Intervention de Philippe Gosselin

Monsieur le président, madame la garde des sceaux, madame la rapporteure, la protection de la vie privée et des données personnelles de nos concitoyens représente, depuis de longues années déjà, un enjeu majeur de notre société et des politiques publiques dans notre pays.

L'adoption de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et la création de la CNIL faisaient de notre pays l'un des premiers au monde à se doter d'une législation et d'une autorité de contrôle dignes de ce nom. En cette année du quarantième anniversaire de la CNIL, célébré il y a quelques jours, il fallait le rappeler pour glisser nos pas dans ceux de nos prédécesseurs.

Évidemment, fort de son expérience dans ces domaines de la protection de la vie privée et des données personnelles, notre pays a marqué de son empreinte l'Union européenne, voire plus loin. C'est la France, avec les principes de 1978, qui a inspiré la directive de 1995 relatives aux données personnelles.

Bien sûr, le temps a passé. L'explosion d'internet, l'émergence des réseaux sociaux, l'apparition de nouvelles technologies, des algorithmes et de nouvelles pratiques ont considérablement – c'est peu dire ! – transformé le monde numérique depuis l'adoption de la directive en 1995. Les données personnelles des citoyens ne sont plus seulement, tant s'en faut, contenues dans des fichiers mis en place par les États, mais largement brassées par des acteurs privés.

À cette nouvelle réalité s'ajoute, fort logiquement, une internationalisation croissante, elle aussi exponentielle, des échanges de données. Les traitements de données, totalement mondialisés, s'affranchissent des frontières traditionnelles sans que les citoyens en aient nécessairement conscience.

C'est dans ce contexte en forte évolution, pour ne pas dire révolution, que la Commission européenne a fait de la révision du cadre juridique européen une priorité stratégique de son action, avec pour objectif premier l'harmonisation et la simplification des règles applicables en Europe.

Après plusieurs années de négociations, nous nous retrouvons au pied du mur, en raison d'un règlement qui sera applicable dans quelques petites semaines, le 25 mai 2018, date à laquelle la directive de 1995 sera abrogée. Nous devons donc aller vite et bien.

Je voudrais, à ce stade, saluer le travail de Mme la rapporteure et de la commission, ainsi que la franche et belle coopération avec le ministère, Mme la garde des sceaux, même si je regrette une certaine précipitation : nous avions essayé de passer le relais à la mandature précédente pour éviter de nous retrouver ici, en février, à débattre dans l'urgence ! Je déplore également une forme de dessaisissement du Parlement avec cette transposition par voie d'habilitation. Tout se fait un peu à marche forcée – mais tout cela a déjà été dit.

Cela étant, ce texte, extrêmement important, marque un profond changement de paradigme. Je ne reprendrai pas les points déjà évoqués, quelques mots suffiront : portabilité, déréférencement, anonymisation, consentement, profilage, réparation, responsabilité, étude d'impact… Bref, les sujets traités sont particulièrement nombreux.

Nous pourrons retenir que la loi de 1978 nous avait habitués à un certain confort. Il fallait peut-être revenir sur ces éléments en inversant la charge de la preuve. Là où nous avions des déclarations, des autorisations, nous aurons désormais des études d'impact et il appartiendra aux entreprises de démontrer qu'elles auront pris toutes les précautions nécessaires pour garantir le respect des données personnelles. Ce n'est pas rien, et il faudra y veiller pour les plus petites entreprises.

Un principe de responsabilité a été instauré avec des contreparties importantes, notamment en termes de sanctions – jusqu'à 4 % du chiffre d'affairesou 20 millions d'euros : on est bien loin des peines de quelques milliers ou centaines de milliers d'euros qui pouvaient être prononcées jusqu'à présent.

La question de la protection des données personnelles des particuliers suscite bien évidemment aussi le débat. À cet égard, le consentement des mineurs est un vrai sujet : quinze ans est l'âge retenu mais le débat n'est pas clos. Nous y reviendrons sans aucun doute, avec les éducateurs, les familles, la société dans son ensemble.

En conclusion, au-delà de l'adoption de ce texte, qui ne fait pas de doute – et notre groupe le votera – la prise en compte de la question des données personnelles doit se poursuivre. C'est un droit fondamental, incontournable, l'un des éléments clefs de ces droits de l'homme que l'on dit de la troisième, voire de la quatrième génération.

Je salue les avancées de ce texte et le travail de la CNIL, en ayant en tête la position particulière de l'Europe en matière de protection des données. Maintenons cette originalité à un moment particulier de notre histoire, où la recherche de sens n'est pas anodine.