Intervention de Emmanuelle Ménard

Monsieur le président, monsieur le secrétaire d'État, madame la rapporteure, chers collègues, la protection de la vie privée et des données personnelles est un enjeu de taille, je dirais même un enjeu majeur, dans nos sociétés contemporaines. L'actualité de ces derniers jours, avec ce qu'il faut bien appeler le scandale Facebook, nous en apporte une nouvelle preuve.

Notre pays, avec la CNIL, a été l'un des premiers à se donner les moyens de protéger ses citoyens d'une trop grande intrusion dans ce qui doit demeurer leur domaine privé. Mais c'était en 1978 : nous sommes quarante ans plus tard. Depuis lors, l'omniprésence d'Internet, le règne pratiquement sans partage des réseaux sociaux, l'apparition d'algorithmes toujours plus performants ont bouleversé le paysage numérique et, avec lui, bien des aspects de notre vie quotidienne.

Les données personnelles ne sont plus collectées seulement par l'État et ses administrations, mais aussi par bien d'autres acteurs publics et privés dont la puissance semble ne plus avoir de limite – une puissance construite, justement, sur la collecte de données, véritables matières premières des économies de notre siècle. C'est un domaine où les frontières n'ont plus de place : elles sont ignorées, pulvérisées par ces acteurs à l'ambition planétaire. Quant au simple citoyen, au quidam que nous sommes, il est devenu, parfois à sa propre initiative ou avec son consentement, le fournisseur de données qui sont l'enjeu d'une guerre aussi silencieuse que dépourvue d'états d'âme, livrée par les nouveaux majors d'internet.

L'Europe s'est saisie de ce dossier, ce qui a abouti, au terme de plusieurs années de négociation, à l'adoption du règlement général sur la protection des données. Celui-ci devrait entrer en vigueur le 25 mai prochain, d'où la nécessité de réviser notre propre loi de 1978 ; c'est l'objet même du présent texte.

Mais disons les choses clairement : il s'agit ici de bien davantage que d'habiliter le gouvernement à procéder à des ajustements législatifs ! Il y va de questions essentielles, et réduire le texte à un simple travail de transposition serait se tromper lourdement.

Derrière les têtes de chapitre, qui traitent de sujets aussi divers – je cite à la volée – que l'anonymisation, le profilage, la prévention ou la portabilité, se cache en effet un véritable et profond changement d'approche : il s'agit de revoir entièrement le dispositif en inversant la charge de la preuve. Jusqu'à présent, rappelons-le, nous avions un système de déclaration préalable et d'autorisation. Demain, il faudra que les entreprises démontrent qu'elles ont pris toutes les précautions, toutes les mesures nécessaires pour garantir le respect des données personnelles. Les sanctions prévues à la clé sont sans commune mesure avec celles que la CNIL pouvait prononcer jusqu'à présent : une amende de 150 000 euros hier, contre 4 % du chiffre d'affaires ou 20 millions d'euros demain.

La CNIL va donc se voir confier de nouveaux pouvoirs, ce dont chacun doit se féliciter, mais je voudrais lui suggérer de concentrer son attention sur les géants d'internet, qui finissent par ressembler au Big Brother de 1984, et de faire preuve de tolérance à l'égard des petites et moyennes entreprises, cibles souvent plus faciles à sanctionner que les GAFA. En ces matières où les règles sont difficiles à maîtriser et à mettre en oeuvre pour les TPE et les PME, il peut arriver que le chef d'entreprise se perde, de bonne foi, dans un véritable maquis administratif. Ne l'oublions pas !

Au-delà de ces questions importantes, ne perdons pas de vue la dimension éthique du débat. Les données sont devenues un actif stratégique que les acteurs économiques s'arrachent. Or elles nous décrivent dans notre intimité et doivent être protégées de l'appétit toujours grandissant de ces entreprises. Il nous faut donc des contre-pouvoirs. Chacun doit savoir ce que l'on va faire des informations collectées chaque fois qu'il se connecte, qu'il fait un achat, qu'il échange avec ses amis ou qu'il visionne une série. Il nous faudra, pour cela, nous affranchir de la mainmise des grands groupes, notamment américains.

C'est à l'échelle de l'Europe que ce combat doit être mené, en promouvant et en développant les logiciels libres et en favorisant la coopération entre les pays désireux de préserver rien de moins que la liberté de leurs citoyens. La mainmise presque totale des Américains et des Chinois sur les algorithmes et sur les bases de données représente une menace pour notre indépendance et une prise de contrôle de nos destins.

Je voterai donc bien entendu pour ce règlement général sur la protection des données. Qu'il soit l'occasion d'un débat et d'une prise de conscience des dangers du tsunami numérique n'est pas le moindre de ses mérites.