Intervention de Nicole Belloubet

Je suis très heureuse de retrouver la commission des Lois pour présenter ce projet de loi relatif à la protection des données personnelles, dont l'objet est d'adapter au droit de l'Union européenne (UE) la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Il est nécessaire, en effet, de transposer le nouveau cadre juridique européen, composé de deux textes : d'une part, le règlement 2016679 et, d'autre part, la directive 2016680. Ce cadre juridique entrera en vigueur en mai 2018.

Ces textes européens sont l'aboutissement d'une longue phase de réflexion et de négociations, et ils traduisent l'ambition très forte de notre continent dans le domaine de la protection des données à caractère personnel.

Cette protection constitue en effet l'une des dimensions nouvelles, de plus en plus importante au quotidien, du droit au respect de la vie privée. Elle est consacrée par la Charte des droits fondamentaux de l'Union européenne, en son article 8.

La France a toujours été très attentive et le plus souvent pionnière sur ces questions. Notre pays a ainsi été l'un des premiers en Europe à se doter non seulement d'une législation globale de protection des données à caractère personnel, avec la loi du 6 janvier 1978 dont nous venons de fêter les quarante ans, mais également d'une autorité de contrôle : la Commission nationale de l'informatique et des libertés (CNIL).

Le développement de l'ère numérique oblige cependant à repenser le cadre applicable aux données personnelles. Je n'ai pas besoin de souligner à quel point le partage et la collecte de telles données connaissent un développement spectaculaire. C'est par ce biais que les nouvelles technologies transforment aujourd'hui profondément notre économie mais également les rapports sociaux qui nous lient.

Dans le même temps et très légitimement, la protection de leurs données constitue un motif de préoccupation croissante chez nos concitoyens. Selon une récente étude de l'institut CSA, 85 % des Français se disent préoccupés par la protection de leurs données personnelles en général, soit une augmentation de 4 points par rapport à 2014. Cette question suscite encore plus d'inquiétude dès lors qu'il s'agit de la protection des données sur internet : le pourcentage atteint alors 90 % des personnes interrogées, ce qui représente 5 points de progression par rapport à 2014. C'est une préoccupation largement partagée en Europe, car il s'agit là d'un phénomène qui ne connaît pas les frontières.

Devant de telles transformations, il était donc nécessaire que l'Union européenne envisage une évolution de la réglementation en la matière. C'est dans ce contexte que la Commission européenne a présenté, en janvier 2012, deux projets distincts définissant un nouveau cadre juridique applicable à la protection des données à caractère personnel.

La France a pris une part très active dans les négociations afin de maintenir et de promouvoir son modèle de protection, qui constitue encore aujourd'hui une référence en Europe et dans le monde. Dans le même temps, elle s'est préoccupée des conditions dans lesquelles les entreprises européennes, et plus particulièrement les petites et moyennes entreprises (PME), pourraient exercer leurs activités sans subir d'entraves excessives, notamment en matière de concurrence – je sais que c'est d'ailleurs l'une de vos préoccupations.

Fruit d'un compromis, le « paquet européen de protection des données » a été adopté par le Parlement européen et le Conseil le 27 avril 2016. Ce paquet se compose, d'une part, d'un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations qu'il définit seront également applicables aux opérateurs installés hors de l'Union et offrant des biens et services aux Européens.

À ce règlement s'ajoute une directive, qui vise les traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.

Avant d'aborder la méthode retenue pour faire évoluer notre cadre juridique, permettez-moi de vous en dire un peu plus sur ces deux textes.

Le nouveau règlement crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l'Union européenne. C'est un point très important : le droit européen s'appliquera donc chaque fois qu'un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement des données, y compris par internet ou par le biais d'objets connectés – par exemple, les montres connectées, les objets mesurant l'activité physique, les appareils domotiques, les consoles de jeux connectées – et ce, quelles que soient la nature et la localisation du support de stockage et de traitement.

Le règlement crée une procédure de coopération intégrée entre les autorités de protection des données des États membres – en France, la CNIL. Cela constitue un progrès majeur dans l'organisation de notre continent face à ces enjeux. Cette coopération intégrée permettra d'assurer une application uniforme des nouvelles obligations s'imposant aux opérateurs, notamment lorsqu'un traitement est transnational, sous l'égide du Comité européen de la protection des données.

Cette innovation permet à la France et à l'Union européenne de promouvoir l'affirmation d'une conception spécifique de la protection des données personnelles, conception qui diffère de celle promue notamment par les États-Unis. Cette conception européenne repose sur deux piliers : le renforcement de la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles d'abord, l'organisation, pour les opérateurs économiques, d'un environnement attractif, afin que l'Europe continue à donner l'exemple d'un continent qui sait concilier les valeurs de progrès et la protection des droits et libertés fondamentales.

Je reviens quelques instants sur ces deux points, et tout d'abord sur la mise en oeuvre de nouveaux droits pour les citoyens. Le règlement conforte les droits des personnes physiques en matière de données les concernant déjà garantis dans la loi de 1978 – notamment le droit d'information – tout en instaurant de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Ce droit à la portabilité permet ainsi la récupération par les personnes concernées des données personnelles qu'elles ont fournies, dans un format réutilisable, ainsi que leur transmission à un autre responsable de traitement. Ce cadre juridique sécurisé permettra en conséquence de renforcer la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles.

Les incidences de ces nouvelles normes européennes en matière de protection des données personnelles sur la législation française ont d'ailleurs été très bien analysées dans le rapport de la mission d'information conduite par deux membres de la commission des Lois, Mme Anne-Yvonne Le Dain et M. Philippe Gosselin, présenté le 22 février 2017, sous la précédente législature. Ce rapport, comme d'autres contributions, a permis de nourrir les travaux conduits par la chancellerie pour rédiger le projet de loi qui vous est aujourd'hui soumis.

En second lieu, le règlement crée un environnement plus attractif pour des opérateurs économiques plus responsables. Ainsi que Mme Isabelle Falque-Pierrotin, présidente de la CNIL, a déjà eu l'occasion de le rappeler, le règlement européen inaugure une nouvelle ère dans la régulation, puisqu'il consacre un changement de paradigme : il s'agit d'alléger considérablement les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus.

Ainsi, le nouveau règlement remplace le système de contrôle a priori, basé sur les régimes de déclaration et d'autorisation préalables, par un système de contrôle a posteriori plus adapté aux évolutions technologiques, fondé sur l'appréciation par le responsable du traitement des risques que présente ce dernier.

Cette responsabilisation des opérateurs, que ce soit le responsable du traitement lui-même ou son éventuel sous-traitant, selon un régime de responsabilité conjointe, s'incarne par de nouveaux principes : la « protection des données dès la conception » (privacy by design) et la « protection des données par défaut » (privacy by default). Ces principes imposent aux responsables de traitement d'intégrer les exigences de la protection des données personnelles très en amont de la conception de leur produit ou de leur service, et d'offrir au consommateur, par défaut, le niveau de protection le plus élevé.

Des analyses concernant l'impact des traitements sur la protection des données devront être conduites par les responsables de traitement lorsque celui-ci est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

La désignation d'un délégué à la protection des données sera obligatoire dans le secteur public. Elle le sera aussi lorsque l'activité principale d'une entreprise concerne le suivi, à grande échelle, régulier et systématique, des personnes, ou le traitement à grande échelle de données sensibles ou relatives à des condamnations.

Les responsables de traitement devront notifier les violations de données personnelles à l'autorité de contrôle ainsi qu'aux personnes concernées en cas de risque élevé pour leurs droits et libertés.

En responsabilisant les acteurs, le projet de loi consacre également de nouvelles modalités de régulation, à travers des outils de droit souple. Dans ce nouvel environnement juridique, la CNIL devra accompagner plus encore les acteurs, notamment les PME, qui doivent s'adapter aux nouvelles obligations en matière de protection des données.

En contrepartie, les pouvoirs de la CNIL sont renforcés et les sanctions encourues considérablement augmentées, puisqu'elles pourront être portées jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé d'une entreprise.

Le règlement général sur la protection des données (RGPD) met donc fin à la fragmentation des régimes juridiques au sein de l'UE, laquelle induisait un coût évalué par l'Union à 2,9 milliards d'euros par an pour les entreprises. Il entend instaurer un climat de confiance dans l'environnement en ligne, confiance essentielle au développement économique. Elle sera fondée sur un cadre juridique sécurisé pour les opérateurs, compatible avec le souci de soutenir l'attractivité de notre territoire, laquelle sera renforcée par un droit souple mais précis.

L'Union européenne représente aussi un marché de consommateurs important dans le domaine du numérique : il y a là un enjeu économique et technologique. Dans ce domaine, la France semble particulièrement bien armée, car elle peut faire valoir une culture de la protection des données et une véritable expertise juridique dans ce domaine, comme en témoigne son rôle important lors des négociations sur le règlement.

À côté du règlement, la directive fixe les règles applicables en matière pénale à la protection des personnes physiques, s'agissant du traitement des données à caractère personnel. C'est la première fois que l'Union se dote d'un cadre normatif pour réglementer le traitement de ces données au niveau national : auparavant, seuls les transferts de données d'un État membre à un autre étaient soumis à des règles européennes, formalisées dans la décision-cadre du 27 novembre 2008.

La directive s'applique aux traitements mis en oeuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Sont ainsi concernés, en France, les fichiers tels que le fichier national des empreintes génétiques, le fichier national des interdits de stade, ou encore le fameux TAJ – traitement des antécédents judiciaires.

La directive n'est en revanche pas applicable dès lors que le traitement est mis en oeuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n'est pas compétente. Elle n'est pas non plus applicable aux traitements intéressant la sûreté de l'État et la défense, qui ne relèvent pas du droit de l'Union.

Les principales innovations de la directive consistent en la création en matière pénale d'un droit à l'information de la personne concernée par les données personnelles traitées et en la consécration d'un droit d'accès, de rectification et d'effacement. Ces droits s'exercent, par principe, de manière directe par la personne concernée auprès du responsable de traitement, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Avec ce règlement et cette directive, le paquet européen se traduit donc par une modification profonde de notre mécanisme de protection des données personnelles. La France y a fortement contribué, avec pour objectif tout à la fois de permettre à notre continent de répondre à ces nouveaux enjeux face aux autres acteurs mondiaux, étatiques ou non, et de promouvoir un modèle solide et opérationnel de protection des droits fondamentaux.

Néanmoins, le croisement de ces deux textes dans un domaine juridique complexe nous a contraints à faire des choix de méthode pour traduire le droit européen en droit français. Je voudrais m'y arrêter un instant car je sais que c'est une de vos préoccupations comme celle des acteurs concernés – et je peux vous assurer que c'est également la nôtre.

Rappelons que si la directive doit faire l'objet d'une transposition en droit interne, le règlement est en revanche directement applicable. Par conséquent, au regard des règles européennes, le projet de loi ne peut recopier ses dispositions. C'est la raison pour laquelle les dispositions directement applicables et qui se suffisent à elles-mêmes ne figurent pas dans le projet de loi : il en est ainsi des dispositions relatives au délégué à la protection des données ou de celles attachées aux droits des personnes concernées, qui pourront néanmoins être invoquées directement à compter du 25 mai 2018. Il faudra donc, en tout état de cause, lire cette nouvelle version de la loi de 1978 avec le règlement européen à portée de main, ce qui, je vous le concède, n'est pas toujours évident… Il nous reviendra de proposer, sur les sites officiels, notamment celui de la CNIL, des versions commodes, avec des liens hypertextes, afin que tout un chacun puisse s'y retrouver.

Mais le projet de loi qui vous est soumis ne constitue pas seulement un simple exercice de transposition de la réglementation européenne : le règlement européen prévoit plus d'une cinquantaine de marges de manoeuvre qui autorisent les États membres à préciser certaines dispositions. La plupart de ces marges de manoeuvre permettent de maintenir des dispositions qui existaient déjà dans notre droit national. D'autres, à l'inverse, peuvent être utilisées afin notamment de prendre en compte l'évolution technologique et sociétale que la loi de 1978 ne permet plus d'appréhender.

Le Gouvernement, conformément à la démarche de simplification des normes souhaitée par le Président de la République et à sa volonté d'éviter la surtransposition des textes européens, a fait le choix d'épouser la nouvelle philosophie du règlement et de supprimer la plupart des formalités préalables à la mise en oeuvre des traitements.

Cependant, afin de ne pas affaiblir la protection des données à caractère personnel, et bien que ce ne soit exigé ni par le règlement ni par la directive, le Gouvernement a fait le choix de maintenir certaines formalités préalables pour le traitement des données les plus sensibles, par exemple pour les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes, pour les données génétiques, ou encore pour les traitements utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR). Les traitements utilisant des données de santé font eux aussi l'objet d'un régime protecteur et unifié. Enfin, dans le champ d'application de la directive, sont également maintenues les formalités préalables à la création de tout traitement mis en oeuvre pour le compte de l'État.

Par ailleurs, un point important, qui retient tout naturellement votre attention, doit être précisé. Le règlement fixe à seize ans l'âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information – autrement dit, pour parler clairement, accéder aux réseaux sociaux. Le Gouvernement a ici fait le choix de ne pas utiliser la marge de manoeuvre prévue à l'article 8 du règlement, qui permet aux États membres d'abaisser ce seuil jusqu'à treize ans. Le projet de loi ne contenant aucune disposition sur l'âge du consentement, le règlement s'applique directement et l'âge limite reste fixé à seize ans.

Notre préoccupation commune est bien entendu de mieux protéger les mineurs, et la fixation d'un seuil est toujours un exercice délicat. On tente de saisir par une norme générale des cas éminemment particuliers, surtout lorsqu'il s'agit d'identifier ce que peut être le seuil de maturité d'un enfant ou d'un mineur. La France avait défendu le seuil de seize ans, en deçà duquel l'autorisation parentale sera nécessaire pour autoriser le traitement des données. Les autres pays de l'Union font des choix très divers. Nous avons souhaité maintenir notre position dans le cadre du projet de loi, mais j'ai bien conscience que ce point fait débat.

Il nous semble, en tout état de cause, que la mise en place d'une autorisation parentale, sans lourdeur procédurale excessive, doit être l'occasion de réinstaurer le dialogue au sein de la famille sur ces questions et permettre ainsi une meilleure connaissance par les parents des pratiques numériques de leurs enfants. Il s'agit également de prendre en considération la difficulté pour les adolescents de comprendre et de mesurer les conséquences de la diffusion de leurs données personnelles et les risques inhérents encourus, en termes de marchandisation des données personnelles à des tiers, de réputation en ligne. Je crois que nous sommes tous d'accord sur ces objectifs ; le débat nous permettra certainement de progresser.

Je voudrais enfin dissiper un certain nombre d'interrogations concernant l'habilitation que le Gouvernement sollicite dans le cadre du projet de loi. Le Gouvernement souhaite qu'en mai prochain, date limite de transposition de la directive, nous soyons prêts ; nous le serons. Pour cette raison, il a fait le choix d'un texte le plus resserré possible, qui ne remette pas sur la table l'ensemble de la loi de 1978, ce que le droit européen n'exige nullement.

L'objet de l'habilitation qui vous est demandée est de permettre une codification des modifications apportées à notre droit et à la loi fondatrice de 1978 par le projet de loi qui vous est soumis, afin d'offrir un cadre juridique lisible à chaque citoyen et acteur économique. Il ne s'agira aucunement de revenir sur les choix que le Parlement sera amené à faire lors de l'examen du projet de loi. Vous l'avez tous compris en lisant ce texte, l'accessibilité et l'intelligibilité du droit requièrent une réécriture intégrale de la loi du 6 janvier 1978, pour qu'elle retrouve son ambition originelle : celle d'être un véritable code de la protection des données personnelles des Français. C'est le sens de cette habilitation, qui permettra d'adopter un plan clair, avec un titre Ier rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre II consacré au champ du RGPD, un titre III consacré à la directive et un titre IV consacré aux dispositifs hors du champ de l'UE.

L'ordonnance, qui sera édictée au plus tard à l'automne, sera donc de nature exclusivement légistique. Entre mai et la sortie de l'ordonnance, soyez par ailleurs assurés que tous les outils pédagogiques et de communication seront mis en place, avec la CNIL et les professionnels, au service des citoyens et des entreprises. Je suis d'ailleurs persuadée que nos débats auront aussi cette vertu pédagogique et qu'ils permettront d'écarter les inquiétudes les plus vives qui sont normales à l'occasion d'un tel changement de paradigme.

Pour conclure, je souhaite que chacun puisse mesurer la portée de cette réforme à l'aune non seulement du projet de loi qui vous est proposé mais, plus largement, des textes mis en oeuvre par l'UE. L'exercice de transcription du droit européen présente toujours un caractère un peu contraint, mais le nouveau cadre adopté par l'Union pour la protection des données personnelles est, me semble-t-il, une magnifique réussite pour l'Europe et les citoyens de l'UE.