Intervention de André Gattolin

Concernant les compteurs Linky, il ne s'agit pas de dire que les compteurs intelligents ne font pas sens. Je vous renvoie sur ce point au rapport de l'Office parlementaire des choix scientifiques et technologiques du 15 février 2018 sur les enjeux des compteurs communicants. En l'espèce, ce qui compte, c'est l'information et le consentement des utilisateurs : on leur fait penser qu'on collecte leurs données pour qu'ils puissent mieux combattre leur consommation, alors qu'on va leur proposer de nouvelles offres marketing. Ce n'est pas le principe même des compteurs communicants qui est en jeu, mais l'usage qui en est fait.

Cela nous ramène à la notion de consentement. Pour certaines entreprises, l'acte d'achat vaut consentement. D'autres vous renvoient à la lecture de clauses écrites en tout petits caractères qu'on ne prend pas le temps de lire et c'est plutôt la question de l'information du consommateur qui est, à mon avis, en jeu. C'est un sujet complexe.

Sur le retrait du consentement, Catherine Morin-Desailly insiste sur un « droit au silence des puces ». L'idée est bonne, mais sa généralisation ne me paraît pas réaliste. Il y a des objets qui ne nécessitent pas ça. Il faut distinguer les objets « in-in » qui ne communiquent pas de données à l'extérieur et les objets « in-out », qui eux le font. C'est de ces derniers qu'on doit pouvoir se déconnecter. Mais, là encore, il faut distinguer : certaines données collectées peuvent être agrégées dans un objectif de santé ou de politique publiques. Par exemple, des données agrégées sur des logements plus ou moins insalubres dans un même espace permettraient de déterminer le meilleurs accès pour les forces d'intervention en cas d'incendie.

Et puis, il y aura des objets connectés, simples, qui auront une technologie peu développée et une durée de vie sûrement limitée. Et il faut quand même rappeler que, quand on achète un objet connecté, c'est justement parce qu'il l'est.

Tout comme Sylvie Robert et Pierre Ouzoulias, je suis favorable à des droits fondamentaux qui s'appliqueraient au numérique et soutiens aussi que notre Assemblée doit avoir un rôle éminent dans leur affirmation. Je suis plus réservé quant à leur généralisation à toutes les situations, car on se rend compte qu'on ne peut pas réglementer tous les aspects.

Je pense également qu'il ne faut pas négliger la régulation par la soft law, comme la certification et la normalisation qui impliquent les acteurs eux-mêmes. Les trois niveaux - national avec l'Afnor, européen et international avec les normes Iso - sont extrêmement importants.

Pour répondre à Sylvie Robert sur le fait d'inclure les termes « objets connectés » dans le projet de loi sur la protection des données, je signalerai que la CNIL nous a confirmé que, de fait, les objets connectés seront concernés par le RGPD, de portée plus large. En faire mention n'aurait rien apporté sur le plan juridique. Et sur le consentement, oui, il faut être plus clair.

Sur la différence d'exigence vis-à-vis des collectivités territoriales et des GAFA, je dirais qu'on essaie d'imposer des règles aux seconds, mais ce n'est pas facile. J'attire votre attention sur le RGPD, qui va quand même assez loin en imposant même des règles protégeant nos citoyens au-delà du seul territoire européen. C'est la première fois que nous avons un texte qui créé de l'extraterritorialité, à l'image de ce que font les États-Unis avec le Cloud Act que j'ai évoqué.

Les sujets sont complexes et un texte entre tout juste en application : attendons déjà de voir comment cela se passe avant de proposer une nouvelle législation. Nous devons aussi être très attentifs à l'application du Privacy Shield signé avec les États-Unis. La Commission européenne doit présenter un rapport sur l'application de cet accord en septembre prochain. Nous en tirerons alors toutes les conséquences.

Concernant la rédaction de la résolution, nous proposons d'ajouter à la fin du point 21 : « incluant notamment le libre consentement des personnes ».