Intervention de Mounir Mahjoubi

Monsieur le président, madame la présidente de la commission des lois, madame la rapporteure, mesdames et messieurs les députés, le texte que nous examinons aujourd'hui semble à première vue très technique. Pourtant – raison pour laquelle je suis très heureux de votre présence à tous – , c'est un texte éminemment politique, un texte essentiel, et qui porte nos valeurs : les valeurs européennes, les valeurs françaises. C'est une reprise en main de notre propre avenir numérique : une reprise en main par l'Europe, par les Européens et, parmi eux, par les Français, au nom des voeux que nous formons pour l'avenir de nos sociétés numériques. Nous ne sommes pas là pour subir, nous pouvons aussi décider. De ce point de vue, le règlement, comme le texte que nous vous soumettons aujourd'hui pour adapter la loi afin d'accueillir ce règlement et la directive que nous transposons, sont des textes essentiels.

Le projet de loi favorisera la modernisation et l'extension de la vision française des données, laquelle a contribué à forger leur conception européenne et devient aujourd'hui un exemple dans le monde. Il s'agit d'une vision de la vie privée, du respect de la personne, de la performance. Il s'agit de définir le point d'équilibre entre tout ce que l'on peut faire des données et tout ce que l'on ne peut pas en faire, mais en expliquant pourquoi.

C'est donc un texte qui prépare l'avenir, à une époque où les algorithmes se multiplient, où la collecte des informations se développe, où tous les citoyens ne sont pas encore formés, n'ont pas encore pris conscience de toutes les données qui existent autour de leur personne.

C'est un texte « refondateur » de notre droit, qui porte nos valeurs et les affirme à l'échelle mondiale. Il y a des continents où tout s'achète et où tout se vend ; il y a des continents où l'on n'a pas d'avis sur la question des données personnelles ; et il y a un continent, l'Europe, qui définit cet équilibre entre performance et humanité dans le cadre duquel l'information sert à chacun, l'information s'échange, mais où elle respecte.

Il convient de rappeler – après vous, madame la ministre – la philosophie du texte : nous avons voulu à la fois responsabiliser les acteurs et faire appliquer les règles. Responsabiliser les acteurs impliquait d'alléger les obligations préalables ; faire appliquer les règles a consisté à prévoir des sanctions plus lourdes et des outils pour les exécuter.

On a parlé de l'ensemble des nouvelles obligations ; j'aimerais maintenant que nous passions quelques minutes à évoquer tout ce que ce texte va permettre. Car c'est aussi un texte très positif : une invitation, pour chaque citoyen, à s'emparer de ses propres données, à s'informer, à questionner la collecte des données, à s'interroger sur les traitements qui leur sont appliqués et, à travers le droit existant ou le nouveau droit que nous instaurons, à se demander ce que le numérique fait à nos vies. Or le numérique fait du bien à nos vies ; mais, puisqu'il y est présent, il ne doit pas être une boîte noire. Il ne se passe pas dans le monde numérique des choses que l'on ne peut comprendre. Il nous faut quitter ce monde d'initiés – dont j'ai longtemps fait partie – qui aurait le monopole de la compréhension, et prendre la responsabilité de délivrer à tous les clés permettant cette compréhension. Voilà ce que fait ce texte.

Mais c'est aussi une invitation adressée à ceux qui détiendront la responsabilité du traitement des données : les entreprises, les associations, les administrations. J'espère vraiment que celles-ci comprendront, au terme de nos débats et grâce à la pédagogie dont fera preuve la CNIL concernant ce projet que le Gouvernement défendra, comme chacun d'entre vous partout en France, que le texte n'est pas seulement une source de nouvelles obligations – obligation de gérer la conformité, de trouver de nouveaux prestataires, d'accomplir de pénibles formalités administratives sous peine de lourdes sanctions – , mais également une chance de mieux servir leurs clients et leurs usagers, d'inventer de nouveaux services et de nouvelles techniques de gestion des données, de mener une réflexion stratégique sur ces données.

C'est également une chance, comme je l'ai rappelé lors de la discussion sur la directive NIS – sécurité des réseaux et des systèmes d'information – , de mieux sécuriser les systèmes d'information. Voilà un élément peu discuté du RGPD : celui-ci crée une nouvelle obligation de sécurité. Je sais que le groupe La France insoumise, notamment, a jugé essentiel ce point lors de la discussion sur la directive NIS ; j'avais alors renvoyé ses membres au débat que nous entamons aujourd'hui. Le niveau de protection des données est ainsi le bon, grâce à des sanctions très significatives ; il est essentiel de rappeler ce point du texte.

C'est enfin une incroyable occasion, pour ces organisations, d'expliquer leurs algorithmes et les traitements de données, et de montrer à leurs clients qu'il n'y a rien de magique derrière un algorithme. Un algorithme ne fait rien seul : il fait ce qu'on lui demande de faire. La nouvelle obligation résultant du RGPD consiste précisément à expliquer ce que l'on a demandé à l'algorithme de faire. C'est, je crois, essentiel pour développer la confiance.

Car c'est pour cela que tous les pays membres se sont accordés sur ce texte, qu'un règlement a été adopté et que nous sommes aujourd'hui devant vous : parce que ce projet est une incroyable occasion de développer la confiance dans la société numérique – dans les données – et de recréer un équilibre entre l'utilisation du numérique et sa maîtrise. Un citoyen placé au coeur du processus, des organisations plus performantes : voilà ce que j'espère que l'on retiendra de ce texte.