Intervention de Jérôme Durain

Pour en revenir aux articles du texte, j’approuve la fermeté de Mme la rapporteur sur l’article 10 bis. Je crois en effet comprendre qu’elle regrette « la position fermée de l’Assemblée nationale » sur un sujet aussi sensible en matière de sécurité. Alors que la CNIL autant que le Conseil national du numérique sont favorables à l’incitation au chiffrement des données, il est incompréhensible que l’Assemblée la rejette.

S’agissant des dispositions relatives aux fichiers de police et de justice, les députés ont souhaité modifier le délai pour rectifier ou supprimer des données personnelles, lorsque la loi est enfreinte par le responsable de traitement. Les députés estiment qu’une action « dans les meilleurs délais » est suffisante, alors que nous proposions un maximum d’un mois pour intervenir.

Ne pas imposer de contraintes temporelles serait une erreur. Cela laisserait un temps élargi aux responsables de traitement pour résoudre le problème, ce temps pouvant menacer l’intégrité des utilisateurs et leur porter préjudice à long terme. Le délai d’un mois que nous avions fixé était donc, à mon sens, une bonne mesure.

Les algorithmes, qui font débat et sont méconnus du grand public, méritent aussi que nous nous attardions sur leur fonctionnement et leur utilisation. Or l’Assemblée nationale a jugé bon de ne pas rendre plus transparentes les décisions algorithmiques, comme les attributions sur le portail admission post-bac – devenu Parcoursup – ou pour Pôle emploi.

Un droit de regard sur ces décisions est nécessaire, afin d’éviter tout sentiment d’incompréhension ou d’injustice qui serait ressenti par les utilisateurs. Cette approche pédagogique aiderait nos concitoyens à mieux accepter les décisions les concernant et, avant tout, à les comprendre.

Nous réaffirmons qu’un recours limité aux algorithmes est souhaitable. Nous vivons un moment charnière, marqué par une aspiration des citoyens à plus de transparence dans les décisions. Ce n’est pas en se délestant de certaines décisions sur des algorithmes que ce lien de confiance, qui s’est distendu au cours des dernières années, se renouera.

Plus généralement, le récent scandale ayant agité Facebook, avec la vente de données à Cambridge Analytica, doit nous interpeller. L’utilisation par cette société des données de près de 87 millions d’utilisateurs du site à des fins politiques, le soutien au candidat Donald Trump lors de la campagne présidentielle aux États-Unis, nous a rappelé à quel point la protection de nos données est importante. Aucune mesure de protection n’est surfaite ; aucune mesure de protection ne doit être négligée.

La vente de ces données a révélé un système d’ampleur, largement soupçonné, mais pas encore identifié. Il permet aux acheteurs de se procurer des adresses mail, des dates de naissance, d’accéder aux réseaux d’interconnaissances des utilisateurs et, encore plus important pour les publicitaires et les entreprises commerciales, de connaître leurs goûts.

Cette intrusion dans notre intimité, que nous consentons lors de l’inscription sur le site en question, peut avoir des répercussions sur notre vie privée, comme sur la vie d’un pays tout entier. C’est pourquoi une meilleure régulation des données est nécessaire.

Nos collectivités sont également concernées. Traitant des données sensibles, elles doivent à tout prix être protégées contre un quelconque type d’intrusions. C’est pourquoi, j’y insiste, il est nécessaire de créer, pour elles, un statut spécifique et de réintroduire les dispositions supprimées par les députés.

Alors que les géants du numérique, et d’autres, s’insurgeaient contre le RGPD, qui doit entrer en vigueur le 25 mai prochain, les voilà qui commencent à revoir leur copie…

Ils insistaient sur l’impossibilité de mettre en œuvre les règles établies par le RGPD, alors que les acteurs français du numérique, sans excès de chauvinisme, répondaient le contraire. Le président de Facebook lui-même, Mark Zuckerberg, a finalement reconnu, au début du mois d’avril, que ses équipes étaient en train de travailler à reprendre certaines dispositions du RGPD, même hors de l’Union européenne.

Des évolutions sont donc possibles, tant idéologiques que techniques. On peut envisager une meilleure protection des données, et tous les acteurs du numérique devront s’y plier car la sécurité des utilisateurs et de notre société en dépend.

Ces évolutions positives adviendront, dans les temps, malgré le manque d’ouverture que nous avons constaté chez nos collègues députés.

Que de travail accompli depuis les premiers débats européens en la matière, les premières tentatives de lobbying infructueuses des GAFA à Bruxelles !

Ce cheminement lent et méticuleux saura, je l’espère, inspirer le Gouvernement dans son approche de la réforme institutionnelle à venir, afin que des parlementaires des deux chambres puissent, à l’avenir, transposer dans notre droit national – à travers une collaboration plus fructueuse qu’aujourd’hui – le fruit des compromis européens.