Intervention de Pierre Morel-À-L'Huissier

Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, mes chers collègues, sans revenir sur ce qui a été dit précédemment à cette tribune, je ne peux que, moi aussi, rappeler l'actualité. En effet, alors que Mark Zuckerberg était invité à s'expliquer, avant-hier, devant le Sénat des États-Unis, au sujet des 87 millions de comptes Facebook illégalement exploités par la société Cambridge Analytica, la transposition dans notre droit national des nouvelles exigences européennes en matière de protection des données semble plus que jamais bienvenue. À bien des égards, l'inévitable mise en data de l'humanité soulève de nombreux défis et questions légitimes quant à la manière de partager, d'utiliser et de protéger les données les plus sensibles.

Dans ce domaine peut-être plus que dans un autre, les législations nationales et communautaires différent tant qu'elles nuisent à leur efficacité. Si les données personnelles inquiètent les particuliers et les pouvoirs publics, elles suscitent à l'inverse l'intérêt des géants du numérique qui leur associent volontiers une valeur marchande, une fois qu'elles sont collectées, analysées et traitées. Dans un environnement numérique de plus en plus dense et mondialisé, nous pouvons saluer le fait que ce débat ait été porté à l'échelle européenne, qui constitue indéniablement l'échelon le plus pertinent pour la protection des données personnelles au sein d'un cadre juridique unifié.

Le paquet européen de protection des données opère le nécessaire dépoussiérage de la loi informatique et libertés de 1978. Si cette loi a indéniablement fait de la France un pays précurseur en matière de protection des données individuelles, force est de constater que, quarante plus tard, au regard des évolutions, ou plutôt des révolutions, notre avance a perdu de sa superbe. En notre qualité de législateur, nous pouvons regretter une nouvelle fois l'examen en urgence d'un texte aussi important, aux dispositions techniques et complexes, qui laissait une marge de manoeuvre dans sa transposition en droit interne. Le sujet est en effet vaste et concernera, à n'en pas douter, d'autres dispositifs législatifs qui interrogeront les dimensions politique, économique, éthique et philosophique de la numérisation de notre société.

Preuve de la complexité des enjeux entourant ce texte, la commission mixte paritaire, réunie la semaine dernière, n'est pas parvenue à trouver un accord sur les dispositions restant en discussion. Il faut avouer que la tâche est dure, tant il faut concilier des usages et intérêts parfois divergents : ceux de nos concitoyens, bien sûr, mais ceux aussi de nos entreprises, et notamment des TPE-PME, sans oublier ceux de nos collectivités territoriales. Nous regrettons tous cet échec, non seulement parce qu'il risque de nous conduire à dépasser le délai de transposition, mais surtout parce que le renforcement de la protection des données personnelles est urgent, en témoigne l'actualité.

Pour autant, il convient de ne pas exacerber les divergences qui subsistent avec nos collègues sénateurs, non qu'elles ne soient pas importantes, mais parce qu'au fond, si un consensus n'est pas possible à court terme, un compromis le serait sans doute. Qu'il s'agisse de la spécificité des collectivités territoriales, du seuil d'âge pour le consentement des mineurs au traitement de leurs données sur les réseaux sociaux, de l'extension du champ de l'action de groupe à la réparation des préjudices matériels et moraux, du renforcement de la protection face au profilage, de la saisine de la CNIL sur une proposition de loi, du fléchage du produit des amendes et astreintes qu'elle prononce, de l'encadrement des traitements de données pénales par des organismes privés ou encore des règles applicables aux fichiers de police et de justice, je suis convaincu que les parlementaires pourront s'entendre. En effet, nous poursuivons le même objectif : préserver, si ce n'est rétablir, un équilibre entre la responsabilisation des acteurs traitant des données et les droits ouverts aux citoyens sur les données qui leur appartiennent.

Aussi, notre groupe ne peut que soutenir la saisine de la CNIL par les présidents des commissions et des groupes parlementaires sur les propositions de loi relatives à la protection des données personnelles, disposition qui vise à renforcer les pouvoirs du Parlement sur un thème qui, à l'évidence, occupera une part importante de bon nombre de textes à venir. Pour guider la réflexion du législateur, il est nécessaire que celui-ci soit en mesure d'appréhender pleinement les enjeux liés au numérique et à la protection des libertés individuelles, d'où l'intérêt du recours à une telle expertise.

Sur un autre sujet, et conformément à la marge de manoeuvre offerte par le règlement européen, nous nous félicitons que le Sénat comme l'Assemblée nationale aient souhaité l'introduction en droit interne d'un dispositif permettant à des associations d'exercer une action de groupe et d'obtenir in fine la réparation d'un préjudice matériel ou moral. À ce stade, les points d'achoppement avec la chambre haute portent sur l'entrée en vigueur du dispositif et sur le conditionnement d'un agrément de la part de l'autorité administrative. Nous penchons en faveur de la rédaction de notre assemblée et jugeons que le délai de deux ans pour l'entrée en vigueur du dispositif n'est pas suffisamment justifié et que l'exigence d'un agrément de l'autorité administrative est contraire à l'esprit qui anime ce texte, à savoir le renforcement des prérogatives des citoyens face aux manquements des responsables de traitement de données. Sur ces points aussi, je ne doute pas que nous puissions trouver un accord à l'issue de cette deuxième lecture.

Quant à l'âge légal du consentement des mineurs sur internet et à leur capacité à consentir seuls au traitement des données qui les concernent sur les réseaux sociaux et autres plateformes, nous nous en remettons à nouveau à l'avis de notre rapporteure. Le règlement laisse en effet aux États la possibilité de déroger à la fixation par défaut de cet âge en permettant de ramener ce seuil à treize ans. Nous trouvons sage et pertinent de le fixer à quinze ans, tout en conditionnant ce dispositif à une obligation des responsables de traitement de communiquer selon des modalités adaptées à l'âge du mineur. Cette disposition, prise à la suite d'une consultation approfondie d'associations protectrices de l'enfance et d'entreprises du numérique, concilie à la fois l'exigence de la protection des mineurs sur internet et la réalité de leur présence, d'ores et déjà bien effective, sur les réseaux sociaux.

Rassurez-vous, mes chers collègues, je ne reviendrai pas sur l'ensemble des dispositions restant en discussion, mais je tenais, à travers ces exemples, à rappeler, eu égard à l'importance et à la complexité de ce projet de loi, qu'il est primordial de communiquer de manière claire et pédagogique auprès de nos concitoyens et de nos entrepreneurs afin de les inviter à prendre pleinement la mesure du nouveau cadre législatif dans lequel ils évolueront d'ici peu et qu'il nous appartient de fixer avec pragmatisme.