Intervention de Constance Le Grip

Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, chers collègues, nous voici à nouveau réunis pour examiner, en nouvelle lecture, les dispositions transposant les cinquante-sept points du règlement général sur la protection des données qui peuvent faire l'objet d'adaptations nationales. Les désaccords constatés lors de la première lecture entre nos deux chambres, Assemblée nationale et Sénat, ont été actés par l'échec de la CMP, réunie il y a quelques jours.

Le groupe Les Républicains a déjà dit qu'il déplorait cet échec, lequel n'était d'ailleurs pas forcément prévisible, sur un texte de transposition d'un règlement européen ; mais je crains fort que les réelles divergences entre le texte adopté par le Sénat et celui de l'Assemblée nationale ne se soient accentuées au fur et à mesure que s'intensifiaient les discussions entre les deux rapporteurs et que s'évaporait l'esprit de compromis. Dont acte.

Lors de la réunion récente de la commission des lois de notre assemblée, la version sénatoriale a été en grande partie détricotée, à la demande de Mme la rapporteure, si bien que nous sommes presque revenus au point de départ. L'urgence nous commande maintenant vraiment de trouver les solutions qui permettront d'adapter notre droit au nouveau cadre européen. Je rappelle que la protection des données à caractère personnel est consacrée comme un droit fondamental par la Charte des droits fondamentaux de l'Union européenne, en son article 8, et que le RGPD doit être appliqué partout dans l'Union d'ici au 25 mai prochain.

Je l'ai dit en première lecture et je persiste, le règlement général pour la protection des données est une réelle chance pour tous les citoyens européens et même au-delà de notre continent : la chance de bénéficier d'une harmonisation par le haut, grâce à la protection offerte par un cadre unique applicable dans l'ensemble des États membres et à l'ensemble des entreprises agissant sur le territoire de l'Union européenne. L'adoption de ce texte est donc essentielle, la protection des données personnelles se situant au coeur de toutes nos activités humaines, qu'elles soient civiles, économiques ou politiques.

Quarante ans après l'adoption, de la loi française informatique et libertés et la création de la CNIL, c'est là une avancée majeure, répétons-le. Partout dans le monde, on regarde avec beaucoup d'intérêt ce qui se passe en Europe en matière de protection des données personnelles. Ce texte est donc une avancée majeure, disais-je, pour consolider un régime commun de traitement, de partage et de libre circulation protégée de nos données.

La loi pour une République numérique d'octobre 2016 avait déjà pris en compte la problématique de la protection des données personnelles, bien évidemment, mais sans couvrir l'ensemble du champ du règlement. Le projet de loi dont nous débattons arrive donc à point nommé, quoiqu'un peu tardivement. La parution, en février 2017, d'un rapport d'information parlementaire sur les incidences des normes européennes en matière de protection des données personnelles dans la législation française n'avait guère été suivie d'effets, notre pays étant alors en campagne électorale.

La confiance, maître mot pour le fonctionnement de nos démocraties, de nos sociétés et de nos économies, est mise à mal par la succession des scandales déjà abondamment évoqués par mes collègues, s'agissant des données exploitées par les grandes plateformes, souvent américaines. La polémique sur Cambridge Analytica a ouvert grands les yeux de celles et ceux qui n'avaient peut-être pas tout à fait conscience d'un certain nombre de pratiques. L'utilisation des données de 87 millions d'utilisateurs de Facebook sans leur consentement exprès a contraint, on l'a dit, Mark Zuckerberg à venir s'expliquer devant le Sénat américain et la Chambre des représentants, laquelle a d'ailleurs concédé qu'une régulation était nécessaire. Toutefois, beaucoup d'autres scandales ont déjà émaillé la chronique, et je crains que nous ne soyons pas à l'abri d'autres révélations encore.

Le RGPD n'est pas l'alpha et l'oméga, et il sera suivi de beaucoup d'autres travaux législatifs et parlementaires, tant en France qu'au niveau européen, pour parachever l'édifice et renforcer la protection de la vie privée, des données personnelles et des libertés individuelles, mais il est une réponse très attendue, une réponse européenne, que nous saluons.

J'en viens au détail de nos travaux, notamment en commission des lois.

Nous nous félicitons que l'âge du consentement des mineurs ait été ramené à quinze ans, conformément à la position émise initialement par notre groupe. Nous sommes également favorables à la possibilité de saisine de la CNIL par les commissions permanentes des assemblées et les présidents des groupes parlementaires sur les propositions de loi relatives à la protection des données personnelles. De même, la clarification apportée sur les délégations de signature nous semble une bonne chose, ainsi que le nouvel article 13 ter, qui permet une amélioration des relations entre la CNIL et les ministères, dans leurs rôles respectifs. Nous regrettons, en revanche, le renoncement à l'obligation de chiffrement de bout en bout.

La situation des collectivités territoriales a été un point de crispation tout au long du parcours législatif et a d'ailleurs provoqué l'échec de la CMP. Les Républicains forment le voeu que la nouvelle copie que nous allons élaborer ensemble trouve le point d'équilibre, suive une voie de sagesse et de responsabilité partagée. Selon le rapport conjoint des deux rapporteurs de l'Assemblée nationale et du Sénat en vue de la CMP : « Il ne fait aucun doute que les collectivités territoriales, surtout les plus petites, doivent voir leurs besoins et spécificités pris en compte dans la manière d'appliquer les nouvelles règles, tout comme c'est le cas pour les entreprises. La CNIL nous a d'ailleurs indiqué qu'elle multipliait et multiplierait, dans les prochains mois, les efforts d'accompagnement des acteurs qui disposent de faibles moyens en vue de faciliter leur mise en conformité. »

C'est dans cet esprit de médiation et de pédagogie que j'avais déposé en première lecture, avec d'autres collègues, plusieurs amendements relatifs à la médiation, mais tous n'ont pas été adoptés. Je salue la nouvelle écriture de l'alinéa 4 de l'article 1er, qui intègre la notion d'« information adaptée » aux PME et aux collectivités territoriales, formulation qui me semble préférable à celle d'« information personnalisée ». Nous espérons que, dans les semaines et les mois à venir, la CNIL saura accomplir ce travail d'accompagnement des collectivités territoriales, surtout des plus petites, qui en ont tant besoin, de même que nos très petites entreprises.

Sur le principe, nous sommes également favorables à l'amendement audacieux de nos collègues Éric Bothorel et Cédric Villani – dont les compétences respectives sont connues – au sujet de la configuration initiale des terminaux. J'ai entendu ce que vous disiez à ce sujet, monsieur le secrétaire d'État. Il y a peut-être urgence, là encore : évitons de tergiverser et de toujours remettre à plus tard ! L'envoi d'un signal fort, dès aujourd'hui, serait peut-être bienvenu.

Dans le même esprit, le groupe Les Républicains vous invite à adopter un amendement à l'article 19 ter, introduit par le Sénat pour consolider la base légale des prestations de service offertes aux communes et intercommunalités par d'autres collectivités territoriales ou établissements publics. C'est là, nous semble-t-il, une proposition intéressante pour permettre aux collectivités territoriales ainsi qu'à leurs groupements et syndicats mixtes de conclure entre eux des conventions pour réaliser des prestations rigoureuses et performantes tout en mutualisant les charges.

Pour conclure, je veux insister, comme je l'avais fait en première lecture, sur l'importance que revêt, pour Les Républicains, l'existence d'un cadre harmonisé européen, à travers une directive et le règlement général sur la protection des données. C'est en effet à l'échelle de l'Union européenne, nous le savons bien, que doivent être traités les enjeux essentiels de protection des données. Par ailleurs, les marges de manoeuvre laissées aux États membres pour appliquer le RGPD permettent d'adapter le dispositif à la complexité du sujet, bien sûr, mais aussi à la culture politique et juridique, à la sensibilité particulière de chacun d'entre eux. Veillons toutefois à ce que cela ne conduise pas à l'inverse de ce que nous recherchons, à savoir une trop grande fragmentation juridique ! À ce stade, cet écueil me semble toutefois avoir été évité.

Les Républicains sont convaincus que le RGPD et le présent projet de loi apportent des chances et des opportunités cruciales pour avancer sur le chemin de la protection des données et des libertés individuelles.