Intervention de Nicole Belloubet

Madame la présidente, monsieur le président de la commission des lois, madame la rapporteur, mesdames les sénatrices, messieurs les sénateurs, le Sénat est saisi en nouvelle lecture du projet de loi relatif à la protection des données personnelles.

Cette nouvelle lecture intervient après l’échec de la commission mixte paritaire qui s’est réunie le 6 avril dernier.

Je ne reviendrai pas sur les conditions de cet échec. Mme la rapporteur en évoquera certainement les circonstances. Le Gouvernement aurait naturellement préféré que les deux assemblées puissent s’accorder sur un texte d’une telle importance, aussi bien pour les droits fondamentaux des citoyens européens que pour ses conséquences économiques. Cela aurait été un signal très positif.

En outre, l’échéance du délai de transposition se rapproche, et tout retard pris pour l’adaptation de notre législation peut alimenter quelques inquiétudes et un sentiment d’insécurité juridique, qui est ressenti par certains acteurs économiques, ainsi que – vous l’aviez souligné en première lecture et le Gouvernement y a été sensible – par les collectivités territoriales. En effet, le 25 mai 2018, le règlement général sur la protection des données, le RGPD, entrera en application directement, y compris dans ses dispositions relatives au montant des sanctions encourues.

Cependant, un accord ne peut avoir lieu que si les deux parties sont prêtes à s’accorder, ce qui n’a pas été le cas, et le Gouvernement en prend acte.

Il est vrai que les positions des deux chambres étaient assez éloignées sur plusieurs points : l’action de groupe en réparation, la création d’une dotation spécifique aux collectivités territoriales, l’exonération de toute sanction à leur égard, le fléchage des produits des amendes et des astreintes prononcées par la Commission nationale de l’informatique et des libertés, la CNIL, l’open data des décisions de justice et, enfin, l’âge du consentement des mineurs. Les discussions entre les deux rapporteurs avec le concours des deux présidents des commissions des lois n’ont pas permis de rapprocher les points de vue.

L’Assemblée nationale a donc examiné ce texte en nouvelle lecture jeudi dernier et l’a pour l’essentiel rétabli dans sa version adoptée en première lecture. Votre commission des lois a, de son côté, repris presque intégralement le texte que le Sénat avait également adopté en première lecture.

Aujourd’hui, nous aurons à nouveau des discussions sur plusieurs dispositions du texte. Les positions réciproques du Gouvernement et de votre rapporteur sont bien connues : je ne m’y attarderai donc pas.

Je voudrais toutefois revenir sur quatre points qui me semblent importants.

Le premier point a trait à l’attention portée aux collectivités territoriales. Nos précédents débats ont permis de mettre en évidence les inquiétudes de nombreuses collectivités. Cette préoccupation exprimée tout naturellement par votre assemblée a montré l’attention avec laquelle il fallait accompagner ces collectivités. L’accent a notamment été mis sur une possible mutualisation de leurs moyens afin d’appliquer le RGPD, et ce en s’appuyant sur les intercommunalités.

Par ailleurs, la question de l’exonération des sanctions administratives demeure posée. Vous le savez, l’Assemblée nationale reste très opposée à cette exonération que vous avez introduite en faveur des collectivités territoriales. Le Gouvernement ne s’y était pas opposé, considérant que le maintien par ailleurs d’une responsabilité de nature pénale permettait, pour l’essentiel, de se prémunir contre les éventuelles dérives de quelques élus.

Certains cas ont cependant été signalés récemment à la CNIL. Il faut rester vigilant sur le fait que tout abus doit pouvoir être sanctionné, afin que tous les acteurs, publics comme privés, soient responsabilisés dans la mise en œuvre de ce nouveau cadre. Naturellement, la CNIL fera preuve de discernement comme elle l’a toujours indiqué en la matière.

Le deuxième point porte sur la question de l’utilisation des algorithmes. Il s’agit de trouver un équilibre entre les nécessités de l’administration de notre pays et les garanties offertes aux usagers. C’est l’objet de l’article 14, dont nous avons d’ailleurs beaucoup discuté en première lecture. Il faut trouver le bon équilibre, afin non seulement de préserver les principes auxquels nous sommes aussi attachés que vous, mais également de permettre aux administrations d’agir en recourant à des techniques modernes et performantes.

Cet article a de nouveau été modifié par l’Assemblée nationale en nouvelle lecture. La rédaction adoptée reprend certaines préoccupations de votre assemblée, puisqu’elle interdit explicitement à l’administration, saisie d’un recours administratif contre une décision, de statuer sur ce recours sur le seul fondement d’un traitement automatisé de données à caractère personnel. Les décisions administratives prises sur le seul fondement d’un algorithme doivent aussi comporter, à peine de nullité, la mention de cette information.

En ce qui concerne spécifiquement Parcoursup, qui fait l’actualité, votre commission a supprimé à nouveau la disposition du code de l’éducation articulant le fonctionnement du dispositif avec les obligations d’information et de publication des règles de fonctionnement de l’algorithme, prévues par le code des relations entre le public et l’administration.

Je souhaite rappeler que le Gouvernement est très attaché à la transparence du dispositif. C’est la raison pour laquelle, si nous sommes défavorables à la suppression de cette disposition, nous avons en revanche soutenu l’ajout d’une disposition qui prévoit que le Parlement sera destinataire chaque année d’un rapport sur la mise en œuvre du dispositif. Ce rapport sera établi par le comité éthique et scientifique qui a été créé.

Le Gouvernement considère, au vu de tous ces éléments, que le texte de l’article 14 résultant des travaux de l’Assemblée nationale a atteint un point d’équilibre et que celui-ci doit désormais être stabilisé et préservé.

Mon troisième point porte sur les préoccupations que vous avez exprimées à l’occasion de l’examen des articles 17 bis et 17 ter.

La nécessaire adaptation de notre droit de la concurrence au numérique est une question d’actualité qui a toute sa place dans nos débats, mais elle dépasse le cadre de ce texte.

Dans la rédaction issue de la nouvelle lecture par l’Assemblée nationale, il est précisé que le consentement de l’utilisateur n’est pas libre lorsqu’une entreprise restreint indûment, sans justification d’ordre technique, économique ou de sécurité, les possibilités de choix de cet utilisateur, notamment lors de la configuration initiale du terminal.

Là encore, le Gouvernement considère qu’un point d’équilibre a été atteint. Ce sujet doit par ailleurs être traité au niveau européen. Nous y travaillerons très prochainement avec la Commission européenne.

Enfin, c’est mon quatrième point, s’agissant de l’action de groupe en matière de protection des données personnelles, l’Assemblée nationale a rétabli l’extension de cette action à la réparation des préjudices matériels et moraux. Elle n’a pas souhaité différer de deux années, jusqu’au 25 mai 2020, l’entrée en vigueur du dispositif, ni soumettre la faculté pour une association d’exercer une action de groupe à un agrément délivré par l’autorité administrative.

Le Gouvernement partage ce point de vue, qui illustre la volonté de renforcer la capacité d’action des citoyens face aux atteintes à la protection de leurs données personnelles. C’est une évolution importante.

En conclusion, je souhaite rappeler que ce projet de loi, loin d’être technique, est éminemment politique, car il porte sur nos valeurs, les valeurs européennes et françaises.

Au moment où nous débattons, le scandale Cambridge Analytica a déjà nourri beaucoup d’inquiétudes. Facebook est gravement mis en cause et son dirigeant a dû s’expliquer devant le Congrès des États-Unis la semaine dernière. Outre-Atlantique, les regards se portent donc sur notre modèle européen, que le Congrès a cité à plusieurs reprises.

Le Président de la République française a d’ailleurs rappelé, dans son discours au Parlement européen ce mardi, que ce nouveau cadre européen est devenu une législation de référence. Nous devons la porter avec force, car elle incarne, me semble-t-il, et notre souveraineté numérique, et la singularité du modèle européen. Elle ouvre un espace qui favorise la croissance et l’innovation, dans le respect des libertés individuelles et des droits fondamentaux.

Ce texte nous donne l’occasion de montrer que nos sociétés européennes sont à la hauteur de ces enjeux et des attentes de nos concitoyens. C’est à cet esprit de responsabilité, que nous devons tous préserver, que je fais appel et j’espère que nous pourrons, ainsi, adopter très rapidement ce projet de loi.