Intervention de Philippe Gosselin

Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État, madame la rapporteure, madame la rapporteure pour avis, chers collègues, la protection de la vie privée et des données personnelles de nos concitoyens représente, depuis de longues années déjà, un enjeu majeur des politiques publiques dans notre pays.

L'adoption de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et la création de la Commission nationale de l'informatique et des libertés, dite CNIL, ont fait de la France l'un des pionniers, l'un des premiers pays au monde à se doter d'une législation et d'une autorité de contrôle indépendante sur ces questions.

Certes, nous ne sommes plus dans le contexte très particulier de 1974, où les fichiers du système SAFARI défrayaient la chronique, permettant la création fort habile des premières autorités administratives indépendantes – rappelons-les pour les nostalgiques : la Commission des opérations de bourse, le Médiateur, la Commission d'accès aux documents administratifs et la fameuse CNIL, qui constituaient à l'époque ce que l'on appelait le « carré magique » de la transparence ; cela pourrait faire sourire, mais ce sont pourtant des actes fondateurs.

En cette période du quarantième anniversaire de la CNIL, que nous avons célébré dignement, comme il se devait, le 25 janvier, il est important de s'inscrire dans l'héritage de cette période créatrice, où le souci de protection des libertés était déjà, évidemment, un objectif essentiel.

Fort de son expérience dans ces domaines de la protection de la vie privée et des données personnelles, notre pays a, rappelons-le avec force, toujours été l'un des États les plus impliqués – et cela continue – dans ces thématiques, aussi bien au sein de l'Union européenne que sur la scène internationale.

Ainsi, les principes de la loi du 6 janvier 1978 ont, pour une grande part, fortement inspiré les dispositions de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dont l'adoption a été considérée comme l'acte fondateur de la politique européenne dans ce domaine.

Bien sûr, l'explosion d'internet, l'émergence des réseaux sociaux, l'apparition de nouvelles technologies – des algorithmes « en veux-tu, en voilà » – et de nouvelles pratiques ont considérablement – c'est peu dire ! – transformé le monde numérique, digital, depuis l'adoption de la directive en 1995. Les données personnelles des citoyens ne sont plus seulement, tant s'en faut, contenues dans des fichiers mis en place par les États ou les administrations, comme cela était le cas à l'origine. Désormais, elles sont traitées – bien, je l'espère – par différents acteurs publics, et beaucoup plus largement encore par des acteurs privés, dont la croissance est exponentielle à l'heure des datas, des open datas et autres ouvertures des données, qui sont sans doute, et à juste titre, présentées comme la matière première du XXIe siècle.

À cette nouvelle réalité s'ajoute, fort logiquement et conséquemment, une internationalisation croissante, elle aussi exponentielle, des échanges de données. Les traitements de données, totalement mondialisés, s'affranchissent des frontières traditionnelles, sans que les citoyens en soient nécessairement informés – c'est bien la difficulté – ; sans qu'ils s'en rendent réellement compte et intègrent profondément cet élément ; sans qu'ils puissent véritablement en conserver la maîtrise. Nous sommes ici au coeur des enjeux.

C'est dans ce contexte, en forte évolution, pour ne pas dire révolution, que la Commission européenne a fait de la révision du cadre juridique européen une priorité stratégique de son action avec, pour objectif premier, l'harmonisation et la simplification des règles applicables en Europe.

Le processus est ancien, qui a commencé en 2009 avec une consultation publique de l'ensemble des acteurs ; elle s'est faite cahin-caha. Puis les années ont passé et les résultats se sont fait attendre. Nous nous en étions émus, dans l'ancien monde, lors de la XIIIe législature : j'avais ainsi commis, avec quelques collègues, en février 2012, une motion européenne : adoptée par la délégation aux affaires européennes, elle revenait sur la nécessaire réforme de la directive et sur un certain nombre de propositions que nous formulions alors.

Je dois dire aussi, du reste, que la CNIL y a pris toute sa part : je la salue, elle qui a joué un grand rôle dans le déroulement des travaux préparatoires. Je salue l'action d'Alex Türk, président de cette autorité au début des travaux, d'Isabelle Falque-Pierrotin, qui lui a succédé, et de l'ensemble du groupe G 29, le fameux groupe des « CNIL » européennes, ou plutôt des autorités de contrôle européennes – cela sera mieux dit ainsi !

Après plusieurs années de négociations, l'adoption d'un règlement général sur la protection des données a constitué l'aboutissement de la volonté européenne. Il est forcément le fruit d'un compromis entre différentes visions, mais il me semble que le fruit est plutôt beau malgré tout. Ce règlement a été complété, Mme la garde des sceaux l'évoquait tout à l'heure, par une directive sur les données policières et judiciaires, ces deux textes constituant ce que l'on appelle « le paquet européen de protection des données ». Ce règlement sera applicable dans quelques petites semaines, le 25 mai 2018, date à laquelle la directive de 1995 sera abrogée. Il est donc nécessaire, préalablement, de nous activer. Il y a même une certaine urgence puisque dans trois mois et demi, nous y serons.

Si la loi du 7 octobre 2016 pour une République numérique a bien permis un renforcement significatif de la protection des données personnelles, elle n'a cependant pas couvert l'ensemble du champ du règlement, et la révision de la loi de 1978 est indispensable. C'est l'objet du présent texte. Et je tiens à saluer, échange de bons procédés, le travail de notre rapporteure, Paula Forteza, qui a, je le sais, oeuvré d'arrache-pied. Je regrette cependant – je n'en fais évidemment pas, madame la garde des sceaux, une attaque personnelle – la relative précipitation avec laquelle ces travaux sont menés et l'habilitation donnée au Gouvernement pour agir et transcrire directement la directive par ordonnance. Contrairement à ce qui a été dit, il ne s'agit pas seulement d'une habilitation à procéder à des ajustements légistiques – on va un peu plus loin. C'est pourquoi je regrette ce retard alors qu'il était prévisible. Ma collègue Anne-Yvonne Le Dain et moi-même avions tenté dans l'ancien monde, sous la XIVe législature, de mettre la commission et le Gouvernement en alerte à ce sujet. Mais, manifestement, notre testament politique n'a pas suffi. Il n'a pas été entendu, et nous voilà à marche forcée aujourd'hui, avec une remise à plat qui n'est pas aussi complète qu'elle aurait pu l'être, et un texte par conséquent moins ambitieux. La fabrique de la loi, et c'est l'occasion de le dire ici à dessein, à quelques semaines d'une révision constitutionnelle, ne devrait pas pouvoir se faire dans une telle précipitation.