Intervention de Paula Forteza

Monsieur le président, monsieur le secrétaire d'État, mes chers collègues, nous abordons en séance l'examen de ce texte en nouvelle lecture, après son passage en commission mardi dernier. Nous travaillons suivant les mêmes convictions qui nous avaient guidées lors de nos travaux en première lecture, convictions souvent partagées par la majorité et l'opposition, ce dont je me félicite.

Nous sommes notamment convaincus que la société civile a une attente forte de davantage de transparence sur les traitements et les conditions de stockage des données. Il faut davantage d'information et de protection contre ceux qui, sans le consentement des personnes concernées, utilisent les données personnelles à d'autres fins que celles au nom desquelles elles ont été recueillies. En un mot, il y a une attente forte d'une maîtrise effective des données personnelles par tout un chacun. Le retard pris en la matière, tant dans le secteur public que dans le secteur privé, doit à présent être rattrapé pour rétablir la confiance parfois ébranlée des citoyens dans les outils numériques.

Cette attente est partagée par les entreprises du numérique, les chercheurs et les administrations – pour ne citer qu'eux – , qui souhaitent pouvoir utiliser les données personnelles dans un cadre juridique sûr, afin de développer leur activité, de proposer de nouveaux produits ou de nouveaux services, ou encore d'améliorer les relations avec les usagers du service public.

Il faut comprendre que les failles dans la protection des données pénalisent non seulement les personnes qui sont victimes des scandales – il n'y a pas d'autre mot – qui émaillent l'actualité, mais également les acteurs, publics et privés, qui pourraient faire de ces données un usage bénéfique pour tous. Je pense notamment aux secteurs de la santé, de la recherche et du journalisme, mais bien d'autres domaines sont concernés.

Trop souvent, ceux qui parlent du numérique s'expriment au futur, comme s'il s'agissait d'un monde à venir, alors qu'il s'agit bien de notre présent. Il est donc urgent de relever collectivement les défis qui s'imposent en urgence à nous.

En conséquence, nous ne pouvons que prendre toute la mesure du changement de paradigme que représente le RGPD, le règlement général sur la protection des données. Celui-ci vise à responsabiliser les acteurs et à renforcer les droits des personnes. Ce nouvel équilibre favorisera ceux qui s'engagent en faveur de la protection des données personnelles tout en pénalisant davantage ceux qui, au contraire, ne respectent pas les règles.

Le plus important, c'est que cette nouvelle réglementation soit prise au niveau européen, car cela nous permettra de construire un écosystème favorable à l'émergence de nouvelles pratiques. Nombreux sont les pays extérieurs à l'Union européenne qui s'interrogent pour eux-mêmes sur les outils de régulation à mettre en place et observent attentivement les changements de réglementation en cours chez nous, je le souligne.

L'audition de Mark Zuckerberg par le Sénat des États-Unis en est la meilleure illustration. De façon assez symbolique, elle a eu lieu mardi soir, alors même que nous examinions ce texte en commission. Il a exprimé ses excuses à des millions d'utilisateurs pour le scandale impliquant Facebook et la société Cambridge Analytica. Les pratiques en cause constitueront, dans quelques semaines, de graves manquements à la réglementation française et européenne. Cette audition a soulevé d'autres enjeux que nous devrons étudier de façon approfondie dans les semaines à venir, à propos des fake news, ou, plus largement, du modèle d'affaires des plateformes, de leur régulation et de la concurrence loyale dans l'industrie du numérique.

Je me réjouis en outre que le numérique suscite autant de réflexions et de propositions dans nos assemblées. Le projet de loi que vous nous aviez soumis, monsieur le secrétaire d'État, a beaucoup évolué, s'est beaucoup enrichi, au cours des débats qui ont eu lieu à l'Assemblée nationale et au Sénat.

À ce propos, bien que la CMP ait échoué en raison de l'absence de compromis sur l'ensemble du texte, nous reconnaissons la valeur de nombreux apports du Sénat. J'ai tâché d'en conserver la plus grande partie, dans l'esprit constructif qui nous anime tous sur ce texte.

Toutefois, j'ai également souhaité que les dispositions qui avaient recueilli un large consensus au sein de notre assemblée – je rappelle que le texte, en première lecture, y a été adopté à une majorité de 523 voix – soient rétablies. C'est la raison pour laquelle j'ai proposé à notre commission des lois d'adopter à nouveau des dispositions que le Sénat avait soit supprimées, soit fortement remises en question par des modifications substantielles de rédaction.

D'abord, nous avons rétabli l'équilibre, trouvé en première lecture – avec, fait rare, l'assentiment de l'ensemble des groupes politiques – , entre l'exigence de protection des intérêts de l'enfant face au traitement de ses données personnelles et l'adaptation de la législation à la réalité des pratiques numériques actuelles. Alors que le Sénat était revenu sur l'abaissement de seize à quinze ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, j'ai déposé un amendement identique à celui de M. Gosselin – que je salue à cette occasion pour son travail et pour son implication – , revenant au texte de l'Assemblée nationale.

De même, nous sommes revenus sur toutes les dispositions visant à restreindre la capacité d'action des utilisateurs du numérique face aux manquements à la loi. En effet, dans le contexte actuel de révélations multiples sur des utilisations détournées de données personnelles concernant des centaines de milliers, voire des millions de personnes, les restrictions apportées par le Sénat à l'extension de l'action de groupe en matière de protection des données personnelles n'étaient pas acceptables.

Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre des décisions administratives, rédaction qui apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu'un renforcement de leur droit d'information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, souvent en contradiction avec le règlement européen, le recours à ces outils d'aide à la décision.

Sur ce sujet, j'ai une conviction que nous sommes nombreux à partager : ce n'est pas le recours aux algorithmes qui pose problème mais l'absence de transparence et l'impossibilité de contrôle de la part des citoyens. Il ne s'agit en effet que d'outils au service des administrations, qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l'objet d'une publication par défaut pour lever toute interrogation, voire tout soupçon. La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n'entraver ni l'innovation dans le secteur public ni la modernisation et la simplification des politiques publiques. C'était la logique de la loi pour une République numérique, et c'est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée AI for humanity.

À ce propos, je souligne que le Président a alors souhaité : « l'État, pour ce qui le concerne, rendra [… ] par défaut public le code de tous les algorithmes qu'il serait amené à utiliser au premier rang desquels [… ] celui de PARCOURSUP, parce que [… ] c'est une pratique démocratique ». Je m'associe à cet engagement et souhaite que l'État soit exemplaire en la matière. Le Gouvernement a d'ailleurs déposé en ce sens un amendement qui permettra d'assurer une meilleure information du Parlement et, le cas échéant, d'ajuster le cadre juridique en la matière, une fois la reforme stabilisée.

Nous avons également rétabli la possibilité de saisine de la CNIL par les commissions permanentes des assemblées et les présidents de groupe parlementaire. Il est en effet essentiel que les parlementaires puissent avoir une expertise en la matière, le sujet du numérique prenant une place croissante dans les textes qui nous sont soumis, nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d'une société de confiance ; projet de loi ELAN, portant évolution du logement, de l'aménagement et du numérique ; plan très haut débit ; textes sur les fake news ou sur les données personnelles.

Enfin, notre commission a supprimé des dispositions que nous avons considérées comme contraires à l'esprit du règlement européen ou à d'autres dispositions de notre droit national, et qui expliquent également l'échec de la CMP, notamment : le fléchage du produit des amendes et des astreintes prononcées par la CNIL, contraire à la LOLF, la loi organique sur les lois de finances ; l'encadrement des traitements de données pénales par des organismes privés, qui fragiliserait l'action des associations de victimes et d'aide à la réinsertion ; la remise en cause de l'open data des décisions de justice, qui serait devenu pratiquement impossible à mettre en oeuvre avec les exigences posées par le Sénat ; à l'initiative du Gouvernement, les mesures de durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.

Par ailleurs, si le Sénat a adopté des dispositions utiles pour compléter l'information et l'accompagnement des collectivités territoriales dans le cadre de leur mise en conformité aux nouvelles obligations qui leur sont faites, certaines propositions n'étaient pas acceptables, comme la création d'une dotation de 170 millions d'euros ou l'exemption d'astreinte et d'amende administratives. Les acteurs locaux traitent en effet de données très sensibles pour nos concitoyens, comme la composition et les revenus des ménages, et rien ne justifie de restreindre les sanctions pouvant être prononcées par la CNIL en cas de manquements graves et persistants malgré de préalables mises en demeure, car cela déresponsabiliserait complètement ces acteurs. En commission, nous avons été unanimes sur ce point.

Il me semble donc, mes chers collègues, que la commission a adopté un texte équilibré, conservant les avancées proposées par le Sénat lorsqu'elles s'inscrivaient dans le respect du nouveau cadre réglementaire européen, tout en maintenant les orientations soutenues précédemment à l'Assemblée nationale, au-delà de la majorité.

Nous avons ainsi clarifié les règles qui s'appliqueront aux acteurs publics et privés, qui attendent des textes clairs pour engager, au cours des prochaines années, une réforme profonde de leurs pratiques en matière de protection des données personnelles. J'espère que nos débats auront contribué à les rassurer sur l'accompagnement qui leur sera apporté par la CNIL, même si nous devons nous montrer vigilants pour que celle-ci ait les moyens d'exercer ce rôle dans de bonnes conditions – et nous le serons lors de l'examen du prochain projet de loi de finances. J'espère aussi que nous les aurons encouragés à acquérir de nouvelles compétences en matière de protection des données personnelles, et plus généralement de numérique.