Intervention de Sophie Joissains

Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, mes chers collègues, la loi Informatique et libertés a franchi le cap des quarante années d’existence.

C’est une grande loi, une loi visionnaire, et si ses dispositions ont dû être adaptées au fil de l’évolution rapide des technologies numériques et du développement de nouveaux modes de traitement des données personnelles, ses principes cardinaux sont restés d’airain : consentement éclairé, loyauté de la collecte des données personnelles, adéquation aux finalités de traitement.

Les traitements de données ont changé d’échelle et se sont mondialisés avec l’apparition de véritables géants numériques américains et, désormais, chinois.

Dans cette course constante que se livrent le droit et la technique, le législateur européen, après de longues et âpres négociations, a adopté un règlement général sur la protection des données largement inspiré de la loi de 1978 et des travaux de la commission des affaires européennes du Sénat, et de son rapporteur, Simon Sutour, notamment sur l’extraterritorialité, l’un des points phares du projet de loi.

Ce règlement entrera en vigueur le 25 mai 2018. Assorti d’une directive relative au traitement de données personnelles en matière policière et pénale, il entend promouvoir l’émergence d’un modèle européen harmonisé et ambitieux de la protection des données à caractère personnel tout en favorisant la compétitivité des entreprises européennes sur la scène internationale.

Nous ne pouvons évidemment que souscrire à cet objectif. Et l’actualité récente nous montre combien il était urgent d’agir.

Laissant un grand nombre de marges de manœuvre aux États membres pour adapter certaines de ses dispositions, voire pour y déroger, le règlement poursuit trois objectifs principaux.

Premièrement, il vise à renforcer les droits des personnes physiques en créant notamment un droit à l’oubli et un droit à la portabilité des données personnelles et en facilitant l’exercice de ces droits – actions par mandataire, actions collectives, droit à réparation du préjudice…

Deuxièmement, il responsabilise tous les acteurs traitant des données en graduant leurs obligations en fonction des risques pour la vie privée, en privilégiant le recours à des outils de droit souple et en mettant fin à l’essentiel des formalités administratives préalables au bénéfice d’une obligation de conformité du traitement dès sa conception, ce qui est un véritable progrès.

Troisièmement, enfin, il s’agit de crédibiliser la régulation à la mesure des enjeux de souveraineté numérique : l’extraterritorialité est consacrée, les autorités européennes sont appelées à coopérer pour contrôler et sanctionner en cas de traitement de données transfrontalier. Ces sanctions sont enfin réellement dissuasives : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, chiffres pouvant même doubler dans certains cas…

Je ne m’attarderai pas sur la directive, qui reprend l’essentiel des principes du règlement et qui est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d’enquêtes, de poursuites ou d’exécution des sanctions pénales. Elle doit être transposée avant le 6 mai 2018.

Le projet de loi qu’il nous revient d’examiner a donc pour but d’adapter la loi de 1978 – choix très symbolique – au règlement général, de tirer parti des marges de manœuvre nationales qu’il autorise et de transposer la directive sectorielle.

À cette fin, les missions de la CNIL sont élargies et ses pouvoirs renforcés.

Le traitement des données dites sensibles reste très encadré et des régimes spécifiques plus protecteurs conservant des formalités préalables restent prévus pour certains traitements, notamment ceux qui visent le numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé.

L’Assemblée nationale a étendu l’objet de l’action de groupe en matière de données personnelles à la réparation des dommages en vue d’obtenir la réparation des préjudices matériels.

Concernant la protection spécifique des données des enfants, les députés ont abaissé de seize à quinze ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles.

Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées.

Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées.

Enfin, le fichier de traitement d’antécédents judiciaires, le TAJ, est sécurisé en réponse à une décision QPC du Conseil constitutionnel.

La commission des lois du Sénat, tout en approuvant les grandes orientations du projet de loi, a voulu réparer – je dois le dire, madame la garde des sceaux – de nombreuses lacunes et rééquilibrer certains éléments du dispositif.

La Commission nationale de l’informatique et des libertés et le Conseil d’État s’accordent à constater l’illisibilité du projet de loi, alors que le contenu du règlement et de la directive était connu depuis avril 2016.

En premier lieu, notre commission a tenu à répondre aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi. Elles sont pourtant, de la plus petite à la plus grande d’entre elles, toutes – absolument toutes – concernées par les dispositions du règlement : fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre… Elles sont responsables de nombreux traitements sur lesquels elles n’ont souvent pas prise, car découlant d’obligations légales.

Sous la menace de sanctions pécuniaires de la CNIL et de recours en justice, elles devront assumer seules des coûts importants : nomination d’un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l’exercice des nouveaux droits des particuliers…

Les discussions à l’Assemblée nationale n’ont – hélas ! – pas permis de corriger les lacunes initiales du texte, car si nos collègues députés sont restés attentifs, à juste titre, au sort des TPE et des PME, les collectivités territoriales ont été totalement absentes des débats.

Face à cette situation inédite, le Sénat, chambre des libertés et des collectivités territoriales, s’est ému. Sa commission des lois s’est attachée à prévoir que la CNIL adapte les normes qu’elle édicte et les informations qu’elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d’entre elles, à dégager de nouveaux moyens pour aider celles-ci à se conformer à leurs nouvelles obligations et à faciliter la mutualisation des services numériques entre collectivités, à réduire l’aléa financier qui pèse sur elles, en supprimant la faculté offerte à la CNIL de leur imposer des amendes administratives.

Elle a également voulu rééquilibrer la procédure d’action de groupe en réparation des dommages. Sans la remettre en cause, car elle est importante pour les droits des citoyens, il nous faut entendre l’inquiétude des petits opérateurs : chacun s’accorde à dire qu’ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 – en sont responsables l’impréparation et le manque d’information imputable aux gouvernements successifs…

Ces opérateurs risqueraient aujourd’hui d’être mis à terre par une condamnation trop lourde, sans compter les risques d’abus de droit, de quérulence ou d’extorsion.

L’Association des départements de France a été la première à nous alerter, relayée par l’AMF. Seulement 10 % des collectivités sont prêtes aujourd’hui, alors que le règlement est d’application immédiate le 25 mai prochain. Près de 85 % d’entre elles ne sont pas même au courant de son existence.

Dans le but d’apporter des solutions concrètes à ces problèmes spécifiques, la commission des lois a proposé de différer de deux ans l’entrée en vigueur de l’action de groupe en réparation des dommages et d’imposer, de même qu’en droit de la consommation ou de l’environnement, un agrément préalable des associations de protection de la vie privée pour introduire une action de groupe.

Concernant l’âge minimal à partir duquel un mineur peut consentir lui-même au traitement de ses données personnelles, sujet éminemment délicat, comme vous l’avez souligné, madame la garde des sceaux, la commission des lois a décidé de le maintenir à seize ans, conformément au droit commun européen et dans l’attente de travaux plus approfondis de nature à dégager de véritables critères d’évaluation, ainsi qu’un régime d’accompagnement adapté. La présidente de la commission de la culture, Catherine Morin-Desailly, y travaille assidûment.

La commission a également veillé à encadrer strictement l’usage des algorithmes par l’administration dans la prise de décisions individuelles. Elle a tenu à renforcer les garanties de transparence en la matière, notamment pour les inscriptions à l’université qui ne doivent pas constituer une exception au droit à l’information dû à tout un chacun.

La commission a rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté. Elle a précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice en open data, et ce afin de prévenir tout risque d’atteinte à la vie privée des personnes, mais aussi de préserver l’indépendance et la liberté d’appréciation de la justice.

Souhaitant porter le débat en séance et innover en la matière, elle a adopté un amendement visant à s’assurer que les utilisateurs de terminaux électroniques ne soient pas victimes d’un choix par défaut et qu’ils aient la possibilité d’installer sur leur terminal d’autres moteurs de recherche que celui qui est imposé par le fabriquant, et notamment des moteurs de recherche respectueux de la vie privée.

Enfin, la commission des lois a supprimé l’habilitation demandée par le Gouvernement pour procéder par ordonnance aux corrections des très nombreuses incohérences subsistant entre le droit français et le droit européen.

Regrettant le manque d’anticipation du Gouvernement, qui a témoigné, je dois le dire, d’une grande désinvolture vis-à-vis du Parlement et d’une ignorance difficilement compréhensible des collectivités, la commission a souhaité qu’il explique au Sénat les raisons de cette impréparation majeure – vous avez commencé cette explication, madame la garde des sceaux –, qu’il précise les contours du futur texte résultant de cette ordonnance et qu’il garantisse au Parlement que ses apports seront intégralement conservés.

Si nous partageons pleinement l’esprit et les objectifs des textes européens et la volonté de maintien de la loi de 1978 dans le projet de loi, je ne saurais conclure sans insister sur l’importance des nouvelles missions attribuées à la CNIL. C’est sur cette dernière que reposent tout le nouvel édifice de protection des droits et la responsabilité d’accompagner les acteurs économiques et les élus locaux.

Je souhaite vous interroger solennellement, madame la garde des sceaux, sur le grave problème que va poser l’insuffisance des moyens à sa disposition. L’autorité, déjà très sollicitée, n’a pas, en l’état, les capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures que nous avons proposées pour faciliter son organisation interne n’y suffiront pas.

Que pouvez-vous nous dire, à ce stade, des engagements budgétaires et humains qui devront nécessairement être pris par le Gouvernement ? Il y va de la réussite même de cette ambitieuse réforme de la protection des données.