Intervention de Nicole Belloubet

Notre responsabilité est bien d’accompagner les collectivités pour leur permettre d’entrer dans cette nouvelle ère dans les meilleures conditions possible. Je crois que, en la matière, il faut répondre aux inquiétudes et non pas les exacerber. Je suis certaine que telle est notre préoccupation commune.

Avant même que votre commission des lois n’examine ce texte, le Gouvernement a pris la mesure de cette nécessité. Voilà quelques jours, j’ai ainsi rappelé devant les préfets, réunis place Beauvau, la nécessité d’accompagner dans cet exercice toutes les communes, notamment les plus petites d’entre elles.

De même, je me suis assurée auprès de la CNIL que cette préoccupation serait effectivement prise en considération.

Je tiens aussi à rappeler que les collectivités territoriales sont actuellement soumises, en tant que responsables de traitement de données, à certaines obligations, que ce soit pour assurer la gestion administrative de leur structure – je pense, par exemple, aux fichiers de ressources humaines –, la sécurisation de leurs locaux – contrôles d’accès par badge ou vidéosurveillance – ou la gestion des différents services publics et activités dont elles ont la charge.

J’y insiste, car certains pourraient avoir le sentiment que nous introduisons de nouvelles obligations, alors que la philosophie du règlement européen, et donc du projet de loi, est justement fondée sur un allégement substantiel des formalités préalables, y compris pour les collectivités territoriales.

S’agissant de l’obligation, nouvelle pour les collectivités territoriales comme pour les organismes publics en général, de désigner un délégué à la protection des données, j’ai rappelé au début de mon intervention que le règlement général européen sur la protection des données personnelles – le RGPD – prévoit la possibilité de mutualiser cette nouvelle fonction.

Plusieurs collectivités territoriales, dont certaines avaient déjà désigné un correspondant Informatique et libertés, se sont d’ores et déjà engagées dans cette démarche de mutualisation. Cette possibilité sera expressément rappelée dans le décret d’application sur lequel les services de la Chancellerie travaillent actuellement. Le Gouvernement s’y est engagé auprès du Conseil national d’évaluation des normes et de son président, Alain Lambert.

Je veux également souligner que la CNIL mène de nombreuses actions pour aider les collectivités territoriales à respecter leurs obligations en matière de protection des données et pour les accompagner dans leur mise en conformité avec le RGPD. Elle a, par exemple, conclu avec l’Assemblée des départements de France une convention de partenariat et souhaite faire de même avec l’Assemblée des maires de France, l’AMF.

De plus, la CNIL va remettre à jour le guide très complet à destination des collectivités.

Je suis également parfaitement consciente des appréhensions pouvant exister quant à l’échéance du 25 mai prochain. La CNIL a donné des assurances en ce domaine et saura se montrer pragmatique, comme elle l’a été jusqu’à présent, avec les collectivités.

Le Gouvernement encourage cette démarche compréhensive à l’égard des collectivités tout en insistant sur la nécessité de maintenir un haut niveau de protection des données personnelles.

Comme vous le constaterez, mesdames, messieurs les sénateurs, le Gouvernement ne propose pas de revenir sur certaines avancées adoptées par votre commission des lois. Je pense, en particulier, à l’exonération des sanctions à l’égal de l’État.

Le débat parlementaire – et c’est très heureux – a vocation à mettre en lumière les enjeux. De ce point de vue, le Sénat a marqué une nouvelle fois son attention aux collectivités territoriales. Il est naturel que le Gouvernement y réponde, et c’est bien tout l’intérêt de nos échanges.

Je terminerai sur un désaccord : votre commission des lois a fait le choix de supprimer l’habilitation que le Gouvernement sollicitait. Son rapporteur a estimé qu’il s’agissait de la conséquence d’une impréparation. Là encore, je crois nécessaire de rappeler quelques faits pour mieux expliquer notre démarche, laquelle n’est ni improvisée ni irrespectueuse des prérogatives du Parlement.

Le Gouvernement souhaite effectivement que nous soyons prêts en mai prochain, et nous le serons. C’est pourquoi il a engagé, dès l’été dernier, le travail de transposition qui n’avait pas été mené auparavant en raison, notamment, des échéances électorales du premier semestre 2017.

Après réflexion, le Gouvernement a fait le choix d’un texte resserré qui ne remette pas sur la table l’ensemble de la loi de 1978, ce que le droit européen n’exige nullement.

Il s’agit de répondre à une problématique légistique nouvelle et complexe : tirer les conséquences d’un règlement d’application directe et d’une directive, dont les dispositions doivent être transposées dans la loi, alors que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, intrinsèquement liées. Vous reconnaissez vous-même dans votre rapport, madame Joissains, cette complexité inévitable.

Le Gouvernement a donc déposé un amendement visant à rétablir l’habilitation initialement demandée. Il s’agit, je le répète, de permettre une codification des modifications apportées à notre droit par le projet de loi qui vous est soumis, lequel sera intégré dans la loi fondatrice de 1978, afin d’offrir un cadre juridique lisible, stable, à chaque citoyen et à chaque acteur économique.

Il ne s’agit aucunement de modifier ou de remettre en cause les apports du travail parlementaire. Il s’agit, encore une fois, d’une simple codification de nature légistique : plus qu’un engagement, c’est une responsabilité que porte le Gouvernement au nom de la stabilité de notre droit.

Vous l’avez tous compris en lisant ce texte, l’accessibilité et l’intelligibilité du droit requièrent une réécriture intégrale de la loi de 1978 pour lui faire retrouver son ambition originelle, celle d’être un véritable code de la protection des données personnelles des Français.

C’est le sens de cette habilitation, qui permettra d’adopter un plan clair, le texte comportant un premier titre rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un deuxième titre consacré au champ du RGPD, un troisième titre relatif à la directive et un quatrième titre visant les dispositifs hors du champ de l’Union européenne.

Mes services se tiennent à votre disposition pour vous informer régulièrement de l’avancement du projet d’ordonnance, laquelle sera prise cet automne au plus tard, et de son contenu.

Entre le mois de mai 2018 et la sortie de l’ordonnance, soyez assurés que tous les outils pédagogiques et de communication seront mis en place par la CNIL et par les professionnels au service des citoyens, des entreprises, mais également à l’attention des collectivités territoriales.

Je suis d’ailleurs persuadée que nos débats auront aussi cette vertu pédagogique et qu’ils permettront d’écarter les inquiétudes les plus vives qu’il est normal de ressentir à l’occasion d’un tel changement de paradigme.

Pour conclure, je souhaite que chacun puisse mesurer la portée de cette réforme à l’aune non seulement du projet de loi qui vous est proposé, mais plus largement des textes mis en œuvre par l’Union européenne.

L’exercice de transcription du droit européen présente toujours un caractère un peu contraint. Mais le nouveau cadre adopté par l’Union pour la protection des données personnelles est une magnifique réussite pour l’Europe et pour les citoyens de l’Union européenne.