Intervention de Sophie Joissains

Nous examinons le projet de loi relatif à la protection des données personnelle. L'objet de ce texte est d'adapter la loi « Informatique et libertés » au paquet européen de protection des données personnelles, qui se compose d'un règlement général sur la protection des données (RGPD) et d'une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire.

Ces sujets ne sont pas inconnus de notre commission, qui a la chance de compter parmi ses membres un commissaire de la Commission nationale de l'informatique et des libertés (CNIL), Loïc Hervé. De façon générale, le Sénat s'est distingué ces dernières années en étant particulièrement actif sur ces questions.

Il a d'abord agi au niveau européen. Saluons, à ce propos, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, sur l'orientation et les principes directeurs du règlement européen, puis à la commission des lois, où il a été rapporteur sur le règlement, la directive et la résolution votée en séance publique. Dans le cadre de ses travaux de contrôle, le Sénat a également entrepris ces dernières années une réflexion plus large et nourrie sur les enjeux de souveraineté numérique. En témoignent la mission commune d'information sur la gouvernance d'Internet, dont le rapporteur était notre collègue Catherine Morin-Desailly, qui devrait bientôt présenter un rapport sur l'éducation et la formation numériques. Enfin, au sein de notre commission, lors de la discussion de la loi pour une République numérique, plusieurs dispositions approuvées à l'initiative du rapporteur Christophe-André Frassa avaient justement comme ambition d'anticiper l'entrée en vigueur des nouvelles règles européennes de protection des données - ce qui n'était pas un luxe !

Le règlement européen doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivité des entreprises européennes. Il sera directement applicable à partir du 25 mai, mais son application uniforme est atténuée par l'existence de 56 marges de manoeuvre, qui sont autant d'options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.

Il poursuit trois objectifs principaux. D'abord, renforcer les droits des personnes dont les données sont utilisées : le règlement réaffirme les droits des personnes - droits d'accès, d'opposition et de rectification -, introduit de nouveaux droits mieux adaptés à l'évolution des technologies numériques - portabilité des données, droit à l'oubli, lutte contre le profilage, protection spécifique des enfants - et facilite l'exercice de ces droits par des actions par mandataire, voire des actions collectives et le droit à réparation du préjudice subi.

Le deuxième objectif du règlement est de mieux graduer les obligations des acteurs en fonction des risques pour la vie privée. Il met ainsi fin à la plupart des formalités préalables auprès des autorités nationales. En contrepartie, la responsabilité des opérateurs gérant des fichiers est mieux graduée, étalée durant tout le cycle de vie des données. Ce n'est qu'en cas de risque qu'il revient au responsable de réaliser une étude d'impact et de solliciter, au besoin, l'avis du régulateur. Le règlement privilégie le recours à de nouveaux outils de conformité inspirés du droit souple : lignes directrices, codes de conduite spécifiques à certains secteurs et certification. Il généralise la désignation de délégués à la protection des données, dont le rôle, au sein de chaque structure, est d'aider à traiter les réclamations et de conseiller le responsable de traitement en coopération avec le régulateur national. Sa nomination est obligatoire dans plusieurs cas pour le secteur privé, pour les traitements à grande échelle et les données sensibles, et, surtout, pour toute personne publique - ce qui inclut même la plus petite de nos communes !

Le troisième objectif du règlement est de doter les régulateurs de pouvoirs à la mesure des enjeux de souveraineté numérique. Le champ d'application territorial et matériel du droit européen est considérablement élargi : le règlement doit être appliqué non seulement dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne - c'est le critère de résidence - mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données, y compris donc par Internet. Les règles de transfert de données personnelles hors de l'Union européenne sont précisées et la coopération entre régulateurs en cas de transferts transfrontaliers est considérablement renforcée, ce qui est bienvenu.

Le règlement instaure des amendes désormais dissuasives en cas de manquement : jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial, chiffres pouvant même être doublés dans certains cas. Les autorités nationales sont ainsi enfin dotées d'outils à la hauteur des moyens des géants du numérique qu'elles sont appelées à réguler.

La directive reprend l'essentiel des principes du règlement et est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales. Elle doit, pour sa part, être transposée avant le 6 mai 2018.

Le projet de loi a pour but d'adapter notre droit au règlement général, de tirer parti des marges de manoeuvre nationales qu'il autorise et de transposer la directive sectorielle. Le Gouvernement a fait le choix symbolique de conserver la loi Informatique et libertés en n'opérant que les modifications strictement indispensables à la mise en oeuvre du règlement et de la directive.

Ainsi, les missions de la CNIL sont élargies et ses pouvoirs, renforcés. Le traitement des données dites sensibles reste encadré et des régimes spécifiques plus protecteurs, conservant des formalités préalables, restent prévus pour certains traitements, comme ceux du numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé. L'Assemblée nationale a étendu l'objet de l'action de groupe en matière de données personnelles à la réparation des dommages en vue d'obtenir la réparation des préjudices matériels. Les députés ont abaissé à quinze ans l'âge de consentement au traitement des données personnelles, fixé à seize ans dans le projet initial. Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées. L'importance des conditions de recueil du consentement est réaffirmée, tandis que sont supprimées les dispositions relatives à la portabilité des données, jugées satisfaites par celles, d'application directe, prévues dans le règlement. Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées. Le fichier de traitement d'antécédents judiciaires (TAJ) est sécurisé en réponse à une décision QPC du Conseil constitutionnel.

Mes amendements ne remettent pas en cause l'objectif global de ce texte mais corrigent de graves lacunes et rééquilibrent certains éléments du dispositif.

D'abord, je souhaite que notre commission réponde aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi : pas une ligne ne les mentionne. Elles sont pourtant concernées au premier chef : fichier d'état civil, fichier des cantines scolaires, fichier d'aide sociale, listes électorales, fiscalité locale, cadastre... Elles sont responsables de nombreux traitements sur lesquels elles n'ont souvent pas prise, car ils découlent d'obligations légales.

Sous la menace de sanctions pécuniaires, elles devront assumer seules des coûts importants : nomination d'un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l'exercice des nouveaux droits des particuliers... Les discussions à l'Assemblée nationale n'ont malheureusement pas permis de corriger les lacunes initiales du texte, car si les députés sont restés attentifs, à juste titre, au sort des TPE-PME, les collectivités territoriales ont été totalement négligées dans les débats.

Face à cette situation, je vous proposerai de prévoir que la CNIL adapte les normes qu'elle édicte et les informations qu'elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d'entre elles, de dégager de nouveaux moyens pour aider les collectivités à se conformer à leurs nouvelles obligations, de faciliter la mutualisation des services numériques entre collectivités, et de réduire l'aléa financier, en supprimant - comme pour l'État - la faculté pour la CNIL d'imposer aux collectivités des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices subis en matière de données personnelles.

Ensuite, même si je suis consciente du caractère extrêmement délicat du choix à opérer ici, je vous proposerai de rétablir à seize ans l'âge du consentement numérique autonome, dans l'attente d'un rapport du Gouvernement nous éclairant sur les pratiques et les risques ou des résultats des travaux en cours au Sénat. Il me semble aussi nécessaire de mieux encadrer la faculté pour l'administration de prendre des décisions individuelles sur le seul fondement de traitements automatisés de données.

Je vous proposerai également de rééquilibrer la procédure d'action de groupe en réparation des préjudices. Sans la remettre en cause, il nous faut entendre l'inquiétude des petits opérateurs, collectivités territoriales comprises : chacun s'accorde à dire qu'ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 et ils pourraient être mis à terre par une condamnation pécuniaire trop lourde - sans compter les risques d'abus de droit, de quérulence ou d'extorsion. Pour apaiser ces craintes, je vous proposerai notamment de différer de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices, pour laisser le temps aux responsables de traitement de s'adapter, et d'imposer l'agrément préalable des associations de protection de la vie privée pour que celles-ci puissent introduire une action de groupe, afin de s'assurer de leur sérieux et de leur indépendance.

Je souhaite solennellement attirer l'attention de notre commission sur le grave problème que va poser l'insuffisance des moyens de la CNIL : déjà très sollicitée, elle ne disposera pas des capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures visant à faciliter son organisation interne ne suffiront pas et nous devrons absolument interroger le Gouvernement en séance à ce sujet. Les deux cent personnes qui travaillent à la CNIL représentent un effectif plus de deux fois inférieur à celui dont dispose son homologue britannique.

Je vous ferai aussi diverses propositions pour améliorer la transposition de la directive et garantir la constitutionnalité des fichiers de traitement des antécédents judiciaires.

Enfin, il nous faudra obtenir de sérieuses garanties sur l'orientation de l'ordonnance de recodification destinée à procéder aux nombreuses mises en cohérence que le Gouvernement affirme ne pas avoir eu le temps de réaliser dans le texte présenté. La CNIL et le Conseil d'État ont indiqué que l'illisibilité de ce projet de loi posait un problème d'accès au droit. Le manque d'anticipation du Gouvernement est grave : le contenu de la directive et du règlement étaient connus depuis avril 2016. Il révèle, vis-à-vis du Parlement, une désinvolture inouïe et, vis-à-vis des collectivités territoriales, un mépris abyssal.

Je vous proposerai donc de signifier au Gouvernement notre vive désapprobation en supprimant purement et simplement cette habilitation ; ceci lui laissera le soin, s'il le souhaite, de venir en séance expliquer les raisons de cette impréparation inédite, éventuellement de rétablir l'habilitation sollicitée et de préciser les contours du futur texte résultant de cette ordonnance.