Séance en hémicycle du 21 mars 2018 à 21h30

La séance est reprise.

Nous poursuivons la discussion du projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles.

Dans la discussion du texte de la commission, nous poursuivons, au sein de l’article 14, les explications de vote sur l’amendement n° 99.

La parole est à M. Pierre Ouzoulias, pour explication de vote.

Ce sera, mes chers collègues, une intervention en deux temps.

Sur la forme, tout d’abord, vous nous opposez une nouvelle fois le problème du temps, monsieur le secrétaire d’État, en évoquant la pression suscitée par la nécessité d’assurer une rentrée sans ombrage.

Vous savez parfaitement, pour l’avoir appris, que c’est le dispositif tactique mis au point par la ministre de l’enseignement supérieur, de la recherche et de l’innovation durant toute la discussion du projet de loi relatif à l’orientation et à la réussite des étudiants, laquelle est même allée jusqu’à promulguer un arrêté avant l’examen du texte au Sénat.

À cette occasion, nous lui avons indiqué avoir les plus grandes craintes quant à la précipitation avec laquelle les différents dispositifs étaient mis en place. Malheureusement, les remontées du terrain nous donnent aujourd’hui raison ! Il aurait fallu prendre un peu plus de temps, afin de réaliser un travail législatif plus approfondi.

Sur le fond, ensuite, je comprends parfaitement votre raisonnement in abstracto, consistant à prendre devant nous l’engagement absolu que tous les dossiers bénéficieront d’un examen individuel et que les algorithmes, s’ils sont employés, seront uniquement constitutifs de la prise de décision pédagogique des jurys.

Toutefois, cela, c’est la théorie ; la pratique, telle qu’elle se dévoile aujourd’hui dans les universités, est tout autre ! Nos collègues universitaires – vous le savez, car vous disposez des mêmes informations que nous – sont confrontés à une avalanche de dossiers que, matériellement, ils ne peuvent pas traiter de manière individuelle. C’est absolument impossible ! Ils ont donc bien évidemment recours à des traitements automatisés.

Même si nous ne pouvons que partager votre volonté que se mette en place un traitement personnalisé de chaque dossier, il faudra bien admettre que, dans certaines situations, les équipes pédagogiques seront contraintes de procéder autrement. Dans de tels cas – exceptionnels selon vous, ordinaires selon nous –, il y a nécessité, sur les fondements juridiques que notre rapporteur a explicités, de rendre possible un examen des algorithmes permettant un traitement automatisé.

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Je veux rebondir sur les propos de Mme Sylvie Robert, que je partage tout à fait. Je suis également d’accord avec vous, cher Pierre Ouzoulias, sur l’urgence que l’on nous impose sans cesse dans notre travail de législateur. Or pour bien légiférer, pour réaliser les études, mener la réflexion, conduire les concertations, il faut du temps. Je partage tout à fait ce constat.

La contrainte, dans le cadre du projet de loi relatif à l’orientation et à la réussite des étudiants, c’était l’organisation de la rentrée scolaire, prise dans l’étau de la fin du système Admission post-bac, dit « APB », déclaré illégal, et d’une nouvelle procédure à mettre en place. On ne pouvait se permettre une année blanche.

La loi que nous avons votée est désormais en application. Elle a été promulguée voilà quelques jours, après, d’ailleurs, que le Conseil constitutionnel s’est prononcé, validant le travail réalisé dans nos assemblées – je tiens à le dire pour rassurer ceux qui nous écoutent.

Néanmoins, on sait très bien que cette année sera nécessairement une année d’adaptation et de transition, après la disparition d’un ancien système, qui, je le rappelle, était hautement critiquable et que nous avions critiqué à l’époque. C’était un dispositif complètement opaque, dans lequel la décision humaine ne semblait plus avoir sa place pour garantir une orientation utile de nos étudiants.

Je soutiens complètement Mme la rapporteur dans sa proposition consistant, dans le cadre de la CMP – cela nous laissera un peu de temps pour approfondir le sujet –, à rassurer les présidents d’université, les universitaires et les enseignants dans les lycées, qui finalisent actuellement la procédure avec les élèves et les parents accompagnateurs, tout en prenant en compte une exigence accrue de transparence des algorithmes. En effet, notre rapporteur l’a bien dit, il est absolument nécessaire que nous puissions savoir précisément comment ces boîtes noires fonctionnent.

Par ailleurs, n’oublions pas l’élément humain dans cette affaire, car les principaux concernés sont les étudiants.

Pour ma part, je plaide pour que ces outils numériques ne soient que des outils d’aide, éventuelle, à la prise de décision dans le cadre des commissions pédagogiques, mais aussi à l’organisation des vœux et à la réussite de l’orientation. Oui, ils ne doivent être que des outils au service de la réussite des étudiants, afin que leurs aspirations soient bien respectées dans les vœux finaux, pour le succès de leur vie future.

Je me fie donc entièrement à Mme la rapporteur, qui nous indique qu’elle réfléchira d’ici à la CMP pour dégager des solutions pratiques. Nous pouvons ainsi avancer utilement, et je crois que les collègues de la commission de la culture ici présents ne verront rien à y redire.

La parole est à Mme Esther Benbassa, pour explication de vote.

Je suis tout à fait d’accord avec Mme Catherine Morin-Desailly.

Monsieur le secrétaire d’État, il faut cesser de nous décrire, comme vous venez de le faire, une version idéale de Parcoursup. Nous avons plus ou moins discuté dans les universités et nous sommes conscients que nous ne pourrons pas gérer les dossiers. Nous passerons par des algorithmes, et vous le savez bien. Nous ne disposons tout simplement pas des moyens en personnel, sachant que nous avons aussi notre travail d’enseignement à assurer.

Peut-être faut-il chercher des solutions pratiques pour que l’on puisse, l’année prochaine, travailler sur ces dossiers d’une manière beaucoup plus humanisée, et pas uniquement à base d’algorithmes. Pour l’heure, nous allons choisir les meilleurs, et pour les autres, on verra…

C’est la vérité ! Il ne faut pas la cacher. Nous sommes les praticiens de Parcoursup. Les mots ne suffisent pas à gérer les problèmes. Nos dirigeants semblent naviguer dans un monde quelque un peu idéalisé, mais nous, nous faisons le travail. Certes, le système que vous proposez est mieux qu’avant, mais ne prétendez pas, monsieur le secrétaire d’État, que ce sera fait par des humains. Hormis une partie des dossiers, peut-être, c’est impossible !

La parole est à M. Marc Laménie, pour explication de vote.

Sur cet amendement n° 99 du Gouvernement, dont M. le secrétaire d’État a largement développé l’objet, je soutiens complètement l’avis circonstancié de la commission des lois. Je partage aussi les propos de Mme la présidente de la commission de la culture, de l’éducation et de la communication, qui a rappelé à quel point la loi que nous avons examinée voilà quelques semaines a constitué un temps fort pour l’enseignement supérieur et la recherche. Différents problèmes ont été abordés et, naturellement, il faut saluer le travail des membres des deux commissions compétentes.

Je tiens donc simplement à apporter un témoignage de soutien. Cet amendement vient à point pour rappeler la nécessité d’une intervention humaine – vous avez longuement évoqué le sujet, madame la garde des sceaux, monsieur le secrétaire d’État –, pour faire évoluer les choses positivement. Il faut rassurer, parce que la situation suscite tout de même des inquiétudes et parce le devenir de la jeunesse et de nos étudiants doit être une priorité.

Je mets aux voix l’amendement n° 99.

Je mets aux voix l’article 14, modifié.

L’amendement n° 24 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Après l’article 14

Insérer un article additionnel ainsi rédigé :

Après l’article L. 121-4-1 du code de l’éducation, il est inséré un article L. 121-4-… ainsi rédigé :

« Art. L. 121 -4 - … – Les établissements d’enseignement scolaire mettent à la disposition du public, dans un format accessible à tous et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité. »

La parole est à M. Jean-Pierre Decool.

Cet amendement déposé, puis retiré, en première lecture à l’Assemblée nationale vise à inscrire dans le code de l’éducation nationale le principe de la transparence du traitement des données scolaires.

Il s’inscrit dans la perspective d’une meilleure protection des élèves du premier et du second degrés et les prémunit du traitement automatisé de leurs données. À l’heure de l’accélération de l’école du numérique, il est primordial de protéger les jeunes publics d’une utilisation frauduleuse de leurs données et d’assurer, par tous les moyens possibles, la préservation de leur vie privée.

Quel est l’avis de la commission ?

Au regard des débats que nous venons d’avoir, cet amendement m’apparaît plutôt comme un amendement d’appel. En toute sincérité, il n’est pas très réaliste… Néanmoins, par conviction, je laisserai la Haute Assemblée se prononcer.

Sagesse !

Quel est l’avis du Gouvernement ?

Le Gouvernement a conscience, bien entendu, des exigences parfaitement légitimes des parents d’élèves et des enseignants en matière de transparence et de sécurité dans le traitement des données collectées dans le cadre scolaire. Il s’agit d’ailleurs d’une priorité du ministre de l’éducation nationale, dans le cadre de la politique qu’il conduit dans le domaine du développement des outils numériques, en association avec la CNIL.

Néanmoins, il me semble que le RGPD, le règlement général sur la protection des données, impose aux responsables de traitement, pour les établissements publics locaux d’enseignement, les EPLE, et pour les écoles, de tenir un registre des activités de traitement effectuées sous leur responsabilité. Ces registres constitueraient une garantie fondamentale de transparence, d’autant que, comme tout document administratif, ils pourront être communiqués à toute personne intéressée qui en fera la demande.

Ces précautions paraissent d’autant plus nécessaires au vu du texte de l’amendement, imposant la publication d’une liste des traitements à tous les établissements d’enseignement scolaire. Cette imprécision et la multiplicité des établissements visés ne nous permettent pas de garantir que les exigences posées par l’amendement pourront être remplies.

L’avis du Gouvernement est donc défavorable.

La parole est à M. Jean-Pierre Decool, pour explication de vote.

Je vous remercie, madame la rapporteur, d’avoir bien voulu vous en remettre à la sagesse du Sénat. Notre jeunesse a besoin d’être protégée ! Cet amendement tend à s’inscrire, d’une certaine manière, dans la lignée de ceux que j’ai présentés tout à l’heure : il est novateur.

Parce qu’il faut donner un signe fort à l’endroit de cette jeunesse que nous devons protéger, je maintiens cet amendement, monsieur le président.

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

J’entends les explications de Mme la garde des sceaux sur ce sujet, que nous avons déjà abordé – pas plus tard qu’hier, je crois –, à la faveur de l’examen d’un autre amendement. C’est un vrai sujet, et vous avez raison, monsieur Decool, de poser la question.

Les explications du Gouvernement sont partiellement rassurantes. Je crois tout à fait à la volonté du ministre de l’éducation nationale de sécuriser les données personnelles des élèves. Pour autant, il faudrait – peut-être ici, ce soir – que le Gouvernement prenne l’engagement définitif de sortir de l’ambiguïté, car, comme je l’indiquais hier, il a passé des marchés, que ce soit avec Google ou Microsoft, n’apportant strictement aucune garantie.

Les dysfonctionnements liés aux contrats passés avec les géants américains de l’Internet commencent à apparaître. Je ne citerai que la plus récente affaire : l’affaire désastreuse de Cambridge Analytica et des données utilisateurs de Facebook, qui fait beaucoup de bruit en ce moment.

Les conditions générales d’utilisation proposées par ces géants, d’ailleurs établies unilatéralement par eux-mêmes, ne sont pas de nature à clarifier les situations. De ce fait, il y a toujours une possibilité de dysfonctionnements ou d’utilisations frauduleuses, à l’insu des propriétaires de données.

Je vous le dis très officiellement, madame la garde des sceaux, monsieur le secrétaire d’État, il faut vraiment sortir de l’ambiguïté. Les affaires récentes le montrent, nous sommes à un tournant !

Selon moi, c’est la fin d’un modèle économique de l’Internet fondé sur la gratuité, la publicité et l’utilisation des données – et je ne parle même pas de surveillance massive. Nous allons avoir le devoir impérieux de refonder notre système de l’Internet sur des valeurs européennes !

Je mets aux voix l’amendement n° 24 rectifié bis.

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 14.

L’amendement n° 140, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Au début de cet article

Insérer un paragraphe ainsi rédigé :

… – À la première phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les mots : « lorsque la personne concernée était mineure au moment de la collecte » sont supprimés.

La parole est à Mme Sylvie Robert.

J’ai retenu cette phrase de l’écrivain Kazuo Ishiguro, que vous connaissez sûrement, mes chers collègues : « Quand faut-il se souvenir, quand est-il préférable d’oublier ? »

Les données personnelles sont un rempart contre l’oubli. Elles sont la trace de chacun et elles peuvent révéler l’état civil, les préférences, les intérêts, en somme tout ce qui constitue l’identité d’un individu. Si ce dernier livre des informations à un moment donné, il peut légitimement vouloir qu’elles n’apparaissent plus ultérieurement, au motif, notamment, du respect de sa vie privée.

En ce sens, la loi du 7 octobre 2016 pour une République numérique a représenté une vraie avancée, en créant un droit à l’oubli. Bien évidemment, ce droit n’est pas absolu ; il doit être concilié avec d’autres considérations tout aussi importantes : le droit à l’information, le droit à la recherche scientifique et d’autres finalités d’intérêt public.

Néanmoins, ce droit a aujourd’hui une portée limitée, car il est soumis à une condition de minorité. Pour être plus précis, si tout un chacun peut s’en prémunir, il ne peut le faire que pour des données collectées lorsqu’il était mineur.

Certes, cette disposition permet de gommer certaines erreurs de jeunesse, pourrait-on dire, mais elle semble incomplète et difficilement justifiable sur le fond.

Pourquoi une personne pourrait-elle effacer des données personnelles collectées quand elle avait 17 ans et 9 mois, lorsqu’une autre ne pourrait pas le faire pour des données collectées quand elle avait 18 ans et 3 mois ? L’âge comme conditionnalité décisive à l’exercice du droit à l’oubli me semble d’une faible valeur discursive.

À titre personnel, je ne conçois pas pleinement le fondement de cette logique. Je ne qualifierai pas celle-ci d’arbitraire, mais, à l’heure où nous recourons tous de plus en plus au numérique afin de remplir nos tâches administratives, d’effectuer des achats en ligne, de bénéficier de services divers et variés, d’avoir accès à l’information par des abonnements à des newsletters, notamment, nous avons besoin de protection, de droits effectifs ayant une portée réelle, et non partielle.

Le droit à l’oubli en est un. Nous devons avoir le droit, indépendamment de notre âge au moment de la collecte des données, d’effacer les empreintes que nous laissons sur la toile, dès lors que cette volonté ne porte pas atteinte à d’autres enjeux rappelés précédemment et qui figurent, d’ailleurs, à l’article 40 de la loi Informatique et libertés.

En définitive, ce qui me paraît étrange, c’est que les modalités d’encadrement de ce droit sont déjà inscrites dans la loi. En faire usage ne risque donc pas de limiter d’autres droits et d’autres libertés fondamentales. En revanche, ne pas lui conférer une pleine portée est regrettable, car cela revient à affaiblir la protection des données et, par conséquent, le respect de la vie privée.

Quel est l’avis de la commission ?

Cet amendement est en réalité satisfait par le règlement général sur la protection des données. En inscrivant le droit à l’oubli pour les mineurs dans son texte, la loi pour une République numérique avait anticipé ce règlement général, mais celui-ci consacre bien un droit à l’oubli pour tous, même si une procédure accélérée est prévue dans le cas des mineurs.

La commission demande donc le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Les dispositions de cet amendement constituent, d’une certaine manière, un acte de « surtransposition ».

Sous réserve de certaines exceptions prévues dans le texte, et dans le cadre de l’offre de services de la société de l’information, le droit à l’oubli sera généralisé à l’ensemble des personnes, et pas seulement aux mineurs. C’est exactement ce que vous proposez dans cet amendement, madame Robert, et c’est la raison pour laquelle mon avis sera défavorable.

L’extension proposée me semble disproportionnée au regard de la nécessaire conciliation que nous devons opérer entre la liberté d’information et le droit à l’effacement des données. Les personnes majeures peuvent s’appuyer sur d’autres motifs pour obtenir l’effacement de leurs données – absence de consentement, illicéité du traitement, etc. –, et ce sans qu’il soit besoin de leur étendre le bénéfice de cette protection, spécifiquement ajoutée pour les mineurs.

Le Gouvernement émet un avis défavorable sur cet amendement.

Madame Robert, l’amendement n° 140 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 140 est retiré.

L’amendement n° 141, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Au début de cet article

Insérer un paragraphe ainsi rédigé :

… – À la seconde phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, après la première occurrence des mots : « celles-ci » sont insérés les mots : « sur l’ensemble des extensions du traitement ».

La parole est à Mme Sylvie Robert.

En 2014, la Cour de justice de l’Union européenne a estimé, dans son arrêt Costeja, qu’un célèbre moteur de recherche entrait dans le champ de la directive de 1995 sur le traitement des données personnelles.

Dès lors qu’ils proposent des contenus publicitaires à partir de l’indexation des sites, les moteurs de recherche réalisent un traitement de données à caractère personnel. Il s’ensuit que la CJUE a reconnu la possibilité pour tout internaute d’obtenir qu’un lien n’apparaisse plus quand son patronyme, et uniquement son patronyme, est saisi sur le moteur de recherche. C’est le droit au déréférencement. Ce droit est naturellement à mettre en balance avec d’autres impératifs, tels que le droit à l’information du public.

Pour autant, une question n’a pas été arbitrée : quelle en est la portée territoriale ? Autrement dit, lorsqu’un moteur de recherche est tenu de déréférencer, doit-il le faire uniquement dans la zone géographique couverte par le texte réglementaire – dans notre cas, l’Union européenne – ou doit-il le faire à l’échelle mondiale, partant du postulat que, Internet étant un monde ouvert, indifférent aux frontières, l’information demeurerait accessible ?

Prenons un exemple concret. Si je demande à un moteur de recherche de déréférencer un lien me concernant et qu’il accède à ma requête, ce lien ne sera plus accessible depuis l’ensemble des extensions européennes de ce site – « .fr », « .it », etc. En revanche, il le demeurera depuis la version américaine du moteur de recherche – donc en « .com ». Le droit au déréférencement est par conséquent aujourd’hui limité territorialement.

D’ailleurs, la CNIL souhaite étendre sa portée. Son raisonnement est que les moteurs de recherche, ayant souvent choisi d’avoir un traitement mondial, doivent, dès lors que le droit au référencement est appliqué, le rendre effectif sur l’ensemble des extensions liées à ce traitement.

Si en passant en un clic d’une extension « .fr » à une extension « .com » vous avez accès au lien censé être désindexé, mes chers collègues, on peut considérer que le droit au déréférencement n’est que parcellaire !

Certes, des questions préjudicielles sur ce point fondamental ont été soumises par le Conseil d’État à la Cour de justice de l’Union européenne. Toutefois, à défaut d’anticiper les décisions de la CJUE en intégrant d’ores et déjà une disposition dans notre ordre juridique interne, nous aimerions au moins connaître la position du Gouvernement sur la question. Celui-ci est-il favorable à ce que le droit au déréférencement ne soit pas limité territorialement ?

Le sujet est essentiel, car le droit au déréférencement est un corollaire du droit à l’oubli, évoqué précédemment.

Quel est l’avis de la commission ?

Comme le droit à l’oubli, le droit au déréférencement sur les moteurs de recherche est l’un des nouveaux droits garantis par le règlement général sur la protection des données. Il a vocation à s’appliquer directement, dans ce cadre, à compter du 25 mai prochain.

Le problème des extensions des noms de domaine sur lequel il s’exerce ne peut être tranché par un simple ajout dans la loi nationale. En effet, les autorités de contrôle européennes sont en train de se forger une doctrine, exprimée au sein du groupe qui les rassemble, et plusieurs contentieux sur ce point sont en cours. Le Conseil d’État, notamment, a adressé à la Cour de justice de l’Union européenne plusieurs questions préjudicielles sur le sujet.

Par conséquent, je vous propose, madame Robert, de ne pas modifier pour le moment la loi Informatique et libertés, et d’en rester au règlement général.

La commission demande donc le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Même avis que la commission, monsieur le président : le Gouvernement sollicite le retrait de cet amendement.

Madame Robert, l’amendement n° 141 est-il maintenu ?

Il me semblait important que nous puissions évoquer le droit à l’oubli et le droit au déréférencement dans cet hémicycle. Il y a là un vrai sujet, sur lequel, d’ailleurs, nous aurons l’occasion de revenir dans les mois ou années à venir, que ce soit dans le cadre du présent texte ou à l’occasion de l’examen d’autres dispositions.

Je retire donc mon amendement, monsieur le président.

L’amendement n° 141 est retiré.

L’amendement n° 139, présenté par Mme S. Robert et MM. Durain, Sutour, Sueur et Kanner, est ainsi libellé :

Alinéa 2, première phrase

Après le mot :

risque

insérer le mot :

élevé

La parole est à Mme Sylvie Robert.

Cet amendement rédactionnel a pour objet d’encadrer davantage les dérogations prévues au droit à la communication d’une violation de données.

Quel est l’avis de la commission ?

Il me semble qu’il y a erreur ! Si cet amendement était adopté, il faudrait, non plus un simple risque, mais un risque élevé pour pouvoir déroger à l’obligation de notification des failles de sécurité. Cela diminuerait la protection de certains traitements importants pour la sécurité publique.

La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.

Quel est l’avis du Gouvernement ?

Même avis, monsieur le président : le Gouvernement sollicite le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.

Madame Robert, l’amendement n° 139 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 139 est retiré.

Je mets aux voix l’article 15.

L’amendement n° 1 rectifié ter, présenté par Mme Lassarade, MM. Cardoux et de Nicolaÿ, Mmes Delmont-Koropoulis, Deromedi et Gruny, MM. Vogel et H. Leroy, Mmes Troendlé, Chain-Larché, Thomas et Bonfanti-Dossat, M. Brisson, Mmes Garriaud-Maylam et Micouleau, MM. Milon, Grand, Bonhomme et Bonne, Mme Lanfranchi Dorgal et MM. Bouchet, Leleux, Charon, Panunzi et Priou, est ainsi libellé :

Après l’article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 341-4 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

La parole est à Mme Annie Delmont-Koropoulis.

Les nouveaux dispositifs de comptage mis en place – les compteurs Linky – procèdent, par défaut et sans le consentement des personnes, à des enregistrements de données personnelles.

Le fonctionnement intrinsèque de ces compteurs implique le traitement de données à caractère personnel.

Dès lors, seule la faculté de s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’autodétermination des données personnelles, tel qu’il a été préconisé par le Conseil d’État dans son étude annuelle 2014, Le Numérique et les droits fondamentaux, que les exigences du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ce règlement consacre le principe selon lequel le consentement des personnes au traitement de leurs données personnelles doit être donné par un acte positif clair, par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.

Un refus de la part de certains utilisateurs que leurs données personnelles soient collectées par les dispositifs de comptage et l’impossibilité, partant, d’installer ces dispositifs chez ces utilisateurs n’entraînera pas une violation de la directive européenne du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l’électricité, dès lors que son annexe I n’impose qu’une couverture du territoire national à hauteur de 80 %.

Quel est l’avis de la commission ?

Cette question passionnante partage quelque peu la France et pourrait faire l’objet d’un véritable débat… Mais elle ne trouve pas vraiment sa place dans ce texte ; elle en est même très éloignée.

C’est la raison pour laquelle je sollicite le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Madame la sénatrice, comme Mme la rapporteur, je pense que cet amendement est un cavalier, parce qu’il concerne un sujet assez éloigné de l’objet même de ce texte.

Le Gouvernement demande donc le retrait de cet amendement.

Madame Delmont-Koropoulis, l’amendement n° 1 rectifié ter est-il maintenu ?

Il sera intéressant de reparler de ce problème, mais, en attendant, je retire cet amendement, monsieur le président.

L’amendement n° 1 rectifié ter est retiré.

L’amendement n° 2 rectifié ter, présenté par Mme Lassarade, MM. Cardoux et de Nicolaÿ, Mmes Delmont-Koropoulis, Deromedi et Gruny, MM. Vogel et H. Leroy, Mmes Troendlé, Chain-Larché, Thomas et Bonfanti-Dossat, M. Brisson, Mmes Garriaud-Maylam et Micouleau, MM. Milon, Grand, Bonhomme et Bonne, Mme Lanfranchi Dorgal et MM. Bouchet, Leleux, Charon, Panunzi et Priou, est ainsi libellé :

Après l’article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 452-2-1 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

La parole est à Mme Annie Delmont-Koropoulis.

Cet amendement est très proche du précédent…

M. Jean-Claude Requier. Cette fois, c’est le gaz !

Je le retire donc, monsieur le président.

L’amendement n° 2 rectifié ter est retiré.

Chapitre VI

Voies de recours

Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 101, présenté par le Gouvernement, est ainsi libellé :

I. - Alinéas 7 à 10

Supprimer ces alinéas.

II. – Alinéa 11

Rédiger ainsi cet alinéa :

2° Le IV est complété par un alinéa ainsi rédigé :

III. – Alinéa 12

Rédiger ainsi le début de cet alinéa :

« Lorsque l’action …

La parole est à Mme la garde des sceaux.

Mesdames, messieurs les sénateurs, le Gouvernement souhaite la suppression de la condition d’agrément qu’a introduite la commission pour les associations souhaitant exercer une action de groupe.

Une telle condition n’est pas prévue à l’article 80 du règlement, qui vise les organismes, organisations ou associations à but non lucratif ayant été valablement constitués conformément au droit d’un État membre. L’amendement tend à poser une exigence supplémentaire qui me semble donc contraire à la lettre du règlement.

En pratique, très peu d’actions de groupe ont été engagées, et depuis que la possibilité en a été introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, aucune ne l’a été en matière de protection des données. La condition supplémentaire, qui est liée à l’agrément préalable, entraverait la possibilité d’exercer ces actions.

Je rappelle que la loi de 2016 a déjà prévu un certain nombre de garde-fous. En effet, pour pouvoir exercer une action de groupe, une association doit être régulièrement déclarée depuis cinq ans au moins et justifier d’un objet statutaire concernant la protection de la vie privée et la protection des données à caractère personnel. Les associations de défense peuvent également exercer une telle action lorsque le traitement de données à caractère personnel affecte des consommateurs.

L’agrément prévu pour ces associations par l’article L. 811-1 du code de la consommation est facultatif. Il y aurait donc, si nous n’avions pas déposé notre amendement, une distorsion entre ces deux types d’association.

J’ajoute enfin que le Gouvernement ne souhaite pas revenir sur la disposition introduite par votre commission, qui a reporté au 25 mai 2020 l’entrée en vigueur de l’action de groupe.

Au total, il nous semble que la crainte d’un déferlement d’actions en réparation apparaît excessive et que le texte est parvenu à un juste équilibre.

Pour l’ensemble de ces raisons, je vous demande donc de bien vouloir adopter cet amendement de suppression, sachant que l’amendement suivant, déposé par M. Durain, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain a le même objet.

L’amendement n° 130, présenté par M. Durain, Mme Sylvie Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéas 7 à 10

Supprimer ces alinéas.

La parole est à M. Jérôme Durain.

Mme la garde des sceaux a dit l’essentiel. On nous parle d’une multiplication des recours abusifs, d’un déferlement, d’un raz-de-marée de plaideurs virulents ayant des visées politiciennes… Nous ne les avons pas vus à l’œuvre jusqu’à présent ! Il nous semble donc que toutes ces préventions sont superflues et infondées.

C’est pour cette raison que nous demandons la suppression des alinéas 7 à 10 de l’article.

Quel est l’avis de la commission ?

La commission a accepté le principe de l’extension de l’action de groupe en matière de données personnelles à la réparation des dommages matériels et moraux, ainsi que l’a proposé l’Assemblée nationale.

Cette extension donnera effectivement du sens à l’action de groupe en matière de données personnelles. Une action de groupe limitée à la cessation d’un manquement n’a que peu de sens, comme le Sénat l’avait relevé lors de l’examen de la loi de modernisation de la justice du XXIe siècle. Telle est la véritable raison pour laquelle il n’y a eu aucune action de groupe en la matière depuis 2016.

Dès lors que l’objet de l’action de groupe est étendu à la réparation des dommages, de telles actions risquent au contraire de se multiplier. C’est une grande crainte de nos collectivités territoriales.

De fait, des associations tout à fait respectables nous ont confié leur intention d’en introduire dès le lendemain de l’entrée en vigueur du RGPD, dans la logique des actions qu’elles mènent sur la scène publique et des protestations qu’elles y font entendre. Dès lors, nous avons le devoir de protéger les collectivités territoriales ou les TPE-PME contre les recours abusifs, qui sont très inquiètes, je le répète.

De plus, je ne pense pas que ce soit une demande exorbitante, dans la mesure où c’est déjà le cas en matière de consommation, d’environnement, de santé. Cela permettrait aussi d’unifier le régime de l’action de groupe.

La commission émet donc un avis défavorable sur ces deux amendements.

Quel est l’avis du Gouvernement sur l’amendement n° 130 ?

Celui-ci est presque identique à l’amendement du Gouvernement. J’émets donc un avis favorable.

Je mets aux voix l’amendement n° 101.

Je mets aux voix l’amendement n° 130.

Je mets aux voix l’article 16 A.

L’amendement n° 25 rectifié, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Alinéa 2

Compléter cet alinéa par une phrase ainsi rédigée :

Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées.

La parole est à M. Jean-Pierre Decool.

Cet amendement vise à assurer la soutenabilité financière des actions de groupe, telle qu’elle résulte de l’article 16 A du projet de loi, en prévoyant la possibilité pour une association ou une organisation de se faire rembourser les frais engagés pour exercer ses droits et ceux des personnes représentées.

Il s’agit d’affirmer l’effectivité de ce mécanisme d’action de groupe introduit dans le projet de loi en première lecture, à l’Assemblée nationale, en commission.

Quel est l’avis de la commission ?

Il y a une légère confusion de la part des auteurs de l’amendement, puisqu’il s’agit ici non pas de l’action de groupe, mais de l’action individuelle par mandataire.

L’amendement vise à permettre à la CNIL d’imposer à un responsable de traitement dont elle a constaté un manquement aux règles relatives à la protection des données personnelles de rembourser à l’association ou à l’organisation mandatée les frais qu’elle a engagés.

La commission ne peut y être favorable, pour plusieurs raisons : d’une part, la CNIL n’est pas une juridiction, susceptible de condamner aux dépens ; d’autre part, l’examen par la CNIL d’une réclamation n’est pas un procès opposant plusieurs parties, et il n’y a pas de lien d’instance entre l’association auteur de la réclamation et le responsable de traitement, qui justifierait de mettre à la charge de l’un les frais de l’autre.

Nous avons bien étudié la question, et nous sommes parvenus à la conclusion que la CNIL n’avait pas la possibilité de mener ce type d’action.

La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.

Quel est l’avis du Gouvernement ?

Même avis : le Gouvernement demande le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.

Monsieur Decool, l’amendement n° 25 rectifié est-il maintenu ?

Non, compte tenu des explications avancées par Mme la rapporteur, je le retire, monsieur le président.

L’amendement n° 25 rectifié est retiré.

L’amendement n° 100, présenté par le Gouvernement, est ainsi libellé :

Alinéa 3

Supprimer cet alinéa.

La parole est à Mme la garde des sceaux.

Je le retire, monsieur le président.

L’amendement n° 100 est retiré.

Je mets aux voix l’article 16.

L’amendement n° 102, présenté par le Gouvernement, est ainsi libellé :

Rédiger ainsi cet article :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

La parole est à M. le secrétaire d’État.

Au fil des travaux de l’Assemblée nationale et du Sénat, le Gouvernement a pris conscience qu’il existe aujourd’hui de réelles préoccupations au sein du Parlement sur la question des services et des applications préinstallées, qui sont aujourd’hui mises à disposition sur de nombreux terminaux connectés, en premier lieu les terminaux mobiles.

Je vous invite d’ailleurs à la lecture essentielle et particulièrement riche de la dernière étude de l’ARCEP, l’Autorité de régulation des communications électroniques et des postes, qui étudie tous les enjeux économiques et sociétaux liés à ces terminaux.

Je tiens à remercier les députés et les sénateurs qui se sont mobilisés sur ce sujet, en particulier Éric Bothorel, à l’Assemblée nationale, et, au Sénat, M. Raynal et toute la commission des lois.

Le Gouvernement a entendu les craintes, et nous avons travaillé longuement pour parvenir à une proposition équilibrée. Nous avons examiné avec attention les propositions qui ont été avancées en ce sens, notamment celles qui résultent de l’article 17 bis adopté par la commission.

Cependant, sa rédaction ne nous semble ni satisfaisante ni opérationnelle, pour plusieurs raisons, mais, comme nous partageons cette ambition, nous allons vous proposer – c’est tout l’objet de cet amendement – une solution que nous trouvons acceptable et équilibrée.

En premier lieu, le dispositif prévu apparaît trop éloigné, dans certains de ses énoncés, du vocabulaire même et de la logique du règlement général de la protection des données. Prenons pour exemple les notions d’utilisateur final, de nullité du contrat ou de tiers.

La rédaction de l’article 17 bis implique en effet des acteurs tiers qui n’ont a priori aucune obligation directe en matière de données personnelles vis-à-vis des utilisateurs finaux, sauf s’il s’agit, d’une part, de responsables ou coresponsables de traitements, et, d’autre part, de personnes concernées, au sens du RGPD, ce qui n’est pas le cas. Il serait problématique et disproportionné d’inclure l’ensemble des fabricants de terminaux dans le champ du RGPD.

En second lieu, comme l’a souligné Mme Morin-Desailly, la rédaction de l’article 17 bis soulève également de fortes interrogations quant à sa compatibilité avec le reste du droit de l’Union européenne, notamment le droit de la concurrence.

Ce sont les raisons pour lesquelles le Gouvernement, qui comprend et partage les préoccupations du Parlement, souhaite amender l’article 17 bis, afin de rester en cohérence à la fois avec le RGPD et avec les normes de l’Union, de façon à pouvoir conserver le dispositif dans la loi et à assurer son opposabilité aux tiers.

À cette fin, l’amendement vise d’abord à mieux préciser les traitements dont il s’agit, ceux qui sont donc fondés sur le consentement, et ensuite à reprendre la logique de responsabilisation du responsable de traitement, telle qu’elle est établie par le RGPD et la terminologie de son article 7, alinéa 1 – le responsable de traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Tel est l’objet du présent amendement : soutenir les préoccupations exprimées légitimement par les parlementaires tout en assurant la bonne insertion du dispositif dans le cadre européen.

Pendant les débats, tant à l’Assemblée nationale qu’au Sénat, c’est la question plus générale du rôle des plateformes dans la société et dans l’économie et des inquiétudes qu’elles génèrent qui a été soulevée.

Ce débat, dont vous avez rappelé les enjeux, fait aujourd’hui toute l’actualité du Gouvernement et de la Commission européenne. Ce n’est pas avec cet amendement que nous épuiserons l’intégralité du sujet. Nous pouvons nous attendre dans les prochains mois à avoir de nouveau de nombreuses discussions. Peut-être même aurons-nous l’occasion d’examiner de nouveaux textes législatifs.

Quel est l’avis de la commission ?

Sans suspense, l’avis de la commission est extrêmement favorable.

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Puisque j’ai été mentionnée par M. le secrétaire d’État, je me permets d’intervenir.

Je suis heureuse d’entendre un embryon de changement dans le discours du Gouvernement – à la suite du gouvernement précédent – sur cette question des plateformes monopolistiques – que celles-ci soient horizontales ou constituées en silos verticaux – dans des systèmes écopropriétaires.

Monsieur le secrétaire d’État, la problématique de la concurrence est devant nous ; nous y sommes arrivés. Bruno Le Maire veut assigner Google et Apple et je sais que la Commission européenne travaille en ce moment sur le sujet.

Je ne reprendrai pas l’analyse développée dans l’objet de mon amendement tendant à insérer un article additionnel après l’article 17 bis. Celui-ci vise à « bétonner » le système. J’entendrai d’ailleurs avec intérêt l’avis de Mme la rapporteur sur ce sujet.

J’emploie le mot « bétonner » à dessein, parce que le présent amendement me paraît quelque peu fragile sur les plans constitutionnel et contractuel. Mais qui peut le plus peut le moins, et puisque le débat est devant nous, il nous faut des « billes » pour pouvoir continuer la discussion sur ces sujets jusqu’à la commission mixte paritaire.

Je suis favorable à cet amendement, qui vise à rendre l’article 17 bis compatible avec l’actuel règlement, auquel on peut difficilement toucher si ce n’est à travers le projet de loi de transposition.

Au travers de mon propre amendement, je recherche une plus grande efficacité. C’est la raison pour laquelle je propose d’introduire un nouvel article dans le code de commerce prohibant « l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service ».

Cela fait partie d’un tout, et il est temps de mener cette fois une action vraiment offensive. Les derniers événements nous le prouvent.

La parole est à M. Jérôme Durain, pour explication de vote.

Je veux juste indiquer, puisque son nom a été cité, que c’est sur l’initiative de notre collègue Claude Raynal que la commission des lois a pris en compte ces éléments de réflexion.

Plusieurs éléments de cet amendement nous intéressent, comme l’a dit M. le secrétaire d’État : d’abord, une dimension de patriotisme numérique, parce qu’une position monopolistique qui se rompt, c’est l’occasion pour de nouveaux acteurs, peut-être français, d’intervenir sur le marché ; ensuite, une dimension d’équité, sur un marché qui est effectivement par trop monopolistique.

Nous nous inscrivons donc dans la lignée des propos de M. le secrétaire d’État et soutenons cet amendement.

Je mets aux voix l’amendement n° 102.

En conséquence, l’article 17 bis est ainsi rédigé.

L’amendement n° 78 rectifié, présenté par Mme Morin-Desailly, MM. Henno, Kern et Laugier, Mme Doineau, M. Bonnecarrère, Mmes de la Provôté, Goy-Chavent et Vullien, M. Détraigne, Mme Gatel, MM. Maurey, Mizzon, Canevet, Cigolotti, Delcros, L. Hervé et les membres du groupe Union Centriste, est ainsi libellé :

Après l’article 17 bis

Insérer un article additionnel ainsi rédigé :

Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420 -2 -3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : «, L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».

La parole est à Mme Catherine Morin-Desailly.

L’amendement est défendu, monsieur le président.

Quel est l’avis de la commission ?

Le présent amendement vise à apporter une solution alternative et complémentaire au problème évoqué au précédent amendement, qui est abordé, selon moi, sous un meilleur angle : celui du droit de la concurrence.

Cet amendement a en effet pour objet de renforcer les moyens offerts pour lutter contre les abus de position dominante mettant en jeu des interactions sur deux marchés distincts au sens du droit de la concurrence : le marché des services en ligne, d’une part, et celui des terminaux, d’autre part.

Il vise à prohiber les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants.

Alors que le ministère de l’économie et la Direction générale de la concurrence, de la consommation et de la répression des fraudes ont assigné le 14 mars dernier Apple et Google devant le tribunal de commerce de Paris pour demander la cessation de certaines pratiques commerciales abusives concernant leurs « magasins d’applications », le présent amendement vise à élargir l’arsenal des mesures et permet de garantir au consommateur un réel choix. Il va selon moi véritablement dans le bon sens.

La commission émet donc un avis très favorable sur cet amendement, avec une mention spéciale pour Claude Raynal, qui a pris l’initiative d’aborder cette question.

Merci !

Quel est l’avis du Gouvernement ?

Je ne voudrais pas être trop dur, car, comme je l’ai indiqué tout à l’heure, le Gouvernement partage le souhait de donner une pleine efficacité au consentement du consommateur tel qu’il est prévu par le règlement, en particulier dans le cas des services accessibles via des terminaux mobiles.

Toutefois, nous estimons que la mesure proposée est inadéquate pour atteindre cet objectif.

Oh !

Le présent amendement est malheureusement sans rapport avec l’objet du projet de loi. La modification envisagée vise à prohiber une pratique anticoncurrentielle. Elle est donc encadrée par le droit de la concurrence ; elle ne vise pas à garantir le consentement du consommateur au sens même du règlement.

En outre, si nous allons au fond de l’analyse, la proposition que vous formulez pourrait laisser entendre que d’autres pratiques mises en œuvre par ces mêmes acteurs de l’économie numérique, parce qu’elles ne seraient pas explicitement visées, ne pourraient être appréhendées sous l’angle droit de la concurrence. Cela irait à l’encontre même du projet et de la vision que vous portez.

Pour l’ensemble de ces raisons, de forme – l’opportunité d’intégrer cette mesure dans ce projet de loi – comme de fond, le Gouvernement est défavorable à cet amendement, même si, je le rappelle, il est nécessaire de mener en France et en Europe un véritable débat commun sur ce sujet.

Il faut plus qu’un débat ! Il faut agir ! Nous avons déjà beaucoup débattu…

La parole est à M. Loïc Hervé, pour explication de vote.

Nous soutenons cet amendement, qui a été déposé par Catherine Morin-Desailly et cosigné par nombre de nos collègues et par l’ensemble des membres du groupe Union Centriste.

Cet amendement tend à compléter le dispositif, que nous avons introduit en commission à l’article 17 bis, en garantissant que les utilisateurs d’un terminal aient le choix d’un service équivalent, offrant de meilleures garanties quant à la protection des données personnelles.

Monsieur le secrétaire d’État, on n’est pas tout à fait hors sujet, on est même au cœur du débat, dans la vie quotidienne de nombre de nos compatriotes : il est question d’outils qui consistent à capter des données !

Nous avons eu hier un débat fort intéressant sur les objets connectés ; voilà un autre volet de la réalité vécue par nos compatriotes, a fortiori quand des services de communication au public en ligne sont préinstallés. En effet, alors que le consentement de l’utilisateur doit être libre et que le législateur doit s’assurer que cette liberté est totale et résulte d’un choix effectif, ce choix est en réalité limité à l’acceptation ou au refus des traitements de données ou, en l’espèce, des moteurs de recherche proposés.

Ces moteurs de recherche sont ainsi préinstallés sur les téléphones et leur désinstallation est rendue quasi impossible. Essayez de le faire vous-même sur votre téléphone ou votre smartphone ! La plupart de ces appareils commercialisés en France et en Europe sont en effet équipés d’un système d’exploitation mobile qui impose le même moteur de recherche – Google pour ne pas le citer. C’est une obligation faite à l’ensemble des utilisateurs.

Pourtant, certains moteurs de recherche proposent des fonctionnalités équivalentes tout en offrant une meilleure protection des données. Ils s’engagent d’ailleurs sur ce sujet. C’est par exemple le cas des moteurs de recherche alternatifs, plus respectueux la de la vie privée. Citons un moteur de recherche français, Qwant, qui a été créé dans notre pays en 2013 – il est important de le signaler.

Nous proposons de nous placer sur le terrain du droit de la concurrence en prohibant l’exploitation abusive par une entreprise d’une position dominante sur le marché des services de communication publics en ligne lorsque cette position dominante subordonne la vente d’un équipement à l’achat d’un service.

En cela, monsieur le secrétaire d’État, nous sommes tellement proches des positions du ministre Bruno Le Maire !

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Je maintiens plus que jamais mon amendement.

Monsieur le secrétaire d’État, vous dites qu’il va être temps de débattre. Vous savez, ici au Sénat, comme l’a rappelé notre collègue Simon Sutour, nous en débattons depuis pratiquement 2013 : à la commission des affaires européennes, à travers les nombreux rapports que nous avons produits sur ce sujet, à travers les missions communes d’information. Nous avons exploré toutes les facettes de ces problématiques de souveraineté, discuté de la stratégie européenne dans le domaine d’internet, débattu de la question des données.

Il est vraiment temps d’agir ! D’ailleurs, l’actualité nous le montre avec l’affaire Cambridge Analytica, qui est purement scandaleuse : quelque 50 millions d’utilisateurs de Facebook se sont vu hacker leurs données par une entreprise de gestion des data, qui les a revendues pour des motifs sociaux et politiques douteux. Ce qui est en train de se passer est un véritable scandale, monsieur le secrétaire d’État. C’est une seconde affaire Snowden !

Si tout cela ne nous alerte pas, notamment sur la manière dont fonctionnent actuellement les GAFA, dont la gestion abusive des données personnelles est maintenant une évidence, cela signifie que nous ne prenons pas nos responsabilités.

Le Sénat a adopté à l’unanimité une proposition de résolution européenne relative à la mise en œuvre des règles de concurrence, que je vous ai adressée.

Puisque nous sommes à la veille du Conseil européen, le moment est venu d’aller y parler de ces questions. Le moment est venu de proposer, enfin, de refonder Internet et les modèles économiques sur lesquels il repose sur des principes conformes aux valeurs européennes : le droit à la concurrence et un marché numérique offrant des conditions d’honnêteté et de loyauté identiques à l’ensemble des entreprises.

Celles-ci sont obligées de subir des moteurs de recherche dont les comparateurs de prix présentent des résultats dans un ordre qui leur est désavantageux. Tout cela est démontré par A plus B ! Et ce dont il est question ici est encore plus prégnant, puisqu’il s’agit des données personnelles, qui touchent à nos libertés fondamentales.

Quand l’occasion se présente de voter certaines mesures, il est de notre responsabilité de la saisir, pour faire en sorte que la France soit moteur et serve d’aiguillon au niveau européen.

De toute façon, nous sommes au pied du mur : il va falloir résoudre ces questions. Je vous le dis très solennellement, l’heure est vraiment venue.

Je mets aux voix l’amendement n° 78 rectifié.

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 17 bis.

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL

L’amendement n° 131, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 4

Rédiger ainsi cet alinéa :

IV. - L’article 42 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.

La parole est à M. Jérôme Durain.

Le paragraphe IV de l’article 18 supprime à l’article 42 de la loi du 6 janvier 1978 le caractère indirect de l’exercice des droits d’accès, de rectification et d’effacement pour les traitements de police judiciaire.

Le caractère indirect est maintenu pour les seuls traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de recouvrer des impositions.

Le maintien de l’accès indirect pour cette catégorie de traitements n’est pas justifié. Il convient de prévoir que la personne intéressée peut directement exercer ses droits d’accès direct auprès du responsable du traitement de l’administration fiscale, sans passer par l’intermédiaire de la Commission nationale de l’informatique et des libertés.

Tel est l’objet du présent amendement, qui tend à abroger l’article 42 de la loi de 1978.

Quel est l’avis de la commission ?

La commission émet un avis favorable.

Quel est l’avis du Gouvernement ?

Le Gouvernement émet un avis défavorable.

Je mets aux voix l’amendement n° 131.

Je mets aux voix l’article 18, modifié.

L’amendement n° 103, présenté par le Gouvernement, est ainsi libellé :

Alinéa 12

Supprimer cet alinéa.

La parole est à Mme la garde des sceaux.

Le présent amendement vise à supprimer l’obligation, ajoutée en commission des lois, d’une autorisation préalable de la Commission nationale de l’informatique et des libertés pour tout traitement non mis en œuvre par l’État dans le champ de la directive.

En effet, cette autorisation préalable n’est nullement exigée par l’article 28 de la directive, qui prévoit des garanties suffisantes pour la protection des droits et des libertés des personnes concernées par ces traitements.

Le projet de loi exige ainsi la réalisation d’une analyse d’impact dès lors que le traitement est susceptible de créer un risque élevé pour les droits et libertés des personnes physiques, notamment chaque fois qu’il porte sur des données sensibles. Il exige aussi la consultation de la CNIL si les conclusions de cette analyse d’impact montrent que le traitement est susceptible de présenter des risques élevés pour les libertés et droits des personnes concernées.

Au reste, ces garanties sont maintenues dans le texte de la commission des lois, ce qui n’est pas cohérent à partir du moment où est exigé le rétablissement d’une autorisation préalable de la CNIL pour tous les traitements.

Quel est l’avis de la commission ?

Cet amendement vise à revenir sur la position de la commission, qui a choisi de maintenir un niveau élevé de protection des données personnelles en matière pénale, en conservant le régime d’autorisation préalable qui existe actuellement.

La commission considère que la simple possibilité de réaliser une analyse d’impact laissée à l’appréciation des personnes morales n’est pas une garantie suffisante s’agissant de fichiers en matière pénale.

Je rappelle que le considérant 15 de la directive affirme que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent » et qu’il convient que « les États membres ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive. »

Sur l’invitation du Conseil d’État, l’article 19 du projet de loi maintient désormais une autorisation préalable pour les seuls fichiers mis en œuvre pour le compte de l’État. Il convient également de maintenir ce régime pour les fichiers mis en œuvre par les autres personnes morales, qui peuvent être tout aussi dangereux pour les droits et libertés des personnes.

La commission des lois a estimé que, en matière pénale, tout fichier entrant dans le champ d’application de la directive doit être autorisé préalablement : le droit actuel doit être maintenu et non affaibli !

En conséquence, la commission émet un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 103.

L’amendement n° 104, présenté par le Gouvernement, est ainsi libellé :

Alinéa 13

Supprimer les mots :

, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité

La parole est à Mme la garde des sceaux.

Cet amendement vise à supprimer le renvoi opéré au règlement pour définir le contenu de l’analyse d’impact devant être réalisée préalablement au traitement par le responsable. En effet, le contenu de l’analyse d’impact exigé par l’article 27 de la directive diffère de celui qui est prévu par le règlement.

Ainsi, la directive n’impose pas une description systématique des finalités du traitement, ni une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de ces finalités.

Le contenu de l’analyse d’impact, de nature réglementaire, sera précisé dans le décret.

Quel est l’avis de la commission ?

Je reste inquiète quant à l’absence de définition législative du contenu de l’analyse d’impact, mais je comprends la volonté du Gouvernement de la préciser par décret plutôt que par renvoi au règlement européen.

La commission a émis un avis favorable sur cet amendement.

Je mets aux voix l’amendement n° 104.

L’amendement n° 69, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Alinéa 15

Après le mot :

consulte

insérer les mots :

pour avis

La parole est à Mme Esther Benbassa.

Nous nous réjouissons que ce projet de loi ait été amélioré lors de son examen par la commission des lois, notamment avec l’ajout d’un volet propre aux collectivités territoriales. En effet, initialement absentes du projet de loi, ces dernières sont largement concernées par le traitement des données personnelles, puisqu’elles gèrent en leur sein de nombreux fichiers donnant lieu à de nombreuses obligations lourdement sanctionnées en cas de non-respect.

C’est pourquoi nous proposons, avec cet amendement, que soient clarifiées les modalités de saisine de la CNIL.

L’alinéa 15 de l’article 19 permet actuellement aux responsables de traitement ou sous-traitants de consulter la CNIL préalablement au traitement de certaines données à caractère personnel.

Nous souhaitons, et relayons en cela une attente de l’Assemblée des départements de France, que cette consultation de la CNIL soit assortie d’un avis de cette même commission, afin que les collectivités territoriales, notamment, soient épaulées et sécurisées dans leurs activités de traitement de données personnelles.

Quel est l’avis de la commission ?

La possibilité de consulter la CNIL est d’ores et déjà prévue, qu’il s’agisse de recueillir son avis ou son autorisation. Il ne me semble donc pas utile d’ajouter les mots : « pour avis », qui pourraient avoir pour effet de restreindre le champ de sa consultation.

En tout état de cause, le texte de la commission est de nature à vous rassurer, car il est prévu, quelques alinéas plus haut, l’autorisation, obligation et préalable, de la CNIL à tout traitement de données en matière pénale.

C’est pourquoi la commission sollicite le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Même avis sur l’avis de la CNIL !

Le Gouvernement demande lui aussi le retrait de cet amendement.

Madame Benbassa, l’amendement n° 69 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 69 est retiré.

L’amendement n° 132, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 25

Supprimer les mots :

, dans la mesure du possible,

La parole est à M. Jérôme Durain.

Le nouvel article 70-8 inséré dans la loi du 6 janvier 1978 par l’article 19 du présent projet de loi prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en œuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles. Plus qu’un principe général, l’exactitude des données est un principe fondateur du droit de la protection des données personnelles.

Le 4° de l’article 6 de la loi Informatique et libertés, qui définit les conditions de licéité d’un traitement de données à caractère personnel, précise qu’un traitement ne peut porter que sur des données à caractère personnel « exactes, complètes et, si nécessaire, mises à jour ». Il impose en outre que des mesures appropriées soient prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Il est impératif en matière pénale, pour les traitements mis en œuvre par la police et les autorités judiciaires, de distinguer les données à caractère personnel fondées sur des faits de celles qui reposent sur une appréciation subjective.

Quel est l’avis de la commission ?

Je partage pleinement l’objectif des auteurs de cet amendement, à savoir garantir le principe d’exactitude des données et différencier les données fondées sur des faits de celles qui sont fondées sur des appréciations. Néanmoins, la suppression des mots : « dans la mesure du possible » me semble, en l’espèce, difficile à appliquer en pratique.

C’est pourquoi j’émets un avis de sagesse.

Quel est l’avis du Gouvernement ?

Pour les mêmes raisons que Mme la rapporteur, j’émets quant à moi un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 132.

L’amendement n° 105, présenté par le Gouvernement, est ainsi libellé :

Alinéas 26 à 28

Rédiger ainsi ces alinéas :

« Art. 70-9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.

« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.

La parole est à Mme la garde des sceaux.

Pour les mêmes motifs que l’amendement visant l’article 14 du projet de loi, le Gouvernement souhaite revenir au texte initial sur les traitements automatisés des données. Le texte adopté par la commission des lois perd en effet en lisibilité, du fait de la multiplication des renvois au règlement, au code pénal et à la loi du 27 mai 2008.

En outre, les précisions qui sont apportées sur le profilage discriminatoire apparaissent insuffisantes, car elles ne renvoient pas à la totalité des dispositions pénales applicables aux discriminations, notamment en matière de harcèlement sexuel.

Quel est l’avis de la commission ?

Il s’agit encore une fois du problème du profilage. La commission des lois, dans un souci d’harmonisation entre le droit national et le droit européen, a choisi de renvoyer à la définition du profilage donné par le règlement général sur la protection des données.

Ce règlement définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

La définition proposée par le Gouvernement est la suivante : « Un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne ».

La rédaction votée par la commission est plus complète, donc plus protectrice des libertés individuelles. Surtout, le Gouvernement n’a pas transposé un point essentiel de la directive, à savoir l’interdiction de prendre des décisions exclusivement fondées sur un algorithme lorsqu’elles affectent les individus de manière significative, et pas seulement lorsqu’elles produisent des effets juridiques.

Par conséquent, la commission émet un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 105.

L’amendement n° 106, présenté par le Gouvernement, est ainsi libellé :

Alinéa 34, seconde phrase

Après le mot :

vérifie

insérer les mots :

, dans la mesure du possible,

La parole est à Mme la garde des sceaux.

Le présent amendement vise à rétablir l’obligation de moyens imposée par la directive aux autorités compétentes en matière de vérification des données avant leur transmission ou mise à disposition.

La directive impose en effet aux autorités compétentes de vérifier, dans la mesure du possible, la qualité des données. Leur imposer une obligation de résultat, telle qu’elle a été adoptée en commission des lois, m’apparaît disproportionné, car cela impliquerait que la transmission de bonne foi d’une donnée qui ne serait plus à jour, y compris dans les cas où l’autorité compétente ne pouvait pas le savoir, pourrait faire l’objet d’une sanction de la CNIL, voire d’une sanction pénale dans certains cas.

Ainsi, la transmission de la fiche du casier judiciaire d’une personne française à des autorités judiciaires étrangères pourrait engager la responsabilité du gestionnaire de casier, si cette fiche n’est pas à jour des condamnations, alors même qu’un délai de quelques semaines existe entre leur prononcé par une juridiction et leur inscription au casier.

Le rétablissement de l’obligation de moyens prévu par la directive paraît d’autant plus justifié que le projet de loi fixe des garanties pour s’assurer de la fiabilité des délais. En particulier, dès que l’autorité compétente prend connaissance de l’inexactitude d’une donnée transmise, elle doit en aviser le destinataire.

Quel est l’avis de la commission ?

Cet amendement tend à revenir sur l’obligation, pour les services, de vérifier la qualité des informations avant leur transmission à des tiers.

Contrairement à ce qui est avancé dans l’objet de l’amendement, il ne s’agit pas ici de sanctionner les erreurs de bonne foi. Néanmoins, il est évident qu’au moins avant transfert des données, leur qualité et, surtout, leur légalité soient examinées, et cela de façon très sérieuse.

Considérer une telle obligation disproportionnée semble suggérer que l’on n’avait pas forcément l’intention d’organiser la vérification régulière de la qualité de ces données avant leur transmission, ce qui serait inquiétant.

Pour ces raisons, la commission émet un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 106.

L’amendement n° 107, présenté par le Gouvernement, est ainsi libellé :

Alinéa 37

Après le mot :

établit

insérer les mots :

dans la mesure du possible et le cas échéant

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Je ne désespère pas !

Pour les mêmes motifs que l’amendement précédent, le présent amendement vise également à rétablir l’obligation de moyens, et non de résultat, imposée par la directive aux responsables de traitement dans la distinction des données en fonction des différentes catégories de personnes concernées.

Imposer au responsable du traitement de tout mettre en œuvre pour distinguer les données selon que la personne concernée est mise en cause dans une procédure pénale, coupable, victime ou tiers à une infraction pénale, constitue une stricte transposition de la directive et une garantie suffisante pour les personnes.

Maintenir l’obligation de résultat adoptée par la commission des lois paraît, je crois, excessif. Une telle obligation reviendrait par exemple à pouvoir reprocher un manquement à un responsable de traitement qui n’aurait pas été immédiatement informé de ce que la personne initialement suspectée d’être l’auteur d’une infraction a été ensuite mise hors de cause et est donc devenue un tiers à l’infraction pénale.

Quel est l’avis de la commission ?

Cet amendement tend à revenir sur l’obligation, pour les responsables de traitement, de distinguer les données en fonction de la qualité des personnes concernées – victimes, tiers, mis en cause.

Pourtant, les durées de conservation et même les droits diffèrent en fonction de la qualité de ces personnes, selon qu’elles sont victimes ou mises en cause. Il semble donc évident de prévoir que ces fichiers doivent rigoureusement distinguer la qualité de ces personnes.

En conséquence, la commission émet un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 107.

L’amendement n° 70, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Alinéa 42

Avant le mot :

Afin

insérer les mots :

Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et

La parole est à Mme Esther Benbassa.

Comme je l’énonçais en présentant l’amendement n° 69 déposé par mon groupe, les collectivités territoriales ont à traiter, dans leurs différents services, de nombreux fichiers de données pouvant regrouper toutes sortes d’informations, y compris les plus sensibles sur nos concitoyens.

De nombreuses étapes sécuritaires doivent déjà être respectées, et les fonctionnaires et agents de ces collectivités s’interrogent sur les nouvelles obligations à respecter, qui s’ajoutent à celles déjà existantes.

C’est pourquoi, en portant une autre recommandation de l’Assemblée générale des départements, nous vous proposons de clarifier cette question de la sécurité des données à leur échelle.

Les dispositions de cet amendement permettent ainsi au responsable de traitement de ne pas occulter les différentes obligations qui lui incombent déjà. À titre d’exemple, comme l’énonce l’objet de notre amendement, le secteur public doit aujourd’hui respecter le référentiel général de sécurité pour les hébergeurs de données de santé, ainsi que les exigences de l’ASIP Santé, entre autres. Qu’en sera-t-il avec les nouvelles règles qui incomberont aux services concernés ?

Aussi apparaît-il nécessaire de préciser que le respect des nouvelles règles adaptées à notre droit européen se fasse sans préjudice des obligations nationales existantes liées à la sécurité des traitements.

Quel est l’avis de la commission ?

Si les dispositions de cet amendement partent d’un bon sentiment, que je partage, les autres obligations nationales existantes en matière de sécurité continuent d’être obligatoires. Il n’est pas nécessaire de rappeler que la loi reste applicable.

Pour ces raisons, la commission sollicite le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Même avis : le Gouvernement demande le retrait de cet amendement.

Madame Benbassa, l’amendement n° 70 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 70 est retiré.

L’amendement n° 148, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 68

Compléter cet alinéa par les mots :

et de ses sous-traitants, ainsi que les stipulations du contrat de sous-traitance relatives à la protection des données personnelles

La parole est à Mme Maryse Carrère.

Comme je le soulignais hier lors de la discussion générale et pendant l’examen de l’article 8, le RGPD introduit une nouvelle répartition des compétences entre autorités de contrôles européennes potentiellement déstabilisatrices.

Nous craignons notamment que la gestion des données personnelles ne soit traitée dans des États membres ayant choisi, dans les marges de manœuvre laissées par le RGPD, les solutions les moins protectrices pour les données personnelles.

Sans une coopération efficace entre autorités de contrôles, cela pourrait donner lieu à un affaiblissement de la protection effective des données personnelles de nos concitoyens, si la gestion de leurs données aujourd’hui traitées en France venait à être délocalisée.

C’est pourquoi nous proposons de renforcer le droit d’information des personnes concernées, en prévoyant qu’elles pourront être informées de l’identité des sous-traitants et de leurs coordonnées, ainsi que des stipulations du contrat de sous-traitance relatives à la protection des données.

Quel est l’avis de la commission ?

Une telle précision étant de nature à renforcer le droit à l’information des personnes, la commission émet un avis favorable sur cet amendement.

Quel est l’avis du Gouvernement ?

La communication des coordonnées du sous-traitant n’est imposée ni par la directive ni par le règlement. Il ne paraît dès lors pas cohérent de fixer un régime différent pour ces deux instruments pourtant identiques, en exigeant des seules autorités compétentes dans le champ de la directive, et non des entreprises, la transmission de ces coordonnées.

Par conséquent, le Gouvernement émet un avis défavorable.

Je mets aux voix l’amendement n° 148.

L’amendement n° 108, présenté par le Gouvernement, est ainsi libellé :

Alinéas 87 et 89

Supprimer les mots :

, et au bout d’un mois maximum,

La parole est à Mme la garde des sceaux.

Le présent amendement vise à supprimer le délai d’un mois imposé au responsable de traitement pour rectifier ou effacer des données à caractère personnel qui a été ajouté par la commission des lois. En effet, la directive ne fixe pas de délai butoir.

En outre, une échéance à un mois risque de poser d’importantes difficultés pratiques, dès lors que son point de départ n’est nullement précisé et qu’un mois paraît bien trop court pour permettre au responsable de traitement d’obtenir des informations nécessaires au traitement de la demande, puis de procéder aux rectifications ou aux effacements nécessaires.

Enfin, tant le délai imparti au responsable de traitement pour répondre aux demandes de rectification ou d’effacement adressées sur le fondement du décret d’application de la loi de 1978, que celui qui est imparti au ministère public ou à une juridiction pour statuer sur toute demande qui leur est adressée, sont de deux mois.

Le délai de réponse du responsable de traitement aux demandes formées sur le fondement de la directive pourra être fixé dans le décret.

Quel est l’avis de la commission ?

Le présent amendement vise à revenir sur le délai d’un mois à partir de la réception de la demande, qui est le délai actuellement prévu pour le traitement d’antécédents judiciaires, le TAJ.

La commission émet donc un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 108.

L’amendement n° 147, présenté par Mme M. Carrère, est ainsi libellé :

Après l’alinéa 89

Insérer un alinéa ainsi rédigé :

« …° Que soient effacées dans le délai de quarante-huit heures les données biométriques la concernant légalement stockées sur des serveurs distants.

La parole est à Mme Maryse Carrère.

Ces dernières années, de plus en plus de constructeurs d’appareils numériques à usage privé utilisent des technologies fonctionnant à partir de la collecte de données biométriques, empreintes digitales ou reconnaissance faciale à des fins d’authentification.

En l’état actuel du droit, une distinction est opérée selon que ces authentifications biométriques sont stockées dans l’appareil ou depuis des serveurs distants. Dans le premier cas, la CNIL considère que le stockage de donnée biométrique est couvert par l’exemption domestique ; dans le second cas, en revanche, la CNIL exigeait une demande d’autorisation préalable du fournisseur de l’application ou de l’appareil, en raison des risques particuliers liés à un stockage externe.

Bien souvent, le consommateur ignore si les technologies d’authentification biométrique auxquelles il recourt sont stockées sur l’appareil ou sur un serveur distant. Bien souvent, les informations disponibles en ligne sur les sites des constructeurs ne sont pas suffisamment précises pour comprendre les modalités de stockage de ces données sensibles.

Cet amendement vise donc à ouvrir un droit de rectification aux personnes constatant le stockage de leurs données biométriques sur un serveur distant.

Quel est l’avis de la commission ?

Cet amendement tend à instaurer, en matière pénale, pour les traitements concernés par la directive, un droit à l’effacement des données biométriques légalement stockées sur des serveurs distants. De surcroît, le responsable de traitement devrait pouvoir les effacer dans un délai de quarante-huit heures.

Je comprends très bien l’intention qui sous-tend cet amendement, mais je ne suis pas sûre que ce délai soit réaliste. Et sur quel principe fonder ce droit à l’effacement de données légalement collectées et traitées ? En tout état de cause, il ne peut y avoir un droit généralisé à l’effacement des données biométriques légalement stockées en matière pénale.

Pour ces raisons, la commission sollicite le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Même avis : le Gouvernement demande le retrait de cet amendement.

Madame Carrère, l’amendement n° 147 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 147 est retiré.

L’amendement n° 109, présenté par le Gouvernement, est ainsi libellé :

Alinéa 110

Remplacer les mots :

et de former un recours juridictionnel

par une phrase ainsi rédigée :

Hors le cas prévu au 1° du II, il l’informe également de la possibilité de former un recours juridictionnel.

La parole est à Mme la garde des sceaux.

Cet amendement a pour objet de revenir sur la modification, adoptée par la commission des lois, exigeant que, dans le cadre du droit à l’information, le responsable du traitement informe la personne concernée de la possibilité de former un recours juridictionnel.

En effet, la directive n’impose au responsable du traitement d’informer la personne concernée de cette possibilité de former un tel recours que dans le cadre des droits d’accès, de rectification ou d’effacement. Vous le savez, puisque nous avons affirmé ce principe à plusieurs reprises, le Gouvernement ne souhaite pas effectuer de surtransposition.

Les garanties offertes à la personne concernée en cas de restriction de son droit à l’information ne sont pas pour autant réduites, puisqu’elle pourra exercer ses droits par l’intermédiaire de la CNIL, puis, en cas de refus de sa demande par cet intermédiaire, former le cas échéant un recours juridictionnel.

Quel est l’avis de la commission ?

Sous prétexte de stricte transposition de la directive, cet amendement vise en réalité à complexifier et à réduire le droit à l’information des personnes.

C’est pourquoi la commission émet un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 109.

Je mets aux voix l’article 19, modifié.

Je suis saisi de deux amendements identiques.

L’amendement n° 3 rectifié septies est présenté par Mme Bruguière, M. Sol, Mme Goy-Chavent, M. Henno, Mme Deromedi, MM. Bansard, A. Marc et D. Laurent, Mme Renaud-Garabedian, M. Poniatowski, Mme Garriaud-Maylam, MM. de Nicolaÿ, Bonhomme et Milon, Mme Lamure, M. Brisson, Mmes Billon et Bories, MM. Lefèvre et Guerriau, Mmes Morhet-Richaud, Eustache-Brinio et Bonfanti-Dossat, M. Bonne, Mme Mélot, MM. Lagourgue, Leleux, Chasseing, B. Fournier, Bouchet et Husson, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 71 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le chapitre II du titre II du livre VIII du code de la sécurité intérieure est complété par un article L. 822-… ainsi rédigé :

« Art. L. 822 -… - Lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits prévus à l’article L. 841-1 du présent code. La transmission de ces informations ne peut être retardée qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique, et à la condition que la Commission nationale de contrôle des techniques de renseignement soit dûment informée de ce retard. »

L’amendement n° 3 rectifié septies n’est pas soutenu.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 71.

Avec cette série d’amendements, nous entrons dans le nécessaire débat sur l’applicabilité du droit européen aux dispositions issues de la loi sur le renseignement de 2015 qui ont été opportunément écartées de la discussion jusqu’ici.

Permettez-moi de vous rappeler que l’article 1er de la directive 2016/680 définit son champ d’application comme couvrant tout « traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ». Il précise explicitement que font partie de ces traitements ceux qui concernent « la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Seules les activités relatives à la sécurité nationale ne relèvent pas du champ d’application de la directive.

C’est cet argument qui nous sera opposé : la lutte contre le terrorisme, premier objectif de la loi sur le renseignement, relèverait de la sécurité nationale et ne serait donc pas concernée par les mesures protectrices instituées par la directive.

Cet argument, mes chers collègues, est quelque peu fallacieux. Nous le savons, l’Union européenne et ses États membres ont systématiquement considéré que la lutte contre le terrorisme entrait dans le champ d’application du droit de l’Union, prenant de nombreux actes européens à son sujet. La dernière directive 2017/541 « relative à la lutte contre le terrorisme » en est un exemple manifeste.

Nous proposons en conséquence de mettre en conformité le code de la sécurité intérieure avec la directive 2016/680 et de préciser que, lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis et de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits.

Quel est l’avis de la commission ?

Cet amendement vise à étendre le pouvoir de contrôle de la CNCTR sur les données communiquées par les services étrangers.

Or ce contrôle a été explicitement restreint par la loi de 2015 pour des raisons évidentes de coopération entre les États. Si nous souhaitons que nos partenaires nous transmettent des informations, il n’est pas raisonnable de multiplier les personnes ayant accès à celles-ci.

Aussi, la commission émet un avis défavorable sur cet amendement.

Quel est l’avis du Gouvernement ?

Madame la sénatrice, j’ai eu l’occasion de m’exprimer hier sur ce sujet en ouvrant la discussion générale.

À mon sens, les informations de cette nature ne peuvent pas être portées à la connaissance de la personne qui fait l’objet d’une mesure de surveillance : en procédant ainsi, on risquerait de fragiliser assez largement les capacités d’action des services de renseignement. On exposerait leur mode opératoire et, dès lors, on porterait atteinte à la sécurité de nos concitoyens.

Le travail de renseignement ne peut s’inscrire, ce me semble, que dans un impératif de confidentialité. À l’inverse, le dispositif que vous envisagez serait de nature à vider les techniques de renseignement de leur substance, et donc à anéantir le travail des services de renseignement.

Pour ces raisons, j’émets un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 71.

L’amendement n° 72, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Au 4° de l’article L. 833-2 du code de la sécurité intérieure, les mots : « communiqués par des services étrangers ou par des organismes internationaux ou » sont supprimés.

La parole est à Mme Esther Benbassa.

Mes chers collègues, dans le même sens que l’amendement précédemment défendu, le présent amendement vise à mettre le code de la sécurité intérieure en conformité avec la directive, laquelle est plus protectrice des libertés fondamentales de nos concitoyens.

En matière de contrôle, la directive contient deux exigences.

D’une part, il convient que, dans chaque État membre, une autorité indépendante « contrôle l’application des dispositions adoptées en application de [cette] directive et de ses mesures d’exécution et veille au respect de celles-ci ». En France, en matière de renseignement, cette autorité de contrôle est la Commission nationale de contrôle des techniques de renseignement.

D’autre part, la directive précise que « chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs d’enquête effectifs. Ces pouvoirs comprennent au moins celui d’obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées. »

Toutefois, en l’état actuel de notre droit, la CNCTR ne peut pas avoir accès aux renseignements collectés, exploités, échangés ou conservés par les services français, dès lors que ces renseignements ont initialement été « communiqués par des services étrangers ou par des organismes internationaux ».

Bien sûr, cette disposition empêche entièrement la CNCTR de vérifier que les données personnelles collectées et exploitées par les services le sont de façon licite. Elle entre en totale contradiction avec les exigences de la directive et doit donc être corrigée.

Tel est l’objet de cet amendement.

Quel est l’avis de la commission ?

La commission émet un avis défavorable.

Quel est l’avis du Gouvernement ?

Le Gouvernement émet, lui aussi, un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 72.

Je suis saisi de deux amendements identiques.

L’amendement n° 4 rectifié septies est présenté par Mme Bruguière, MM. A. Marc, Sol, Henno et D. Laurent, Mme Deromedi, M. Bansard, Mmes Goy-Chavent et Renaud-Garabedian, M. Poniatowski, Mme Garriaud-Maylam, MM. Bonhomme, de Nicolaÿ, Milon et Chasseing, Mme Lamure, M. Brisson, Mme Bories, M. Bonne, Mmes Bonfanti-Dossat et Billon, MM. Lefèvre et Guerriau, Mmes Morhet-Richaud et Eustache-Brinio, M. Lagourgue, Mme Mélot, MM. Bouchet et B. Fournier, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 73 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Après le cinquième alinéa de l’article L. 854-9 du code de la sécurité intérieure, il est inséré un alinéa ainsi rédigé :

« Le Conseil d’État, statuant dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, peut aussi être saisi par toute personne souhaitant vérifier qu’aucune technique de renseignement prévue au présent chapitre n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue au quatrième alinéa du présent article. »

L’amendement n° 4 rectifié septies n’est pas soutenu.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 73.

Dans la lignée des amendements précédents, nous souhaitons, une nouvelle fois, garantir les droits de nos concitoyens, en l’espèce le droit à un recours effectif.

L’article 54 de la directive 2016/680 exige, sans aucune exception possible, que les États membres offrent aux particuliers une voie de recours juridictionnel pour contester la licéité d’un traitement portant sur leurs données personnelles.

En contradiction avec cette disposition, l’article L. 854-9 du code de la sécurité intérieure prévoit que, en matière de surveillance internationale, les particuliers ne peuvent pas agir en justice pour contester la licéité d’une mesure dont ils ont fait l’objet.

Seule la CNCTR dispose de ce pouvoir, étant entièrement libre d’agir ou non. Cette absence de voie de recours juridictionnel est parfaitement contraire aux exigences de la directive. Il convient donc d’y mettre un terme.

Quel est l’avis de la commission ?

La directive ne concerne que les fichiers de données personnelles et non la mise en œuvre de techniques de recueil de renseignements.

Au reste, avec cet amendement, on semble faire une confusion entre deux types de voies de recours : celles qui doivent être organisées pour la licéité des traitements de données personnelles et celles qui portent sur les techniques des fichiers de renseignement.

Voilà pourquoi la commission émet un avis défavorable.

Quel est l’avis du Gouvernement ?

Le Gouvernement est, lui aussi, défavorable à cet amendement.

Je mets aux voix l’amendement n° 73.

Je suis saisi de deux amendements identiques.

L’amendement n° 5 rectifié septies est présenté par Mme Bruguière, M. Sol, Mme Goy-Chavent, M. A. Marc, Mme Deromedi, MM. D. Laurent et Henno, Mmes Renaud-Garabedian et Garriaud-Maylam, MM. de Nicolaÿ, Bonhomme, Milon et Chasseing, Mmes Lamure, Billon et Bories, MM. Brisson, Lefèvre et Guerriau, Mmes Morhet-Richaud et Eustache-Brinio, MM. Bonne et Lagourgue, Mme Mélot, MM. Bouchet et B. Fournier, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 74 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article L. 863-2 du code de la sécurité intérieure est complété par une phrase ainsi rédigée : « Ces services ne peuvent transmettre à d’autres services, français ou étrangers ou obtenir des renseignements d’autres services, français ou étrangers, que dans les conditions prévues au chapitre Ier du titre II du présent livre ainsi que, s’agissant des autorités d’un État n’appartenant pas à l’Union européenne, dans les conditions prévues à l’article 70-25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

L’amendement n° 5 rectifié septies n’est pas soutenu.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 74.

Mme Esther Benbassa. Heureusement que je suis là pour défendre ces dispositions !

Certes, mais nous ne sommes pas couchés !

Mme Esther Benbassa. En tout cas, mes chers collègues, vous constaterez que je fais mon travail de parlementaire !

Toujours afin d’assurer la mise en conformité de notre droit avec le droit européen, cet amendement tend à offrir des garanties en matière de transfert des renseignements. En effet, le code de la sécurité intérieure n’impose aujourd’hui aucune condition ni aucun contrôle quant aux échanges de renseignements entre les autorités nationales et d’autres autorités, qu’elles soient françaises ou étrangères.

Je le répète, cette situation est contraire, non seulement à la directive, qui impose des normes en matière de transfert de renseignements hors Union européenne, mais aussi à notre propre droit : ce dernier exige que les échanges de données avec des autorités françaises, européennes ou hors Union européenne obéissent à l’un des intérêts fondamentaux de la Nation, et que la CNCTR soit en mesure d’en assurer le contrôle.

Nous proposons, en conséquence, de modifier le code de la sécurité intérieure en ce sens.

Quel est l’avis de la commission ?

La directive ne s’applique pas aux fichiers de renseignement à finalité mixte des services spécialisés de renseignement. Choisir d’appliquer de telles restrictions aux échanges entre services de renseignement ne pourrait qu’affaiblir la coopération entre services de renseignement.

La commission émet, partant, un avis défavorable sur cet amendement.

Quel est l’avis du Gouvernement ?

Le Gouvernement émet également un avis défavorable, monsieur le président.

Je mets aux voix l’amendement n° 74.

TITRE III bis

Dispositions visant à faciliter l’application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales

(Division et intitulé nouveaux)

TITRE III bis

DISPOSITIONS VISANT À FACILITER L’APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES

(Division et intitulé nouveaux)

L’amendement n° 110, présenté par le Gouvernement, est ainsi libellé :

Supprimer cet article.

La parole est à Mme la garde des sceaux.

Mesdames, messieurs les sénateurs, madame la rapporteur, permettez-moi de prendre quelques instants pour développer les raisons qui ont conduit le Gouvernement à déposer cet amendement.

L’article 19 bis, voté par votre commission des lois, crée à destination des communes et des établissements publics de coopération intercommunale à fiscalité propre une nouvelle dotation qui s’élèverait, au total, à 170 millions d’euros. Cette dotation serait compensée par la hausse de la taxe sur les services fournis par les opérateurs de communications électroniques.

Le Gouvernement vous demande de revenir sur la création de ce fonds, et ce pour plusieurs raisons.

Tout d’abord, il est loin d’être certain que ce dispositif permette d’atteindre les objectifs que vous lui avez assignés. En effet, il est difficile de déterminer dans quelle mesure cette nouvelle dotation, d’un montant financier relativement élevé, correspondra réellement aux besoins qu’éprouvent les collectivités territoriales en la matière. De plus, son mode d’attribution, à l’ensemble du bloc communal et selon le seul critère de la population, peut susciter des interrogations : quelle serait l’équité d’un versement de cette nature ?

Ensuite, cette dotation entrerait dans le périmètre des concours financiers, tel qu’il est défini à l’article 16 de la loi de programmation des finances publiques pour les années 2018 à 2022, lequel comprend les prélèvements sur recettes. Or ce même article a fixé un plafond annuel de l’ensemble des concours financiers de l’État aux collectivités locales. Ce montant est globalement stable jusqu’en 2022.

Dès lors, la création d’un concours financier d’un montant de 170 millions d’euros conduirait mécaniquement à réduire dans une proportion équivalente les autres concours financiers de l’État aux collectivités, et ce afin de respecter le plafond prévu par la loi de programmation.

Les concours susceptibles d’être réduits à ce titre pourraient être, par exemple, les dotations de soutien à l’investissement local, la dotation globale de fonctionnement, la DGF, ou encore la dotation de compensation de la réforme de la taxe professionnelle.

De surcroît, cette dotation spéciale serait destinée, dans son esprit, à la mise en conformité des collectivités territoriales au RGPD. Pourtant, elle ne s’appliquerait qu’à partir de l’exercice 2019. Or – nous n’avons cessé de le dire depuis hier – ce règlement doit entrer en vigueur au 25 mai 2018.

Depuis 2004, les collectivités territoriales sont, en tant que responsables de traitement, déjà soumises à des obligations en matière de protection des données. Nous l’avons rappelé hier, et plusieurs d’entre vous l’ont souligné.

Si le RGPD énonce bien de nouvelles obligations, comme la désignation d’un délégué à la protection des données, il ouvre également la voie à une réduction tout à fait substantielle des formalités préalables auxquelles les collectivités sont soumises.

Je pense non seulement aux autorisations diverses, mais aussi à l’obligation de déclaration auprès de la CNIL, dont la Commission européenne a estimé, dans son étude d’impact, qu’elle représente un coût unitaire de 200 euros : ce n’est pas négligeable.

Je songe également à la suppression du régime d’autorisation par arrêté des traitements destinés à mettre à la disposition des usagers de l’administration des téléservices de l’administration électronique, ainsi qu’à l’assouplissement des traitements utilisant le numéro d’inscription au répertoire, le NIR.

Je vous l’assure, mesdames, messieurs les sénateurs, le Gouvernement a véritablement pris la mesure des inquiétudes exprimées par les collectivités territoriales. Au demeurant, le Sénat est pleinement dans son rôle en s’en faisant l’interprète, et il est tout à fait normal que, sur votre initiative, nous puissions avoir ce débat.

J’ai déjà évoqué le regard tout à fait favorable que le Gouvernement porte sur plusieurs mesures proposées par la commission des lois pour accompagner les collectivités locales. Je vous l’ai dit hier, j’ai moi-même alerté les préfets la semaine dernière, en insistant sur la nécessité de nous mobiliser sur la question de la protection des données.

De concert avec la CNIL, nous avons revu la possibilité de mener des actions conjointes avec les associations d’élus, notamment les réseaux d’associations de maires. Ces dernières disposent de la meilleure connaissance du terrain et sont capables, non seulement de faire remonter des questions pertinentes, mais aussi de tracer les solutions d’appui qui peuvent être adoptées.

À cet égard, la mise à jour d’un guide par la CNIL doit être une priorité. La constitution de centres de ressources dans les territoires, qui, elle aussi, a été évoquée hier, sera sans doute également un levier très puissant.

J’y insiste : j’entends vos préoccupations et, pour moi, il n’est nullement question de les traiter à la légère. À mon sens, il est de notre responsabilité que cette nouvelle loi de 1978 s’applique dans les meilleures conditions possible partout, dans tous les territoires.

Il n’en demeure pas moins que le Gouvernement n’est pas favorable à l’établissement de la dotation ici proposée. Ce dispositif conduirait à réduire les dépenses nécessaires à d’autres politiques publiques menées par les collectivités territoriales.

Quel est l’avis de la commission ?

La commission n’a aucune intention de revenir sur sa position !

Nous entendons bien les arguments invoqués par le Gouvernement, en particulier pour ce qui concerne l’enveloppe normée. Mais il faut reconnaître que, sur le plan financier, le Parlement se trouve pieds et poings liés. Notre pouvoir d’initiative budgétaire est totalement corseté : nous ne pouvons pas protéger les collectivités comme nous le souhaiterions et, surtout, comme il serait nécessaire de le faire !

Madame la garde des sceaux, vous avez cité un montant de 200 euros. J’avoue que je n’ai pas les mêmes chiffres. Certaines collectivités – je ne parle pas des plus grandes d’entre elles ! – se sont vu proposer, par des cabinets de conseil ou des cabinets d’avocats, des devis pouvant atteindre 50 000 euros par an, …

Tout à fait !

… simplement pour obtenir un data protection officer, ou DPO, externalisé.

Oui, les collectivités sont extrêmement touchées par cette réforme. Depuis deux ans qu’est connu le texte de cette directive, elles n’ont pas été informées des mesures qui allaient leur être imposées. Aujourd’hui, elles sont tenues de faire face à une obligation de conformité qui est très violente, et elles ont besoin d’être aidées.

On charge sans cesse les collectivités. Le Gouvernement leur demande déjà de faire énormément d’efforts en matière budgétaire. Une fois de plus, une charge leur est transférée. On présente ce changement comme un progrès ; c’est le cas si l’on ne considère que l’objectif européen, mais les collectivités territoriales n’en seront que plus étranglées !

Si nous avons formulé cette proposition, c’est aussi pour que vous nous soumettiez une contre-proposition, parce que nous attendons votre aide.

Très bien !

La parole est à M. le président de la commission des lois.

M. Philippe Bas, président de la commission des lois. Madame la garde des sceaux, en la matière, la situation me semble très simple. Il y a un principe que le Gouvernement doit se décider à appliquer à ses relations avec les collectivités territoriales, et que nous allons d’ailleurs vous proposer d’inscrire dans la Constitution : qui décide paie.

En l’occurrence, le Gouvernement veut imputer aux collectivités territoriales une charge nouvelle sur l’objectif de dépenses déjà arrêté, pour ce qui les concerne, dans les années à venir. Mais, du fait même de ces nouvelles obligations, le périmètre de la dépense change, ce qui est inadmissible !

Un autre sujet suscite un désaccord avec le Gouvernement : la limitation de la vitesse de circulation à quatre-vingts kilomètres à l’heure sur les routes départementales.

C’est autre chose…

Dans ce dossier, nous nous apercevons que le Gouvernement envisage, aujourd’hui, d’affecter aux hôpitaux le produit des amendes qui seraient prélevées sur les automobilistes contrevenant aux nouvelles règles. C’est une très bonne idée !

Toutefois, si le principe d’une compensation par l’État pour un service public, à partir du produit d’amendes, est reconnu dans un cas, je ne vois pas pourquoi il ne serait pas admis dans l’autre. Dès lors, il nous semble que la compensation prévue par la commission des lois ne se heurte à aucune objection de principe.

Vous nous opposez un autre argument : il ne serait pas possible d’évaluer à l’avance la charge qui résultera de cette mesure pour les collectivités territoriales…

Quel aveu !

Néanmoins, rien ne nous empêche de provisionner cette dépense en y consacrant une ressource spécifique : c’est précisément ce que fait la commission.

Au fond – Mme la rapporteur le suggère, comme toujours, avec élégance –, ce que nous attendions de vous, ce n’était pas une fin de non-recevoir : nous espérions tout simplement que vous accepteriez de lever le gage, puis que vous trouveriez d’autres ressources.

Si vous affectez des recettes budgétaires à la compensation de la charge des collectivités territoriales, il s’agira de crédits évaluatifs. Si, en définitive, on constate qu’il y a trop d’argent, vous ne le dépenserez pas, voilà tout.

Bien sûr, en transférant intégralement le produit des amendes aux collectivités territoriales, nous procédons peu ou prou à l’aveugle, mais nous n’avons pas les moyens de faire mieux, sauf si, à l’avenir, le Gouvernement nous propose de desserrer les contraintes qui s’exercent sur les amendements parlementaires en matière de finances publiques… Mais c’est un autre débat !

La parole est à M. René-Paul Savary, pour explication de vote.

Madame la garde des sceaux, je suis surpris de votre réponse. À l’instar de M. Bas, je pensais que vous alliez proposer un autre type de financement : il serait tout à fait normal que l’État, qui donne une responsabilité supplémentaire aux collectivités locales, compense la charge induite par cette compétence.

Dans l’ancien monde, on a longtemps entendu que les transferts de compétences devaient être compensés à l’euro près. On sait bien comment tout cela se terminait, mais au moins l’on exprimait une volonté de compenser. Désormais, on ne prend même plus cette peine !

Voilà pourquoi je pensais que vous alliez proposer une disposition spécifique dans le cadre du prochain projet de loi de finances, ce qui pourrait se comprendre, ou bien dans un autre texte de loi.

A contrario, vous avancez des arguments que j’interprète comme un chantage pur et simple ! §Passez-moi cette impertinence, mais admettez que vous nous dites, en somme : « Faites attention : si le Gouvernement vous donne des crédits d’une main, il reprendra l’équivalent de l’autre. »

Très bien !

Vous nous détaillez même toutes les possibilités qui s’offrent au Gouvernement à cette fin, en citant différents exemples.

Ce n’est pas ainsi que l’on pourra bâtir la confiance entre le Gouvernement et les collectivités locales. Or le Président de la République nous l’a dit et répété, il souhaite un pacte de confiance.

En conséquence, à l’heure où l’on cherche la confiance avec les territoires, à l’heure où ces derniers sont menacés à travers différentes mesures, notamment la suppression de la taxe d’habitation, vous transférez encore de nouvelles charges aux collectivités territoriales.

C’est la raison pour laquelle je soutiens bien volontiers la commission.

La parole est à M. Jérôme Durain, pour explication de vote.

M. Jérôme Durain. Madame la garde des sceaux, avant tout, je tiens à vous adresser mes félicitations : vous avez parlé pendant cinq minutes et cinquante secondes pour nous expliquer que, en définitive, nous n’aurions pas un fifrelin… Votre démonstration m’a paru assez éloquente !

Sur le fond, la demande dont il s’agit vous semble-t-elle inopportune ou malvenue ? Les collectivités sont très actives en matière numérique. Elles sont dépositaires d’un certain nombre de fichiers nominatifs : l’état civil, les listes électorales, les fichiers relatifs à la fiscalité, les fichiers cadastraux, les fichiers sociaux, etc. Nous sommes bien au cœur du sujet.

Les collectivités territoriales comptent donc parmi les acteurs du numérique qui sont directement concernés par le RGPD. À ce titre, il paraît tout à fait normal de compenser les nouvelles dépenses qu’elles devront consacrer à la tenue de ces fichiers.

Au demeurant, j’ai relevé comme une contradiction au début de votre propos. Vous avez déclaré que, selon vous, le coût de ces dispositions était difficile à évaluer. Mais, aussitôt après, vous vous êtes référée au montant de 170 millions d’euros, en relevant qu’il était relativement élevé.

Certes ! C’est précisément parce que ce coût est assez lourd que la commission des lois et, avec elle, les élus du groupe socialiste et républicain estiment qu’une aide en faveur des collectivités territoriales serait la bienvenue : cette compensation est nécessaire, pour qu’elles puissent assumer la nouvelle obligation qui leur est faite.

Vous connaissez l’état des finances locales. Vous avez fait état de l’ensemble des ressources dont disposent les collectivités. Une dépense nouvelle va leur être imposée et, à mes yeux, notre demande n’est pas inopportune.

Nous pouvons comprendre que cette compensation ne prenne pas la forme ici proposée, mais il aurait été de bon ton que vous nous présentiez d’autres solutions.

La parole est à M. Marc Laménie, pour explication de vote.

Je me permets d’intervenir à propos de cet amendement du Gouvernement, qui vise à supprimer l’article 19 bis.

Pour ma part, je souscris pleinement aux interventions précédentes et je suivrai l’avis émis, au nom de la commission des lois, par M. Philippe Bas comme par Mme la rapporteur.

Ces dépenses nouvelles sont estimées à 170 millions d’euros : il s’agit là des coûts de fonctionnement que la mise en œuvre du RGPD imposerait aux collectivités. À mon tour, j’observe qu’il serait bon d’appliquer le principe : « Qui décide paie. »

J’en suis conscient, l’État est le premier partenaire des collectivités territoriales en termes de masse financière, qu’il s’agisse de l’investissement ou du fonctionnement. Mais, compte tenu de ces nouvelles dispositions, la commission a, de manière tout à fait légitime, proposé d’instaurer une dotation spécifique au bénéfice des groupements territoriaux concernés, à savoir les communes et les intercommunalités.

Mes chers collègues, on peut rapprocher cette situation de celle que nous avons vécue l’été dernier : du 11 juillet au 4 août 2017, nous avons débattu de la réserve parlementaire, qui, malheureusement, a été supprimée.

Très mauvais souvenir !

Je le regrette toujours, comme, j’en suis sûr, chacune et chacun d’entre vous.

Aujourd’hui, ce sont environ 170 millions d’euros qui sont en jeu. Avec la réserve parlementaire, il s’agissait peu ou prou des mêmes sommes, 130 à 150 millions d’euros. Et ce n’est pas parce que l’on a supprimé ce dispositif que, maintenant, tout va mieux.

Tant de clochers qui s’écroulent…

La réserve parlementaire était un vecteur de la solidarité de l’État envers les collectivités territoriales, en particulier les petites communes. Désormais, cette aide est soumise à l’appréciation des représentants de l’État. Ces derniers nous inspirent le plus profond respect – je le dis en toute sincérité. Mais nous n’en avons pas moins perdu ce moyen d’action et cette prérogative !

Voilà pourquoi j’abonde pleinement dans le sens de la commission des lois.

La parole est à M. Loïc Hervé, pour explication de vote.

M. Loïc Hervé. Mes chers collègues, nous sommes parvenus à une heure tardive, et ce n’est peut-être pas le moment de faire le jésuite…

On pourrait reprocher aux sénateurs d’être les avocats des collectivités territoriales et de vouloir toujours compenser les compétences qui leur sont transférées par de nouvelles ressources. D’ailleurs, c’est pour ainsi dire la fonction constitutionnelle du Sénat.

Cela étant, je vais me placer du point de vue de l’État et de son budget.

Très bien !

Combien le RGPD coûte-t-il concrètement ? Voilà plusieurs heures que nous travaillons sur ce sujet. Combien coûte la mise en œuvre de ce dispositif en France, et quels moyens nouveaux affecte-t-on à la Commission nationale de l’informatique et des libertés, la CNIL ?

Madame la garde des sceaux, j’ai cru entendre dans vos propos que la CNIL avait déjà été bien servie : ses effectifs, en particulier, ont été copieusement augmentés depuis dix ans environ.

Certes, depuis 2010.

Pour notre part, nous parlons du bloc communal. Une nouvelle fois, on avance que ces changements se traduiront par la disparition de diverses obligations, qu’il s’agisse de déclarations ou d’autorisations. Aussi l’exercice de cette compétence coûterait-il moins cher.

À l’inverse, j’estime que le RGPD va coûter cher aux collectivités locales.

Oui !

Dans un certain nombre de cas, il va même leur coûter très cher, quand bien même elles n’auraient pas toutes exactement déployé les systèmes de protection des données qui leur sont imposés par la loi de 1978 : nous sommes en plein changement de paradigme. Le système juridique qui protège les données personnelles est en train d’être complètement refondu en France, et même à l’échelle de notre continent.

Je m’exprime, non en tant que défenseur des collectivités, mais au nom de la responsabilité de l’État, au nom de son budget. La RGPD coûte cher. Aussi, comme l’ensemble de mes collègues, j’estime que, au-delà de l’accompagnement assuré par les préfets, il est nécessaire de garantir un soutien financier, quand bien même il serait seulement symbolique.

Mme Sophie Joissains, rapporteur. Ah non, pas seulement symbolique !

J’ai bien dit « quand bien même », madame la rapporteur. Ce dispositif démontrerait l’implication de l’État.

À cet égard, madame la garde des sceaux, la fin de non-recevoir que vous nous avez opposée est on ne peut plus fâcheuse.

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

M. Jean-Pierre Sueur. Madame la garde des sceaux, je tiens à vous féliciter : vous avez présenté votre amendement avec une sérénité et un calme tout à fait impressionnants !

Mme Esther Benbassa. Quel flatteur…

En même temps, …

En même temps !

… même si, je le sais, vous êtes fort occupée, vous êtes bien consciente que vos arguments sont contestables.

En tout cas, vous les contestez !

Et ils ne le sont pas !

Si, monsieur Patriat, et vous le savez vous aussi. D’ailleurs, je vais montrer pourquoi.

Tout d’abord, vous n’êtes pas sans savoir que bien des collectivités locales sont victimes de ces nombreux cabinets auxquels on fait appel à tout bout de champ.

Oh, ça oui !

Ces cabinets d’études sont appelés à se prononcer sur moult sujets. Or le prix de leurs prestations est très souvent supérieur à 200 euros.

Il s’agissait du concours de la CNIL !

M. Jean-Pierre Sueur. En l’occurrence, il faudra désigner un délégué à la protection des données au sein des différentes communes, ce qui, dans les villages, sera tout de même un peu difficile. Sans doute faudra-t-il assurer une mutualisation à l’échelle de l’intercommunalité.

Quoi qu’il en soit, ces dispositions vont entraîner des coûts supplémentaires, et personne ne peut le contester. Madame la garde des sceaux, nous nous connaissons bien, et vous pouvez l’admettre en toute franchise.

J’apprécie cette tournure que l’on trouve dans l’objet de votre amendement : « Ainsi, cette nouvelle dotation d’un montant financier élevé, estimé à 170 millions d’euros, n’apporte aucune garantie quant à une prise en charge effective des besoins des collectivités. » En définitive, vous dites que l’on ne sait pas si cette charge représentera 170 millions d’euros. Mais si cette dotation n’existe pas, on n’aura aucun moyen de la compenser !

Si le montant de 170 millions d’euros est trop élevé, il en restera une partie pour l’État ; mais il est également possible que cette dotation soit insuffisante. Comment peut-on dire qu’il est inutile de prévoir une telle somme pour compenser une dépense à laquelle les collectivités devront faire face de manière inéluctable ?

Puis, vous nous dites avoir décidé que les dotations de l’État seraient soumises à un plafond. C’est rigide ! Si l’on crée une nouvelle dépense, comme c’est le cas ici, le plafond sera toujours là. Dès lors, si l’on affecte cette somme, il faudra la déduire de la dotation globale de fonctionnement ou d’une autre dotation.

Ne pensez-vous pas, madame la garde des sceaux, que la République, dans le grand attachement qu’elle éprouve envers les collectivités locales, pourrait considérer de manière positive que, s’il y a une dépense nouvelle, alors il pourra aussi y avoir une nouvelle ressource ?

Aussi, 170 millions d’euros, ce n’est peut-être pas assez, mais vous ne pouvez pas dire en même temps que vous êtes contre cette dotation et qu’elle est insuffisante.

Il faut conclure, mon cher collègue.

Monsieur le président, j’essaie de convaincre Mme la garde des sceaux, …

On a bien compris !

… et cela dans le temps qui m’est imparti. C’est difficile, mais j’espère tout de même avoir fait un bout du chemin !

La parole est à M. Arnaud de Belenet, pour explication de vote.

J’essaierai d’être synthétique, mais il est difficile de ne pas intervenir sur ce sujet dans cet hémicycle.

Au-delà de l’aspect exclusivement financier du sujet, que personne ne sait d’ailleurs quantifier de façon certaine – dont acte ! –, et après les initiatives prises par la commission des lois et les modifications que le Sénat compte apporter au texte, j’ai entendu de la part du Gouvernement des réponses claires et positives.

Oui, il convient d’accompagner les collectivités. Oui, leur information est un vrai sujet. Oui, il faut permettre aux syndicats de communes et – pourquoi pas, même si c’est un peu plus compliqué juridiquement – aux associations de maires d’intervenir dans ce domaine. Oui, rendons possibles les mutualisations. Oui, accompagnons mieux les territoires qui n’ont pas encore appréhendé cette problématique, en particulier les petites communes, mais aussi, en vérité, 98 % des villes !

Ce message est passé, il a été entendu par le Gouvernement, et Mme la garde des sceaux l’a évoqué lors de la discussion générale. Les choses sont désormais claires, et j’imagine bien que, au fil de la navette, à l’Assemblée nationale ou en commission mixte paritaire, la problématique des collectivités sera prise en compte. En effet, il existe des moyens logistiques et humains pour ce faire, et des solutions techniques pourront être prises en charge par les syndicats.

Reste-t-il seulement un problème de compensation financière ? Pardonnez-moi, mes chers collègues, mais il ne s’agit pas ici d’un transfert de charges.

Je partage votre préoccupation quant au sort des collectivités, mais votre raisonnement est biaisé. Le maire que j’ai été pendant quinze ans se souvient très bien qu’il a perdu au fil du temps 90 % de ses dotations ; ce n’était pas sous le gouvernement actuel ! Mon premier adjoint, qui m’a relayé à la mairie, est heureux que, enfin, les dotations aient cessé de baisser.

Ah bon ?

Chez moi, cela continue de baisser !

Passer de 1, 5 million à 186 000 euros de dotations sur six exercices, à partir de 2007, c’était douloureux. Il faudrait donc que chacun assume sa part de responsabilité dans la situation des finances des collectivités. Pardonnez-moi, mes chers collègues, mais votre réaction m’oblige à le faire.

C’est un mensonge !

Non, c’est une réalité. À mes yeux, il y a ici non pas un transfert de charges, mais une nouvelle réglementation, qui impose une obligation à l’ensemble des acteurs, y compris les collectivités.

S’il faut que celui qui décide paye, alors c’est à l’Europe de payer ! L’emploi des fonds européens est d’ailleurs un vrai sujet : dans tous les départements, nous sous-consommons les aides de l’Europe aux collectivités.

Voilà la solution ! Bonne idée !

Voilà un vrai sujet de mobilisation. L’ensemble des préfectures ont d’ailleurs pour consigne aujourd’hui de remobiliser les collectivités pour aller chercher ces crédits, car c’est un réel moyen de financement.

Il faut conclure, mon cher collègue.

Cela ne financera pas directement, mais disons honnêtement les choses : il n’y a pas de transfert de charges, il y a une obligation.

Est-il raisonnable et responsable que le Sénat ne défende sur ce point que les collectivités ? Il faudrait aussi abonder aux dépenses des entreprises et des autres acteurs concernés. Allons au bout de notre logique, soyons honnêtes !

Je mets aux voix l’amendement n° 110.

L’amendement n° 146, présenté par Mme M. Carrère, est ainsi libellé :

I. – Alinéa 6

Rédiger ainsi cet alinéa :

« Cette dotation, composée d’une part fixe s’élevant à 5 000 euros, est complétée d’une part variable, déterminée en fonction de la population des communes s’élevant :

II. – Pour compenser la perte de recettes résultant du I, compléter cet article par un paragraphe ainsi rédigé :

… – La perte de recettes résultant pour l’État du présent article est compensée, à due concurrence, par la création d’une taxe additionnelle aux droits prévus aux articles 575 et 575 A du code général des impôts.

La parole est à Mme Maryse Carrère.

Je risque malheureusement d’être redondante, mais cet amendement vise surtout à insister sur le coût du RGPD et sur la responsabilisation qui s’imposera à chaque acteur. Celle-ci nécessitera un important investissement humain et technologique, qui reste mal évalué dans les collectivités.

Le manque de compétences informatiques au sein des collectivités territoriales, notamment des plus petites d’entre elles, rend cette transition d’autant plus difficile qu’elle les place dans une situation peu favorable pour évaluer le coût réel des services proposés pour le traitement de données personnelles. Dans certains cas, les relations avec les éditeurs de logiciels sont également la source de difficultés, qui rejoignent le problème plus général de détermination du prix d’un marché public.

Il en résulte que les services de traitement des données personnelles proposés aux collectivités territoriales sont onéreux, y compris quand, dans les petites communes rurales, ils ne concernent que quelques centaines de personnes ; j’en parle d’expérience sur mon territoire.

L’objet de cet amendement est donc de rappeler la réalité du coût de la mise en œuvre de cette mise en conformité.

Quel est l’avis de la commission ?

Au vu du niveau de notre dialogue avec le Gouvernement concernant la nouvelle charge qui pèse sur les collectivités, ce serait un vrai cadeau, une pochette-surprise, que d’accorder 5 000 euros supplémentaires à chaque commune, ce qui est tout de même considérable !

La commission avait pensé demander le retrait de cet amendement. Néanmoins, comme il s’agit d’un amendement d’appel, elle s’en remet à la sagesse de la Haute Assemblée.

Quel est l’avis du Gouvernement ?

Il est défavorable, monsieur le président.

Je mets aux voix l’amendement n° 146.

Je mets aux voix l’article 19 bis.

L’amendement n° 118, présenté par le Gouvernement, est ainsi libellé :

Supprimer cet article.

La parole est à Mme la garde des sceaux.

Par cet amendement, mesdames, messieurs les sénateurs, le Gouvernement vous demande de supprimer l’article 19 ter, introduit lors de l’examen du texte en commission.

Cet article modifie le régime des dispositifs de mutualisation, qui sont encadrés par les articles L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales, ou CGCT. Le Gouvernement est naturellement favorable au développement des formes de mutualisation entre les collectivités territoriales et leurs groupements.

Très bien !

C’est formidable !

Néanmoins, la rédaction de l’article 19 ter présente, selon nous, plusieurs inconvénients au regard de l’objectif louable de la commission.

À titre liminaire, il convient de relever que cet article modifie l’économie des dispositifs de mutualisation. On peut s’interroger sur le lien qu’il présente avec le texte en discussion, qui est relatif à la protection des données. Sur le fond, l’article 19 ter opère des modifications qui posent des difficultés au regard des objectifs d’intégration communautaire.

Premièrement, ce nouvel article modifie la deuxième phrase du troisième alinéa de l’article L. 5111-1 du CGCT, afin de permettre la conclusion de conventions de prestations de services entre, d’une part, des communes et des syndicats intercommunaux, et, d’autre part, une commune et un syndicat mixte.

L’article 19 ter concourt ainsi au maintien d’un syndicat inclus dans un EPCI à fiscalité propre, au lieu de privilégier des transferts de compétences du syndicat au bénéfice de l’EPCI à fiscalité propre dont sont membres les communes contractantes.

Dès lors, par cet article, la loi encouragerait de telles formules, alors que, au travers des schémas départementaux de coopération intercommunale, de la loi de réforme des collectivités territoriales de 2010 et de la loi Nouvelle organisation territoriale de la République de 2015, le législateur a souhaité à l’inverse renforcer l’intégration communautaire et la diminution du nombre de syndicats.

Deuxièmement, cet article modifie la première phrase du III de l’article L. 5111-1-1, en en étendant le bénéfice aux communes et à leurs groupements. Ces assouplissements envisagés sont de nature à aller à l’encontre de la logique de l’intégration communautaire, les transferts de compétences constituant le mode de relation privilégié entre les communes et les intercommunalités, de nature à sécuriser les actes et interventions.

Or le conventionnement en vue de réaliser des prestations de service est considéré comme une exception aux principes de spécialité et d’exclusivité. La modification du III de l’article L. 5111-1-1 du CGCT va donc à l’encontre des principes de rationalisation des intercommunalités, me semble-t-il, en permettant la création d’un syndicat mixte ouvert associant des communes et les EPCI dont ils sont membres.

Je souhaiterais enfin rappeler qu’il existe aujourd’hui de très nombreux dispositifs de mutualisation, qui sont d’ailleurs rappelés par une circulaire du 30 novembre 2015 de la direction générale des collectivités locales. Ainsi, le droit des mutualisations est un sujet vraiment complexe, qui mérite sans doute que l’on s’y attarde beaucoup plus longuement qu’au travers d’un amendement sur un projet de loi traitant de toute autre chose.

Je sais que mon collègue ministre d’État, ministre de l’intérieur souhaite faire avancer ce dossier dans le cadre de la prochaine réunion de la conférence nationale des territoires, qui est prévue dans les mois prochains. Il me semble préférable de traiter ce sujet dans ce cadre général plutôt qu’à l’occasion de l’examen de ce projet de loi. En effet, le risque serait d’aboutir à un texte incomplet, voire inapplicable.

C’est pour l’ensemble de ces raisons que le Gouvernement vous propose, mesdames, messieurs les sénateurs, de supprimer l’article 19 ter.

Quel est l’avis de la commission ?

L’article 19 ter est né de l’audition que nous avons menée avec l’Assemblée des départements de France, les centres de gestion et deux représentants de syndicats de communes.

Notre ambition n’est pas forcément de tout prévoir en lieu et place des communes. Nous entendons simplement leur offrir un panel de solutions ; certaines communes ont d’ailleurs commencé à les utiliser, même si elles sont très peu nombreuses à le faire en France. Certaines communes sont proches de syndicats mixtes déjà existants, d’autres de communautés d’agglomération, d’autres encore de communautés de communes, d’autres du département ou du centre de gestion…

De fait, cet article va dans le sens de la libre administration des collectivités territoriales : celles-ci doivent pouvoir choisir la manière dont elles souhaitent se mutualiser. La France n’est pas encore l’Union soviétique, Dieu merci !

La commission a donc émis un avis défavorable sur cet amendement de suppression.

Je mets aux voix l’amendement n° 118.

Je mets aux voix l’article 19 ter.

L’amendement n° 81, présenté par M. L. Hervé, est ainsi libellé :

Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

Au deuxième alinéa de l’article L. 1425-2 du code général des collectivités territoriales est ainsi modifié :

1° À la première phrase, le mot : « peuvent » est remplacé par le mot : « doivent » ;

2° La dernière phrase est supprimée.

La parole est à M. Loïc Hervé.

Cet amendement vise à envoyer un signal aux collectivités locales, pour qu’elles s’emparent de la question du numérique sur les territoires.

Nous avons évoqué ce sujet à de nombreuses reprises, mais nos collègues élus locaux ont pu quelque peu négliger cette question, et cela depuis de très nombreuses années. La question des réseaux, certes, est tellement liée à la vie quotidienne que la mobilisation est sur ce point plus importante. En revanche, elle l’est moins sur la question des usages.

Dès lors, compte tenu de l’importance croissante du numérique dans notre société, de son impact et des enjeux qui s’y rapportent – dématérialisation des services, inclusion numérique, ouverture, sécurisation et protection des données –, il est assez surprenant que les collectivités locales ne soient pas tenues d’élaborer une stratégie de développement des usages et des services numériques sur leur territoire à l’échelon le plus adapté.

Dans la loi Montagne, cette stratégie avait été mise en œuvre, mais pour les seules zones de montagne. Nous vous proposons à présent de la déployer sur le territoire national tout entier. Encore une fois, ce n’est pas une obligation nouvelle ; c’est une incitation forte du législateur à ce que les élus locaux s’emparent eux-mêmes de cette question de la stratégie du numérique dans les territoires.

De mon point de vue, nous ne serions pas le Sénat si nous n’adressions pas ce message à nos collègues élus. On sent bien que c’est important, eu égard à la question des données personnelles dans le débat qui nous intéresse aujourd’hui. Ce n’est pas une contrainte nouvelle, c’est une incitation forte du législateur.

La stratégie elle-même n’est pas définie – il ne s’agit pas d’un schéma de cohérence territoriale ; il s’agit bien plutôt d’une invitation assez directive à nos collègues, pour qu’ils déploient une telle stratégie sur leur territoire.

Quel est l’avis de la commission ?

Cet amendement vise à rendre obligatoire l’établissement par les collectivités d’une stratégie de développement des usages et services numériques.

L’intention est louable, et ce sera un jour nécessaire, bien entendu, mais, aujourd’hui, les collectivités ont d’abord besoin de s’adapter, de passer la première étape avant d’aborder la seconde. La commission ne souhaite donc pas multiplier les documents de planification obligatoires à leur charge, du moins aujourd’hui.

C’est pourquoi, mon cher collègue, je vous demande de bien vouloir retirer votre amendement.

Quel est l’avis du Gouvernement ?

Je partage l’avis de Mme la rapporteur. Je considère en outre que le lien de cet amendement avec le texte qui nous occupe, et qui a pour objet les données personnelles, est quelque peu ténu. Vous cherchez, monsieur le sénateur, à inciter les communes à développer une telle stratégie, mais vous instaurez plus qu’une incitation : il s’agit bien d’une obligation !

C’est pourquoi le Gouvernement demande le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.

Monsieur Hervé, l’amendement n° 81 est-il maintenu ?

Je vais maintenir cet amendement, quel que soit son destin, parce que je suis persuadé que cette question doit être traitée au niveau le plus bas de la subsidiarité, c’est-à-dire à l’échelle des collectivités territoriales.

À l’occasion d’un tel texte, après le débat financier que nous avons eu, nous devons être capables de fixer le cap, en tant que législateur, et d’inviter les élus locaux à prendre en main ces sujets, qu’il s’agisse des réseaux ou des usages. Le Sénat a fusionné l’ensemble des groupes d’études qui touchaient au numérique pour créer un nouveau groupe, sous la tutelle du président du Sénat et de l’ensemble des présidents de commission. Nous nous inscrivons précisément dans cette démarche.

Dès lors, si nous voulons favoriser les synergies et les rencontres entre les communes, entre les intercommunalités, à l’échelon le plus bas de l’administration territoriale du pays, rejeter cet amendement serait une erreur. C’est pourquoi je vais le maintenir, au moins pour le principe : j’estime qu’il s’agit d’un sujet d’importance.

Nous n’avons eu de cesse de regretter que, depuis quarante ans, les obligations faites aux collectivités locales, y compris dans le domaine du traitement des données, n’aient pas été suffisamment prises en compte. Cela crée, madame la garde des sceaux, un lien avec le texte en discussion qui est beaucoup moins ténu qu’on ne peut le penser.

Je maintiens donc cet amendement, monsieur le président.

Je mets aux voix l’amendement n° 81.

L’amendement n° 28 rectifié ter, présenté par M. Chaize, Mme Eustache-Brinio, M. Sol, Mme Giudicelli, M. Hugonet, Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Savary, Bazin et Vaspart, Mme Lassarade, MM. D. Laurent, Kennel et Mouiller, Mmes Boulay-Espéronnier, Deromedi, Lamure et Deseyne, MM. Paccaud, Poniatowski, Buffet, de Nicolaÿ, Bonhomme, Milon, Bascher et Vogel, Mmes Deroche et Imbert, M. Bouchet, Mme de Cidrac et MM. Bonne, Revet, Laménie et Gremillet, est ainsi libellé :

Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

1° Le second alinéa de l’article L. 233-1 du code de la sécurité intérieure est complété par les mots : « ou par le responsable ou les responsables conjoints de traitements de données à caractère personnel à finalité statistique pour l’exercice de leurs missions de régulation du trafic routier ou d’organisation de la mobilité » ;

2° L’article L. 330-1 du code de la route est complété par un alinéa ainsi rédigé :

« Lorsque les traitements automatisés de données à caractère personnel ont une finalité statistique, ils restent soumis aux dispositions de l’article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

La parole est à M. René-Paul Savary.

Cet amendement a pour objet la lecture automatisée des plaques d’immatriculation. Nous proposons d’insérer dans le projet de loi un article additionnel aux termes duquel les traitements automatisés de données à caractère personnel, lorsqu’ils ont une finalité statistique, restent soumis aux dispositions de l’article 36 de la loi relative à l’informatique, aux fichiers et aux libertés.

Quel est l’avis de la commission ?

Cet amendement tend à autoriser l’utilisation de la technologie de lecture automatisée des plaques d’immatriculation pour produire des informations statistiques à des fins de régulation du trafic routier ou d’organisation de la mobilité.

Pour l’heure, cette technologie est réservée aux forces de police et de gendarmerie, à des fins de prévention ou de répression d’infractions pénales particulièrement graves, comme le terrorisme, la criminalité organisée, la contrebande en bande organisée, le vol et le recel de véhicules, ou encore d’infractions douanières. La loi de modernisation de la justice du XXIe siècle a prévu d’étendre son utilisation à la constatation des infractions au code de la route, mais on attend toujours le décret d’application.

Il ne paraît pas opportun d’étendre aujourd’hui l’utilisation d’une technique aussi intrusive à des fins de gestion de la mobilité, d’autant que l’amendement ne tend pas même à réserver expressément son utilisation à des personnes publiques.

En conséquence, je vous demande, mon cher collègue, de bien vouloir retirer cet amendement.

Quel est l’avis du Gouvernement ?

C’est le même avis : le Gouvernement sollicite le retrait de cet amendement.

Monsieur Savary, l’amendement n° 28 rectifié ter est-il maintenu ?

La question mérite d’être posée. En effet, aujourd’hui, les sociétés privées de contrôle du stationnement payant, par exemple, disposent également d’un système leur permettant de relever au passage, depuis une voiture dotée de caméras, les numéros d’immatriculation des véhicules en stationnement. Il faut donc que des dispositions clarifient la protection de ces données.

Je prends note de la demande de retrait de cet amendement, mais, à terme il faudra trouver des solutions dans ce domaine.

Cela dit, je retire l’amendement, monsieur le président.

L’amendement n° 28 rectifié ter est retiré.

TITRE IV

HABILITATION À AMÉLIORER L’INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES

(Division et intitulé supprimés)

L’amendement n° 111, présenté par le Gouvernement, est ainsi libellé :

Rétablir cet article dans la rédaction suivante :

I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires :

1° À la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ;

2° Pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;

3° À l’adaptation et à l’extension à l’outre-mer des dispositions prévues aux 1° et 2° ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la même loi du 6 janvier 1978 relevant de la compétence de l’État.

II. – Cette ordonnance est prise, après avis de la Commission nationale de l’informatique et des libertés, dans un délai de six mois à compter de la promulgation de la présente loi.

III. – Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l’ordonnance.

La parole est à Mme la garde des sceaux.

La commission des lois a supprimé l’article d’habilitation proposé par le Gouvernement et adopté par l’Assemblée nationale. Le présent amendement a pour objet de rétablir cet article.

Dans le respect absolu des prérogatives du Parlement, le Gouvernement a décidé de déposer un projet de loi permettant de mettre en œuvre le règlement européen et de transposer la directive, sans solliciter d’ordonnance pour ce faire. Les assemblées sont donc saisies des dispositions législatives nécessaires pour assurer la conformité de notre droit national à cette nouvelle réglementation européenne ; aucun des choix politiques ou juridiques pour ce faire n’est ainsi soustrait à l’appréciation du Parlement.

Le Gouvernement souhaite naturellement que soit respectée l’échéance du 25 mai 2018, date à laquelle le règlement européen sera applicable. C’est pourquoi il a fait le choix d’un texte très resserré, et non d’une réécriture de l’ensemble de la loi de 1978, qui eût été beaucoup plus complexe, pour ne procéder qu’aux seuls ajustements rendus nécessaires par la mise en conformité.

Le présent projet de loi procède par ailleurs d’une problématique légistique nouvelle et complexe : il s’agit de tirer les conséquences tant d’un règlement d’application directe que d’une directive, dont les dispositions doivent être transposées dans la loi, alors même que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, étroitement liées.

C’est la raison pour laquelle le Gouvernement sollicite du Parlement une habilitation pour codifier les modifications apportées à notre droit par ce projet de loi dans la loi fondatrice de 1978.

Ainsi, nous offrirons un cadre juridique lisible, sécurisé et stable à chaque citoyen et acteur économique de notre pays. Je le répète, il ne s’agira aucunement de revenir sur les choix politiques que le Parlement sera amené à faire lors du vote du texte. Non seulement le Gouvernement s’y engage, mais cet engagement résulte des termes mêmes de l’habilitation qui vous est soumise. Le Conseil d’État, dans son avis sur le projet de loi, a validé cette démarche, tout en réduisant le délai d’habilitation à six mois. Vous proposez quant à vous, madame la rapporteur, de ramener ce délai à quatre mois.

L’habilitation sollicitée permettra d’adopter, pour la loi de 1978, un plan clair : un titre Ier rappellera les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre II sera consacré au champ du règlement, un titre III à celui de la directive, et un titre IV aux dispositifs hors du champ de l’Union.

L’ordonnance permettra également de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel, afin d’apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet.

La démarche adoptée par le Gouvernement consiste donc à soumettre au Parlement les questions posées par la transcription dans notre droit des nouvelles règles européennes sans avoir à employer son temps, que l’on sait précieux, à opérer une codification qui ne pourra qu’intervenir à droit constant, compte tenu des termes mêmes de l’habilitation et de la nécessité d’offrir aux citoyens un cadre juridique clair et lisible.

Le sous-amendement n° 156, présenté par Mme Joissains, au nom de la commission, est ainsi libellé :

Amendement n° 111

I. – Alinéa 2

Après le mot :

Constitution

insérer les mots :

et dans le respect des dispositions prévues aux titres Ier à III bis de la présente loi

II. – Alinéa 6

Remplacer le mot :

six

par le mot :

quatre

La parole est à Mme le rapporteur.

Il me semble possible – j’espère que vous partagerez mon opinion, mes chers collègues –, au vu des explications apportées par le Gouvernement, d’accepter le rétablissement de l’habilitation sollicité par le Gouvernement, mais à condition que soit adopté le présent sous-amendement.

Comme je l’ai déjà dit hier en introduction à nos débats, le caractère inintelligible des nouvelles normes relatives à la protection des données est un enjeu démocratique d’accessibilité du droit pour les citoyens et de sécurité juridique pour les acteurs économiques.

À ce titre, le Gouvernement vient de s’engager devant le Sénat à offrir un cadre juridique lisible consistant en une simple codification, sans rien changer aux décisions du Parlement. Je pense évidemment à nos collectivités territoriales et à nos TPE et PME. Il s’est également engagé à informer régulièrement le Parlement de l’avancement du projet d’ordonnance.

Le présent sous-amendement vise à prendre acte de ces engagements donnés au Sénat et à encadrer à double titre l’habilitation sollicitée. Sur le fond, il a pour objet de préciser expressément que l’ordonnance ne pourra modifier les équilibres auxquels sera parvenu le Parlement.

Dans le temps, il tend à réduire à quatre mois le délai offert au Gouvernement pour prendre cette ordonnance, le ministère nous ayant rassurés lors des auditions sur le fait qu’elle était presque prête ; en même temps, il faut qu’elle soit complète et véritablement lisible. Un délai plus court devrait tout de même permettre de limiter au minimum la période transitoire séparant l’entrée en vigueur du RGPD, le 25 mai 2018, et celle de l’ordonnance de clarification.

Quel est l’avis du Gouvernement sur le sous-amendement n° 156 ?

Je vous remercie, madame la rapporteur, d’avoir entendu les arguments du Gouvernement et de me faire des contre-propositions.

Sur le premier point, je ne m’attarderai pas, puisque j’accepte tout à fait la modification que vous proposez.

Vous me permettrez d’être un peu plus réservée sur le second point de votre sous-amendement, c’est-à-dire quant à la durée dans laquelle vous souhaitez que soit inscrite la démarche de rédaction de l’ordonnance. En effet, vous entendez ramener de six mois à quatre mois le laps de temps que vous laissez au Gouvernement.

Avant tout, je tiens à rappeler que le délai que nous avions envisagé initialement, dix-huit mois, a déjà été ramené à six mois par le Conseil d’État.

J’entends bien évidemment la nécessité dont vous faites état de procéder le plus rapidement possible à la clarification, donc à la réécriture du texte. Je précise toutefois que cet exercice doit bien entendu se faire de manière sereine, et non pas dans la précipitation. Vous n’ignorez évidemment pas que nous devons aussi procéder à un certain nombre d’auditions, notamment celle de représentants de la CNIL.

Il convient donc, tout d’abord, que le texte soit définitivement voté pour que nous puissions disposer d’une vision d’ensemble pour procéder à la remise en forme cohérente de la loi de 1978, sans remettre en cause – je le répète et, dorénavant, ce sera écrit grâce à vos propositions – les choix fondamentaux réalisés dans le projet de loi, de façon à garantir une meilleure accessibilité de l’ensemble du droit.

Il nous faut également procéder à diverses consultations, en particulier avec les collectivités de la Nouvelle-Calédonie et de la Polynésie française, afin d’étendre les dispositions de la loi à ces collectivités et de les adapter à leur situation.

Pour ces raisons, je suis plus réservée sur la seconde partie de votre sous-amendement, et il me faut donc émettre à son encontre un avis défavorable. Soyez assurée, madame la rapporteur, que, en tout état de cause, entre l’adoption de la loi et la sortie de l’ordonnance tous les outils pédagogiques et de communication seront mis en place, en collaboration avec la CNIL, au service des citoyens, des entreprises et des collectivités locales.

Le Gouvernement émet donc un avis défavorable sur ce sous-amendement.

La parole est à M. le président de la commission des lois.

Madame la garde des sceaux, vous mesurez certainement l’ampleur de l’effort que la commission se propose de faire.

Nous avions rejeté, en commission, le principe même de cette ordonnance. Le texte de la commission des lois n’en porte plus la trace.

Vous avez présenté un amendement, à la suite d’échanges que les collaborateurs du ministère de la justice ont eus avec Mme la rapporteur : ils se sont montrés aussi convaincants que possible et ont fait valoir que l’objet de cette ordonnance s’apparente à un exercice de codification, même s’il ne s’agit pas d’un code : il s’agit d’intégrer à la loi de 1978 Informatique et les libertés des dispositions éparses, en veillant à leur cohérence, et cela sans ajouter à ce qui sera le droit positif après la promulgation de la loi.

Nous comprenons bien l’intérêt de cette démarche et la nécessité d’une plus grande lisibilité pour ceux qui ont à appliquer la loi. Quand nous avons défendu les collectivités territoriales qui se voient assigner de nouvelles responsabilités, nous avons naturellement pris en compte la nécessité pour elles de disposer de textes lisibles. C’est pourquoi nous sommes prêts à faire mouvement – mais pas à n’importe quelles conditions !

Or, madame la garde des sceaux, lorsque nous avons appris, de la bouche même de vos collaborateurs du ministère de la justice, que cette ordonnance était pratiquement prête, nous avons véritablement jugé nécessaire de prévoir un délai court, en contrepartie du sacrifice que nous acceptons de ne pas légiférer nous-mêmes de la manière la plus complète.

C’est la raison pour laquelle nous ne proposerons pas au Sénat l’adoption de l’amendement du Gouvernement si le sous-amendement de la commission des lois n’est pas préalablement adopté, et cela sans modification.

La parole est à Mme la garde des sceaux.

Monsieur le président de la commission, j’ai remercié la commission et Mme la rapporteur de leur proposition ; je mesure pleinement le travail que vous avez accompli en ce sens.

Je répète encore une fois que, même si les services de la Chancellerie ont entamé la rédaction de la future ordonnance, ce travail ne pourra véritablement commencer qu’à partir du moment où ce projet de loi sera adopté. Or nous ne connaissons pas encore précisément les choix du Parlement ; nous faisons, nous aussi, mouvement vers le Parlement. C’est ainsi que se construisent les bonnes et belles lois.

C’est la raison pour laquelle je crains que, une fois ce texte adopté, quand nous devrons engager des consultations, notamment avec la Nouvelle-Calédonie et la Polynésie, et travailler avec la CNIL, qui est très attachée à la rédaction de la loi de 1978, nous n’ayons à faire face aux difficultés que j’ai mentionnées.

Il n’en reste pas moins que j’ai conscience du travail que la Haute Assemblée a accompli.

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

Madame la garde des sceaux, il y a le texte et il y a le contexte.

Certains, que je connais bien, sont tellement furieux de la façon dont on utilise aujourd’hui l’argument de l’ordonnance…

Ce n’est pas un argument !

M. Jean-Pierre Sueur. … qu’ils seraient prêts à vous proposer, dans le cadre de la réforme de la Constitution, qu’il n’y en ait plus. Jadis existaient les décrets-lois ; aujourd’hui, ce sont des ordonnances.

Pour ma part, je ne suis pas aussi radical : je pense que les ordonnances peuvent être utiles, par exemple pour la codification à droit constant ou, dans un certain nombre de cas, pour la transposition de directives européennes.

Soyons réalistes, mais n’ignorons pas que nous entrons dans la journée du 22 mars 2018…

Oui !

… et que certains de vos collègues – mais pas vous-même, madame la garde des sceaux – ont en quelque sorte brandi l’ordonnance comme une menace : « il y aura des ordonnances, mais, si cela se passe bien, il y en aura peut-être moins »…

Je vous l’assure : c’est nul, cela ne sert à rien et provoque plutôt l’effet contraire de celui qui est visé. Ce procédé est tout à fait inefficace et, je le dis franchement, n’est pas respectueux.

En outre, madame la garde des sceaux, depuis la réforme de 2008, une loi de ratification doit succéder à une loi d’habilitation. Jusqu’à présent, tous les amendements sont possibles, et nous espérons que cela va durer, avec votre aide et votre concours.

Certainement !

En effet, vous tenez aux droits du Parlement et savez que les amendements sont comme l’air que nous respirons. Nous ne pouvons que tenir au droit d’amendement.

Le temps que vous croyez gagner en limitant le nombre d’amendements, vous le perdrez, parce qu’il faudrait examiner deux projets de loi…

C’est pourquoi, dans ce contexte du 22 mars, car il se passe tout de même quelque chose ce jour-là dans le pays, madame la garde des sceaux

Il faut conclure, mon cher collègue.

J’arrive justement à la conclusion de mon propos, monsieur le président, et je vous remercie de me rappeler à l’ordre.

Madame la garde des sceaux, si nous acceptons le sous-amendement de Mme Joissains, pour pouvoir voter ce que vous proposez, c’est que nous avons un grand sens des responsabilités…

Ah oui !

M. Jean-Pierre Sueur. … et que nous pensons qu’il ne faut pas y voir un consentement à des ordonnances menaces que nous récusons de toutes nos forces.

Bravo !

Madame la garde des sceaux, mes chers collègues, il est minuit. Je vous propose de poursuivre nos travaux, afin d’achever l’examen de ce texte.

Il n’y a pas d’opposition ?…

Il en est ainsi décidé.

La parole est à M. Loïc Hervé, pour explication de vote.

En décidant ou en proposant de recourir aux ordonnances, le Gouvernement prend la responsabilité de l’intelligibilité de la loi. Je le dis en tant que membre de la CNIL, mais aussi et surtout eu égard aux utilisateurs, aux usagers et aux gestionnaires de données.

Je peux paraître quelque peu moraliste ou donneur de leçons, mais il est très important que, dans un travail de codification – visiblement, celui-ci est largement entamé –, un soin tout particulier soit porté, afin que cette loi soit…

Intelligible !

… comprise et, en effet, rédigée de façon intelligible.

Je l’ai souligné lors de la discussion générale ; c’était même la première phrase de mon propos : ce projet de loi n’est pas un texte technique, c’est un texte politique. Pour autant, il ne faudrait pas que les dispositions prises par ordonnances soient uniquement techniques. Faisons en sorte que ce texte soit bien compris par ceux qui vont l’utiliser.

J’espère avoir bien résumé ma pensée. À partir du moment où le Parlement, notamment le Sénat, accepte de se déposséder de sa plume législative, madame la garde des sceaux, il faut que vos services prennent en compte cette notion. C’est important pour la Commission nationale de l’informatique et des libertés, mais aussi pour nos compatriotes.

Je mets aux voix le sous-amendement n° 156.

Je mets aux voix l’amendement n° 111, modifié.

En conséquence, l’article 20 est rétabli dans cette rédaction.

L’amendement n° 112, présenté par le Gouvernement, est ainsi libellé :

Rétablir cet article dans la rédaction suivante :

I. – Le livre II du code de la consommation, dans sa rédaction résultant de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, est ainsi modifié :

1° La sous-section 4 de la section 3 du chapitre IV du titre II est abrogée ;

2° Au premier alinéa de l’article L. 242-20, la référence : « L. 224-42-3 » est supprimée.

II. – Le II de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique est abrogé.

La parole est à Mme la garde des sceaux.

La commission des lois a réintroduit l’article 48 de la loi du 7 octobre 2016 pour une République numérique, qui avait été abrogé par l’Assemblée nationale.

La République est démocratique !

Mme Nicole Belloubet, garde des sceaux. Oui, mais, dans ce texte, elle est numérique !

Cet article prévoit un droit à la portabilité des données non personnelles pour le consommateur. Il s’agit de permettre à ce dernier de récupérer les fichiers qu’il a mis en ligne, par exemple celles qui résultent de l’utilisation de son adresse électronique. Or il s’agit en réalité de données à caractère personnel, qui sont donc régies par le droit à la portabilité, tel qu’il est consacré à l’article 20 du RGPD.

Cette lecture a d’ailleurs été confirmée par les lignes directrices relatives au droit à la portabilité des données qui ont été adoptées par le groupe de travail « G 29 » sur la protection des données, lesquelles adoptent une interprétation très large de la notion de portabilité des données personnelles.

Les dispositions issues de l’article 48 de la loi du 7 octobre 2016 pour une République numérique doivent donc être supprimées pour des raisons de cohérence et de sécurité juridique. Les opérateurs économiques partagent l’analyse selon laquelle toutes les données visées relèvent en réalité d’un seul et même régime juridique, celui de la portabilité des données personnelles.

Ce régime est d’ailleurs plus aisé à mettre en œuvre que celui des données non personnelles, puisqu’il permet une portabilité directement de terminal à terminal et une transmission des données directement d’un responsable de traitement à un autre, lorsque cela est techniquement possible.

Pour toutes ces raisons, le Gouvernement estime préférable d’abroger l’article 48 de la loi du 7 octobre 2016.

Quel est l’avis de la commission ?

Cet amendement vise à supprimer le droit à la récupération et à la portabilité des données non personnelles introduit dans le code de la consommation par la loi pour une République numérique.

Certes, la portabilité des données personnelles est désormais bien assurée dans le cadre du RGPD. C’est l’un des nouveaux droits introduits par le règlement, et il faut s’en réjouir. Reste que ce droit ne concerne que la portabilité des données personnelles.

Le droit à la récupération et à la portabilité des données non personnelles est différent ; il est uniquement prévu par le code de la consommation. Il s’agit, concrètement, de faciliter le passage des consommateurs d’un opérateur de services électroniques à un autre, à savoir l’exportation de mails, de fichiers, de playlists. Il s’agit d’un réel enjeu non seulement pour les consommateurs, mais aussi pour la concurrence.

Il convient absolument de conserver ce droit à la récupération et à la portabilité des données non personnelles, qui n’est en rien satisfait par le RGPD.

Pour achever de vous convaincre, madame la garde des sceaux, permettez-moi de vous citer l’avis de deux autorités en la matière.

Tout d’abord, l’Autorité de régulation des communications électroniques et des postes, l’ARCEP, dont Mounir Mahjoubi a souligné la qualité du rapport sur la neutralité des terminaux, se réjouit en ces termes des avancées de la loi pour une République numérique : « Les consommateurs bénéficient désormais d’un droit de récupérer leurs données, puisque les fournisseurs de services de communication au public en ligne ont une obligation de mettre en place une fonctionnalité permettant au consommateur de récupérer “l’ensemble de ses données”, un périmètre qui inclut des données personnelles, pour lesquelles la CNIL est compétente, et des données non personnelles, pour lesquelles la DGCCRF est compétente. »

Ensuite, la direction des affaires civiles et du sceau – autorité peut-être encore plus convaincante ! –, répondant au mois de février 2017 aux députés rapporteurs de la mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, a elle-même confirmé que les deux régimes de portabilité étaient bien distincts et « cohérents ».

À la page 87 de cet excellent rapport parlementaire, il est précisé : « Les données n’ayant pas un caractère personnel visées par [le droit à la portabilité de la loi pour une République numérique] sont les données anonymes au sens du règlement […] Ces données étant situées hors du champ d’application du règlement, les deux régimes de portabilité sont […] compatibles. …ces deux régimes semblent cohérents. »

Pour toutes ces raisons, la commission émet un avis défavorable sur cet amendement.

Je mets aux voix l’amendement n° 112.

En conséquence, l’article 20 bis demeure supprimé.

TITRE V

DISPOSITIONS DIVERSES ET FINALES