Intervention de Philippe Gosselin

Le nouveau cadre juridique avec le règlement général sur la protection de protection des données (RGPD) en application depuis le 25 mai 2018 est entré en application en Europe. Nous avons eu depuis, une année de transition permettant de prendre toutes les mesures d'application. Cette transition a permis aux particuliers, aux entreprises, aux collectivités locales aussi, de s'approprier et de mettre en oeuvre ce texte. Cela est encore difficile pour les collectivités locales, notamment pour les plus petites d'entre elles, et pour les très petites entreprises (TPE).

Les grandes lignes sont connues : protection des données bien sûr, consentement des personnes, finalité des fichiers. Mais lorsqu'il faut mettre en conformité les fichiers et les process, cela est plus compliqué. Il y a parfois eu quelques cabinets un peu indélicats, qui ont monnayé chèrement des conseils qui n'étaient pas toujours à la hauteur. Cela peut entretenir parfois une forme de rejet de la réforme. Je souligne qu'il s'agit d'une approche spécifique à l'Europe et nous pouvons nous réjouir d'avoir porté une vision commune sur le sujet. Nous avons confié à des autorités indépendantes le système européen de la protection des données, tandis qu'aux États-Unis par exemple, ce sont des structures dédiées qui en ont la charge.

Je fais référence au Federal Trade Commission (FTC), les données personnelles pouvant être commercialisées. La loi française porte quant à elle sur l'« informatique et les libertés ». Cela est révélateur de l'esprit européen qu'il faut continuer à faire vivre.

Nous avons un certain nombre de décisions que la rapporteure a rappelées, notamment de la Cour de justice de l'Union européenne, qui est un peu la gardienne du temple. Je dois dire avoir été déçu par sa jurisprudence sur le déréférencement. En effet, il aurait été souhaitable que cette notion soit envisagée également hors du territoire européen. Cela ampute les possibilités de protection des données et je le regrette.

L'année écoulée aura toutefois été exceptionnelle avec une forte augmentation en France des plaintes adressées à la CNIL, + 30 %. Ce sont pratiquement 11 900 plaintes qui ont été adressées à cette autorité et pratiquement 150 000 plaintes au niveau européen. C'est donc un contentieux de masse, désormais.

Par ailleurs, une coopération est clairement engagée entre les autorités de contrôle françaises, européennes et étrangères. Sur la période donnée, les CNIL européennes ont échangé sur plus de 1 000 affaires, dont plus de 800 impliquent la CNIL. C'est vous dire le niveau d'activité pour la maison de la place de Fontenoy, ce qui justifie pleinement, alors que nous allons examiner le budget d'ici à quelques jours, des créations de postes.

Il y a un accord avec le Gouvernement pour quelques créations de postes entre 2018 et 2020. La CNIL dispose de 30 postes, ce qui est très modeste par rapport aux autres autorités européennes. Or le travail de contrôle et de gestion des plaintes de la CNIL arrive également à faire vivre la protection des données personnelles en France.

Suivant un sondage de l'Institut français d'opinion publique (IFOP) d'avril 2019, 70 % de nos concitoyens s'estiment sensibles aux problématiques de protection des données. Cela ne veut pas dire que nos concitoyens – c'est parfois vrai d'ailleurs pour nous-mêmes – ont des pratiques totalement en cohérence avec cette prise de conscience.

Nous sommes parfois un peu schizophrènes. Le consommateur avant de rentrer dans le supermarché veut que les agriculteurs gagnent légitimement leur vie, mais à la sortie dans son caddie, il n'y a pas toujours les produits qui le permettent. C'est la même chose pour les données personnelles, 70 % de nos concitoyens sont très sensibles à l'usage qui en est fait, néanmoins, cela ne les empêche pas d'être parfois peu vigilants sur ce qu'ils diffusent sur les réseaux sociaux, y compris de façon privée.

D'ailleurs, cela nous amène au débat sur l'article 57 du projet de loi de finances pour 2020 qui inquiète la CNIL. Cette dernière a rendu le 30 septembre un avis très réservé sur cet article qui permet à l'État, dans le cadre de la lutte contre la fraude fiscale, de s'approprier, sur les réseaux sociaux, les données personnelles, les photos de famille, les commentaires divers et variés et d'en déduire éventuellement des signes extérieurs de richesse – cela rappellera une belle époque – pour procéder à des redressements ou à des enquêtes. Cette disposition pose un certain nombre de questions entre la nécessité de recouvrer l'impôt qui est dû, et qui est le commun profit dans l'intérêt général, et le respect de la protection des données personnelles.

Si nous avons eu une année de transition de 2018 à début 2019, aujourd'hui, force est de constater - c'est vrai pour la CNIL comme pour les entreprises - que cette période est révolue. L'application du RGPD est entrée en phase active, même s'il y a quelques difficultés pour des TPE ou pour certaines collectivités.

Je conclurais en disant qu'il y a encore un travail de vulgarisation, notamment auprès du grand public – même si les résultats du sondage IFOP sont encourageants – pour qu'au-delà de ce texte, il y ait une prise de conscience qui soit effective.

On dit souvent que dans les conclusions, il faut élargir un peu le sujet. Je souhaiterais l'élargir à l'identité numérique, mais aussi, plus largement, à la souveraineté numérique. Je voudrais saluer les travaux que nous menons ici, mais aussi ceux de la Commission d'enquête qui a rendu récemment ses conclusions à ce sujet au Sénat. Le rapport de M. Gérard Longuet montre que nous ne pouvons pas nous limiter à ce qui a été mis en application le 25 mai 2018, que nous avons beaucoup d'autres éléments à prendre en compte, et que tout cela est en réalité un combat – le combat de David contre Goliath d'une certaine façon, parce que le rouleau compresseur anglo-saxon – je le dis, même dans cette enceinte – qui parfois est très intrusif, est fort. Il faut avoir une position de combat, un combat certes pacifique, mais les données personnelles, l'identité numérique, la souveraineté numérique, sont des éléments essentiels de la souveraineté tout court, et du respect de la vie privée de nos citoyens. Il s'agit ainsi d'une certaine vision de la démocratie.