Intervention de Stéphane Peu

Séance en hémicycle du jeudi 12 avril 2018 à 9h30
Protection des données personnelles — Discussion générale

Photo issue du site de l'Assemblée nationale ou de WikipediaStéphane Peu :

Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, mes chers collègues, je voudrais tout d'abord formuler quelques remarques sur la forme. Je déplore l'utilisation de la procédure accélérée et le recours aux ordonnances pour réécrire l'ensemble de la loi de 1978, dite « informatique et libertés ». Par ailleurs, le présent projet de loi souffre d'un défaut de lisibilité, comme l'a souligné avec force la CNIL. Les opérateurs et les citoyens auront du mal à comprendre les règles relatives à la protection des données personnelles à la seule lecture de ce texte, qui ne donne pas de vision claire et précise. En somme, on ne peut que regretter, avec le Conseil d'État, l'occasion manquée de procéder à un réexamen global du droit à la protection des données personnelles et d'approfondir les droits des personnes.

Sur le fond, nous l'avons souligné lors des précédentes discussions, cette réforme nous semble apporter certaines garanties supplémentaires dans la protection des données personnelles.

Tout d'abord, son champ d'application permettra de soumettre à la nouvelle législation l'ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors qu'ils offrent des biens et services à des personnes résidant sur le territoire de l'Union européenne. Alors que la Commission européenne a annoncé, vendredi dernier, que Facebook avait confirmé que les données personnelles de près de 2,7 millions d'Européens ou de personnes résidant dans l'Union européenne pourraient avoir été transmises « de manière inappropriée » à la société Cambridge Analytica, on mesure l'impérieuse nécessité de renforcer la législation afin de protéger les libertés individuelles face au développement du numérique et, en particulier, des géants américains du numérique, les GAFA – Google, Apple, Facebook et Amazon.

Si le RGPD allège considérablement les formalités préalables, il tend à une responsabilisation des acteurs, qui seront soumis à des sanctions beaucoup plus fortes, et à un renforcement des droits des individus. La CNIL verra ainsi ses pouvoirs se renforcer significativement. En particulier, ses pouvoirs de contrôle et de sanction seront considérablement accrus. Premièrement, ses agents obtiennent un droit de contrôle sur place généralisé à l'ensemble des locaux servant à la mise en oeuvre d'un traitement des données personnelles. Deuxièmement, l'effectivité des contrôles en ligne est améliorée par l'autorisation qui est accordée aux agents d'utiliser une identité d'emprunt. Troisièmement, le projet de loi permet des opérations conjointes des autorités de contrôle.

S'agissant du pouvoir de sanction de la CNIL, le règlement prévoit des sanctions administratives désormais dissuasives en cas de méconnaissance des dispositions de la réforme.

Si nous soutenons ces évolutions, nous regrettons en revanche que les mesures de contrôle attribuées à la CNIL ne soient pas applicables dans le cas où le traitement est mis en oeuvre par l'État. De même, il est regrettable qu'une injonction avec astreinte ne soit pas prévue afin de satisfaire les demandes présentées par les personnes en vue d'exercer leurs droits : accès, opposition, rectification, notamment.

Enfin, accroître le contrôle sans accroître les moyens de l'autorité qui l'assure fait problème : cela risque de faire de cette loi une simple épée de bois. C'est pourquoi nous insistons sur l'importance d'octroyer les moyens humains et financiers nécessaires à la CNIL, afin de lui permettre de mener à bien ses missions, en particulier ses missions de contrôle.

Lors de l'examen du texte en première lecture, des améliorations avaient été apportées. Je pense, en particulier, à l'élargissement du champ de l'action de groupe à la réparation des préjudices matériels et moraux.

S'agissant de la modification de l'âge du consentement des mineurs, l'abaissement du seuil à quinze ans par la commission des lois de notre assemblée, assortie de l'exigence d'un double consentement des parents et du mineur en dessous de cet âge, et de l'obligation pour les responsables de traitement de données de communiquer suivant des modalités adaptées à l'âge du mineur, nous paraît une position équilibrée.

En revanche, certaines dispositions que nous avions dénoncées demeurent inquiétantes à nos yeux. Ainsi, si le projet de loi réaffirme l'interdiction de principe des décisions produisant des effets juridiques et fondées exclusivement sur des traitements automatisés de données personnelles, il tend à instituer une dérogation pour les décisions administratives individuelles. Sur ce point, nous regrettons que la majorité n'ait pas accepté les amendements adoptés par le Sénat, qui visaient à encadrer plus strictement l'usage des algorithmes par l'administration – hormis, bien entendu, s'agissant des sujets dits « sensibles ».

En outre, l'encadrement du profilage et les clarifications actuelles ne sont absolument pas suffisants. Le Conseil d'État estime, à ce propos, qu'il est essentiel « de garantir à tout instant une maîtrise humaine complète des algorithmes, comportant notamment la capacité d'interrompre le fonctionnement du traitement, notamment lorsque ceux-ci sont dotés de capacités d'apprentissage leur permettant de modifier leur logique de fonctionnement sans une démarche humaine préalable de validation ». L'objectif de moderniser l'administration et de gagner en performance ne saurait justifier l'extension, dans la précipitation, du recours aux décisions fondées sur un traitement intégralement automatisé, sous couvert de l'apport de quelques garanties comme l'information des personnes ou le droit au recours. Pour notre part, nous considérons que l'approfondissement des réflexions et des études, notamment sur la maîtrise des algorithmes, est un préalable indispensable à toute décision d'extension du recours aux décisions administratives automatisées. Les traitements de masse de données et les progrès de l'intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés ; c'est la seule condition, selon nous, de la neutralité.

Concernant la transposition de la directive applicable aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, on doit regretter une volonté de sous-transposer la directive et de renvoyer l'essentiel des dispositions au pouvoir réglementaire. La CNIL relève ainsi que la transposition de la directive est réalisée « a minima ». Le projet de loi aurait notamment pu prévoir des garanties supérieures en matière de protection des données traitées à des fins pénales, expressément prévue à l'article 1er de la directive.

En définitive, nous maintiendrons notre abstention sur ce projet de loi. L'avènement du numérique dans nos sociétés contemporaines provoque de plus en plus de bouleversements dans le fonctionnement de nos démocraties et les droits fondamentaux. Si la société numérique doit être une société de liberté, elle doit, pour ce faire, être clairement encadrée et préserver les droits fondamentaux comme le droit au respect de la vie privée ou le droit à des données personnelles. Les conséquences du traitement massif des données, la propriété des données personnelles, l'information pleine et entière des citoyens, la vigilance, la maîtrise et le contrôle des algorithmes, la place de l'intelligence artificielle et tant d'autres questions se posent aujourd'hui, qui devraient faire l'objet de réflexions et d'études approfondies, puis de choix politiques qui ne soient pas pris dans la précipitation.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.