Intervention de Guillaume Chevrollier

Madame la présidente, madame la garde des sceaux, monsieur le président de la commission des lois, madame la rapporteur, mes chers collègues, je tiens tout d’abord à remercier mes collègues parlementaires qui ont travaillé sur ce texte particulièrement important sur la protection des données personnelles, sujet majeur.

Nous ne pouvons en effet passer outre l’urgence de bâtir une souveraineté numérique européenne, une souveraineté forte pour protéger les intérêts des États membres, des entreprises, des collectivités territoriales, des citoyens, contre toute ingérence extérieure.

La révolution numérique et technologique est inéluctable. L’Europe est prise en tenaille entre les géants américains d’un côté, avec les GAFA – Google, Amazon, Facebook, Apple – et les géants chinois BATX – Baidu, Alibaba, Tencent, Xiaomi –, de l’autre.

Le scandale de Cambridge Analytica a été un électrochoc et une prise de conscience collective de l’ampleur et du fonctionnement de cet écosystème qui collecte toutes les données de notre vie numérique.

Je vous rappelle que 2 millions d’Européens, dont plus de 200 000 Français, seraient concernés par la fuite de leurs données personnelles.

Je me permets aussi d’évoquer, comme Jérôme Durain, cette fameuse vidéo informative sur le prélèvement à la source, hébergée par YouTube, que Bercy oblige à regarder lorsque l’on se rend sur le site des impôts. Ainsi, le contribuable qui a à cœur de déclarer ses impôts se fait directement siphonner des données personnelles par Google… C’est incroyable, c’est inquiétant.

Si nous tenons à notre liberté et à la protection de nos données, nous devons engager une réforme globale et apporter une réponse européenne claire et unanime.

Ce qui s’avère être plus compliqué que prévu…

Les échecs successifs des deux dernières commissions mixtes paritaires chargées d’examiner, pour l’une, le projet de loi renforçant l’efficacité de l’administration pour une relation de confiance avec le public et, pour l’autre, le projet de loi relatif à la protection des données personnelles témoignent de la distance que cherchent à instaurer les députés du groupe majoritaire de l’Assemblée nationale avec notre Haute Assemblée. Deux visions du monde nouveau s’affrontent.

En tant que représentants des territoires, notre devoir au Sénat est de favoriser les libertés publiques, de protéger la vie privée et de défendre, avec force, détermination et bon sens les collectivités territoriales.

C’est ce que nous avons tenté de faire dans le cadre de ce projet de loi relatif à la protection des données personnelles et c’est ce que les députés de la majorité ont notamment rejeté.

Les orientations de ce projet de loi, approuvées par le Sénat dès la première lecture, vont dans le bon sens. Ces dernières adaptent au droit de l’Union européenne la loi française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elles transposent ainsi le « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016, qui entrera en vigueur le 25 mai 2018.

Sans enfreindre nos libertés, il nous faut donc mettre en place des moyens de surveillance renforcés pour assurer notre sécurité, en particulier notre sécurité juridique.

La réponse doit être européenne, pour protéger tout d’abord les droits et libertés des citoyens.

C’est, par exemple, la raison pour laquelle le Sénat a souhaité maintenir à seize ans la majorité numérique et donner au consommateur de nouveaux droits, comme le droit à la portabilité des données.

La réponse européenne à cet enjeu doit aussi responsabiliser tous ceux qui traitent les données.

Les TPE-PME, ainsi que les collectivités territoriales, en font partie.

Le texte leur impose des obligations pour se conformer aux nouvelles règles issues du règlement général sur la protection des données, qui doivent être appliquées, je le rappelle, dès le 25 mai 2018, au risque de sanctions lourdes. Pour les entreprises, elles sont de l’ordre de 4 % du chiffre d’affaires mondial. C’est considérable.

Les collectivités territoriales, elles, étaient absentes dans les dispositifs dérogatoires prévus. Or elles sont directement concernées par la protection des données personnelles qu’elles collectent en raison d’obligations légales – état civil, cadastre, listes électorales, etc.

De toute évidence, elles ne pourront financièrement assumer ces obligations d’ici le 25 mai prochain. Je pense au respect des procédures encadrant l’usage des traitements de données personnelles, ou bien encore à l’obligation de se doter d’un délégué à la protection des données, y compris dans les plus petites collectivités.

C’est pourquoi la commission des lois du Sénat a souhaité donner aux collectivités territoriales les moyens d’accomplir ces nouvelles modalités de traitement en imposant à la CNIL d’adapter les normes aux besoins des collectivités, en facilitant la mutualisation des services supports offerts par les syndicats mixtes au bénéfice des communes et intercommunalités, en créant une dotation communale et intercommunale pour la protection des données à caractère personnel, prélevées sur les recettes de l’État, en exonérant les collectivités territoriales, au même titre que l’État, des amendes et astreintes administratives en cas de sanction.

Mes chers collègues, il s’agit ici non pas de déresponsabiliser les collectivités, mais de se rappeler ensemble que ces dernières, notamment les collectivités les plus modestes en milieu rural, manquent de financements et de moyens.