Intervention de Alain Marc

Monsieur le président, madame la ministre, mes chers collègues, l’objet du projet de loi relatif à la protection des données personnelles est d’adapter notre droit au « paquet européen de protection des données personnelles », qui se compose d’un règlement général sur cette protection et d’une directive spécifique aux traitements mis en œuvre en matière policière et judiciaire. Les délais sont très limités : nous devons avoir transposé la directive avant le 6 mai prochain, et le règlement doit être directement applicable à partir du 25 mai !

Concernant en premier lieu le règlement européen, celui-ci doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivité des entreprises européennes. L’uniformité de son application est atténuée par l’existence de 56 marges de manœuvre, qui sont autant d’options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.

Les rédacteurs de ce règlement poursuivent principalement trois objectifs.

Il s’agit, premier objectif, de renforcer les droits des personnes dont les données sont utilisées : le règlement réaffirme les droits des personnes, introduit de nouveaux droits mieux adaptés à l’évolution des technologies numériques et facilite l’exercice de ces droits par des actions par mandataire, voire par des actions collectives, tout en promouvant le droit à réparation du préjudice subi.

Le deuxième objectif du règlement est de mieux graduer les obligations des acteurs en fonction des risques pour la vie privée.

Le troisième objectif est de doter les régulateurs de pouvoirs à la mesure des enjeux de souveraineté numérique. Le champ d’application territorial et matériel du droit européen est considérablement élargi : le règlement doit non seulement être appliqué lorsque le responsable de traitement est établi sur le territoire de l’Union européenne, mais il a également vocation à s’appliquer hors de l’Union, dès lors qu’un résident européen est visé par un traitement de données. Les règles de transfert des données personnelles hors de l’Union européenne sont précisées et la coopération entre régulateurs en cas de transferts transfrontaliers est considérablement renforcée.

Le règlement instaure, en cas de manquement, des amendes désormais dissuasives, jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

En second lieu, concernant la directive, celle-ci reprend l’essentiel des principes du règlement et est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d’enquêtes, de poursuites ou d’exécution de sanctions pénales.

Lors de l’examen du texte en commission des lois, un certain nombre d’améliorations ont été apportées.

Ainsi, dans le domaine de la justice, la commission a rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice, afin de prévenir tout risque d’atteinte tant à la vie privée des personnes qu’à l’indépendance de la justice.

La commission des lois a aussi strictement encadré l’usage des algorithmes par l’administration lorsque cette dernière prend des décisions individuelles. Elle a en outre renforcé les garanties de transparence en la matière, par exemple pour les inscriptions à l’université.

Je voudrais saluer ici le travail accompli par la rapporteur de la commission des lois, qui a répondu aux attentes et aux vives inquiétudes des collectivités territoriales.