Intervention de Ersilia Soudais

Réunion du mercredi 5 octobre 2022 à 9h00
Commission des affaires étrangères

Photo issue du site de l'Assemblée nationale ou de WikipediaErsilia Soudais, rapporteure :

Notre commission a été saisie du projet de loi autorisant la ratification du protocole d'amendement à la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite « convention 108 ».

L'Assemblée nationale en débat après le Sénat, qui a adopté le projet de loi le 13 juillet 2021. Le protocole vise à moderniser une convention qui a été pionnière : elle est devenue, en 1981, le premier instrument juridique contraignant dans le domaine de la protection des données personnelles – et elle reste le seul à ce jour.

La convention, qui compte cinquante-cinq États parties, nécessite d'être modernisée, afin de répondre aux nouveaux défis que posent l'utilisation des nouvelles technologies de l'information et de la communication, ainsi que l'intensification des échanges de données personnelles à l'échelle internationale. Ces évolutions ont pu donner lieu à des coopérations mais elles ont aussi suscité des scandales, à la fois nationaux et internationaux : fuite de données ayant impliqué Facebook et la société Cambridge Analytica en 2016 ; recoupements de données de la caisse d'allocations familiales (CAF) pour détecter le profil de potentiels fraudeurs ; soupçons formulés par des organisations non gouvernementales (ONG) à propos de Doctissimo, qui aurait partagé des données confidentielles sur des plateformes, notamment américaines.

Une fois le protocole entré en vigueur, la nouvelle convention portera le nom de convention 108 +. À ce jour, le protocole, dit protocole 223, compte quarante-quatre États signataires, et dix-sept l'ont déjà ratifié.

Sans entrer dans le détail, ni de la convention, ni des modifications que le protocole va y apporter, je souhaite m'arrêter sur les enjeux qui me paraissent essentiels.

Tout d'abord, on peut saluer un effort de modernisation et de consolidation du droit. Le protocole s'inscrit lui-même dans une dynamique juridique. En effet, plusieurs outils ont été élaborés ces dernières années, notamment par l'Union européenne, pour fournir un cadre juridique au numérique. Comme vous le savez, le règlement général sur la protection des données (RGPD) a été adopté en 2016, de même que la directive dite police-justice. La convention 108 et son protocole additionnel reposent sur les mêmes principes que ces deux textes, parmi lesquels on peut citer : le principe de finalité ; le principe de proportionnalité et de pertinence ; le principe d'une durée de conservation limitée des données ; le respect des droits des personnes, notamment le droit d'accès aux données, le droit de rectification et le droit à l'effacement.

L'entrée en vigueur de la convention 108 + modernisée va donc consolider l'édifice juridique européen, avec une vocation extra-européenne qu'il faut souligner. En effet, la portée de la convention et du protocole dépasse le cadre régional du Conseil de l'Europe et de ses membres, puisque cinq États tiers ont déjà signé le protocole 223.

Parmi les principales modifications introduites par le protocole, on peut citer le renforcement des exigences relatives au principe de proportionnalité et de minimisation des données et à celui de licéité du traitement, ainsi que de nouveaux droits accordés aux personnes dans le contexte de prises de décision basées sur des algorithmes, l'élargissement de la catégorie des données sensibles, qui comprend désormais les données génétiques et biométriques, ainsi que celles relatives à l'appartenance à un syndicat et à l'origine ethnique, ou encore un renforcement des pouvoirs et de l'indépendance des autorités de protection des données, ainsi que des bases légales nécessaires à la coopération internationale.

Le protocole introduit également de nouvelles procédures d'évaluation et d'examen de la convention, autour notamment d'un comité consultatif appelé à devenir comité conventionnel et dont les pouvoirs vont être étendus afin de favoriser la bonne application de la convention.

Je souhaite à présent attirer votre attention sur l'application de la convention, du point de vue des acteurs, spécialisés ou non dans le numérique, qui doivent veiller au quotidien au respect des règles protégeant les données personnelles. Cette question dépasse en pratique le seul champ de la convention 108 et du protocole 223 et concerne l'ensemble des textes partageant cet objectif, à commencer par le RGPD.

D'un côté, comme le souligne l'étude d'impact, l'entrée en vigueur de la convention 108 modernisée ne devrait pas nécessiter de mesures d'adaptation supplémentaires dans le droit national, dans la mesure où des modifications ont déjà été effectuées ces dernières années pour assurer sa conformité au RGPD et à la directive police-justice, notamment en modifiant la loi du 6 janvier 1978 dite « informatique et libertés ». Ce sont également les dispositions de la loi informatique et libertés qui devront permettre à la France de prévoir quelques exceptions à l'application de la convention dans le domaine de la sécurité nationale et de la défense. Ces exceptions sont admises par la convention en son article 11, à la condition d'être prévues par la loi et de respecter l'essence des droits et libertés fondamentales tout en étant nécessaires et proportionnées dans une société démocratique.

D'un autre côté, la mise en œuvre de tous ces outils juridiques implique de nouvelles missions pour une série d'acteurs et une charge de travail parfois difficile à absorber. C'est notamment le cas des acteurs publics, qui ne disposent pas de moyens comparables à ceux des GAFAM et des autres géants du secteur. Je pense en particulier à la CNIL : puisqu'elle jouera le rôle d'autorité de contrôle au sens de la convention, elle sera sollicitée lorsque la France sera évaluée et elle participera toute l'année aux travaux du comité conventionnel. La CNIL est également concernée par le chapitre IV de la nouvelle convention, qui porte sur l'entraide entre les États parties. Elle a en effet été désignée pour mettre en œuvre ce pan de la convention du côté français, ce qui se traduira par des échanges accrus avec ses homologues.

Si le budget de la CNIL est passé de 17,7 millions d'euros en 2018 à 24,3 millions en 2022, pour tenir compte des nouvelles missions liées à l'application du RGPD, ses moyens humains restent insuffisants. Faute de moyens, elle pourrait avoir des difficultés à remplir certaines de ses missions de contrôle ou à instruire dans des délais restreints des volumes de plaintes très importants.

Nous devons être d'autant plus vigilants que de nouvelles législations européennes vont entrer en vigueur dans le domaine du numérique dans les années à venir – le Digital Services Act (DSA), le Data Governance Act ou encore l' Artificial Intelligence Act –, qui seront de nature à créer de nouvelles missions pour la CNIL.

Ces inquiétudes ne valent pas que pour les acteurs spécialisés, mais aussi pour l'ensemble des usagers, qui sont également concernés par l'évolution et l'application des réglementations. J'ai choisi d'illustrer ce problème en évoquant un secteur que je connais bien : l'éducation nationale. Si des efforts ont été engagés en matière de formation des personnels au – et par – le numérique, il y a encore une marge de progression. La plateforme M@gistère, par exemple, a pour inconvénient de proposer essentiellement de l'auto-formation et d'être encore trop peu connue des enseignants.

De même, des postes de délégués à la protection des données ont été créés et un comité d'éthique pour les données d'éducation a été institué afin de développer la réflexion sur les aspects éthiques de l'utilisation des données d'éducation, mais cela reste opaque pour les personnels. On note les mêmes insuffisances, s'agissant de la formation des élèves. Elle est cruciale pour lutter contre les inégalités et la fracture numériques et elle revêt une importante dimension citoyenne. Néanmoins, la plateforme Pix met davantage l'accent sur la certification que sur la formation. La protection des données personnelles s'appuie sur des principes généraux mais elle doit aussi tenir compte des spécificités des différents secteurs. C'est en ce sens qu'une réflexion a été lancée pour élaborer un code de conduite visant à une bonne application du RGPD par la filière EdTech, qui réunit les start-up évoluant dans le numérique appliqué à l'éducation, l'enseignement supérieur et la formation professionnelle.

Les cas de la CNIL et de l'éducation nationale ne sont que deux exemples parmi d'autres. Ils montrent que la consolidation des règles juridiques en matière de protection des données personnelles doit s'accompagner d'une vigilance accrue quant aux capacités de mise en œuvre de ces règles par les acteurs concernés. Si nous n'y veillons pas, tout le dispositif risque d'être fragilisé et, avec lui, l'influence et la crédibilité de l'Europe dans un secteur qui reste dominé par les entreprises américaines et chinoises, dont la vigilance en matière de données personnelles est loin d'être toujours garantie.

Sous ces réserves, je vous invite à voter en faveur de la ratification de ce protocole.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion