Texte intégral
M. le président. L'ordre du jour appelle la discussion du projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles (projet n° 296, texte de la commission n° 351, rapport n° 350, rapport d'information n° 344).
Dans la discussion générale, la parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux, ministre de la justice. Monsieur le président, monsieur le président de la commission des lois, madame la rapporteur de la commission des lois, monsieur le rapporteur de la commission des affaires européennes, mesdames les sénatrices, messieurs les sénateurs, je suis heureuse de retrouver votre hémicycle pour présenter, au nom du Gouvernement, ce projet de loi relatif à la protection des données personnelles, dont l'objet est d'adapter au droit de l'Union européenne la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le nouveau cadre juridique européen doit, en effet, entrer en vigueur en mai prochain.
Les textes communautaires visés, qui sont l'aboutissement d'une longue phase de négociations, traduisent l'ambition très forte de notre continent dans le domaine de la protection des données à caractère personnel.
Pionnière avec la loi du 6 janvier 1978, dont nous venons de fêter les quarante ans, la France a pris une part très active dans les négociations européennes, afin de maintenir et de promouvoir son modèle de contrôle et de protection qui constitue encore aujourd'hui une référence en Europe et dans le monde.
Fruit d'un compromis, le paquet européen « protection des données » a été adopté par le Parlement européen et le Conseil le 27 avril 2016. Il se compose de deux textes : d'une part, un règlement, qui constitue le cadre général de la protection des données, et, d'autre part, une directive, qui vise les données à caractère personnel en matière pénale.
Je souhaite évoquer devant vous ces deux textes, avant d'aborder la méthode retenue par le Gouvernement pour les traduire dans notre droit et, enfin, deux problèmes politiques qui me semblent importants.
Le règlement crée un cadre unifié et protecteur pour les données personnelles des Européens. Il est applicable à l'ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l'Union européenne. C'est un point très important : le droit européen s'appliquera chaque fois qu'un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris donc par internet ou par le biais d'objets connectés, et ce quelle que soit la localisation du stockage et du traitement.
Le règlement crée, dès lors, une procédure de coopération intégrée entre les autorités de protection des données des États membres, dont, pour la France, la Commission nationale de l'informatique et des libertés, la CNIL. C'est le gage d'une application uniforme des nouvelles obligations, sous l'égide du Comité européen de la protection des données. C'est aussi l'affirmation d'une conception européenne de la protection des données personnelles qui diffère de celle qui est promue aux États-Unis ou dans d'autres États, comme en Chine.
L'Europe entend, en effet, concilier les valeurs du progrès et de la garantie des droits et des libertés fondamentales, en renforçant la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles, tout en offrant aux opérateurs économiques un environnement attractif.
Le règlement instaure donc de nouveaux droits pour les citoyens, comme le droit à la portabilité des données personnelles. Il crée également un environnement attractif pour des opérateurs économiques plus responsables, comme je le disais à l'instant. Nous inaugurons, dès lors, une nouvelle ère dans la régulation, avec un changement de paradigme assez profond : il s'agit désormais, en effet, d'alléger considérablement les formalités préalables, au bénéfice d'une démarche de responsabilité des acteurs et d'accroissement des droits des individus.
Ainsi, le règlement européen remplace le système de contrôle a priori, basé sur des déclarations et des autorisations préalables, par un système de contrôle a posteriori, plus adapté aux évolutions technologiques, fondé sur l'appréciation par le responsable du traitement des risques que présente ce dernier.
Cette nouvelle approche impose aux responsables de traitement d'intégrer les exigences de la protection des données personnelles très en amont de la conception de leur produit ou de leur service et d'offrir au consommateur, par défaut, le niveau de protection le plus élevé.
La désignation d'un délégué à la protection des données sera obligatoire dans le secteur public, mais des mutualisations seront possibles. Elle sera aussi obligatoire lorsque l'activité principale d'une entreprise en matière de traitement des données sensibles le justifiera.
Les responsables de traitement devront également notifier les violations de données personnelles à l'autorité de contrôle, ainsi qu'aux personnes concernées en cas de risque élevé pour leurs droits et libertés.
En responsabilisant les acteurs, qui devront être accompagnés par la CNIL, le projet de loi consacre également de nouvelles modalités de régulation, à travers des outils de droit souple.
En contrepartie, les pouvoirs de la CNIL sont renforcés et les sanctions encourues sont considérablement augmentées, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé.
La directive fixe, quant à elle, les règles applicables à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale. C'est la première fois que l'Union européenne se dote d'un cadre normatif pour réglementer le traitement de ces données dans un cadre national.
La directive s'applique aux traitements mis en oeuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
Sont ainsi concernés, en France, les fichiers tels que le fichier national des empreintes génétiques, le fichier national des interdits de stade, ou encore le traitement d'antécédents judiciaires, ou fichier TAJ.
La directive n'est en revanche pas applicable dès lors que le traitement est mis en oeuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n'est pas compétente. Elle n'est pas non plus applicable aux traitements intéressant la sûreté de l'État et la défense qui ne relèvent pas du droit de l'Union européenne.
Les principales innovations de la directive consistent en la création, en matière pénale, d'un droit à l'information de la personne concernée par les données personnelles traitées et en la consécration d'un droit d'accès, de rectification et d'effacement. Ces droits s'exercent par principe de manière directe par la personne concernée auprès du responsable de traitement, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.
Avec son règlement et sa directive, ce paquet européen constitue donc un progrès considérable, et je ne peux que souscrire aux propos de M. le président de la commission des lois, Philippe Bas, soulignant que « ce projet de loi d'apparence technique recèle des enjeux politiques considérables ». Le Gouvernement ainsi que le Sénat et l'Assemblée nationale en ont, me semble-t-il, saisi toute la portée.
Cependant, ce texte demeure technique, car il se situe au croisement de deux textes communautaires de portée juridique distincte, dans un domaine complexe. Cette caractéristique nous a contraints à faire des choix de méthode pour traduire le droit européen en droit français.
Je veux m'arrêter un instant sur cette question de la méthode de transposition, car je sais, mesdames, messieurs les sénateurs, que c'est l'une de vos préoccupations, comme c'est une préoccupation des acteurs concernés. Je peux vous assurer que c'est également la nôtre.
Je rappelle d'abord que, si la directive doit faire l'objet d'une transposition, le règlement est, lui, directement applicable en droit interne et que, au regard des règles européennes, le projet de loi ne saurait recopier ses dispositions. Ce point est important, et c'est la raison pour laquelle les dispositions directement applicables et se suffisant à elles-mêmes ne figurent pas dans le texte qui vous est proposé aujourd'hui. Il en est ainsi des dispositions relatives au délégué à la protection des données ou de celles qui sont attachées aux droits des personnes concernées, sur lesquelles nous reviendrons lors de l'examen des amendements : elles ne se retrouvent pas dans le projet de loi, mais elles pourront être invoquées directement à compter du 25 mai 2018.
Il faudra donc, en tout état de cause, lire cette nouvelle loi de 1978 avec le règlement européen à portée de main. On peut le regretter, au regard de la complexité que cet exercice suppose, mais il en est ainsi. De ce point de vue, le droit européen ne nous offre pas vraiment le choix. Pour pallier cette difficulté, nous devrons, bien sûr, offrir, sur les sites officiels, en collaboration avec la CNIL, des versions aisément maniables, avec des liens hypertextes, pour que tout le monde puisse s'y retrouver.
Mais le projet de loi qui vous est soumis ne constitue pas seulement un exercice de transposition de la réglementation européenne. Il offre également des choix politiques, pour lesquels vous avez fait des propositions.
D'une part, ces choix sont liés à l'existence de marges de manoeuvre. En effet, le règlement européen prévoit plus d'une cinquantaine de marges de manoeuvre qui autorisent les États membres à préciser certaines dispositions.
Conformément à la démarche de simplification des normes souhaitée par le Président de la République et à sa volonté d'éviter la surtransposition de textes européens, le Gouvernement a fait le choix d'épouser la nouvelle philosophie du règlement et de supprimer la plupart des formalités préalables à la mise en oeuvre des traitements. Ce choix a notamment été salué par la Commission nationale de l'informatique et des libertés. Il l'a également été par votre commission des affaires européennes et par son rapporteur, M. Simon Sutour, qui souligne une exploitation « mesurée » des marges de manoeuvre.
Cependant, afin de ne pas affaiblir la protection des données à caractère personnel et bien que cela ne soit pas exigé par le règlement ni par la directive, le Gouvernement a fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques, les données génétiques, ou encore pour les traitements utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques.
Les traitements utilisant des données de santé font aussi l'objet d'un régime protecteur et unifié. Ces dispositions s'inscrivent dans la logique du maintien d'un haut niveau national de protection en la matière, conformément à ce qu'a souhaité le Sénat lors de l'examen des résolutions européennes qu'il a adoptées en 2012 et 2013, sans faire peser de charges supplémentaires sur les petites et moyennes entreprises.
Enfin, dans le champ d'application de la directive, sont également maintenues les formalités préalables à la création de tout traitement mis en oeuvre pour le compte de l'État.
Par ailleurs, un point important, qui retient naturellement votre attention, doit être précisé. Le règlement fixe à seize ans l'âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information, c'est-à-dire accéder aux réseaux sociaux.
Le Gouvernement avait fait le choix de ne pas utiliser la marge de manoeuvre prévue à l'article 8 du règlement qui permet aux États membres d'abaisser ce seuil jusqu'à treize ans. L'Assemblée nationale a souhaité fixer cet âge à quinze ans. Votre commission des lois a décidé de supprimer cette disposition pour revenir à l'âge de seize ans.
Notre préoccupation commune est de mieux protéger les mineurs. La fixation d'un seuil est toujours un exercice délicat : on tente de saisir par une norme générale des cas éminemment singuliers, surtout lorsqu'il s'agit d'identifier ce qui constitue en réalité le seuil de maturité d'un enfant.
La France avait défendu le seuil de seize ans en deçà duquel l'autorisation parentale serait nécessaire pour autoriser le traitement de données d'un mineur. Les autres pays de l'Union ont fait des choix très divers. Comme il l'avait fait lors de l'examen du projet de loi à l'Assemblée nationale, le Gouvernement adoptera une position de sagesse sur cette question et s'en remettra à la décision de la représentation nationale.
En tout état de cause, la mise en place d'une autorisation parentale, sans lourdeur procédurale excessive, doit surtout être l'occasion de réinstaurer un dialogue au sein de la famille sur ces questions.
Je parlais voilà quelques instants de choix politiques. Ces choix résultent également des travaux de votre commission des lois qui a apporté un certain nombre de modifications par rapport au texte voté par l'Assemblée nationale : âge du consentement je viens de l'évoquer , encadrement de l'usage des algorithmes par l'administration, renforcement des conditions de traitement des données d'infraction avec la réintroduction d'une autorisation préalable par la CNIL, ou encore introduction d'un motif de nullité contractuelle pour les fournisseurs de terminaux électroniques en cas d'installation d'applications ne respectant pas les conditions du consentement de l'utilisateur final. Nous aurons l'occasion d'en débattre dans le cadre de l'examen des amendements que le Gouvernement a déposés.
Je souhaite cependant aborder deux questions : l'une est relative aux collectivités territoriales, l'autre concerne l'habilitation demandée par le Gouvernement.
Votre commission des lois a manifesté son attention légitime vis-à-vis des collectivités territoriales, en particulier des plus petites d'entre elles, dans la mise en oeuvre de leurs nouvelles obligations. Elle a adopté plusieurs amendements à leur égard : création d'une dotation communale et intercommunale pour la protection des données personnelles, mutualisation des services, suppression de la faculté pour la CNIL de leur imposer des amendes administratives, report de deux ans de l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles, encouragement de la diffusion d'informations et édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités
Le Gouvernement entend parfaitement votre préoccupation je dirais même qu'il la porte avec vous. Toutefois, il ne me semble pas juste de considérer que le Gouvernement ferait preuve d'un « mépris abyssal », comme j'ai pu le lire, à l'égard des collectivités.
M. Philippe Bas, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Non, en effet, « abyssal » serait excessif (Sourires.)
Mme Nicole Belloubet, garde des sceaux. Notre responsabilité est bien d'accompagner les collectivités pour leur permettre d'entrer dans cette nouvelle ère dans les meilleures conditions possible. Je crois que, en la matière, il faut répondre aux inquiétudes et non pas les exacerber. Je suis certaine que telle est notre préoccupation commune.
Avant même que votre commission des lois n'examine ce texte, le Gouvernement a pris la mesure de cette nécessité. Voilà quelques jours, j'ai ainsi rappelé devant les préfets, réunis place Beauvau, la nécessité d'accompagner dans cet exercice toutes les communes, notamment les plus petites d'entre elles.
De même, je me suis assurée auprès de la CNIL que cette préoccupation serait effectivement prise en considération.
Je tiens aussi à rappeler que les collectivités territoriales sont actuellement soumises, en tant que responsables de traitement de données, à certaines obligations, que ce soit pour assurer la gestion administrative de leur structure je pense, par exemple, aux fichiers de ressources humaines , la sécurisation de leurs locaux contrôles d'accès par badge ou vidéosurveillance ou la gestion des différents services publics et activités dont elles ont la charge.
J'y insiste, car certains pourraient avoir le sentiment que nous introduisons de nouvelles obligations, alors que la philosophie du règlement européen, et donc du projet de loi, est justement fondée sur un allégement substantiel des formalités préalables, y compris pour les collectivités territoriales.
S'agissant de l'obligation, nouvelle pour les collectivités territoriales comme pour les organismes publics en général, de désigner un délégué à la protection des données, j'ai rappelé au début de mon intervention que le règlement général européen sur la protection des données personnelles le RGPD prévoit la possibilité de mutualiser cette nouvelle fonction.
Plusieurs collectivités territoriales, dont certaines avaient déjà désigné un correspondant Informatique et libertés, se sont d'ores et déjà engagées dans cette démarche de mutualisation. Cette possibilité sera expressément rappelée dans le décret d'application sur lequel les services de la Chancellerie travaillent actuellement. Le Gouvernement s'y est engagé auprès du Conseil national d'évaluation des normes et de son président, Alain Lambert.
Je veux également souligner que la CNIL mène de nombreuses actions pour aider les collectivités territoriales à respecter leurs obligations en matière de protection des données et pour les accompagner dans leur mise en conformité avec le RGPD. Elle a, par exemple, conclu avec l'Assemblée des départements de France une convention de partenariat et souhaite faire de même avec l'Assemblée des maires de France, l'AMF.
De plus, la CNIL va remettre à jour le guide très complet à destination des collectivités.
Je suis également parfaitement consciente des appréhensions pouvant exister quant à l'échéance du 25 mai prochain. La CNIL a donné des assurances en ce domaine et saura se montrer pragmatique, comme elle l'a été jusqu'à présent, avec les collectivités.
Le Gouvernement encourage cette démarche compréhensive à l'égard des collectivités tout en insistant sur la nécessité de maintenir un haut niveau de protection des données personnelles.
Comme vous le constaterez, mesdames, messieurs les sénateurs, le Gouvernement ne propose pas de revenir sur certaines avancées adoptées par votre commission des lois. Je pense, en particulier, à l'exonération des sanctions à l'égal de l'État.
Le débat parlementaire et c'est très heureux a vocation à mettre en lumière les enjeux. De ce point de vue, le Sénat a marqué une nouvelle fois son attention aux collectivités territoriales. Il est naturel que le Gouvernement y réponde, et c'est bien tout l'intérêt de nos échanges.
Je terminerai sur un désaccord : votre commission des lois a fait le choix de supprimer l'habilitation que le Gouvernement sollicitait. Son rapporteur a estimé qu'il s'agissait de la conséquence d'une impréparation. Là encore, je crois nécessaire de rappeler quelques faits pour mieux expliquer notre démarche, laquelle n'est ni improvisée ni irrespectueuse des prérogatives du Parlement.
Le Gouvernement souhaite effectivement que nous soyons prêts en mai prochain, et nous le serons. C'est pourquoi il a engagé, dès l'été dernier, le travail de transposition qui n'avait pas été mené auparavant en raison, notamment, des échéances électorales du premier semestre 2017.
Après réflexion, le Gouvernement a fait le choix d'un texte resserré qui ne remette pas sur la table l'ensemble de la loi de 1978, ce que le droit européen n'exige nullement.
Il s'agit de répondre à une problématique légistique nouvelle et complexe : tirer les conséquences d'un règlement d'application directe et d'une directive, dont les dispositions doivent être transposées dans la loi, alors que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, intrinsèquement liées. Vous reconnaissez vous-même dans votre rapport, madame Joissains, cette complexité inévitable.
Le Gouvernement a donc déposé un amendement visant à rétablir l'habilitation initialement demandée. Il s'agit, je le répète, de permettre une codification des modifications apportées à notre droit par le projet de loi qui vous est soumis, lequel sera intégré dans la loi fondatrice de 1978, afin d'offrir un cadre juridique lisible, stable, à chaque citoyen et à chaque acteur économique.
Il ne s'agit aucunement de modifier ou de remettre en cause les apports du travail parlementaire. Il s'agit, encore une fois, d'une simple codification de nature légistique : plus qu'un engagement, c'est une responsabilité que porte le Gouvernement au nom de la stabilité de notre droit.
Vous l'avez tous compris en lisant ce texte, l'accessibilité et l'intelligibilité du droit requièrent une réécriture intégrale de la loi de 1978 pour lui faire retrouver son ambition originelle, celle d'être un véritable code de la protection des données personnelles des Français.
C'est le sens de cette habilitation, qui permettra d'adopter un plan clair, le texte comportant un premier titre rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un deuxième titre consacré au champ du RGPD, un troisième titre relatif à la directive et un quatrième titre visant les dispositifs hors du champ de l'Union européenne.
Mes services se tiennent à votre disposition pour vous informer régulièrement de l'avancement du projet d'ordonnance, laquelle sera prise cet automne au plus tard, et de son contenu.
Entre le mois de mai 2018 et la sortie de l'ordonnance, soyez assurés que tous les outils pédagogiques et de communication seront mis en place par la CNIL et par les professionnels au service des citoyens, des entreprises, mais également à l'attention des collectivités territoriales.
Je suis d'ailleurs persuadée que nos débats auront aussi cette vertu pédagogique et qu'ils permettront d'écarter les inquiétudes les plus vives qu'il est normal de ressentir à l'occasion d'un tel changement de paradigme.
Pour conclure, je souhaite que chacun puisse mesurer la portée de cette réforme à l'aune non seulement du projet de loi qui vous est proposé, mais plus largement des textes mis en oeuvre par l'Union européenne.
L'exercice de transcription du droit européen présente toujours un caractère un peu contraint. Mais le nouveau cadre adopté par l'Union pour la protection des données personnelles est une magnifique réussite pour l'Europe et pour les citoyens de l'Union européenne. (Applaudissements sur les travées du groupe La République En Marche et du groupe du Rassemblement Démocratique et Social Européen Mme Nathalie Goulet applaudit également.)
( )
M. le président. La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Monsieur le président, mesdames, messieurs les sénateurs, je voudrais tout d'abord remercier Mme la sénatrice Joissains, rapporteur de ce texte, pour ses propos en général, et en particulier pour son évocation du rôle qui doit être tenu par la CNIL à l'égard des collectivités territoriales ce point a été repris par nombre de vos collègues, madame la snatrice.
Vous évoquez également l'importance des nouvelles missions de la CNIL. J'avais, je crois, répondu par anticipation à vos observations sur les collectivités territoriales. Quant aux moyens de la CNIL, nous aurons l'occasion d'y revenir au cours de la discussion des amendements. J'en dirai peut-être un mot tout à l'heure, mais sachez que je comprends évidemment vos préoccupations ; je puis vous dire qu'elles sont également les nôtres.
Je répète, en revanche, que je ne partage pas vos propos sur la « grande désinvolture » du Gouvernement
M. Philippe Bas, président de la commission des lois. Tant mieux !
Mme Nicole Belloubet, garde des sceaux. Vous le savez, tel n'est pas du tout l'état d'esprit dans lequel nous sommes. Au contraire, le souci avec lequel ce texte a été préparé j'y reviendrai témoigne du profond respect que nous avons pour le Parlement je tiens ici à le redire.
Monsieur le sénateur Sutour, j'ai apprécié votre connaissance très fine de l'adaptation des textes européens en droit interne, et l'ensemble de vos propos me semblent tout à fait pertinents. Vous mesurez les singularités et les difficultés qui s'attachent aux transpositions de la directive et à l'application du règlement dans un même texte. Évidemment, tout ceci donne des choses assez complexes, et vous soulignez l'intérêt d'utiliser les marges de manoeuvre, pour traiter notamment la question de l'âge du consentement là encore, j'avais, me semble-t-il, répondu par anticipation, et nous aurons évidemment l'occasion d'y revenir.
Vous faites également mention de la charge nouvelle qui pèse sur les collectivités territoriales ; vous souhaitez je vous cite un « accompagnement adapté » et préconisez que la CNIL y soit associée. Je rappelle, en la matière, tous les éléments dont j'ai eu l'occasion de vous faire part tout à l'heure, qu'il s'agisse du guide de la CNIL ou du lien nécessaire avec les associations d'élus, l'ADF, l'Assemblée des départements de France, mais aussi l'AMF, l'Association des maires de France. Je souligne en outre que nous partageons évidemment la volonté, exprimée par le Sénat, qu'aucune sanction ne soit prononcée et qu'un certain nombre de dispositions voient leur entrée en vigueur reportée à 2020.
Monsieur le sénateur Ravier, je ne partage pas tout à fait les propos que vous avez prononcés. Vous avez bien entendu fait allusion à Big Brother, aux GAFA, tous termes destinés à susciter l'effroi. Vous avez, par leur entremise, souligné l'atteinte à notre souveraineté numérique.
Au contraire, en ce domaine complètement immatériel, face aux atteintes potentielles à nos libertés et à nos intérêts, je pense que l'Europe est la seule vraie réponse que nous pouvons apporter.
Au-delà de cette nécessaire prise en compte du problème au niveau européen, notre ambition, dans le cadre de ce texte, est bien de faire respecter nos valeurs telles qu'elles transparaissent dans la loi de 1978. Le rôle que la France a mené dans les négociations européennes a bel et bien consisté à faire partager ces valeurs et cette ambition. Nos préoccupations expriment bien le refus du repli national et du fantasme de l'isolationnisme numérique.
Madame la sénatrice Carrère, vous avez souligné, autour des notions de défi et de changement de paradigme, l'importance d'un meilleur accompagnement par l'État des collectivités territoriales et je ne me souviens plus si vous les avez mentionnées des entreprises.
En tout cas, vous avez souligné les coûts de mise en conformité pour les collectivités territoriales. Nous avons déjà répondu, me semble-t-il, par l'exonération des sanctions financières et la mobilisation des préfets, à laquelle j'ai fait allusion. Certes, M. Hervé a souligné qu'il était sans doute insuffisant d'en rester à un tel stade de généralité. Mais je crois que ces mesures sont tout de même importantes.
Nous partageons vos préoccupations sur l'action de groupe. Il s'agit d'une avancée importante. C'est pourquoi nous ne sommes pas revenus sur l'extension faite par l'Assemblée nationale aux actions en réparation, et nous ne souhaitons pas soumettre l'action des associations à un agrément préalable.
Nous avons déjà introduit une garantie en matière d'encadrement du recours aux algorithmes : la maîtrise par le responsable du traitement de l'algorithme et de ses évolutions. Nous reviendrons plus en détail sur le dispositif, par exemple à propos de Parcoursup, lors de l'examen de l'article 14.
Nous ne sommes pas favorables à la création de droits de propriété de l'individu sur ses données ; nous ne voulons pas d'une patrimonialisation de celles-ci. Mais le RGPD renforce évidemment les droits des individus sur leurs données.
Monsieur le sénateur Darnaud, je partage totalement votre point de vue lorsque vous indiquez que l'Union européenne est une chance pour la France, à la fois par l'harmonisation que proposent les textes européens, mais également par les marges de manoeuvre ! Ces éléments se rejoignent. Vous avez même souligné que cela répondait à une conception de la démocratie très propre à l'Europe ; je suis en plein accord avec vous sur ce point.
Vous avez insisté sur l'attention que nous devons porter aux collectivités territoriales je n'en dis pas plus, car nous aurons l'occasion d'en reparler , en mentionnant les cadastres et les fichiers d'état civil.
En revanche, je suis en désaccord avec vous lorsque vous évoquez la « mise à distance » d'un Parlement qui serait « amputé » de ses prérogatives. Vous évoquiez les ordonnances, mais vous avez lié cette mise à distance au fait que nous n'aurions pas suffisamment répondu aux TPE et aux collectivités territoriales. L'ordonnance que nous proposons n'a rien à voir avec la non-réponse que vous pensez pouvoir relever. Encore une fois, l'ordonnance pour laquelle nous sollicitons l'habilitation du Parlement est exclusivement liée à un problème légistique de réécriture de la loi de 1978, sur la base exclusive du texte que le Parlement votera à l'issue de nos débats.
Monsieur le sénateur de Belenet, vous avez raison de souligner le travail qu'ont accompli les services de la Chancellerie dès le mois d'août. Nous ne sommes pas dans l'impréparation que d'aucuns ont bien voulu relever. Dès l'adoption de la loi sur le rétablissement de la confiance, que j'avais eu l'honneur de vous présenter, nous nous sommes immédiatement mis, avec l'ensemble des services de la Chancellerie, à la transposition du texte dont nous débattons.
Je dois vous remercier de votre soutien. Comme d'autres, vous avez évoqué l'affaire Cambridge Analytica. J'y vois précisément l'illustration de l'intérêt d'un cadre européen. Le projet de loi de transposition prévoit justement des mécanismes permettant à la CNIL de prêter son concours aux autres autorités de protection de données qui vont enquêter sur les violations des règles de protection des données ; ce concours entre autorités de protection me paraît très important.
Je suis en accord avec l'ensemble de vos propos, notamment lorsque vous soulignez la nécessité de maintenir le cadre de la loi de 1978. C'est le choix que nous avons expressément fait. Nous considérons la loi de 1978 à la fois comme un symbole de la représentation des valeurs portées par la France, mais aussi comme un cadre lisible qui nous semble essentiel.
Madame la sénatrice Benbassa, vous avez exprimé vos préoccupations sur la procédure accélérée et sur l'habilitation à légiférer par ordonnance. Je ne reprends pas ce que j'ai déjà répondu à vos collègues.
J'aimerais évoquer brièvement les moyens de la CNIL, au risque de fâcher Mme Robert et M. Hervé
M. Loïc Hervé. Mais non !
Mme Nicole Belloubet, garde des sceaux. Un rapport de la Cour des comptes rendu, je crois, en 2016 a montré que la CNIL avait déjà obtenu des moyens importants permettant de mettre en oeuvre le RGPD. La Cour relevait notamment que le plafond d'emplois était passé de 140 à 198 entre 2010 et 2017, ce qui correspond tout de même à un nombre relativement important de créations d'emplois.
S'il y a des difficultés au sein de la CNIL, nous aurons l'occasion de les évoquer lors de l'examen du projet de loi de finances.
Enfin, vous avez fait à plusieurs reprises référence à la loi du 24 juillet 2015 relative au renseignement. Vous avez indiqué que le Conseil constitutionnel avait procédé à quelques annulations, ce qui est vrai, mais je vous rappelle que, dans le cadre de son contrôle exercé a priori, il a validé l'essentiel du texte, même s'il a annulé quelques dispositions par la suite. Le RGPD ne s'appliquant pas aux fichiers de renseignement, nous n'avons pas souhaité revoir l'équilibre apporté par la loi de 2015.
Monsieur le sénateur Marc, à l'instar de vos collègues, vous avez rappelé les dispositions adoptées par la commission des lois pour les collectivités territoriales. Je le redis : notre gouvernement est d'accord avec la suppression des sanctions et la nécessité que la CNIL porte un regard particulier nous aurons sans doute l'occasion d'y revenir sur ces collectivités territoriales.
Monsieur le sénateur Hervé, vous avez déclaré que ce texte était non pas technique, mais éminemment politique. Nous sommes évidemment en plein accord. En effet, ce que la France a essayé de promouvoir, au travers tant de ces dispositions techniques que des négociations menées en amont à l'échelon européen, ce sont des valeurs qui la distinguent de ce qui peut exister dans d'autres États.
Vous avez évidemment eu raison d'insister sur le rôle fondamental que la CNIL, organisme que vous connaissez bien, doit jouer dans la défense de ces valeurs et l'accompagnement d'une telle évolution.
Vous avez souligné que les données personnelles nous caractérisent et qu'elles exigent, à ce titre, une protection législative spécifique et des « garde-fous intangibles » ; je crois que cette expression est absolument justifiée. À cet égard, l'accompagnement que vous sollicitez au bénéfice des TPE, des PME et des collectivités territoriales me semble pertinent. À mon sens, nous devons effectivement disposer de compétences sur le terrain allant au-delà de ce que j'ai pu faire par le rappel au préfet. L'idée est de créer de vrais centres de ressources. De ce point de vue, le travail qui pourrait être effectué avec l'AMF me paraît tout à fait important.
Monsieur le sénateur Durain, vous avez bien montré l'importance du travail qui a été accompli et de celui qui reste encore à faire. Vous avez souligné que notre réflexion, commencée voilà déjà quelques années, doit constamment s'adapter. Vous avez mentionné Airbnb ou l'exemple du jour. Voilà qui montre bien, à mes yeux, que la réflexion ne peut jamais être stabilisée sur un tel sujet ; il me semble important de le souligner.
Vous avez terminé votre propos en indiquant que le Sénat prouvait son utilité au Gouvernement dans la défense des libertés publiques. Vous espériez, je pense, que le Président de la République pourrait s'en souvenir. Je vous rassure : la révision constitutionnelle sera totalement conforme aux ambitions de la Ve République pour le bicamérisme tel qu'il a été installé ; il me semble effectivement devoir être respecté. (Exclamations.)
M. Éric Bocquet. On verra bien ! Wait and see
Mme Nicole Belloubet, garde des sceaux. Je parle du bicamérisme tel qu'il a été installé par la Ve République, en 1958, évidemment dans une version un peu modernisée
Madame la sénatrice Morin-Desailly, vous avez insisté sur la formation et l'accompagnement. Vous avez développé le problème de l'absence de stratégie pour l'Internet des objets, en soulignant l'importance à la fois d'une régulation pour renforcer la sécurité et d'une stratégie pour promouvoir les entreprises innovantes. C'est un spectre très large que vous avez couvert.
La question de la formation et de l'accompagnement est bien une question culturelle. De ce point de vue, je rappelle que le ministère de l'éducation nationale a engagé un processus assez fort d'accompagnement des élèves aux nouvelles stratégies du numérique et que toute la démarche de responsabilisation des acteurs que nous souhaitons par ailleurs promouvoir doit évidemment être articulée avec la lucidité et la vigilance des citoyens ; c'est un point qui mérite d'être travaillé.
Madame la sénatrice Robert, vous avez vous aussi souligné les enjeux politiques, philosophiques, culturels, en appelant à une vigilance aiguë quant à la protection de la vie privée des citoyens. C'est, là encore, un point que nous partageons. Je ne sais pas si nous aurons des désaccords au fur et à mesure de l'examen du texte, mais nous nous rejoignons sur ce point, et c'est essentiel.
La loi de 1978 a quarante ans. Elle méritait donc nécessairement, même si nous sommes peut-être toujours un peu en retard par rapport aux événements, d'être revue, réadaptée. Dans L'Angoisse du roi Salomon, Romain Gary écrivait : « Ce qu'il y a de bête avec la maturité, c'est qu'elle vient toujours trop tard. » (Sourires.) Je voudrais faire le pari qu'avec vous, la maturité des quarante ans ne viendra pas trop tard et que nous saurons ensemble travailler pour aller vers plus de progrès et de protection des citoyens ! (Applaudissements sur les travées du groupe La République En Marche, ainsi que sur des travées du groupe socialiste et républicain, du groupe Union Centriste et du groupe Les Républicains.)
M. le président. La discussion générale est close.
Source http://www.senat.fr, le 5 avril 2018