Intervention de Maryse Carrère

Monsieur le président, madame la garde des sceaux, mes chers collègues, si le texte que nous examinons aujourd’hui a pour principal objet d’assurer la conformité de notre droit national avec le droit européen, il soulève toutefois plusieurs questions qui méritent d’être plus longuement discutées au sein de notre assemblée.

L’adoption en 2016 du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le RGPD, constitue un progrès indéniable sur le plan européen. Il s’agit également d’une victoire diplomatique française, ce règlement visant à faire converger les droits des États membres vers des standards plus protecteurs des données personnelles, proches des standards français. Il est vrai que, depuis la loi du 6 janvier 1978, notre pays a joué un rôle précurseur en la matière.

Ce règlement européen est également réaliste. Il prend acte du formidable développement des données personnelles en circulation qui constituent aujourd’hui la matière première de nombreuses entreprises, en transformant la logique d’autorisation en logique de responsabilisation des acteurs du marché. Il revient désormais à ces derniers de s’assurer que leurs traitements des données sont effectués en conformité avec les règles applicables en matière de collecte.

Ces impératifs du RGPD concernant la licéité de la collecte, le consentement des individus dont les données sont collectées, ou encore la finalité du traitement des données s’imposent donc à tous, acteurs privés, mais également acteurs publics… Je pense évidemment à nos collectivités territoriales !

Au sein de toutes ces structures, en particulier les plus petites et les moins bien informées, l’application du RGPD est un défi, un « changement de paradigme », comme l’ont évoqué certains, qui mériterait un meilleur accompagnement par l’État.

La plupart des collectivités ont anticipé l’échéance du 25 mai 2018 et l’adoption de ce projet de loi. Par exemple, au sein du conseil départemental des Hautes-Pyrénées, la mise en conformité, avec la nomination d’un délégué à la protection des données et la mise en place d’un meilleur ciblage du traitement concernant les données sensibles et les mineurs, a bouleversé les habitudes. Elle a également nécessité un ciblage des hébergements des données personnelles sous-traitées à l’extérieur du réseau du département, la mise en œuvre d’un registre des traitements priorisé sur les données sensibles, et, enfin, une communication à destination des usagers, notamment au vu des obligations en termes de consentement.

Ainsi, c’est toute une organisation, avec des processus et des mesures dont je vous épargnerai le nom, qui a dû être mise en place pour assurer la conformité avec ce règlement et une réelle protection des données de nos concitoyens. Il s’agit enfin d’un énorme travail à destination des agents, notamment en termes de formation sur le traitement des données sensibles et, surtout, sur la conservation des données de manière générale.

D’une part, le coût global de ces transformations est largement sous-estimé. D’autre part, l’absence de prise en compte des difficultés que rencontrent de nombreuses collectivités territoriales donne lieu à une protection inégale des données personnelles de nos concitoyens, selon qu’ils sont domiciliés dans une collectivité respectueuse ou non du RGPD.

C’est pourquoi je tiens à saluer le travail important effectué par notre collègue Sophie Joissains, qui a procédé à un grand nombre de modifications en faveur des collectivités territoriales, mais également des petites entreprises.