Bravo pour ce rapport, qui met en exergue l'aspect politique de ce texte technique. Nous légiférons sous pression, vous l'avez dit. Si les gouvernements précédents avaient pris la mesure du travail à accomplir, nous ne nous verrions pas imposer un tel calendrier - ni un recours aux ordonnances. La France a été en avance, il y a quarante ans, quand l'informatique était à ses balbutiements, avec la création de la CNIL et de la Commission d'accès aux documents administratifs (CADA). La loi de 1978 et ses grands principes peuvent encore nous inspirer dans les bouleversements que nous traversons. Elle pose le triptyque liberté-sécurité-souveraineté. Liberté, car nos données personnelles, prolongement de notre corps et de notre vie, nous appartiennent, et le législateur doit les protéger. Sécurité, car ces données sont parfois sensibles et peuvent avoir de la valeur. Souveraineté, enfin, car les échanges de données internationaux doivent préserver les intérêts de notre pays et de l'Union européenne.
Ce règlement nous fait passer d'un paradigme administratif, régi par une logique d'autorisation, à un principe de responsabilisation des acteurs. Mais encore faut-ils que ceux-ci soient au courant ! Bien des élus locaux ignorent tout du sujet. Le régime des sanctions étant renforcé, nous devons veiller à accompagner les collectivités territoriales. Les associations d'élus et les services déconcentrés de l'État ne se saisissent de la question qu'aujourd'hui. Des mutualisations doivent être mises en place pour faire baisser le coût infligé aux collectivités territoriales.
Quant aux moyens de la CNIL, ils ne sont aucunement à la hauteur des missions qu'on songe à lui confier. Déjà, ses 200 collaborateurs peinent à faire face aux sollicitations dont ils font l'objet sur le RGPD. Vieille de quarante ans, elle devra désormais fonctionner en réseau avec ses homologues européennes ; il faut donc la doter de moyens équivalents.