaud a exprimé ses regrets sur la précipitation dans laquelle, selon lui, nous examinons le texte, et sur la volonté du Gouvernement de légiférer par ordonnance. Il a également exprimé ses craintes d'une importante libéralisation des modalités de contrôle et de traitement des fichiers. Je reconnais que nous entendons inverser complètement la logique en vigueur puisque nous prévoyons tout à la fois de responsabiliser l'ensemble des acteurs et d'accroître les pouvoirs de contrôle de la CNIL – mais, de notre point de vue, il s'agit d'une logique beaucoup plus protectrice des citoyens. Nous nous engageons dans un bouleversement de nos procédures, certes, mais il n'y a pas lieu d'y voir une libéralisation complète des fichiers.
Je vous remercie, monsieur Peu, pour le soutien que vous apportez au texte. Vous évoquez des mesures concrètes pour renforcer la sécurité et la protection des citoyens et vous avez mentionné à juste titre le déploiement du système GALILEO qui, grâce au texte, verra d'une certaine manière sa légitimité renforcée. Je retiens également vos considérations sur le contrôle et la vente des armes, ce qui m'avait échappé au premier abord. Vous avez raison d'appeler à la vigilance sur certains points que vous relevez dans l'avis du Conseil d'État, et que la discussion permettra d'améliorer, j'en suis certaine.
La Commission en vient à l'examen des articles u projet de loi.
TITRE PREMIER DISPOSITIONS COMMUNES AU RÈGLEMENT (UE) 2016679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016
Chapitre Ier Dispositions relatives à la Commission nationale de l'informatique et des libertés
Avant l'article 1er
La Commission adopte l'amendement rédactionnel CL88 de la rapporteure, portant sur le titre du Chapitre Ier.
Puis elle en vient à l'amendement CL5 de Mme Marietta Karamanli.
Nous souhaitons préciser les exigences du règlement en matière de clarté et d'accessibilité des termes de la demande de consentement. De ce point de vue, un référentiel particulier destiné à orienter l'ergonomie des formulaires de demande de consentement doit être envisagé. Il s'agit d'éclairer tous les utilisateurs. Le présent amendement s'inspire des préconisations de la Commission nationale consultative des droits de l'homme (CNCDH).
Je partage votre préoccupation. Toutefois, sur la forme, l'alinéa que vous proposez d'ajouter à l'article 7 de la loi du 6 janvier 1978 devrait plutôt s'insérer à l'article 11 qui traite des missions de la CNIL. L'article 7 se borne à énumérer les conditions dans lesquelles les traitements des données personnelles sont autorisés.
Sur le fond, votre amendement est satisfait dans la mesure où la CNIL travaille déjà sur des référentiels destinés aux jeunes ou aux personnes pouvant rencontrer des difficultés de compréhension. Pour ces deux raisons, j'émets un avis défavorable.
La Commission rejette l'amendement.
Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Missions de la Commission nationale de l'informatique et des libertés
La Commission examine l'amendement CL13 de Mme Marietta Karamanli.
Cet article ne mérite pas de figurer dans le texte. En proposant de le supprimer, nous entendons appeler l'attention de la représentation nationale sur le changement de paradigme évoqué au cours de la discussion générale : le rôle désormais confié à la CNIL suscite de notre part une certaine inquiétude. Peut-être faudrait-il le réécrire différemment.
Nous avons déjà clairement souligné l'importance de ce changement de paradigme : c'est une des principales dispositions du texte. En outre, la question a été tranchée au niveau européen avec, depuis le début, le concours de la France. Avis défavorable.
La Commission rejette l'amendement.
Elle examine ensuite l'amendement CL239 de la rapporteure.
Cet amendement de précision vise à améliorer l'information des petites et moyennes entreprises, en particulier en ce qui concerne leur accompagnement par la CNIL.
Le Gouvernement y est favorable.
L'amendement me va très bien. Reste qu'il pose la question des moyens de la CNIL dans la mesure où l'attribution d'une nouvelle compétence se traduira forcément par un travail supplémentaire qu'il ne sera sans doute pas possible d'assumer à périmètre constant.
La Commission adopte l'amendement.
Puis elle en vient à l'amendement CL240 de la rapporteure.
L'amendement CL240 précise que les responsables de traitement doivent respecter les obligations qui leur sont faites par la loi de 1978, mais également par tous les textes qui traitent de la protection des données personnelles.
La Commission adopte l'amendement CL240
Elle examine ensuite l'amendement CL21 de Mme Danièle Obono.
Le texte prévoit que la mission principale de la CNIL, jusqu'à présent d'autorisation a priori, devient un contrôle a posteriori de supervision, ce qui revient à faire reposer la mission de garantie des droits fondamentaux, en matière numérique, en premier lieu sur les acteurs et les actrices du secteur. On peut considérer, comme l'a fait la garde des Sceaux, que cela les responsabilise, que l'on fait ainsi confiance aux entreprises numériques pour s'autoréguler et respecter les droits fondamentaux, même lorsque la violation de ces derniers pourrait générer un gain économique. Cette position défendue par la majorité nous semble insuffisante : on peut tout aussi bien considérer qu'elle revient à laisser le champ libre à ces entreprises et qu'elles parient sur le caractère fortement aléatoire du contrôle effectué par la CNIL – non par mauvaise volonté, mais tout simplement parce qu'elle ne dispose pas des moyens humains et techniques suffisants. Son budget s'élève en effet à 17 millions d'euros ; celui de la FTC (Federal Trade Commission, Commission fédérale du commerce), aux États-Unis, qui a des missions équivalentes, est de 300 millions de dollars, soit presque vingt fois plus…
Au moment où l'on réforme cette autorité administrative en profondeur, il nous semble que l'augmentation de son budget reste très marginale et ne correspond pas aux nouvelles responsabilités qu'on entend lui donner. C'est pourquoi notre amendement CL21 vise à préciser les missions principales de la CNIL.
Vous partez du principe que l'autorisation préalable est plus protectrice qu'un contrôle en continu ; or ce n'est pas le cas. Il y a quelques années, les entreprises demandaient un avis de la CNIL et ensuite lâchaient prise – l'effort n'était pas continu –, alors que la responsabilisation des acteurs que nous souhaitons revient pour les entreprises à prouver qu'elles respectent constamment le droit en vigueur.
Nous avons donc un désaccord philosophique sur ce point. Avis défavorable.
La CNIL ne va pas tant assurer des contrôles qu'être éventuellement saisie d'un certain nombre de plaintes, ce qui en effet inverse la charge de la preuve ; la contrepartie de cette responsabilisation, c'est le montant des amendes qui seront prononcées : on passe d'un plafond de 150 000 euros à 4 % maximum du chiffre d'affaires consolidé, ce qui n'est pas rien puisque cela peut représenter plusieurs millions d'euros. Je ne vais pas défendre le texte à la place de la ministre ou de la rapporteure…
Vous le faites pourtant très bien !
… mais il s'agit vraiment de nous conformer au règlement européen lui-même et, à ce stade, il est évidemment impossible, à moins de ne pas respecter du tout nos obligations, d'adopter un tel amendement.
La Commission rejette l'amendement.
Puis elle adopte successivement les amendements rédactionnels CL89 et CL90 de la rapporteure.
Elle en vient ensuite à l'amendement CL56 de M. Rémy Rebeyrotte.
Nous souhaitons préciser que la CNIL encourage l'élaboration de codes de bonne conduite et notamment en ce qui concerne les mineurs afin de veiller au mieux à leur protection et au respect de leurs droits.
La Commission adopte l'amendement.
Elle examine ensuite l'amendement CL241 de la rapporteure.
Le présent amendement vise à préciser que la CNIL prend en compte les spécificités des PME à l'occasion de l'élaboration des codes de bonne conduite.
Je suis favorable à cet amendement qui répond aux préoccupations des PME.
La Commission adopte l'amendement.
Puis elle adopte successivement les amendements CL242, de coordination, et CL243, de précision, de la rapporteure.
Elle examine ensuite l'amendement CL23 de Mme Danièle Obono.
Le présent amendement vise à élargir les compétences de la CNIL de la seule dimension de la sécurité du système à d'autres dimensions de protection des données : finalité, minimisation des données, respect des droits, notamment en matière d'ergonomie. Nous suivons en cela les recommandations exprimées par la CNIL elle-même dans son avis.
Nous allons proposer l'extension des règlements types à toutes les données les plus sensibles, portant sur la biométrie, la génétique et la santé, donc avis défavorable.
La Commission rejette l'amendement.
Elle en vient à l'amendement CL244 de la rapporteure.
Comme annoncé, cet amendement vise à élargir les règlements types aux données biométriques, génétiques et de santé.
Le Gouvernement est favorable à cet amendement.
La Commission adopte l'amendement.
Elle examine ensuite l'amendement CL22 de M. Ugo Bernalicis.
Nous souhaitons, concrètement, empêcher le pouvoir exécutif de créer un fichier dit « des honnêtes gens », qui concernerait plus de 20 millions de dossiers de demande de passeports biométriques et électroniques, et l'empêcher de créer un système national des données de santé, fichier géant et centralisé qui regroupe les informations de santé – feuille de soins, consultation, hospitalisations et achat de médicaments – de plus de 65 millions de Français et Françaises, cela sans contrôle de la CNIL. Or rappelons que dans son avis, celle-ci s'interroge sur la pertinence de l'exception que s'est octroyée l'État en la matière ; de même, nous estimons qu'il est difficile de comprendre à quelle mission de service public pourrait bien correspondre ce type d'exemption dont bénéficierait l'État alors qu'il est ici question de la protection de données particulièrement sensibles.
Il y a exception dans ce cas du fait de la demande d'autorisation préalable prévue à l'article 9. Avis défavorable.
La Commission rejette l'amendement.
Puis elle adopte successivement les amendements rédactionnels CL245, CL91 et CL92 de la rapporteure.
Elle en vient à l'amendement CL246 de la rapporteure.
Il s'agit de prendre en compte les besoins spécifiques des PME, cette fois-ci dans la démarche de certification de la CNIL.
La Commission adopte l'amendement.
Puis elle adopte successivement les amendements CL93, de précision, CL94 et CL96, rédactionnels, tous trois de la rapporteure.
Elle examine ensuite l'amendement CL264 de la rapporteure.
Le projet de loi prévoit que la CNIL puisse être saisie par les présidents des deux chambres parlementaires. Nous souhaitons que les commissions compétentes de l'Assemblée et du Sénat puissent en faire autant.
La Commission adopte l'amendement.
Puis elle en vient à l'amendement CL24 de Mme Danièle Obono.
L'amendement CL24 s'inscrit dans la logique de l'article qui prévoit une saisine de la CNIL sur les propositions de loi concernant son domaine de compétence. Nous considérons cependant, à l'exemple de ce qui a été fait en matière de saisine du Conseil constitutionnel, qu'il serait important d'élargir cette possibilité de saisine aux parlementaires de l'opposition afin de permettre un plus haut degré de garantie des libertés fondamentales.
Votre proposition va un peu trop loin : la CNIL n'aura pas les moyens de répondre à la saisine de chaque député ou sénateur. Ce que prévoit l'amendement CL264 que nous venons de voter nous paraît un bon équilibre. Avis défavorable.
La Commission rejette l'amendement.
Elle examine ensuite, en discussion commune, l'amendement CL57 de M. Rémy Rebeyrotte, et les amendements identiques CL65 de M. Philippe Gosselin et CL73 de Mme Constance Le Grip.
Nous proposons, après le mot « postes », de rédiger ainsi la fin de l'avant-dernier alinéa : « ou toute autre autorité administrative indépendante ou organisme public en lien avec ses missions, de toute question relevant de leurs compétences. » Le but est d'élargir le champ de la saisine.
Votre amendement CL57 est satisfait : la loi du 20 janvier 2017 prévoit déjà que la CNIL peut être consultée par différentes autorités indépendantes. Je m'en remets donc à la sagesse de la commission.
C'est avec regret, monsieur le député, que je demande le retrait de votre amendement pour les raisons que vient d'invoquer la rapporteure : il nous semble aussi que votre amendement est satisfait par l'article 15 de la loi du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes. La loi de 1978 prévoit déjà que la CNIL peut saisir pour avis l'Autorité de régulation des communications électroniques et des postes (ARCEP). Désormais, avec la loi susmentionnée du 20 janvier 2017, elle peut saisir toute autre autorité administrative indépendante. Par ailleurs, votre amendement comme les deux suivants – CL65 et CL73 – sont insuffisamment précis, de mon point de vue, quant aux acteurs que la CNIL pourrait saisir pour lui apporter une expertise dans ses missions : on évoque des organismes publics dans un cas, une institution intéressée dans un autre, des autorités ou des institutions nationales enfin…
Bien sûr, la réforme du statut des autorités administratives indépendantes permet à la CNIL de saisir d'autres autorités administratives indépendantes. Mais l'objet est ici d'aller plus loin en incluant « toute autre autorité ou institution ». Les termes ne sont peut-être pas suffisamment précis, mais nous entendons signifier que la CNIL ne doit pas évoluer dans un environnement uniquement constitué de l'ARCEP ou de la Commission d'accès aux documents administratifs (CADA) – laquelle siège d'ailleurs au sein du collège de la CNIL ; je pense également à la Commission supérieure du numérique et des postes (CSNP).
Si la formulation est sans doute à revoir, j'y insiste, nous souhaiterions, par le biais de l'amendement CL65 qu'on pourrait dès lors considérer comme un amendement d'appel, connaître votre point de vue sur la possibilité d'élargir la saisine de la CNIL à d'autres instances que celles d'ores et déjà prévues.
Dans la droite ligne des propos qui viennent d'être tenus par nos deux collègues, je souhaite que la loi permette à la CNIL de saisir pour avis toute autre autorité ou institution intéressée par l'accomplissement de ses missions, comme le propose mon amendement CL73. Je vous entends bien, madame la garde des Sceaux ; peut-être pourrions-nous travailler de conserve sur une rédaction susceptible de recueillir l'assentiment général – nous y sommes pour notre part tout à fait disposés.
Il serait bon en effet de trouver, d'ici à l'examen du texte en séance, une formulation claire et qui, pour répondre au voeu de la garde des Sceaux, soit juridiquement sûre.
Je suis tout à fait d'accord avec la proposition de M. Latombe : je demande, j'y insiste, le retrait de ces amendements et je suis favorable à ce que nous en retravaillions le texte d'ici à la discussion en séance.
Je n'ai aucune difficulté à retirer mon amendement compte tenu de l'engagement pris à présenter un amendement en séance.
Les amendements CL57, CL65 et CL73 sont retirés.
La Commission adopte l'article 1er modifié.
Après l'article 1er
La Commission examine l'amendement CL25 de Mme Danièle Obono.
Un des plus grands défis de la révolution numérique est selon nous qu'elle profite à tous et à toutes dans des conditions équivalentes. Par exemple, dans la vie de tous les jours, il faut savoir ce que signifie la mise à disposition de données personnelles collectées en masse, par exemple quand on souscrit à une carte de réduction avec avantages d'un hypermarché. La fracture numérique aggrave souvent les fractures géographique et sociale existantes ; pour certaines personnes, elle se traduit très concrètement par l'impossibilité d'accéder à leurs droits puisqu'elles ne comprennent pas certaines données apparaissant sur leur écran. Or les démarches auprès des services publics sont de plus en plus dématérialisées.
Le numérique est une nouvelle langue et on ne peut pas accepter qu'elle ne soit pas parlée par toute la population alors même que sa maîtrise en est de plus en plus supposée, voire exigée dans la vie sociale par les employeurs et employeuses et par l'État. Cela fait partie, selon nous, des missions étatiques essentielles en matière d'éducation. C'est pourquoi notre amendement CL25 donne la possibilité, à titre expérimental, aux départements, universités, académies et rectorats qui le souhaitent, de bénéficier de la compétence de la CNIL dans l'information du public ou des élèves sur des enjeux liés aux droits et aux libertés numériques, aux moyens de se prémunir contre de possibles atteintes à ces droits et libertés.
Je partage vos considérations : l'éducation au numérique est pour les individus une clef déterminante en termes d'accessibilité, de capacité d'action, mais elle devrait plutôt être intégrée dans le cursus officiel de l'éducation nationale ou de formations proposées ou soutenues par l'État ; la CNIL interviendrait alors en soutien en proposant des contenus de formation. On ne saurait en effet lui confier une mission supplémentaire alors que nous savons qu'elle n'a pas encore les moyens d'assurer ses nouvelles fonctions.
Sans que la loi lui confie expressément ce type de mission, la CNIL a d'ores et déjà réalisé des opérations d'information avec des quotidiens, des revues, des magazines, etc, à destination de la jeunesse afin de faciliter cette appropriation. Cette action pédagogique existe déjà.
La Commission rejette l'amendement.
Puis elle adopte l'amendement de coordination CL247 de la rapporteure.
Article 2 (art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Qualification des personnalités désignées par le Parlement
La Commission examine trois amendements identiques CL248 de la rapporteure, CL18 de M. Sébastien Huyghe et CL60 de M. Philippe Gosselin.
Je me réjouis qu'un consensus semble se dégager sur cet article. Les cinq personnalités qualifiées nommées membres de la CNIL doivent disposer tout à la fois de compétences numériques et de compétences touchant aux libertés individuelles, et non des unes ou des autres.
Il était en effet de tradition qu'on demande aux personnalités qualifiées soit des compétences numériques soit des compétences sur les libertés individuelles. Du fait de la complexification de la matière traitée, il est devenu indispensable que les personnalités qualifiées nommées cumulent ces deux types de compétences. Il convient en effet d'élever le niveau d'exigence.
Il me semble effectivement indispensable que les personnalités qualifiées aient le même statut, et donc des compétences dans les deux domaines.
J'émets un avis favorable à cette proposition.
Ces amendements identiques réécrivant l'ensemble de l'article 2, leur adoption rendra les amendements suivants sans objet.
En effet. Étant l'auteur de l'amendement CL66, j'en profite pour insister sur la nécessité à mes yeux de la double qualification des personnalités compte tenu de la complexité des données qu'elles auront à traiter.
Notre amendement CL26 visait quant à lui à renforcer l'indépendance de la CNIL en rendant plus transparentes les conditions de nomination et en conditionnant celles-ci à des critères de compétence, ce qui n'est pas tout à fait le cas aujourd'hui. Nous proposions en outre la création d'un jury paritaire composé de membres d'organisations non gouvernementales (ONG), d'experts et expertes de la société civile, de citoyennes et de citoyens volontaires, tirés au sort et de membres de l'Assemblée nationale et du Sénat. Le but était de renforcer l'indépendance et de consolider le statut de la CNIL, amenée à devenir une institution cruciale dans la transition numérique.
Ces dispositions auraient été quelque peu complexes et disproportionnées au regard des règles de nomination des autres membres de la CNIL.
Quant à notre amendement CL27, il visait, à titre expérimental, à télédiffuser certaines délibérations de la CNIL pour des raisons de transparence mais aussi pour des raisons pédagogiques. Une telle mesure nous paraît de nature à renforcer le sentiment de proximité avec les institutions et les citoyens et les citoyennes verraient comment et par qui et dans quelles conditions des sanctions sont prises. Cela pourra même peut-être encourager la CNIL à ne pas avoir la main qui tremble quand il s'agira de sanctionner les GAFA (Google, Amazon, Facebook, Apple). Nous entendons donc engager l'action de la CNIL dans un cercle vertueux.
Je suis très sensible à cet argument ; je vous propose que nous tâchions, d'ici à l'examen du texte en séance, de trouver les points qui, dans l'ordre du jour de la CNIL, pourraient être rendus publics.
Madame la rapporteure, je me permets d'appeler respectueusement et amicalement votre attention sur le fait que l'amendement a trait aux délibérations de la commission réunie en formation restreinte, qui est la formation de jugement de la CNIL, celle qui prononce des sanctions et dont les délibérations doivent respecter un certain nombre de conditions de forme. Une telle mesure soulèverait donc d'importantes difficultés au plan non pas matériel mais juridique.
C'est bien la raison pour laquelle je suis défavorable à la publicité des délibérations, tout en proposant de creuser cette idée pour d'autres travaux de la CNIL.
Je complète l'intervention de notre collègue Gosselin : Cet amendement visait la diffusion des délibérations de la CNIL en formation restreinte mais de surcroît en direct, autrement dit sans le moindre filtre susceptible d'assurer la sécurité des délibérations. Le dispositif proposé n'était donc pas acceptable en l'état.
La Commission adopte les amendements identiques CL248, CL18 et CL60.
En conséquence, l'article 2 est ainsi rédigé et les trois amendements identiques CL66 de M. Philippe Gosselin, CL71 de M. Éric Bothorel et CL75 de Mme Constance Le Grip, de même que les amendements CL26 de Mme Danièle Obono et CL27 de M. Ugo Bernalicis tombent.
Après l'article 2
La Commission examine l'amendement CL249 de la rapporteure.
Il s'agit de permettre à la CNIL de déléguer à son secrétaire général l'exercice de la mission consistant à informer les auteurs des réclamations, des pétitions et des plaintes des suites qui sont données à celles-ci, afin de simplifier le traitement de ces réclamations.
La Commission adopte l'amendement.
Article 3 (art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Conditions de délibération de la formation restreinte de la CNIL
La Commission adopte l'amendement de précision CL97 de la rapporteure.
Puis elle adopte l'article 3 modifié.
Article 4 (art. 44 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Moyens de contrôle des agents de la CNIL
La Commission adopte successivement l'amendement de coordination CL250 et l'amendement rédactionnel CL98, tous deux de la rapporteure.
Puis elle examine les amendements identiques CL64 de M. Philippe Gosselin et CL76 de Mme Constance Le Grip.
Cet amendement vise à assurer la cohérence du texte avec l'article 58-1-e) du Règlement général sur la protection des données, qui précise que les autorités de contrôle peuvent obtenir l'accès à « tous les documents nécessaires à l'accomplissement de leur mission ». Cette mention figure, du reste, à l'article 44 de la loi « Informatique et libertés » de 1978.
La Commission adopte ces amendements.
Elle est ensuite saisie de l'amendement CL28 de Mme Danièle Obono.
Cet amendement technique vise à supprimer une incertitude juridique relevée par la CNIL dans l'un de ses avis, en ajoutant l'adverbe « notamment », qui permet plus de flexibilité.
Le Gouvernement a tenu compte de l'avis que la CNIL a émis sur l'avant-projet de loi : il a lui-même ajouté l'adverbe « notamment ». Votre amendement étant ainsi satisfait, je vous suggère de le retirer.
L'amendement est retiré.
La Commission examine ensuite l'amendement CL77 de Mme Constance Le Grip.
Cet amendement tend à supprimer la dernière phrase de l'alinéa 6 de l'article 4, qui dispose que le secret professionnel n'est pas opposable aux agents de l'autorité de contrôle. Il s'agit d'éviter toute surtransposition et de rester le plus fidèle possible au texte du RGPD.
Avis défavorable. Votre amendement aurait pour effet de supprimer l'obligation de lever le secret lors des contrôles réalisés par la CNIL. En la matière, les négociations avec les autres États membres n'ont pas permis d'aboutir à une harmonisation des dispositions. C'est la raison pour laquelle l'article 90 du règlement offre aux États une marge de manoeuvre pour adopter des règles spécifiques en matière de secret. Le Gouvernement a souhaité utiliser cette marge de manoeuvre pour renforcer l'exercice de ses missions par la CNIL en prévoyant une levée du secret, sauf lorsqu'il s'agit – et ces trois cas sont traditionnels en droit français – du secret entre l'avocat et son client, du secret des sources journalistiques et, sous certaines conditions, du secret médical.
La Commission rejette l'amendement.
Elle examine ensuite les amendements CL58 de M. Rémy Rebeyrotte, CL63 de M. Philippe Gosselin, CL72 de M. Éric Bothorel et CL78 de Mme Constance Le Grip.
L'amendement CL58 est défendu et, puisque M. Bothorel l'a inspiré, je lui laisse bien volontiers la parole.
L'amendement CL72, en quelque sorte rédactionnel, vise à souligner l'importance du respect du secret médical.
Ces amendements ne sont pas purement rédactionnels. On a souligné un peu plus tôt la nécessité de partager les données personnelles de santé. Il s'agit de donner un peu plus de poids au secret médical, moyennant une meilleure prise en compte de ces données.
Cette précision me paraît bienvenue. Avis favorable.
La Commission adopte ces amendements.
Elle est ensuite saisie des amendements identiques CL62 de M. Philippe Gosselin et CL79 de Mme Constance Le Grip.
Dans le prolongement des amendements précédents, nous proposons que la communication des données médicales individuelles ne puisse se faire qu'après une information préalable du patient.
Vous proposez que le patient soit informé lorsque le secret médical est levé dans le cadre de contrôles de la CNIL, mais on considère que celle-ci agit en faveur des patients. En outre, une telle disposition pourrait entraver ou compliquer ces contrôles, notamment si les patients concernés sont nombreux. De ce fait, j'émets un avis défavorable.
La Commission rejette ces amendements.
Puis elle examine les amendements identiques CL61 de M. Philippe Gosselin et CL80 de Mme Constance Le Grip.
Il s'agit de permettre à la CNIL d'effectuer sous une identité d'emprunt des contrôles en ligne des services de communication au public.
La CNIL a déjà la possibilité, depuis 2014, d'effectuer des contrôles sous une identité d'emprunt. Mais nous proposons de préciser explicitement que cette possibilité est exclusivement réservée aux contrôles « en ligne », au risque effectivement d'alourdir la phrase.
J'approuve l'esprit de ces amendements. Je suggère toutefois que les mots : « en ligne » soient insérés après le mot : « opération » plutôt qu'après le mot : « contrôle ». Si leurs auteurs approuvent cette rectification, j'émettrai un avis favorable à ces amendements.
La Commission adopte les amendements CL61 et CL80 tels qu'ils viennent d'être rectifiés.
Elle adopte ensuite l'amendement de précision CL100 de la rapporteure.
Puis elle adopte l'article 4 modifié.
Article 5 (art. 49 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Coopération entre les autorités de contrôle européennes
La Commission adopte successivement l'amendement de coordination CL252, l'amendement de précision CL101, l'amendement rédactionnel CL102 et l'amendement de précision CL103, tous de la rapporteure.
Elle est ensuite saisie de l'amendement CL29 de M. Ugo Bernalicis.
Cet amendement vise à renforcer la transparence et la collégialité des décisions importantes prises par la CNIL. Nous proposons que, lorsque celle-ci autorise des agents publics d'autres États membres à participer à des enquêtes conjointes en France, la décision soit prise, non pas par le seul président de l'autorité, mais par son assemblée plénière. Cet amendement s'inscrit dans les marges de transposition laissées par la directive, puisque celle-ci ne précise pas les modalités d'habilitation de ces agents.
Ce type d'opérations conjointes, auxquelles la CNIL a indiqué vouloir participer autant que possible, impose de réagir très rapidement. Il est donc plus adapté que la décision soit prise par le président de l'autorité. Avis défavorable.
La Commission rejette l'amendement.
Puis elle adopte successivement l'amendement de précision CL104, l'amendement rédactionnel CL105, l'amendement de cohérence CL106, l'amendement de précision CL108, les amendements rédactionnels CL109 et CL110, l'amendement de précision CL112, l'amendement rédactionnel CL113 ainsi que les amendements de cohérence CL114 et CL115, tous de la rapporteure.
Elle est ensuite saisie de l'amendement CL31 de M. Ugo Bernalicis.
Si les députés du groupe de La France insoumise se mettent à citer Charles Pasqua, alors là, je dis chapeau ! (Sourires.)
Eh oui, cela peut nous arriver, à cette heure tardive !
Nous estimons, quant à nous, que les droits et libertés doivent primer sur la raison d'État. C'est pourquoi nous proposons de supprimer l'alinéa 19 de l'article 5, qui nous paraît créer une exception injustifiée et en tout état de cause illégitime.
Mme la garde des Sceaux s'est déjà exprimée à ce sujet. Nous procéderons peut-être à des auditions complémentaires pour tenter de mieux comprendre cette question d'ici à la séance publique. J'émets donc pour l'instant un avis défavorable.
La Commission rejette l'amendement.
Puis elle adopte l'amendement de coordination CL253, l'amendement de précision CL117 et l'amendement de clarification rédactionnelle CL118, tous de la rapporteure.
Elle adopte ensuite l'article 5 modifié.
La réunion s'achève à 23 heures 57.
Membres présents ou excusés
Présents. - Mme Caroline Abadie, Mme Yaël Braun-Pivet, M. Xavier Breton, M. Éric Ciotti, M. Éric Diard, Mme Élise Fajgeles, Mme Paula Forteza, M. Philippe Gosselin, M. Dimitri Houbron, M. Sacha Houlié, M. Sébastien Huyghe, Mme Catherine Kamowski, Mme Marietta Karamanli, M. Bastien Lachaud, M. Guillaume Larrivé, M. Philippe Latombe, M. Jean-Louis Masson, M. Stéphane Mazars, M. Paul Molac, Mme Naïma Moutchou, M. Stéphane Peu, M. Jean-Pierre Pont, M. Rémy Rebeyrotte, M. Raphaël Schellenberger, M. Jean Terlier, M. Guillaume Vuilletet, Mme Hélène Zannier
Excusés. - Mme Huguette Bello, M. Philippe Dunoyer, Mme Marie Guévenoux, M. Mansour Kamardine, M. Fabien Matras, M. François de Rugy, Mme Maina Sage
Assistaient également à la réunion. - M. Éric Bothorel, M. Dino Cinieri, M. Jean-François Eliaou, Mme Albane Gaillot, Mme Christine Hennion, Mme Danièle Hérin, Mme Constance Le Grip, Mme Danièle Obono