Intervention de Sophie Joissains

Le projet de loi vise effectivement à adapter la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au règlement général sur la protection des données (RGPD), directement applicable aÌ partir du 25 mai 2018 et qui entend favoriser l'émergence d'un modèle européen harmoniseì et ambitieux de protection des données aÌ caractère personnel, tout en favorisant la compétitivitéì des entreprises européennes sur la scène internationale, ainsi qu'à la directive relative aux traitements mis en oeuvre en matière policière et judiciaire, qui doit être transposée avant le 6 mai 2018.

Tout en approuvant les grandes orientations du projet de loi initial et la majorité des apports de l'Assemblée nationale, le Sénat s'est attacheì, en première lecture, aÌ accompagner les petites structures dans la mise en oeuvre de leurs nouvelles obligations et à renforcer la protection des droits et libertés des citoyens. Il a ainsi tenu aÌ répondre aux attentes et aux vives inquiétudes des petites entreprises et des collectivités territoriales, ignorées par le Gouvernement comme par l'Assemblée nationale, alors qu'elles ne sont pas en mesure d'appliquer la nouvelle réglementation à compter du 25 mai. À cet effet, il a dégagé de nouveaux moyens financiers pour la mise en conformitéì, en fléchant le produit des amendes et astreintes prononcées par la Commission nationale de l'informatique et des libertés (CNIL) aÌ leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles. Le Sénat a également voulu faciliter la mutualisation des services numériques entre collectivités, réduire l'aléa financier auquel elles sont confrontées en supprimant la facultéì pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles. Enfin, nous avons souhaité encourager la diffusion d'informations et l'édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités territoriales et des petites entreprises.

Le Sénat a également souhaiteì rééquilibrer certains éléments du dispositif pour renforcer la protection des droits et libertés des citoyens. Reprenant des propositions émanant des divers groupes politiques et fidèle aÌ son rôle de chambre des libertés, il a ainsi rétabli l'obligation d'autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sureté, et précisé les conditions d'extension de la liste des personnes autorisées aÌ mettre en oeuvre ces fichiers. Il a, en outre, encouragé le recours aux technologies de chiffrement des données personnelles pour assurer leur sécurité et conservé le droit général aÌ la portabilitéì des données pour garantir la concurrence entre services en ligne. Il s'est assuré que les utilisateurs de terminaux électroniques aient le choix d'y installer des applications respectueuses de la vie privée, et il a encadré plus strictement l'usage des algorithmes par l'administration pour prendre des décisions individuelles tout en renforçant les garanties de transparence en la matière.

Examineì selon la procédure acceìleìreìe, le projet de loi n'a fait l'objet que d'une seule lecture par chaque chambre avant la réunion d'une commission mixte paritaire. Malgréì deux rencontres préparatoires entre rapporteurs qui avaient permis, aÌ l'issue de près de trois heures de neìgociation et au prix de concessions réciproques, de nouer un compromis, nous nous sommes heurtés au refus des députés du groupe majoritaire aÌ l'Assembleìe nationale de transiger avec le Seìnat. Dans ces conditions, la commission mixte paritaire du 6 avril dernier a logiquement constateì qu'elle ne pouvait eìlaborer un texte commun.

Lors de la nouvelle lecture, l'Assemblée nationale a rétabli pour l'essentiel le texte qu'elle avait adoptéì en première lecture, sans tenir compte des apports du Sénat. La navette a permis de parvenir, il est vrai, aÌ quelques accords entre les deux assemblées, mais limités aÌ des sujets techniques - nouvelles garanties dans l'exercice du pouvoir de contrôle et de sanction de la CNIL, application territoriale des marges de manoeuvre, traitements aÌ des fins archivistiques, obligations des sous-traitants, transferts internationaux de donneìes... Pour le reste, des désaccords importants persistent.

Je ne désespère pas de convaincre les députés de la justesse de nos arguments et vous propose en conséquence de rétablir plusieurs de nos propositions de première lecture. Le refus de prendre en compte les spécificités des collectivités territoriales et les difficultés que va susciter pour elles l'application du RGPD, alors même que le Gouvernement se montrait ouvert à des concessions, est incompréhensible ! Pour la majoritéì des députés, une collectivitéì est un responsable de traitement comme un autre. Ce n'est évidemment pas notre opinion ! Les collectivités territoriales sont soumises aÌ des sujétions particulières : elles traitent des données personnelles, non pour en tirer profit, mais parce qu'elles y sont obligées par la loi. Comme l'État, elles sont chargées de missions de service public et exercent des prérogatives de puissance publique.

Hélas, ces arguments n'ont pas suffi aux députés, qui ont rétabli la possibilitéì pour la CNIL d'imposer aux collectivités territoriales et aÌ leurs groupements des amendes administratives et des astreintes, dont l'Eìtat, lui, continuera d'être exoneìreì, supprimeì l'affectation du produit des amendes prononceìes par la CNIL au financement de mesures d'accompagnement destineìes aÌ aider les responsables de traitement aÌ se mettre en conformiteì et supprimeì la dotation communale et intercommunale pour la protection des donneìes aÌ caractère personnel. Je vous proposerai logiquement de revenir sur ces trois reculs, en rappelant qu'il ne s'agit nullement pour autant d'exonérer les collectivités territoriales de l'application, au 25 mai, du RGPD.

Seule concession au Seìnat, même si nous aurions pu souhaiter une disposition de porteìe plus geìneìrale, les deìputeìs ont accepteì une proposition de compromis envisagée en amont de la commission mixte paritaire pour faciliter la mutualisation des moyens des collectiviteìs dans le champ des donneìes personnelles.

Sur les traitements en matière pénale, l'Assemblée nationale a acceptéì des reculs inquiétants pour les droits et libertés de nos concitoyens en supprimant l'encadrement, protecteur pour la vie privée, de l'open data des décisions de justice, le régime d'autorisation preìalable par la CNIL des traitements d'infractions pénales et de condamnations, ainsi que les garanties concernant les personnes morales deìsormais autoriseìes aÌ mettre en oeuvre ces traitements. A également été supprimé l'encadrement aÌ un mois du délai imposeì au responsable de traitement pour rectifier ou effacer des donneìes et l'information concernant la possibilitéì de former un recours juridictionnel. Enfin, s'agissant du traitement des antécédents judiciaires, aucune des garanties introduites par le Seìnat, pourtant très raisonnables, n'a survécu aÌ la nouvelle lecture aÌ l'Assembleìe nationale... Je vous proposerai donc de les réintroduire, compte tenu de leur importance pour les droits et liberteìs de nos concitoyens : le Seìnat aura ainsi jusqu'au bout tenu son ro?le de chambre des liberteìs !