La commission mixte paritaire, réunie vendredi dernier, n'étant pas parvenue à un accord sur le projet de loi relatif à la protection des données personnelles, nous en reprenons l'examen en nouvelle lecture. Le texte issu de nos travaux sera examiné en séance publique jeudi 12 avril.

Madame la présidente, chers collègues, nous nous retrouvons, en nouvelle lecture, pour examiner un texte qui a beaucoup évolué lors de son passage au Sénat avec, d'un côté, des apports que nous saluons et, de l'autre, des dispositions sur lesquelles nous sommes en profond désaccord avec nos collègues sénateurs, car elles remettent en cause les équilibres importants auxquels nous étions parvenus à l'Assemblée nationale.

Si la CMP a échoué, faute de compromis possible sur l'ensemble du texte, c'est dans un esprit constructif que je vous propose d'aborder cette réunion, afin de rétablir un texte respectueux de nos travaux en première lecture – adopté à une très large majorité de 523 voix –tout en conservant certaines avancées apportées par le Sénat.

Plusieurs des amendements que je vous proposerai d'adopter visent aussi à rétablir les dispositions qui avaient été portées par la majorité, souvent avec le soutien d'autres groupes, et que le Sénat a supprimées ou remises en question par des modifications substantielles de rédaction.

Ces dispositions constituent en effet les marqueurs de l'orientation que nous avons souhaité donner à ce projet de loi et sont le fruit d'un échange nourri avec les acteurs de l'écosystème numérique, mais également de la justice, de la recherche publique et privée ou de la protection de l'enfance.

En premier lieu, nous n'avons pas souhaité revenir sur l'équilibre que nous avions proposé entre l'exigence de protection des intérêts de l'enfant face aux traitements de ses données personnelles et l'adaptation de la législation à la réalité des pratiques numériques actuelles.

Le Sénat est revenu sur l'abaissement de 16 à 15 ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, alors même que cette proposition avait fait l'objet, à l'Assemblée nationale, d'un très large consensus, en emportant l'adhésion – fait rare – de l'ensemble des groupes politiques. Je vous proposerai de rétablir cette disposition.

De même, il ne nous paraît pas acceptable de revenir sur le renforcement des capacités d'action des usagers face aux manquements à la loi, alors même que l'actualité ne cesse de révéler des manquements affectant la vie privée de centaines de milliers, voire de millions de personnes – je pense notamment au récent scandale impliquant Facebook et Cambridge analytica.

C'est pour cette raison que nous avons défendu en première lecture l'extension de l'action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux. Je vous proposerai, par conséquent, de revenir sur les limitations d'entrée en vigueur ou de critères à remplir par les associations compétentes, adoptées par le Sénat. Sur ce sujet, devenu un enjeu de société, il y a urgence à légiférer, en pensant d'abord au citoyen.

Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre de décisions administratives. Elle apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu'un renforcement de leur droit d'information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, et souvent en contradiction avec le règlement européen, le recours à ces outils d'aide à la décision.

J'ai une conviction sur ce sujet, que nous sommes nombreux à partager : ce n'est pas le recours aux algorithmes qui pose problème mais l'absence de transparence et de contrôle de la part des citoyens. Il ne s'agit, en effet, que d'outils au service des administrations qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l'objet d'une publication par défaut pour lever toute interrogation, voire tout soupçon.

La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n'entraver ni l'innovation dans les secteurs publics ni la modernisation et la simplification des politiques publiques. C'était la logique de la loi pour une République numérique et c'est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée AI for Humanity dans lequel il a exprimé le souhait que « l'État, pour ce qui le concerne, [rende] par défaut public le code de tous les algorithmes qu'il serait amené à utiliser au premier rang desquels […] celui de Parcoursup, parce que [...] c'est une pratique démocratique. »

Je vous proposerai, par conséquent, de revenir à la rédaction de l'Assemblée nationale en la matière, sous réserve du maintien d'une disposition, adoptée par le Sénat, qui assure la publicité de l'algorithme de Parcoursup. Peut-être évoluerons-nous sur sa rédaction d'ici à la séance pour en préciser les conditions mais c'est un point important qui a fait l'objet d'un engagement présidentiel.

Enfin, nous avions aussi élargi la possibilité de saisine de la Commission nationale de l'informatique et des libertés (CNIL) aux commissions permanentes des assemblées et aux présidents de groupes parlementaires. Le Sénat a supprimé cette disposition qui constitue pourtant un élément de revalorisation des moyens du Parlement et des droits de l'opposition. Je vous proposerai donc également d'y revenir. Il est essentiel que les parlementaires puissent disposer d'une expertise en la matière. Le numérique prend une place croissante dans les textes qui nous sont soumis. Nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d'une société de confiance, projet de loi Elan (Évolution du logement, de l'aménagement et du numérique), plan très haut débit, proposition de loi relative à la lutte contre les fausses informations et présent texte.

Enfin, j'ai déposé des amendements visant à supprimer des dispositions que je considère comme contraires à l'esprit du règlement européen ou à d'autres dispositions de notre droit national et qui expliquent l'échec de notre CMP comme le fléchage du produit des amendes et des astreintes prononcées par la CNIL, qui est contraire à la loi organique relative aux lois de finances (LOLF), l'encadrement des traitements de données pénales par des organismes privés qui fragiliserait l'action des associations de victimes et d'aide à la réinsertion, la remise en cause de l'open data des décisions de justice qui deviendrait quasiment impossible à mettre en oeuvre, compte tenu des exigences posées par le Sénat en la matière ou, enfin, le durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.

S'agissant des collectivités territoriales, certaines dispositions adoptées par le Sénat ne sont pas acceptables. Je pense notamment à la création d'une dotation de 170 millions d'euros ou à l'exemption d'astreintes et d'amendes administratives pour les collectivités, même en cas de manquements graves qui persisteraient malgré les mises en demeure du président de la CNIL. Les pénalités financières sont au coeur de l'équilibre du règlement général sur la protection des données (RGPD) et du changement de paradigme sur lequel il repose. D'un côté, il élimine les autorisations préalables et allège les démarches ; de l'autre, il augmente les sanctions financières comme unique levier de dissuasion. Nous ne pouvons pas déresponsabiliser des acteurs qui manipulent chaque jour des centaines de milliers de données, parfois très sensibles, comme la composition ou les revenus des foyers. Nous voulons, au contraire, aider ces acteurs à monter en compétences pour rehausser le niveau de protection globale des données personnelles et trouver des façons de les accompagner dans le processus de mise en conformité à leur utilisation.

D'autres dispositions du Sénat vont dans le bon sens et méritent, au contraire, d'être conservées. Je pense notamment à l'amélioration de l'information à destination des collectivités territoriales, à la possibilité de mutualiser des services d'archives ou encore de conventionner entre échelons de collectivités pour mettre en place un service commun dédié à la protection des données personnelles. Par ailleurs, le Sénat a amélioré la lisibilité de la gradation des peines en cas de manquement et renforcé les obligations incombant aux responsables du traitement des données qui devront être en mesure de démontrer qu'ils se conforment à leurs obligations en matière de consentement.

Si la CMP a échoué, des accords ont donc pu être trouvés avec le Sénat et ils seront respectés à la condition qu'ils s'inscrivent bien dans la double démarche qui avait recueilli dans notre assemblée un soutien allant au-delà des rangs de la majorité : clarification des règles qui découlent du nouveau cadre européen ; accompagnement des acteurs publics et privés, qui devront au cours des prochaines années profondément adapter leurs pratiques aux nouvelles obligations qui leur sont faites.

Je vous remercie, madame la rapporteure, pour votre intervention liminaire. Il me paraît en effet essentiel de rappeler les objectifs de ce texte : la protection des personnes dans un environnement tout-numérique et la responsabilisation de tous les acteurs, quels qu'ils soient.

J'aimerais revenir sur la position du Sénat au sujet des collectivités territoriales. Nous attendions autre chose, les sénateurs ayant souvent une position frappée au coin du bon sens en ce domaine. Nous pensions que leur attention se porterait surtout sur les modalités d'accompagnement des collectivités locales et sur les moyens de renforcer leur information. Or leur proposition phare a été d'exonérer lesdites collectivités des nouvelles obligations posées par le texte.

Nous considérons qu'aller dans cette voie serait une erreur majeure pour plusieurs raisons.

Tout d'abord, les collectivités locales sont pour la plupart des structures qui comptent plus de 250 agents. Pourquoi les sortir du dispositif alors qu'elles en sont partie intégrante dans nombre de pays européens ?

Ensuite, il nous semble que la meilleure manière de protéger les maires et les élus locaux est de faire en sorte qu'un délégué chargé de la protection des données personnelles soit nommé dans les collectivités comptant plus de 250 agents. C'est une manière forte de responsabiliser les agents à tous les niveaux et d'éviter de placer les maires dans des situations où ils pourraient être considérés comme pénalement responsables.

Enfin, les collectivités territoriales gèrent des données sensibles que certains peuvent être tentés d'exploiter commercialement. Combien de fois les maires n'ont-ils pas été approchés par des mutuelles désireuses de mettre la main sur certains fichiers pour faire de la prospection auprès des agents ? Et puis, il y a l'aspect politique. Nous avons connu par le passé des dérives venant d'acteurs politiques qui auraient bien voulu mettre en place tel ou tel fichier pour organiser tel ou tel aspect des services publics de leur collectivité. Cela implique d'être encore plus vigilants.

Il me semble bon de rappeler ces divers éléments car, curieusement, le communiqué de presse que le Sénat a publié après la CMP évoque les algorithmes et l'âge du consentement des mineurs mais pas les collectivités territoriales alors qu'elles constituent la pierre d'achoppement avec l'Assemblée.

Bref, si nous pouvons accepter certains des ajouts du Sénat, nous ne pouvons le suivre dans sa volonté d'exonérer les collectivités territoriales de certaines obligations du projet de loi. Ce ne serait pas responsable et cela pourrait avoir des conséquences extrêmement préoccupantes.

Sachez que je regrette l'échec de la CMP. Nous pouvons déplorer quelques maladresses de la part du Sénat mais aussi une absence de volonté de la part de la majorité de l'Assemblée nationale de trouver des arrangements qui semblaient pourtant possibles la veille ou l'avant-veille. Sans vouloir faire un jugement à la Salomon, il me semble que les torts sont partagés.

La place des collectivités locales pose effectivement problème. Qu'on écarte ou pas les préconisations du Sénat, des questions demeureront sur l'accompagnement, sur la formation ou sur la responsabilisation, notamment des plus petites d'entre elles, d'où l'intérêt de la mutualisation des services numériques entre collectivités via les établissements publics de coopération intercommunale (EPCI). Tout n'est pas à rejeter dans les modifications du Sénat, loin s'en faut. Et je compte sur l'ouverture d'esprit dont vous êtes familière, madame la rapporteure, pour ne pas mettre à mal l'équilibre obtenu sur certains points.

Je partage certaines de vos préoccupations. Il n'est pas question de revenir sur l'extension de l'action de groupe – je défends cette disposition depuis suffisamment d'années pour ne pas y renoncer maintenant. Il n'est pas question non plus de revenir sur l'utilisation des algorithmes dans les administrations car ce qui est en cause, comme vous le disiez, c'est la transparence et non pas le recours aux algorithmes en tant que tel. Nous devons aussi maintenir la possibilité pour le Parlement de saisir la CNIL et de profiter de ses compétences larges. En matière de consentement des mineurs, fixer le seuil à quinze ans me semble être une sage décision, même si le débat n'est pas totalement tranché.

Je forme le souhait que nous aboutissions à un texte équilibré. Rappelons que notre temps est compté : le RGPD entrera en vigueur le 25 mai 2018. Or nos travaux vont être interrompus quelque temps et leur organisation sera affectée par les jours fériés du mois de mai.

J'ai animé ce matin une réunion avec des patrons de petites et moyennes entreprises (PME) sur la RGPD. Beaucoup de questions ont porté sur les collectivités territoriales. Pourquoi appliquerait-on ce règlement aux entreprises et pas aux collectivités alors même qu'elles disposent de très nombreuses données personnelles ? Ce règlement européen doit être appliqué de manière uniforme et il serait très mal vu par les entrepreneurs que les collectivités soient exonérées de leurs responsabilités qu'il s'agisse du traitement des données ou des sanctions en cas de manquements graves.

Pour le reste, nous suivrons l'avis de Mme la rapporteure sur les modifications à apporter au texte du Sénat.

Beaucoup a été dit sur ce texte. Un article récemment publié par Le Monde l'indiquait : « selon une étude menée par l'éditeur de logiciels Senzing en janvier, moins de la moitié des entreprises européennes étaient considérées comme étant “prêtes”, et en France moins d'un cinquième des entreprises se disaient très confiantes face aux obligations du RGPD ». Le débat reste vif quant à la place des algorithmes dans les administrations et l'âge du consentement au traitement des données, ce sont là des questions essentielles.

Pensez-vous cependant que les travaux de nos deux chambres permettront l'instauration de dispositifs permettant effectivement la mise en oeuvre du RGPD ?

Je reviens en quelques mots sur la commission mixte paritaire. Pour notre part, nous considérons que le Sénat a introduit des éléments positifs, que nous avions d'ailleurs proposés. Et, alors que nous disions nous-mêmes qu'il y avait une logique politique dans ce texte, notre collègue sénateur Loïc Hervé a également très clairement indiqué, notamment au cours de la discussion générale, que ce projet de loi était non technique mais politique. Un certain nombre de propositions d'ajouts ont été faites : le renforcement des protections complémentaires, une charte de déontologie applicable aux délégués à la protection des données personnelles des administrations publiques établies par la CNIL, un régime d'autorisation préalable, un certain nombre de limitations de l'utilisation du traitement des données pour les données où la qualité de militaire apparaît. Bref, cela nous semblait aller dans le bon sens, et c'est pourquoi nous présenterons à nouveau quelques amendements visant à améliorer le texte.

Certes, le temps presse, mais nous aurions pu gagner un peu de temps ! Le groupe des sénateurs de La République en Marche a voté en faveur du texte sénatorial, qui comportait précisément des avancées refusées par le groupe La République en Marche de l'Assemblée nationale et que nous défendions. Peut-être un examen plus attentif des amendements aurait-il permis d'éviter ces retards. En tout cas, notre souci est d'améliorer ce texte en renforçant la protection des données. La logique politique que nous défendons est que cette protection doit s'exercer non pas a posteriori mais a priori, grâce à un renforcement du rôle de la CNIL.

Nous sommes saisis de 95 amendements dont 74 de la rapporteure parmi lesquels 40 d'entre eux visent à apporter des modifications rédactionnelles ou de coordination et les autres à revenir sur des modifications par le Sénat du texte que nous avions adopté.

Cet amendement vise à supprimer la mention d'une mission de certification, redondante avec ce qui est déjà prévu par le présent article.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

Nous avons longuement débattu de cet amendement, et en commission et en séance. Je propose de rendre cumulatives les conditions de compétence des personnalités qualifiées membres de la CNIL. Cette commission va s'apparenter en effet, de plus en plus, à un tribunal, puisqu'il lui reviendra d'infliger de lourdes pénalités financières aux entreprises. Il est important que ces personnalités qualifiées comprennent les enjeux du numérique, qu'elles comprennent le métier, qu'elles aient elles-mêmes manipulé des données. Les autres membres ont, pour leur part, un profil plutôt juridique, puisqu'ils sont issus du Conseil d'État, de la Cour de cassation, de la Cour des comptes et du Conseil économique, social et environnemental.

Nous en avons longuement débattu et moi-même j'ai un peu varié sur le sujet. Je m'en tiens cependant au dernier point de vue que j'ai exprimé. En imposant que les personnalités qualifiées aient à la fois une connaissance du numérique et une connaissance des questions touchant aux libertés individuelles, nous allons réduire le champ des possibles. La CNIL n'est pourtant pas simplement une autorité de sanction. Certes, la formation restreinte est une autorité de sanction qui s'apparente de plus en plus, dirons-nous pour faire simple, à un tribunal, mais le collège, qui se réunit régulièrement, a besoin de compétences plus larges. Je crains qu'en imposant le cumul de ces compétences on ne s'enferme alors qu'il faudrait plutôt s'ouvrir. N'oublions pas les enjeux éthiques et la mission de réflexion de la CNIL.

Il est intéressant que des profils différents et variés réfléchissent sur le numérique, mais plutôt dans le cadre d'une instance comme le Conseil national du numérique (CNNum), dont la réflexion est plus prospective, plus générale. Les compétences requises des membres de la CNIL sont plus étroitement dictées par les missions qui lui sont assignées par la loi « Informatiques et libertés » et désormais par le RGPD.

En ce qui concerne les missions de la CNIL, vos propos sont en contradiction avec la loi pour une République numérique adoptée il n'y a pas si longtemps, madame la rapporteure.

Les membres du groupe du Mouvement Démocrate et apparentés ont déjà dit en séance que la proposition de M. Gosselin leur convenait. Nous ne sommes donc pas favorables à cet amendement. Exiger que les personnalités qualifiées aient à la fois une connaissance du numérique et une connaissance des questions touchant aux libertés individuelles pose un problème d'ouverture à des profils différents. Nous nous en tiendrons à la position que nous avions exprimée, comme un certain nombre d'autres députés de la majorité.

Il me semble quand même qu'il est très important que les membres de la CNIL, pour prendre les décisions qui incombent à celle-ci, aient des compétences non seulement juridiques mais aussi numériques, étant entendu que ces deux types de compétences ne sont pas exclusifs d'autres. Si quelqu'un, en plus, a des compétences philosophiques, ethnographiques, poétiques, cela nous convient tout à fait ! Les compétences juridiques et numériques sont en tout cas une nécessité.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

La compétence d'établir des sanctions pécuniaires octroyée à la CNIL prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par ce projet de loi. La CNIL voit son rôle d'organe sanctionnant devenir l'une de ses principales missions. L'octroi d'un pouvoir de sanction doit être accompagné d'un strict encadrement des motifs légaux de la sanction, afin qu'une protection optimale des libertés fondamentales de tous et toutes soit assurée. Ainsi, cet amendement dessine les conditions du bien-fondé légal de la sanction. Cela permettrait non seulement à la CNIL mais également aux organes juridictionnels de même qu'aux citoyens et citoyennes, d'évaluer au plus juste le sens et donc le fondement de la sanction.

Nous avons déjà eu cette discussion. Il est bien précisé, à de nombreuses reprises, dans le RGPD, que les mesures prises doivent être appropriées, nécessaires et proportionnées. Fixer une grille d'astreinte serait aller un peu trop loin, et il faut laisser une marge de manoeuvre à la CNIL pour décider des sanctions qu'elle doit prononcer.

Le législateur européen n'ayant pas, en l'état du règlement RGPD, épuisé sa compétence sur le cas précis d'une récidive, nous pouvons tout à fait décider de préciser et compléter les dispositions européennes. Tel est le sens de cet amendement, qui permettra à la CNIL de jouer un rôle plus dissuasif.

Les montants fixés par le RGPD nous semblent suffisamment dissuasifs. Le montant de l'amende encourue était, il y a quelques années, de 150 000 euros. Avec le règlement, il passe à 20 millions d'euros ou 4 % du chiffre d'affaires.

Peut-être est-ce dissuasif pour certaines entreprises, mais l'actualité nous livre quelques révélations sur les géants du net. Les sanctions encourues devraient donc être revues à la hausse pour que le pouvoir de sanction conféré ait quelque réalité.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

Cet amendement vise à revenir au texte de l'Assemblée nationale.

Cet amendement, qui a pour objet de supprimer l'article 6 bis introduit par le Sénat, vise à revenir au texte de l'Assemblée nationale.

Il nous importe de préserver les libertés individuelles. C'est pourquoi nous proposons d'interdire le profilage privé à des fins lucratives. Il s'agit de protéger la partie la plus faible. Le constat est double : d'une part, les pratiques commerciales de récolte des données, entre absence d'information et traitement automatisé, ne respectent pas le consentement des personnes ; d'autre part, l'usage des données individuelles constitue une création de richesses à l'insu des utilisateurs et des utilisatrices, par l'alimentation de bases de données. Nous proposons donc de créer un cadre réellement protecteur de nos droits et libertés qui incitera les acteurs français et européens du numérique à investir dans des modèles plus vertueux.

Dans la perspective du RGPD, il ne s'agit pas d'interdire l'utilisation de ces technologies, mais de faire en sorte qu'il y ait obligatoirement un consentement, ce qui permettra d'éviter des scandales tels que celui de « Cambridge Analytica ». Il me semble que cet encadrement suffira.

Il s'agit de modifier une erreur dans le texte adopté par le Sénat.

L'amendement vise à supprimer cet article, adopté à l'initiative du Sénat pour obliger le chiffrement de bout en bout. Je suis favorable à l'utilisation de ces technologies, mais l'obligation prévue me paraît excessive par rapport à la rédaction de l'article 32 du RGPD. Par ailleurs, la loi doit rester technologiquement neutre : le chiffrement est une des technologies susceptibles d'être utilisées pour garantir la sécurité, mais il en existe bien d'autres et des évolutions peuvent avoir lieu. Cette disposition étant trop restrictive, je donne un avis favorable à l'amendement.

Cet amendement vise à rétablir la rédaction adoptée par notre assemblée en ce qui concerne l'article 9 de la loi informatique et libertés.

À nouveau, je vous propose de rétablir le texte adopté par notre assemblée.

Je vous propose de supprimer les alinéas 13 à 16 de l'article 11, une fois encore afin de revenir au texte adopté par notre assemblée en première lecture.

Il s'agit de revenir à la rédaction adoptée par l'Assemblée nationale.

Le Sénat a adopté un amendement du Gouvernement créant un comité d'audit du système national des données de santé. Je vous propose de rendre obligatoire la présence du président de la CNIL ou de son représentant dans ce comité, à titre d'observateur afin que cette autorité ne soit pas tenue à l'écart d'un contrôle qui entre dans ses missions fondamentales.

Nous en avons déjà parlé lors de la discussion générale : je vous propose de rétablir à quinze ans l'âge de la majorité numérique. C'est un sujet qui a fait l'objet d'un large consensus dans notre assemblée.

L'amendement CL1 a le même objet. L'ensemble des groupes a en effet retenu l'âge de 15 ans. Pour une fois qu'il existe un consensus, suivons-le.

Le Sénat a trop tendance à suivre le Gouvernement (Sourires).

Il y a souvent des consensus à la commission des lois. C'en est un de plus : ne nous privons pas.

Mon amendement vise à rétablir la rédaction de l'alinéa 4 telle qu'elle a été adoptée par notre assemblée.

Cet amendement a le même objet que le précédent, s'agissant de l'alinéa 5.

L'article 14 prévoit un recours accru au profilage administratif. Dans l'intérêt des droits et libertés numériques et afin d'éviter les biais discriminants, nous estimons que les algorithmes utilisés pour la prise des décisions publiques doivent nécessairement être soumis à un contrôle citoyen, avec les équipes d'inspection de la CNIL. Cet amendement permettrait à nos concitoyens de prendre connaissance de certains algorithmes et de les évaluer directement, en particulier celui d'Admission post-bac (APB) – mais on peut aussi penser à ceux de Pôle emploi. Nous nous inspirons notamment des constats et des conclusions du rapport sur les modalités de régulation des algorithmes de traitement des contenus qui a été remis au secrétaire d'État en charge du numérique en mai 2016. Cette mesure complétera une première ouverture importante, issue de la loi sur la République numérique, qui est le droit d'accès et d'information. Notre amendement permettra de renforcer la citoyenneté numérique en encadrant l'utilisation des algorithmes. Nous espérons qu'il y aura un consensus sur ce sujet, dans la lignée des travaux du Sénat.

Je suis entièrement d'accord avec vos propos, mais cette disposition ne me paraît pas nécessaire. La CNIL réalise déjà ce travail sur les algorithmes – elle l'a notamment fait en ce qui concerne APB. Par ailleurs, la transparence permettra à de nombreux acteurs de se saisir du sujet, au-delà de la CNIL, – à l'instar de l'Institut national de recherche en informatique et en automatique (INRIA) et de nombreuses associations. Je donne donc un avis défavorable.

Je vous propose de revenir à la rédaction adoptée par notre assemblée, en supprimant l'alinéa 10.

Nous avons débattu en première lecture de l'importance de la protection des données scolaires, et un dialogue a été engagé avec le Gouvernement afin de trouver le bon dispositif dans ce domaine. Je suis heureuse de vous dire que nous sommes parvenus à un accord : il s'agit de mettre à la disposition du public le registre prévu par le RGPD en ce qui concerne les traitements mis en oeuvre par les établissements publics d'enseignement scolaire.

Sur ce point important, la discussion qui a eu lieu avec le Gouvernement nous satisfait. Nous voterons donc cet amendement.

Je vous propose de revenir à la rédaction adoptée par notre assemblée pour l'entrée en vigueur des actions de groupe en réparation des préjudices subis en matière de données personnelles.

Cet amendement a le même objet en ce qui concerne les alinéas 7 et 12.

Nous proposons de rompre avec la logique du consentement présumé de l'utilisateur d'un terminal mobile, à laquelle nous préférons celle du consentement effectif : on pourra choisir librement son service de communication en ligne par un acte positif. Les éditeurs d'applications peuvent signer des accords avec les fabricants de smartphones afin de bénéficier d'une exposition préférentielle, notamment grâce à un affichage par défaut. L'objectif de l'amendement n'est pas d'interdire la conclusion de ce type d'accords, mais d'empêcher qu'ils soient assortis d'une clause d'exclusivité empêchant le fabricant ou l'opérateur de proposer des alternatives à l'application configurée par défaut. Concrètement, chaque éditeur pourra demander que son application soit configurée par défaut, mais on ne pourra pas interdire que les alternatives soient proposées à l'utilisateur – certains éditeurs peuvent être plus protecteurs pour les données personnelles. Pour résumer, chacun pourra conclure des accords d'exposition préférentielle mais sans jamais avoir la possibilité d'évincer la concurrence. Notre amendement ne porte pas atteinte à la liberté contractuelle, mais cherche à ce qu'elle ne soit pas exercée au détriment de l'objectif de protection des données personnelles, qui passe par le libre consentement de l'utilisateur et donc par le libre choix des applications.

Nous avons déjà eu plusieurs discussions sur ce sujet et celle d'aujourd'hui n'est probablement pas la dernière… Je veux redire mon soutien à ce que vous proposez, tout en soulignant que nous devons traiter la question dans le cadre d'une réflexion plus large sur la concurrence loyale dans l'industrie du numérique : il faut assurer le respect du droit de la concurrence dans ce domaine, tout en prenant en compte son articulation avec la politique des données, mais aussi avec d'autres types de dispositions telles que la commande publique, les obligations de transparence et la régulation des plateformes et des algorithmes. J'ai engagé un dialogue avec le Gouvernement sur la manière dont nous pourrions mener une réflexion d'ensemble dans un autre cadre. Je vous demande donc de retirer votre amendement afin que nous puissions continuer à échanger d'ici à l'examen du texte en séance.

Je prends note de l'optimisme de la rapporteure mais je rappelle que le texte sera examiné en séance jeudi matin – or nous sommes déjà mardi et il est dix-neuf heures quinze… Je veux bien que le Gouvernement avance et que nos débats soient fructueux mais je doute tout de même que rien de sérieux ne puisse être fait d'ici à jeudi.

L'amendement de nos collègues tourne en fait autour de la question de l'abus de position dominante, qu'on peut bien sûr qualifier, ou non, juridiquement. Au-delà, il pose la vraie question du libre choix et du consentement éclairé. Or il existe aujourd'hui des contrats d'adhésion léonins.

Aussi, j'attends pour jeudi, à défaut d'un texte qui ne pourra nous être présenté avant – je ne suis pas naïf –, des engagements précis du Gouvernement, avec l'appui de la rapporteure et de la majorité, pour que cette question, qui se pose depuis trop longtemps, ne soit pas renvoyée aux calendes grecques.

Le paradoxe veut qu'il y ait un accord général sur la question et que, pour l'instant, nous n'ayons pas réussi à trouver les mots grâce auxquels nous ne serions pas juridiquement blackboulés. Il reste quarante-huit heures, certes…

Trente-six !

En effet. Ce n'est pas faute des administrateurs ni du Gouvernement ni non plus de nos collègues auteurs de l'amendement d'avoir essayé de trouver le bon véhicule et les bons mots. J'espère encore que nous allons y parvenir d'autant que, je le répète, il y a un consensus pour que nous avancions.

Nous partageons tous ce qui a été dit sur le fond et sur le problème que pose la forme. Soit nous parvenons à trouver la bonne formulation d'ici à jeudi et c'est tant mieux car nous la soutiendrons tous ; soit nous n'y arrivons pas et alors tâchons de trouver un nouveau vecteur. Si nous adoptions l'amendement tel quel, le texte s'en trouverait juridiquement fragilisé. Le retrait est donc sans doute la meilleure solution pour peu que la rapporteure et le Gouvernement s'engagent à proposer une nouvelle formulation jeudi matin en séance.

Comme nos collègues l'ont souligné, il y a un consensus sur le fond pour trouver un bon équilibre, sur des questions très sensibles, entre la liberté de l'entreprise et celle du consommateur. Nous nous étions d'ailleurs exprimés sur le sujet au cours de la première lecture en séance.

Nous allons dans l'immédiat retirer l'amendement mais qu'il soit clair qu'il se réincarnera en séance au cours des trente-six prochaines heures avec un nouveau choix de mots. Nous aurons d'autres sujets de discussion, à l'avenir, à n'en pas douter, sur l'intelligence artificielle par exemple, où le choix des mots sera beaucoup plus délicat.

Je ne prise ni le péril ni la gloire et face au dilemme cornélien auquel vous me soumettez, soit maintenir un amendement qui recueille le consensus de nos collègues mais contre l'avis de la rapporteure, il est en effet sage d'envisager son retrait. Pour tout vous dire, nous travaillons déjà à une nouvelle rédaction à laquelle l'échec de la commission mixte paritaire (CMP) et l'accélération du calendrier ne nous ont pas permis d'aboutir.

Nous présenterons donc un nouvel amendement en séance. L'objectif est raisonnable compte tenu de l'enjeu.

Un amendement ressuscité en moins de trois jours !

Réincarné !

Ce n'est pas saint Lazare, il s'agit bien ici de réincarnation. (Sourires.)

Je m'engage personnellement à travailler sur la concurrence loyale dans l'industrie du numérique, sujet beaucoup plus large que ce cas particulier.

Le présent amendement vise à rétablir la rédaction de l'Assemblée en première lecture.

Le présent amendement vise à supprimer l'article, introduit par le Sénat, qui vise à créer une dotation de 170 millions d'euros pour les collectivités territoriales.

En première lecture, et de façon consensuelle, nous avions appelé l'attention du Gouvernement et des responsables au sens large sur la nécessité d'être bienveillants à l'égard des petites entreprises, le RGPD impliquant des sujétions particulières et inversant un processus à l'oeuvre jusqu'à présent. Ma remarque vaut également pour les petites collectivités et en particulier pour les plus petites d'entre elles : les communes rurales.

J'entends bien la volonté de supprimer la dotation prévue à l'article 19 bis mais je souhaite que le Gouvernement et la majorité prennent néanmoins en compte la question essentielle posée ici par le Sénat.

La situation est similaire pour les très petites entreprises (TPE) et les petites collectivités pour lesquelles, à moins de fichiers particulièrement sensibles, il n'y aura pas de contraintes excessives. Il en ira en revanche différemment de celles employant plus de 250 agents qui, en général, ont déjà un service informatique de cinq ou six personnes. De nombreuses collectivités ont d'ailleurs anticipé les évolutions à venir en nommant une personne responsable des fichiers en question et un délégué à la protection des données personnelles.

Si l'on y ajoute la possibilité de la mutualisation – prévue par mon amendement CL88 rectifié à l'article 19 ter que je retirerai pour des raisons rédactionnelles mais que je proposerai à nouveau en séance dans trente-six heures, on peut tout à fait imaginer que le dispositif soit administré au niveau de l'intercommunalité au bénéfice de l'ensemble des communes, petites ou grandes. Or charger quelqu'un de la protection des données personnelles, qui aidera élus et agents publics dans leur appréhension du numérique nous semble être une perspective intéressante.

Le Sénat a eu la main un peu lourde et nous sommes favorables à la suppression de l'article. Reste que les collectivités doivent intégrer la philosophie du texte indépendamment de l'effet d'aubaine que créerait le versement d'un financement : le RGPD implique des pratiques qui doivent être quotidiennes.

Je rappelle que nous avons retenu plusieurs propositions du Sénat en faveur des collectivités territoriales. Il conviendra par ailleurs, au moment de l'examen du projet de loi de finances, de débattre des moyens attribués à la CNIL. La majorité y veillera en tout cas de près.

Puisque vous évoquez les moyens de la CNIL, madame la rapporteure, je saisis cette occasion pour rappeler que la réforme ne se fait pas à droit constant. Quand on regarde ce qui se fait du côté de nos voisins allemands et britanniques, on se rend bien compte que nous sommes très loin du compte – quelques petites centaines d'agents chez nous, contre environ un millier pour les États que j'ai cités –, et ce n'est pas avec les quelques postes – un ou deux – qui vont être créés que la CNIL pourra assumer ses fonctions. La commission doit être en mesure d'assumer ses nouvelles contraintes et obligations : soyons-en les garants. C'est un vrai sujet car, si nous n'y prenons garde, la chute pourrait être vertigineuse.

Les besoins exprimés par la CNIL paraissent assez raisonnables. Le Gouvernement examine dans quelle mesure ils pourraient être satisfaits dès le budget 2019, mais nous sommes effectivement loin des chiffres que vous avez cités pour l'Allemagne. La CNIL semble avoir l'habitude d'une certaine productivité et ne s'inscrit pas du tout dans une logique inflationniste : elle souhaite simplement conduire ses missions dans de bonnes conditions.

Effectivement, il ne s'agit que de quelques dizaines de postes, mais encore faut-il que le besoin exprimé soit entendu, ce qui n'est pas évident dans le cadre budgétaire actuel.

Cet amendement vise à rétablir l'article 20 bis dans sa rédaction adoptée par l'Assemblée nationale.

Il s'agit de revenir à la rédaction adoptée par l'Assemblée nationale.

Cet amendement a pour objet de reporter au 1er janvier 2019 l'entrée en vigueur de la disposition adoptée par le Sénat prévoyant la nullité des décisions administratives individuelles prises sur le fondement d'un traitement algorithmique qui ne comporteraient pas la mention prévue à l'article L.311-3-1 du code des relations entre le public et l'administration.

Ce délai supplémentaire doit laisser à l'administration le temps nécessaire pour s'organiser et adapter en conséquence l'information délivrée aux citoyens.

Le Gouvernement propose de reporter à la rentrée scolaire 2018 l'entrée en vigueur des dispositions que nous avons votées à l'article 14 bis A rendant obligatoire la publication du registre des traitements de données scolaires.

La rédaction de l'amendement CL103 est-elle suffisamment précise quand elle évoque « la rentrée de l'année scolaire 2018-2019 » ? En effet, les dates de rentrée scolaire ne sont pas forcément identiques en outrer-mer et en métropole. Peut-être faut-il revoir la formulation ?

C'est justement pour englober toutes les possibilités qu'il a été choisi ne pas préciser une date d'entrée en vigueur, mais nous pourrons vérifier que cette rédaction est bien la plus adaptée.

Mes chers collègues, je vous rappelle que ce texte sera examiné en séance publique jeudi 12 avril à neuf heures trente.

Nous avons eu des discussions sur le fond qui étaient nécessaires. La CMP n'a pas été conclusive, ce que nous regrettons. Le président du Sénat a indiqué qu'il envisageait de demander au Conseil constitutionnel d'examiner le texte, ce à quoi nous ne sommes pas opposés, car nous n'y voyons pas une punition. Cela dit, cet examen devra se faire rapidement, en l'occurrence dans les huit jours, afin que le texte bénéficie d'une certaine stabilité et que l'ensemble des acteurs concernés par le règlement général sur la protection des données soient en mesure de connaître les règles juridiques applicables à compter du 25 mai prochain.

Je ne suis pas opposé moi non plus à ce qu'un texte soit purgé de ses inconstitutionnalités par le Conseil constitutionnel, mais un problème de délais peut effectivement se poser. Madame la présidente, pouvez-vous nous éclairer, à titre prévisionnel, sur le calendrier d'examen de ce texte ?

La nouvelle lecture au Sénat aura lieu la semaine prochaine, et la lecture définitive à l'Assemblée nationale devrait se faire après la suspension de nos travaux, vraisemblablement le 14 mai. Par ailleurs, on m'indique que le Conseil constitutionnel sait faire vite quand c'est nécessaire. Comme l'a dit M. Latombe, nous n'avons pas à redouter l'intervention du Conseil constitutionnel : bien au contraire, voter des textes conformes à la Constitution est bien le minimum que nous puissions faire !