Intervention de Rémy Rebeyrotte

Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission, chers collègues, ce texte a pour objet la mise en oeuvre dans le droit français du paquet européen, afin d'adapter la protection des données numériques personnelles dans un contexte de développement considérable du numérique. Sa prise d'effet est très proche, puisqu'elle est prévue pour mai prochain.

Le paquet européen recouvre, d'une part, le règlement général sur la protection des données en matière civile et commerciale et, d'autre part, la directive relative aux traitements en matière d'infractions pénales.

Le choix de notre pays a été de ne pas remettre en cause les grands principes de la loi de 1978 et donc l'existence de la CNIL, qui vient de fêter ses quarante ans, mais d'adapter la loi référence de 1978 au cadre européen et de tenir compte des impératifs de fluidité qu'impose le développement du numérique dans nos sociétés. Le grand changement est le passage d'un contrôle a priori, sous la forme de déclarations ou d'autorisations déposées et délivrées par la CNIL, à un dispositif de contrôle a posteriori.

Cela a de nombreuses conséquences : un changement des missions de la CNIL qui, heureusement, s'est largement préparée à ce changement de culture, la France ayant été particulièrement active dans les débats européens à l'origine du RGPD – règlement général sur la protection des données – et de la directive ; un renforcement du consentement explicite et de la portabilité des données des personnes concernées ; globalement, une plus grande responsabilisation de tous les acteurs, qu'ils soient utilisateurs de services ou usagers du service public, qu'ils soient traitants ou sous-traitants, d'où la mise en place d'un délégué aux données personnelles dans toutes les entreprises ou structures de plus de 250 salariés, la nécessité d'études d'impact pour la création de certains fichiers, la labellisation d'organismes certificateurs ou encore la formation et la pédagogie, qui devront être faites à l'intention de tous les acteurs.

Enfin, des sanctions bien plus lourdes sont prévues en cas d'abus, de détournements ou de comportements inadaptés, pouvant aller, pour les entreprises, jusqu'à 20 % du chiffre d'affaires et 4 millions d'euros. Il s'agit, vous l'avez compris, de transposer ici le droit européen négocié avec les vingt-six autres pays de l'Union européenne.

Cependant, l'accord nous donne quelques marges de manoeuvre, que nous avons cherché à mettre en oeuvre en lien avec le Gouvernement. Quelques exemples : nous avons souhaité que, comme les données de santé, les données génétiques et les données biométriques demeurent des données particulièrement protégées.

Nous avons souhaité que l'âge du libre consentement, fixé initialement par le texte à seize ans, soit abaissé à quinze ans, l'accord explicite des parents pour accéder aux réseaux numériques étant exigé jusqu'à cet âge. Nous avons d'ailleurs demandé que l'information des parents et des enfants soit renforcée, l'accès et la protection des mineurs encore mieux pris en compte. Nous avons souhaité par ailleurs, plus globalement, un renforcement de l'information des citoyens sur leur droit d'accès, de rectification et d'effacement de leurs données. Nous avons poussé plus loin l'action de groupe, afin qu'elle ne concerne pas uniquement la constatation du manquement, mais qu'elle puisse se traduire par des droits à réparation et, le cas échéant, par des dommages et intérêts.

Nous avons souhaité renforcer l'information à destination des PMI et des PME, notamment en matière de protection des données de santé, et que la CNIL élabore des codes de bonne conduite et des règlements type en concertation avec les organismes publics et privés concernés, notamment en matière de santé ou de données génétiques et biométriques.

Nous avons souhaité que les commissions permanentes de l'Assemblée nationale et du Sénat, au même titre que les présidents des deux assemblées, puissent saisir la CNIL sur toute proposition de loi relative à la protection des données personnelles. Nous avons souhaité enfin que les personnalités qualifiées membres de la CNIL aient une double compétence, juridique et numérique, éléments particulièrement chers au coeur de notre rapporteure.

Sur toutes ces questions, comme sur celles de l'utilisation des algorithmes et du traitement automatisé de données, il a fallu, à chaque fois – et les auditions ont beaucoup aidé – trouver l'équilibre entre, d'un côté, l'accès aux données pour la recherche et l'innovation – notamment pour le développement des start-up – sous la forme de données cryptées ou anonymisées ou homomorphiques et, de l'autre, la protection de la personne.

Je veux ici remercier très sincèrement Paula Forteza, notre rapporteure, qui a fait un travail immense sur ce texte. Je remercie également le Gouvernement pour son écoute, sa franchise et la clarté de ses positions. Je remercie enfin les administrateurs de l'Assemblée nationale, dont on ne soulignera jamais assez les qualités.

Restent, à ce stade, quatre questions que je souhaite adresser à Mme la ministre et à M. le secrétaire d'État.