Accueil > Travaux en séance > Les comptes rendus > Les comptes rendus de la session > Compte rendu intégral

Afficher en plus grand
Afficher en plus petit
Edition J.O. - débats de la séance
Articles, amendements, annexes

Assemblée nationale
XVe législature
Session ordinaire de 2017-2018

Compte rendu
intégral

Première séance du jeudi 12 avril 2018

SOMMAIRE

Présidence de M. Hugues Renson

1. Accord France-Allemagne sur l’emploi transfrontalier d’aéronefs

Vote sur l’article unique

2. Protection des données personnelles

Présentation

M. Mounir Mahjoubi, secrétaire d’État chargé du numérique

Mme Paula Forteza, rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République

Motion de renvoi en commission

M. Bastien Lachaud

Mme Danièle Obono

M. Stéphane Peu

M. Rémy Rebeyrotte

Mme Constance Le Grip

Discussion générale

Mme Danièle Obono

M. Stéphane Peu

Mme Christine Hennion

Mme Constance Le Grip

M. Philippe Latombe

M. Pierre Morel-À-L’Huissier

M. Rémy Rebeyrotte

Mme Emmanuelle Ménard

Mme Albane Gaillot

M. Éric Bothorel

Discussion des articles

Article 1er

Article 1er bis

Article 2

Amendements nos 7 , 1 , 2

Article 2 bis, 4 et 5

Article 6

Amendements nos 3 , 5 , 14 rectifié

Article 6 bis

Article 7

Amendement no 4

Articles 8 A à 14 A

Article 14

Amendements nos 10 , 6 , 9

Articles 14 bis A à 17

Article 17 bis

Amendement no 12

Article 17 ter

Articles 18 et 19

Article 19 bis

Article 19 ter

Amendements nos 13 , 15 (sous-amendement)

Articles 20 à 23

Article 23 bis

Article 24

M. Bruno Bonnell

M. Philippe Gosselin

Amendement no 11

Explications de vote

M. Philippe Gosselin

M. Rémy Rebeyrotte

Mme Danièle Obono

M. Guy Bricout

M. Philippe Latombe

Vote sur l’ensemble

3. Nouveau pacte ferroviaire

Discussion des articles (suite)

Article 4 (suite)

Amendement no 63

M. Jean-Baptiste Djebbari, rapporteur de la commission du développement durable et de l’aménagement du territoire

Mme Élisabeth Borne, ministre chargée des transports

Amendement no 62

Après l’article 4

Amendements nos 156 , 157 , 202

M. Damien Adam, rapporteur pour avis de la commission des affaires économiques

Article 5

Amendement no 80

4. Ordre du jour de la prochaine séance

Présidence de M. Hugues Renson

vice-président

M. le président. La séance est ouverte.

(La séance est ouverte à neuf heures trente.)

1

Accord France-Allemagne sur l’emploi transfrontalier d’aéronefs

Procédure d’examen simplifiée

M. le président. L’ordre du jour appelle la discussion, selon la procédure d’examen simplifiée, en application de l’article 103 du règlement, du projet de loi autorisation l’approbation du protocole additionnel à l’accord franco-allemand concernant l’emploi transfrontalier d’aéronefs (nos 670, 843).

Ce texte n’ayant fait l’objet d’aucun amendement, je vais le mettre aux voix, en application de l’article 106 du règlement.

Vote sur l’article unique

M. le président. Je mets aux voix l’ensemble du projet de loi.

(L’article unique est adopté, ainsi que l’ensemble du projet de loi.)

2

Protection des données personnelles

Nouvelle lecture

M. le président. L’ordre du jour appelle la discussion, en nouvelle lecture, du projet de loi, modifié par le Sénat, relatif à la protection des données personnelles (nos 809, 860).

Présentation

M. le président. La parole est à M. le secrétaire d’État chargé du numérique.

M. Mounir Mahjoubi, secrétaire d’État chargé du numérique. Monsieur le président, madame la rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, mesdames et messieurs les députés, l’Assemblée nationale est saisie en nouvelle lecture du projet de loi relatif à la protection des données personnelles. Cette nouvelle lecture intervient après l’échec de la commission mixte paritaire qui s’est réunie vendredi dernier.

Je ne reviendrai pas sur les conditions de cet échec ; Mme la rapporteure en rappellera certainement les circonstances. Le Gouvernement aurait naturellement préféré que les deux assemblées puissent s’accorder sur un texte d’une telle importance aussi bien pour nos libertés individuelles que pour notre avenir économique – tel est son équilibre. Mais un accord ne peut avoir lieu à n’importe quel prix, et le Gouvernement prend acte du désaccord entre les deux assemblées.

Il est vrai que les positions des deux chambres étaient assez éloignées sur plusieurs points : l’action de groupe en réparation, la création d’une dotation spécifique aux collectivités territoriales, l’exonération de toute sanction à leur égard, le fléchage des produits des amendes et des astreintes prononcées par la CNIL, la Commission nationale de l’informatique et des libertés, l’open data des décisions de justice et enfin l’âge du consentement des mineurs – question largement reprise par les médias, bien qu’elle ne soit pas au cœur du texte.

Qu’à cela ne tienne, la commission des lois de l’Assemblée nationale a repris ses travaux dans la foulée et a examiné ce texte dès mardi dernier, afin de respecter un calendrier très serré : nous devons en effet impérativement disposer d’un texte législatif et de ses décrets d’application avant le 25 mai prochain ! Pour l’essentiel, elle a rétabli le projet de loi dans sa version adoptée ici en première lecture.

C’est le choix de la cohérence, et nous le saluons. Il témoigne de votre volonté de respecter absolument la logique du règlement général sur la protection des données et de la directive que ce texte vise à transposer en droit français. Il s’agit de responsabiliser les acteurs qui traitent de données personnelles, sans surtransposer le droit européen, tout en maintenant une protection forte. Pour cela, il faut que la CNIL dispose d’un puissant pouvoir de sanction.

La commission des lois a choisi de concilier l’exigence de protection des intérêts de l’enfant avec la réalité des pratiques numériques, en rétablissant la disposition abaissant de seize à quinze ans le seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux. Cette proposition a d’ailleurs été consensuelle à l’Assemblée.

Vous avez également choisi de renforcer la capacité d’action des citoyens face aux atteintes à la protection de leurs données personnelles. Vous avez ainsi rétabli, dans sa plénitude, l’extension de l’action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux. Vous avez refusé de différer de deux années, au 25 mai 2020, l’entrée en vigueur du dispositif et de soumettre à un agrément délivré par l’autorité administrative la faculté pour une association d’exercer une action de groupe. C’est une évolution importante, que certains qualifient même de « petite révolution » ; il s’agit à présent, pour le public, pour la société civile, de se saisir de ce dispositif.

La question de l’utilisation des algorithmes est importante pour votre assemblée. Il s’agit, sur ce point, de trouver un équilibre entre les nécessités de l’administration et les garanties offertes aux usagers. C’est l’objet de l’article 14, dont nous avons beaucoup discuté en première lecture, et dont le Sénat a ensuite beaucoup discuté. Nous en reparlerons tout à l’heure car il faut trouver le bon équilibre afin non seulement de préserver les principes auxquels nous sommes aussi attachés que vous, mais aussi de permettre aux administrations d’agir en recourant à des techniques modernes performantes.

Enfin, vous avez rétabli les dispositions – qui avaient été écartées par le Sénat – permettant à l’opposition parlementaire de saisir la CNIL, notamment par le biais des présidents de groupe.

Les débats qui auront lieu ce matin nous permettront aussi d’affiner quelques positions, notamment au sujet de l’article 14, dont je viens de parler, mais aussi à propos de la liberté du consentement – question abordée en particulier par Éric Bothorel – et de la nécessaire adaptation de notre droit de la concurrence au numérique. Cette dernière question, qui est d’actualité, a toute sa place dans nos débats, mais elle dépasse le cadre de ce texte, vous l’avez souvent évoqué, madame la rapporteure. Le Gouvernement mènera donc ultérieurement d’autres travaux très importants sur ce point, en collaboration avec cette assemblée, la Commission européenne et le Parlement européen. Toutes les questions relatives à la régulation des plateformes sont pleinement concernées par ce texte.

Je souhaite, en conclusion, revenir sur les propos que je tenais en première lecture devant vous. Certains trouvent ce projet de loi trop technique, trop compliqué, trop éloigné de la réalité vécue par les personnes. Il est pourtant éminemment politique car il porte nos valeurs, les valeurs européennes et françaises. C’est un moyen puissant pour dire à nos concitoyens que l’on peut reprendre en main son propre avenir numérique. En la matière, il y a un modèle français, un modèle européen, et l’actualité nous montre que d’autres continents nous observent. Ce projet de loi invite chacun à s’interroger sur l’usage de ses données personnelles, à la fois par lui-même et par les entreprises – petites ou grandes – et les collectivités publiques. Ce texte invite chacun à prendre ses responsabilités et à considérer que le numérique fait désormais entièrement partie de nos vies.

Au moment où nous débattons, le scandale Cambridge Analytica a déjà fait beaucoup de bruit. Facebook est gravement mis en cause : son dirigeant a dû s’expliquer devant le Congrès des États-Unis ces deux derniers jours. Ce texte arrive donc à point nommé pour tracer, face aux enjeux, une voie française et européenne. En protégeant les données personnelles, nous affirmons notre conception de la démocratie. Par votre travail, mesdames et messieurs les députés, vous avez su démontrer que le Parlement avait pris la mesure des enjeux. Le Gouvernement et la France vous en remercient.

De son côté, le Gouvernement, en lien avec la CNIL, se portera aux côtés de ceux qui devront appliquer le nouveau régime de protection des données. Des appréhensions persistent, mais il ne faut pas considérer ce texte comme une contrainte nouvelle : c’est au contraire l’opportunité de porter un regard nouveau, responsable, juste et performant sur la protection des données. Je suis persuadé que nos débats contribueront grandement à cet objectif essentiel.

Ils ont déjà permis de rendre ces enjeux plus visibles : les Français, les Européens se rendent de mieux en mieux compte de son importance. Je vous en remercie tous. (Applaudissements sur les bancs du groupe LaREM.)

M. le président. La parole est à Mme Paula Forteza, rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République.

Mme Paula Forteza, rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, nous abordons en séance l’examen de ce texte en nouvelle lecture, après son passage en commission mardi dernier. Nous travaillons suivant les mêmes convictions qui nous avaient guidées lors de nos travaux en première lecture, convictions souvent partagées par la majorité et l’opposition, ce dont je me félicite.

Nous sommes notamment convaincus que la société civile a une attente forte de davantage de transparence sur les traitements et les conditions de stockage des données. Il faut davantage d’information et de protection contre ceux qui, sans le consentement des personnes concernées, utilisent les données personnelles à d’autres fins que celles au nom desquelles elles ont été recueillies. En un mot, il y a une attente forte d’une maîtrise effective des données personnelles par tout un chacun. Le retard pris en la matière, tant dans le secteur public que dans le secteur privé, doit à présent être rattrapé pour rétablir la confiance parfois ébranlée des citoyens dans les outils numériques.

Cette attente est partagée par les entreprises du numérique, les chercheurs et les administrations – pour ne citer qu’eux –, qui souhaitent pouvoir utiliser les données personnelles dans un cadre juridique sûr, afin de développer leur activité, de proposer de nouveaux produits ou de nouveaux services, ou encore d’améliorer les relations avec les usagers du service public.

Il faut comprendre que les failles dans la protection des données pénalisent non seulement les personnes qui sont victimes des scandales – il n’y a pas d’autre mot – qui émaillent l’actualité, mais également les acteurs, publics et privés, qui pourraient faire de ces données un usage bénéfique pour tous. Je pense notamment aux secteurs de la santé, de la recherche et du journalisme, mais bien d’autres domaines sont concernés.

Trop souvent, ceux qui parlent du numérique s’expriment au futur, comme s’il s’agissait d’un monde à venir, alors qu’il s’agit bien de notre présent. Il est donc urgent de relever collectivement les défis qui s’imposent en urgence à nous.

En conséquence, nous ne pouvons que prendre toute la mesure du changement de paradigme que représente le RGPD, le règlement général sur la protection des données. Celui-ci vise à responsabiliser les acteurs et à renforcer les droits des personnes. Ce nouvel équilibre favorisera ceux qui s’engagent en faveur de la protection des données personnelles tout en pénalisant davantage ceux qui, au contraire, ne respectent pas les règles.

Le plus important, c’est que cette nouvelle réglementation soit prise au niveau européen, car cela nous permettra de construire un écosystème favorable à l’émergence de nouvelles pratiques. Nombreux sont les pays extérieurs à l’Union européenne qui s’interrogent pour eux-mêmes sur les outils de régulation à mettre en place et observent attentivement les changements de réglementation en cours chez nous, je le souligne.

L’audition de Mark Zuckerberg par le Sénat des États-Unis en est la meilleure illustration. De façon assez symbolique, elle a eu lieu mardi soir, alors même que nous examinions ce texte en commission. Il a exprimé ses excuses à des millions d’utilisateurs pour le scandale impliquant Facebook et la société Cambridge Analytica. Les pratiques en cause constitueront, dans quelques semaines, de graves manquements à la réglementation française et européenne. Cette audition a soulevé d’autres enjeux que nous devrons étudier de façon approfondie dans les semaines à venir, à propos des fake news, ou, plus largement, du modèle d’affaires des plateformes, de leur régulation et de la concurrence loyale dans l’industrie du numérique.

Je me réjouis en outre que le numérique suscite autant de réflexions et de propositions dans nos assemblées. Le projet de loi que vous nous aviez soumis, monsieur le secrétaire d’État, a beaucoup évolué, s’est beaucoup enrichi, au cours des débats qui ont eu lieu à l’Assemblée nationale et au Sénat.

À ce propos, bien que la CMP ait échoué en raison de l’absence de compromis sur l’ensemble du texte, nous reconnaissons la valeur de nombreux apports du Sénat. J’ai tâché d’en conserver la plus grande partie, dans l’esprit constructif qui nous anime tous sur ce texte.

Toutefois, j’ai également souhaité que les dispositions qui avaient recueilli un large consensus au sein de notre assemblée – je rappelle que le texte, en première lecture, y a été adopté à une majorité de 523 voix – soient rétablies. C’est la raison pour laquelle j’ai proposé à notre commission des lois d’adopter à nouveau des dispositions que le Sénat avait soit supprimées, soit fortement remises en question par des modifications substantielles de rédaction.

D’abord, nous avons rétabli l’équilibre, trouvé en première lecture – avec, fait rare, l’assentiment de l’ensemble des groupes politiques –, entre l’exigence de protection des intérêts de l’enfant face au traitement de ses données personnelles et l’adaptation de la législation à la réalité des pratiques numériques actuelles. Alors que le Sénat était revenu sur l’abaissement de seize à quinze ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, j’ai déposé un amendement identique à celui de M. Gosselin – que je salue à cette occasion pour son travail et pour son implication –, revenant au texte de l’Assemblée nationale.

De même, nous sommes revenus sur toutes les dispositions visant à restreindre la capacité d’action des utilisateurs du numérique face aux manquements à la loi. En effet, dans le contexte actuel de révélations multiples sur des utilisations détournées de données personnelles concernant des centaines de milliers, voire des millions de personnes, les restrictions apportées par le Sénat à l’extension de l’action de groupe en matière de protection des données personnelles n’étaient pas acceptables.

Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre des décisions administratives, rédaction qui apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu’un renforcement de leur droit d’information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, souvent en contradiction avec le règlement européen, le recours à ces outils d’aide à la décision.

Sur ce sujet, j’ai une conviction que nous sommes nombreux à partager : ce n’est pas le recours aux algorithmes qui pose problème mais l’absence de transparence et l’impossibilité de contrôle de la part des citoyens. Il ne s’agit en effet que d’outils au service des administrations, qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l’objet d’une publication par défaut pour lever toute interrogation, voire tout soupçon. La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n’entraver ni l’innovation dans le secteur public ni la modernisation et la simplification des politiques publiques. C’était la logique de la loi pour une République numérique, et c’est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée AI for humanity.

À ce propos, je souligne que le Président a alors souhaité : « l’État, pour ce qui le concerne, rendra […] par défaut public le code de tous les algorithmes qu’il serait amené à utiliser au premier rang desquels […] celui de Parcoursup, parce que […] c’est une pratique démocratique ». Je m’associe à cet engagement et souhaite que l’État soit exemplaire en la matière. Le Gouvernement a d’ailleurs déposé en ce sens un amendement qui permettra d’assurer une meilleure information du Parlement et, le cas échéant, d’ajuster le cadre juridique en la matière, une fois la reforme stabilisée.

Nous avons également rétabli la possibilité de saisine de la CNIL par les commissions permanentes des assemblées et les présidents de groupe parlementaire. Il est en effet essentiel que les parlementaires puissent avoir une expertise en la matière, le sujet du numérique prenant une place croissante dans les textes qui nous sont soumis, nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d’une société de confiance ; projet de loi ELAN, portant évolution du logement, de l’aménagement et du numérique ; plan très haut débit ; textes sur les fake news ou sur les données personnelles.

Enfin, notre commission a supprimé des dispositions que nous avons considérées comme contraires à l’esprit du règlement européen ou à d’autres dispositions de notre droit national, et qui expliquent également l’échec de la CMP, notamment : le fléchage du produit des amendes et des astreintes prononcées par la CNIL, contraire à la LOLF, la loi organique sur les lois de finances ; l’encadrement des traitements de données pénales par des organismes privés, qui fragiliserait l’action des associations de victimes et d’aide à la réinsertion ; la remise en cause de l’open data des décisions de justice, qui serait devenu pratiquement impossible à mettre en œuvre avec les exigences posées par le Sénat ; à l’initiative du Gouvernement, les mesures de durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.

Par ailleurs, si le Sénat a adopté des dispositions utiles pour compléter l’information et l’accompagnement des collectivités territoriales dans le cadre de leur mise en conformité aux nouvelles obligations qui leur sont faites, certaines propositions n’étaient pas acceptables, comme la création d’une dotation de 170 millions d’euros ou l’exemption d’astreinte et d’amende administratives. Les acteurs locaux traitent en effet de données très sensibles pour nos concitoyens, comme la composition et les revenus des ménages, et rien ne justifie de restreindre les sanctions pouvant être prononcées par la CNIL en cas de manquements graves et persistants malgré de préalables mises en demeure, car cela déresponsabiliserait complètement ces acteurs. En commission, nous avons été unanimes sur ce point.

Il me semble donc, mes chers collègues, que la commission a adopté un texte équilibré, conservant les avancées proposées par le Sénat lorsqu’elles s’inscrivaient dans le respect du nouveau cadre réglementaire européen, tout en maintenant les orientations soutenues précédemment à l’Assemblée nationale, au-delà de la majorité.

Nous avons ainsi clarifié les règles qui s’appliqueront aux acteurs publics et privés, qui attendent des textes clairs pour engager, au cours des prochaines années, une réforme profonde de leurs pratiques en matière de protection des données personnelles. J’espère que nos débats auront contribué à les rassurer sur l’accompagnement qui leur sera apporté par la CNIL, même si nous devons nous montrer vigilants pour que celle-ci ait les moyens d’exercer ce rôle dans de bonnes conditions – et nous le serons lors de l’examen du prochain projet de loi de finances. J’espère aussi que nous les aurons encouragés à acquérir de nouvelles compétences en matière de protection des données personnelles, et plus généralement de numérique. (Applaudissements sur les bancs des groupes LaREM et MODEM.)

Motion de renvoi en commission

M. le président. J’ai reçu de M. Jean-Luc Mélenchon et des membres du groupe La France insoumise une motion de renvoi en commission déposée en application de l’article 91, alinéa 6, du règlement.

La parole est à M. Bastien Lachaud.

M. Bastien Lachaud. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mon camarade François Ruffin a exposé à cette tribune les vertus de la fonction recherche, autrement connue par les aficionados sous l’appellation « Ctrl + F ». Elle ne permet certes pas d’apprécier la cohérence d’un texte, mais au moins de vérifier en quelques secondes s’il passe à côté d’un point essentiel dans la recherche. En l’occurrence, c’est malheureusement le cas. Alors que le monde entier s’ébranle à la suite des révélations du lanceur d’alerte Christopher Wylie, ce projet de loi ne comporte aucune mention de la collecte et de l’utilisation frauduleuses de données personnelles en vue de perturber des élections. L’affaire Cambridge Analytica met Facebook et ses dirigeants sur la sellette : le Sénat américain enquête ; la Chambre des communes britannique enquête ; en Allemagne et au Nigeria aussi des enquêtes sont diligentées. Or, en France, nous débattons d’un projet de loi sur la protection des données personnelles qui n’effleure même pas la question, malgré vos affirmations de dernières minutes.

Alors que le Président de la République fait tourner son monde et menace la liberté d’expression en parlant de fake news, son gouvernement et sa majorité n’ont pas vu venir, ou ne veulent pas le voir, qu’une menace plus grave encore pèse sur la démocratie, qu’une menace plus insidieuse encore et donc plus dangereuse plane sur la sincérité même des élections. Cette menace, c’est celle de la manipulation des consciences à la faveur de la collecte indue d’informations personnelles. Le président de la première puissance du monde doit-il son élection à ce genre de procédé ? Le Royaume-Uni est-il en train d’organiser son départ de l’Union européenne parce que quelques aigrefins de la communication se sont adjugé les services de savants sans conscience ? Voilà qui mériterait qu’on en discute ; voilà qui mériterait l’attention du législateur !

Mais de cela, il n’est pas question dans ce texte. Je gage que la mauvaise foi pourrait vous faire dire qu’en parlant ainsi je suis hors sujet, mais je dirais plutôt que c’est la preuve que votre texte est hors sujet. Comment, en effet, pourrait-on admettre que ce texte est abouti et ne mérite pas d’être renvoyé en commission s’il ne donne pas les moyens de protéger nos concitoyens de l’utilisation de leurs données pour dévoyer la démocratie ?

Qu’on me permette de résumer assez brièvement le problème : la société Cambridge Analytica, une filiale de la société britannique SCL Group, a aspiré les données de 80 millions d’utilisateurs de Facebook, et, à partir de ceux-ci, ce sont 250 millions à 300 millions de personnes dont les vies ont été examinées. Laurent Solly, vice-président de Facebook, a admis que des Françaises et des Français sont concernés et a promis de les en informer. Pour ma part, j’ai un doute. En tout état de cause, les goûts et les pensées de millions de personnes ont été fichés, les informations ont été croisées, on a fait la cartographie de leurs personnalités, sondant leurs intentions avant même qu’elles fussent venues à leur propre conscience.

Pourquoi faire ce travail d’espionnage intime qui n’a rien à envier aux pratiques de la STASI ? Pour réaliser le fantasme de tous les despotes : tenir, retenir ou orienter la main du peuple au moment où il exerce sa souveraineté, c’est-à-dire au moment de voter ! Au moment de faire un choix crucial, des millions de personnes ont fait l’objet d’un matraquage subreptice, leur for intime a été forcé à leur insu. À la délibération libre, à l’échange libre et conscient d’arguments, ont été substitués l’endoctrinement, le bourrage de crâne 2.0 par les propagandistes d’un fascisme du XXIsiècle, à l’instigation notamment d’un milliardaire réactionnaire et de Steve Bannon, le grand ami de Mme Le Pen, l’invité d’honneur du congrès de son parti. On peut s’étonner que, devant ce genre de périls, le texte que nous soumet le Gouvernement reste coi.

Mais il manque aussi le traitement des questions matérielles de sécurité et ce qui doit relever de la souveraineté sur les données de notre population. Prenons l’exemple a priori très simple des data centers. Aujourd’hui, notre souveraineté s’arrête aux portes de ces immenses boîtes noires où transitent et sommeillent des milliards d’informations personnelles, alors qu’agrégées les unes aux autres, elles donnent une image de notre pays tout entier, de sa population, de ses forces et de ses vulnérabilités. Il est étonnant que le parti de la disruption ne se soit pas préoccupé de ce sujet dans un texte sur les données personnelles.

L’exploitation des données, l’open data, cette mine de croissance à l’évocation de laquelle s’extasient les thuriféraires de la start-up nation, tout ce qui leur fait briller les yeux peut aussi et surtout constituer le talon d’Achille d’une nation, fût-elle technologiquement avancée. Savez-vous, mes chers collègues, que les responsables de l’administration chargée d’assurer la cybersécurité de notre pays ne peuvent pas répondre si on leur demande où sont stockées les données de l’assurance maladie, ni sans doute si on leur demande où sont stockées les données de l’éducation nationale ? Alors que l’histoire récente aurait dû nous instruire, aurait dû hâter l’action des gouvernements pour mettre notre peuple à l’abri des espionnages de toutes sortes, rien, dans ce texte, ne le permet sérieusement. Mais où donc, en quels pays sont les serveurs qui abritent nos données et de quel droit dépendent-ils ? « Abritent », le mot est bien mal choisi puisqu’elles y sont conservées comme une pâture dans une chambre froide avant de rassasier je ne sais quelle puissance hostile ou déloyale.

Ou plutôt, je me dois d’apporter un correctif car je ne sais que trop bien quel genre de puissance se repaît depuis des années des données de ses alliés… En vertu d’un privilège juridique et politique exorbitant que notre naïveté, ou plutôt notre lâcheté, leur accorde, les États-Unis, via leurs agences de renseignement pléthoriques, dont la NSA – National Security Agency – est seulement la plus connue, ont table ouverte, chez nous, au banquet de la donnée. À ce propos, quel fut le rôle des données collectées par la NSA dans l’affaire de la vente d’Alstom à General Electric ? Cette vente a marqué une véritable perte de souveraineté industrielle pour notre pays. N’y a-t-il pas là matière à légiférer ? Ne devrions-nous pas inscrire dans la loi l’obligation non seulement pour l’État mais aussi pour les sociétés privées de disposer de leur data center sur le territoire national, relevant du droit français et non pas américain, à l’abri des mouchards en tout genre ?

On me répondra que la directive de 2016 ici transposée apporte de notables avancées dans la protection des données personnelles. Je n’en disconviens pas. Mais il suffit de les énoncer pour se dire que seuls un minimum de droits sont garantis et qu’il y a encore du chemin avant de mettre nos concitoyens hors de portée des GAFAM – Google, Amazon, Facebook, Apple, Microsoft – et autres vilains curieux. Il est heureux que le consentement des utilisateurs doive dorénavant être explicite pour autoriser la collecte de données, mais encore faut-il s’assurer que le consentement n’est pas arraché du fait des complications qu’induirait un refus de leur part ! Lorsque l’on achète un téléphone, on accepte le partage des données en l’activant ; sinon pas de téléphone. Tout le monde sait combien il est difficile de se soustraire à la pression des organes qui vivent de la collecte, du traitement et de la revente de données. Comment allons-nous agir pour garantir que les entreprises susceptibles de collecter ou d’exploiter des données ne changent pas sans cesse leurs conditions d’utilisation ? Comment allons-nous faire pour que ces conditions d’utilisation deviennent vraiment lisibles pour le profane ? Je suis au regret de vous le dire qu’après le vote de ce texte, la situation des utilisateurs ne sera guère caractérisée par la limpidité.

Et voilà bien un autre aspect de ce texte qui justifie son renvoi en commission : il n’a pas toute l’ambition qu’il prétend. Une illustration de ce problème : les codes de conduite que les entreprises sont incitées à élaborer. L’incitation est un médiocre moyen quand on veut obtenir des résultats. Qu’on se souvienne des propos d’Emmanuel Macron, apparemment sur un tout autre sujet, celui du plafonnement des rémunérations des grands patrons : en bon libéral, celui-ci s’oppose à l’idée d’une loi qui impose, mais laisser choisir et compter en l’occurrence sur la moralité des agents, c’est vraiment construire sur du sable ! De la même façon, les codes de bonne conduite ne seront vraisemblablement pas autre chose qu’une collection de vœux pieux. Là où l’intérêt matériel et, pour tout dire, la cupidité sont mis en concurrence avec les sentiments moraux, il n’est pas difficile de juger que la morale se trouve en bien mauvaise posture. Mieux vaudrait ne pas créer les conditions favorables à l’apparition de dilemmes : il ne faut en effet pas laisser le choix entre profit et éthique. Il faudrait soulager par avance la conscience de ceux qui se sentent prêts à faillir ou pas assez forts pour se donner d’eux-mêmes un code de conduite. Il est vrai que la philosophie de votre projet de loi est d’accompagner la collecte et l’exploitation des données plutôt que d’y mettre un coup d’arrêt net. L’idée de faire suer de l’or aux algorithmes suscite trop de fascination pour décider d’y renoncer, même partiellement.

Mais, a contrario, les aspects les plus ambitieux de ce projet de loi mettent en lumière son caractère inabouti.

En outre, le recours à la procédure accélérée est un accroc de plus à la pratique normale du débat parlementaire. La CNIL avait d’ailleurs souligné le caractère hâtif du procédé, en regrettant de n’avoir pas pu, par manque de temps, se prononcer sérieusement sur le contenu de la réforme. Dans son avis, le Conseil d’État lui-même avait confirmé cet état de fait.

Un dernier argument plaide en faveur du renvoi en commission : il est étonnant de devoir adopter un tel projet de loi alors que le rapport de notre collègue Cédric Villani sur l’intelligence artificielle n’a pas pu le nourrir. Encore une fois, l’exécutif nous fait avancer à marche forcée et ne tient pas compte du travail de l’assemblée. Dans le cas présent, c’est faire bien peu de cas d’un rapport auquel, par ailleurs, la majorité, comme le Gouvernement ont, non sans quelque raison, sans doute, donné tant d’écho. En tout cas, ce type d’affichage me paraît bien peu respectueux de notre collègue comme de notre assemblée.

Pour toutes ces raisons, vous comprendrez que nous demandions le renvoi du texte en commission. (Applaudissements sur les bancs des groupes FI et GDR.)

M. le président. Dans les explications de vote sur la motion de renvoi en commission, la parole est à Mme Danièle Obono, pour le groupe La France insoumise.

Mme Danièle Obono. Nous allons effectivement voter cette motion de renvoi en commission car, comme l’a brillamment expliqué notre collègue Lachaud, ce texte n’est malheureusement pas à la hauteur des enjeux d’actualité en matière de protection des données personnelles comme en matière de droits et de libertés de nos concitoyens et de nos concitoyennes que l’actualité.

Je voudrais revenir sur un sujet qui sera de nouveau évoqué, je le pense, au cours du débat : l’audition du patron de Facebook devant le Congrès états-unien. Un des éléments assez impressionnants de cette audition, outre les propos tenus, a été la capacité du législateur, aux États-Unis, d’auditionner un des dirigeants les plus puissants de la nouvelle économie pour lui demander des comptes. Celui-ci, s’étant rendu compte de l’enjeu et donc des risques qu’il encourait, a été obligé de faire son mea culpa et de tenter de rassurer à nouveau les pouvoirs publics : face au pouvoir du législateur, il a bien compris qu’il jouait gros.

Faisant écho à des auditions que nous avons pu conduire dans cette assemblée, on rend se compte à quel point se défausser de ses responsabilités, comme le présent texte le fait malheureusement – en se privant, à notre sens, d’utiliser toutes les marges de manœuvre offertes par la directive pour encadrer ou contrôler non pas a posteriori mais a priori la protection de ces données –, peut avoir de lourdes conséquences. On voit comment, une fois encore, la majorité qui se dit celle du nouveau monde, est malheureusement en retard d’un bon siècle en ce qui concerne l’arsenal du Parlement pour réclamer des comptes, y compris aux plus puissants, qu’ils soient Français ou étrangers.

Nous appelons donc à voter pour cette motion de renvoi en commission, qui nous permettrait de conquérir les marges de manœuvres dont nos collègues états-uniens disposent déjà. (Applaudissements sur les bancs du groupe FI.)

M. le président. La parole est à M. Stéphane Peu, pour le groupe de la Gauche démocrate et républicaine.

M. Stéphane Peu. Notre groupe votera cette motion de renvoi en commission. Notre collègue Bastien Lachaud a donné beaucoup d’arguments sur les effets pervers d’un vote précipité ou accéléré de ce projet de loi, arguments qui d’ailleurs avaient déjà été employés à la fois par le Conseil d’État et par la CNIL. Une conséquence non négligeable est que les observateurs et les autorités compétentes critiquent la future loi, qu’ils décrivent comme un texte illisible. Or un État de droit requiert des lois compréhensibles et lisibles par tous ; c’est ainsi qu’elles deviennent des lois communes.

De plus, en dépit des avancées de ce projet de loi, sur lesquelles je reviendrai tout à l’heure, il fait beaucoup d’impasses. Hier, en commission des lois, le défenseur des droits, à l’occasion de la présentation de son rapport annuel, nous a expliqué qu’il y a consacré un chapitre entier aux problèmes posés par la dématérialisation de l’administration française, détaillant toutes les difficultés rencontrées par nos compatriotes compte tenu de cette dématérialisation et le recul de l’humain dans les procédures administratives. Or l’une de ces impasses faites dans ce projet de loi concerne l’application de ses dispositions aux administrations : elle n’est en effet traitée que par le biais d’une simple exception, d’une simple dérogation, ce qui aura pour conséquence de laisser libre cours à des algorithmes qui présideront à toute une série de mesures administratives, sans contrôle, sans intervention humaine. Tout cela a fait l’objet d’amendements, qui ont été rejetés.

Par conséquent, un réexamen du projet de loi en commission serait pour le moins nécessaire. Nous voterons donc ce renvoi en commission. (Applaudissements sur les bancs du groupe FI.)

M. le président. La parole est à M. Rémy Rebeyrotte, pour le groupe La République en marche.

M. Rémy Rebeyrotte. Une remarque à l’attention de nos collègues le groupe La France insoumise : il aurait été préférable, madame Obono, que vous présentiez vous-même la motion de renvoi en commission, à la place de M. Lachaud, car vous avez participé à sa dernière réunion, alors que nous n’avons pas eu l’honneur de l’y voir. S’il avait été présent, il aurait pu nous exposer un certain nombre des motifs soulevés dans l’intervention qu’il vient de prononcer.

Quoi qu’il en soit, M. Lachaud présente l’avantage de faire à la fois les questions et les réponses.

M. Bastien Lachaud. Hors sujet !

M. Rémy Rebeyrotte. En effet : vous étiez assez largement hors sujet, je ne peux pas vous le cacher.

Mme Danièle Obono. Comment ça ?

M. Rémy Rebeyrotte. La rédaction du titre II que nous nous apprêtons à adopter vise précisément à éviter, aux niveaux national et européen, les abus que vous avez très largement dénoncés. Je rappelle que ce résultat est – c’est une bonne chose – le fruit d’heures de discussion en commission, puisque le projet de loi a été travaillé en première lecture puis retravaillé en nouvelle lecture, et nous allons d’ailleurs continuer à le travailler dans les moments qui viennent.

Nous ne voyons par conséquent pas l’intérêt de le renvoyer en commission. Nous voterons donc contre cette motion.

Mme Albane Gaillot et M. Jean-Michel Mis. Très bien !

M. le président. La parole est à Mme Constance Le Grip, pour le groupe Les Républicains.

Mme Constance Le Grip. J’ai écouté avec beaucoup d’attention les propos de notre collègue Bastien Lachaud. Loin de moi l’idée de balayer d’un revers de main les inquiétudes, à bien des égards légitimes, qui ont émergé au sein de la société française comme dans bien des sociétés européennes et qu’il a relayées. Nous aurons l’occasion d’en reparler tout au long de la discussion générale.

Cependant, il y a, je crois, urgence à ce que notre assemblée travaille, avance et chemine vers l’aboutissement de la mise en application du règlement général sur la protection des données, dans un esprit de responsabilité, afin de tenir compte de nos engagements européens. Nous estimons qu’il faut agir vite, qu’il n’est maintenant plus temps de tergiverser. Le groupe Les Républicains votera donc contre cette motion de renvoi en commission. (Applaudissements sur les bancs du groupe LR.)

(La motion de renvoi en commission, mise aux voix, n’est pas adoptée.)

Discussion générale

M. le président. Dans la discussion générale, la parole est à Mme Danièle Obono.

Mme Danièle Obono. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, le projet de loi relatif à la protection des données personnelles revient donc en nouvelle lecture devant notre assemblée.

Le temps de la navette parlementaire, le scandale Cambridge Analytica a éclaté, et le dirigeant du réseau social Facebook, Mark Zuckerberg, a fait à ce sujet l’objet de vigoureuses auditions parlementaires devant le Sénat et la Chambre des représentants des États-Unis. C’est ainsi, fort opportunément, que l’actualité nous rappelle combien la protection de nos données personnelles de nos concitoyennes et de nos concitoyens est un enjeu démocratique fondamental.

Le groupe La France insoumise a pris part aux débats en première lecture de ce texte à l’Assemblée nationale, à travers ma participation aux travaux de la commission des lois comme à travers celle de l’ensemble de ses membres qui travaillent sur ce dossier.

J’en profite pour répondre à notre collègue Rebeyrotte. Sachez que M. Bastien Lachaud a évoqué les questions de cybersécurité dans la commission où il siège. Sachez en outre que, même si notre groupe ne compte pas autant de membres que le vôtre, nous y travaillons de concert et de manière transversale, et que, collectivement, nous avons élaboré un certain nombre de propositions sur le sujet en débat ce matin, afin de tenter de faire prendre conscience à votre majorité de la mesure des risques liés à l’usage par les GAFAM de nos données personnelles, directement ou indirectement, comme c’est le cas dans l’affaire Cambridge Analytica.

Face à ce risque, nous avions abondamment amendé le texte afin de renforcer les compétences de la CNIL et de s’assurer que celle-ci agisse en faveur de l’intérêt général et non sous l’influence du lobby des grands groupes du numérique. Mais votre majorité les a tous rejetés, à une seule exception, peut-être.

Le passage au Sénat a permis plusieurs modifications allant dans le sens de ce que nous avions défendu.

Je pense par exemple au rétablissement d’un régime d’autorisation préalable, à la publication des règles d’un traitement algorithmique ayant servi à fonder une décision, ou encore à l’obligation de l’emploi d’un langage clair et facilement accessible concernant la collecte de données à caractère personnel des mineurs de moins de seize ans.

La mouture adoptée par le Sénat est ainsi revenue à un régime d’autorisation préalable et non à un système de contrôle a posteriori et aléatoire. Il ressort d’ailleurs des débats que le groupe La République en marche du Sénat a voté cette rédaction du texte, alors même qu’elle contenait des avancées que nous avions proposées et qui avaient été refusées, comme je l’ai dit, par le groupe LaREM de l’Assemblée nationale. Peut-être devriez-vous donc, monsieur Rebeyrotte, vous poser la question de la coordination et de la cohérence de votre majorité sur ce sujet.

M. Rémy Rebeyrotte. Pour vous la question ne se pose pas : il n’y pas de groupe La France insoumise au Sénat !

Mme Danièle Obono. Les modifications votées par le Sénat, entérinées, donc, par le groupe La République en marche de la deuxième chambre, rejoignaient, en tout cas, la ligne défendue au travers de nos amendements. Nous jugions celle-ci, et continuons à la juger, la mieux à même de protéger les libertés fondamentales, notamment au vu des moyens limités de la CNIL. Nous l’affirmions, et le sénateur Loïc Hervé, membre du groupe de l’Union centriste – et qu’on ne peut donc soupçonner de complaisance à notre égard – l’a indiqué : « Ce projet de loi n’est pas un texte technique, c’est un texte politique. » L’argument de l’urgence, de la nécessité de la transposition dans la précipitation, ne doit pas faire oublier cette dimension.

Nous l’avons dit et le redisons donc, la rédaction du texte a depuis le départ une logique politique que nous contestons : vouloir passer d’une logique d’autorisation préalable à une logique de contrôle, afin d’offrir aux entreprises du big data des possibilités de faire du business.

Oui, des protections complémentaires pouvaient et peuvent encore être décidées. La justesse de notre argumentation s’est ainsi trouvée validée par le Sénat, y compris, comme je l’ai dit, chers collègues, par son groupe La République en marche, qui a voté dans ce sens. Permettez-moi donc de souligner, pour la déplorer, cette incohérence de la majorité, qui a fait perdre du temps à la représentation parlementaire, avec l’échec de la CMP.

Nous regrettons encore plus que, lors de l’examen par la commission du projet de loi en nouvelle lecture, la plupart des ajouts du Sénat qui allaient dans ce sens positif aient été supprimés ou aient vu leur portée significativement amoindrie.

Alors que les soupçons de manipulations de masse fondées sur des collectes massives et non consenties de données défraient la chronique et soulèvent des questions démocratiques fondamentales, le texte qui nous est soumis en nouvelle lecture, est encore, de notre point de vue, terriblement insatisfaisant.

Il l’est parce que les moyens humains et financiers de la CNIL ne lui permettront pas d’assurer un réel contrôle systématique a posteriori – puisque tel est, chers collègues, votre choix –, là où un système d’autorisation oblige à l’examen.

Il l’est surtout car c’est aller à contretemps de la course à la collecte des données numériques que de réduire l’intensité du contrôle de la CNIL, alors que la numérisation de notre quotidien est de plus en plus importante, que les techniques de croisement des données se perfectionnent à une vitesse folle et que ces évolutions ont lieu – c’est peut-être en réalité la raison sous-jacente de ce changement de paradigme – alors que le marché de la collecte des données explose. Quelle grave insuffisance, en somme, face au risque d’un certain usage du numérique qui ébranle nos démocraties !

Cette réforme laisse donc le champ libre aux très grandes entreprises de l’internet pour faire du profit avec notre vie privée – ces très grandes entreprises dont certaines font déjà des profits d’un montant équivalant aux PIB de grands États. Pour elles, les sanctions prévues par le projet de loi, si par hasard la CNIL effectuait un contrôle, constituent des sommes risibles, susceptibles d’être anticipées et prévues dans leurs budgets annuels.

Ce choix de changer de paradigme est un choix de politique nationale, la directive européenne laissant aux États membres le champ libre dans ce domaine. Le gouvernement Philippe doit donc assumer la responsabilité de ses choix politiques et ne pas se défausser, une fois sur le Conseil constitutionnel, l’autre fois sur l’Union européenne et, par jour de neige, sur les deux.

Quant à nous, nous souhaitons prendre pleinement notre part de responsabilité dans ce débat important et garantir véritablement la protection des droits et libertés de nos concitoyens et concitoyennes. Voilà pourquoi nous avons choisi de vous proposer à nouveau une courte série d’amendements ; nous espérons qu’ils trouveront auprès de vous une meilleure écoute qu’en première lecture, et que la clarté et la consistance de notre argumentation, cette fois, emporteront pleinement votre adhésion.

Nous proposons ainsi : la garantie de publication des critères d’évaluation des membres de la CNIL, ainsi que des évaluations elles-mêmes, afin d’assurer une plus grande transparence de la procédure de sélection ; la publicité des délibérations en formation restreinte, notamment en ce qui concerne les sanctions ; un strict encadrement du pouvoir de sanction de la CNIL, afin d’en consolider le bien-fondé ; la possibilité de renchérir les amendes, en utilisant la marge de liberté laissée au législateur par la Commission européenne ; l’interdiction du profilage privé à des fins lucratives ; la possibilité d’un contrôle citoyen des algorithmes.

Notre groupe continue d’apprécier le potentiel extraordinaire de progrès sociaux, démocratiques, environnementaux et scientifiques attaché à une collecte de données à but non premièrement lucratif et correctement anonymisée. Nous appelons de nos vœux la réalisation d’une révolution numérique pour tous et toutes, au service de l’intérêt général. Il est impératif d’investir ce terrain législatif, car c’est là que s’inventent et s’inventeront les nouveaux outils de participation et de prise de décision collective. Croyez bien, chers collègues, que, dans ce débat comme dans tous les autres, nous continuerons à être activement présents. (Applaudissements sur les bancs des groupes FI et GDR.)

M. le président. La parole est à M. Stéphane Peu.

M. Stéphane Peu. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, je voudrais tout d’abord formuler quelques remarques sur la forme. Je déplore l’utilisation de la procédure accélérée et le recours aux ordonnances pour réécrire l’ensemble de la loi de 1978, dite « informatique et libertés ». Par ailleurs, le présent projet de loi souffre d’un défaut de lisibilité, comme l’a souligné avec force la CNIL. Les opérateurs et les citoyens auront du mal à comprendre les règles relatives à la protection des données personnelles à la seule lecture de ce texte, qui ne donne pas de vision claire et précise. En somme, on ne peut que regretter, avec le Conseil d’État, l’occasion manquée de procéder à un réexamen global du droit à la protection des données personnelles et d’approfondir les droits des personnes.

Sur le fond, nous l’avons souligné lors des précédentes discussions, cette réforme nous semble apporter certaines garanties supplémentaires dans la protection des données personnelles.

Tout d’abord, son champ d’application permettra de soumettre à la nouvelle législation l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors qu’ils offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. Alors que la Commission européenne a annoncé, vendredi dernier, que Facebook avait confirmé que les données personnelles de près de 2,7 millions d’Européens ou de personnes résidant dans l’Union européenne pourraient avoir été transmises « de manière inappropriée » à la société Cambridge Analytica, on mesure l’impérieuse nécessité de renforcer la législation afin de protéger les libertés individuelles face au développement du numérique et, en particulier, des géants américains du numérique, les GAFA – Google, Apple, Facebook et Amazon.

Si le RGPD allège considérablement les formalités préalables, il tend à une responsabilisation des acteurs, qui seront soumis à des sanctions beaucoup plus fortes, et à un renforcement des droits des individus. La CNIL verra ainsi ses pouvoirs se renforcer significativement. En particulier, ses pouvoirs de contrôle et de sanction seront considérablement accrus. Premièrement, ses agents obtiennent un droit de contrôle sur place généralisé à l’ensemble des locaux servant à la mise en œuvre d’un traitement des données personnelles. Deuxièmement, l’effectivité des contrôles en ligne est améliorée par l’autorisation qui est accordée aux agents d’utiliser une identité d’emprunt. Troisièmement, le projet de loi permet des opérations conjointes des autorités de contrôle.

S’agissant du pouvoir de sanction de la CNIL, le règlement prévoit des sanctions administratives désormais dissuasives en cas de méconnaissance des dispositions de la réforme.

Si nous soutenons ces évolutions, nous regrettons en revanche que les mesures de contrôle attribuées à la CNIL ne soient pas applicables dans le cas où le traitement est mis en œuvre par l’État. De même, il est regrettable qu’une injonction avec astreinte ne soit pas prévue afin de satisfaire les demandes présentées par les personnes en vue d’exercer leurs droits : accès, opposition, rectification, notamment.

Enfin, accroître le contrôle sans accroître les moyens de l’autorité qui l’assure fait problème : cela risque de faire de cette loi une simple épée de bois. C’est pourquoi nous insistons sur l’importance d’octroyer les moyens humains et financiers nécessaires à la CNIL, afin de lui permettre de mener à bien ses missions, en particulier ses missions de contrôle.

Lors de l’examen du texte en première lecture, des améliorations avaient été apportées. Je pense, en particulier, à l’élargissement du champ de l’action de groupe à la réparation des préjudices matériels et moraux.

S’agissant de la modification de l’âge du consentement des mineurs, l’abaissement du seuil à quinze ans par la commission des lois de notre assemblée, assortie de l’exigence d’un double consentement des parents et du mineur en dessous de cet âge, et de l’obligation pour les responsables de traitement de données de communiquer suivant des modalités adaptées à l’âge du mineur, nous paraît une position équilibrée.

En revanche, certaines dispositions que nous avions dénoncées demeurent inquiétantes à nos yeux. Ainsi, si le projet de loi réaffirme l’interdiction de principe des décisions produisant des effets juridiques et fondées exclusivement sur des traitements automatisés de données personnelles, il tend à instituer une dérogation pour les décisions administratives individuelles. Sur ce point, nous regrettons que la majorité n’ait pas accepté les amendements adoptés par le Sénat, qui visaient à encadrer plus strictement l’usage des algorithmes par l’administration – hormis, bien entendu, s’agissant des sujets dits « sensibles ».

En outre, l’encadrement du profilage et les clarifications actuelles ne sont absolument pas suffisants. Le Conseil d’État estime, à ce propos, qu’il est essentiel « de garantir à tout instant une maîtrise humaine complète des algorithmes, comportant notamment la capacité d’interrompre le fonctionnement du traitement, notamment lorsque ceux-ci sont dotés de capacités d’apprentissage leur permettant de modifier leur logique de fonctionnement sans une démarche humaine préalable de validation ». L’objectif de moderniser l’administration et de gagner en performance ne saurait justifier l’extension, dans la précipitation, du recours aux décisions fondées sur un traitement intégralement automatisé, sous couvert de l’apport de quelques garanties comme l’information des personnes ou le droit au recours. Pour notre part, nous considérons que l’approfondissement des réflexions et des études, notamment sur la maîtrise des algorithmes, est un préalable indispensable à toute décision d’extension du recours aux décisions administratives automatisées. Les traitements de masse de données et les progrès de l’intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés ; c’est la seule condition, selon nous, de la neutralité.

Concernant la transposition de la directive applicable aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, on doit regretter une volonté de sous-transposer la directive et de renvoyer l’essentiel des dispositions au pouvoir réglementaire. La CNIL relève ainsi que la transposition de la directive est réalisée « a minima ». Le projet de loi aurait notamment pu prévoir des garanties supérieures en matière de protection des données traitées à des fins pénales, expressément prévue à l’article 1er de la directive.

En définitive, nous maintiendrons notre abstention sur ce projet de loi. L’avènement du numérique dans nos sociétés contemporaines provoque de plus en plus de bouleversements dans le fonctionnement de nos démocraties et les droits fondamentaux. Si la société numérique doit être une société de liberté, elle doit, pour ce faire, être clairement encadrée et préserver les droits fondamentaux comme le droit au respect de la vie privée ou le droit à des données personnelles. Les conséquences du traitement massif des données, la propriété des données personnelles, l’information pleine et entière des citoyens, la vigilance, la maîtrise et le contrôle des algorithmes, la place de l’intelligence artificielle et tant d’autres questions se posent aujourd’hui, qui devraient faire l’objet de réflexions et d’études approfondies, puis de choix politiques qui ne soient pas pris dans la précipitation.

M. le président. La parole est à Mme Christine Hennion.

Mme Christine Hennion. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, nous examinons ce matin en deuxième lecture le projet de loi qui adapte notre législation au règlement général sur la protection des données et à la directive de 2016 relative aux données pénales.

Mme la rapporteure a déjà détaillé les améliorations apportées au texte lors de son examen au Sénat et adoptées par la commission des lois de notre assemblée. L’Assemblée nationale souhaite cependant conserver l’esprit du texte qui avait été adopté à une très large majorité en première lecture, et tendre vers une harmonisation aussi aboutie que possible des législations avec nos partenaires européens, afin de favoriser la mise en place d’un marché unique du numérique efficient.

L’actualité de ces derniers jours, avec l’affaire Cambridge Analytica et, ce matin, celle des mutuelles néerlandaises, montre à quel point ce paquet relatif aux données personnelles est nécessaire. En responsabilisant tous les acteurs, privés et publics, l’ambition de ce texte est bien de respecter la vie privée des personnes, en protégeant leurs données personnelles. Même Mark Zuckerberg, devant la Chambre des représentants, a souligné la nécessité de réglementer, a estimé que le RGPD allait dans le bon sens et a indiqué qu’il l’appliquerait partout dans le monde.

Les Français sont de plus en plus concernés par l’usage qui est fait de leurs données. Le rapport de la CNIL pour 2017, publié cette semaine, fait état d’une croissance continue des plaintes : plus de 8 300 en 2017. Ce rapport montre également que, si la CNIL a réalisé 341 contrôles en 2017, elle a surtout renforcé les mesures d’accompagnement auprès des pouvoirs publics et des professionnels. Les requêtes sur sa plateforme Besoin d’aide ont augmenté de 21 % en 2017 et elles ont encore crû de 64 % au premier trimestre de cette année. Des outils pratiques sont mis à la disposition des organismes sur le site de la CNIL : outils d’autoévaluation, modèles de registre, logiciels d’analyse d’impact, packs de conformité. Des fiches, des vidéos, des conseils sensibilisent nos concitoyens aux usages du numérique.

L’importance et le rôle de l’éducation et de l’accompagnement ont été soulignés lors de nos premiers débats. Le Sénat, lui aussi, est allé dans ce sens, en soulignant, en particulier, les besoins des petites collectivités territoriales. Nous ne pouvons qu’abonder encore dans ce sens et invitons la CNIL à travailler à un guide, comme elle l’a fait à destination des TPE-PME, les très petites entreprises et petites et moyennes entreprises.

Pour ce qui est des entreprises, le règlement permet de sortir du paradigme traditionnel du régime d’autorisation. La confiance affirmée envers les responsables de traitement de données et leurs sous-traitants implique désormais que ce soient eux, accompagnés, dans la mesure de leurs moyens, par les autorités de contrôle nationales, qui vérifient la licéité de leur traitement des données à caractère personnel. En contrepartie de cette plus grande souplesse, des amendes administratives plus lourdes pourront être infligées. Tous les acteurs, qu’ils soient responsables de traitement de données ou sous-traitants, pourront être sanctionnés. Un contrat devra être établi entre les parties afin de définir et répartir leurs responsabilités.

Je souhaite que ce texte puisse bénéficier de conditions d’application aussi efficaces que possible. Le fort risque de contentieux, qui peut faire peur à un certain nombre d’acteurs du secteur et fragiliser les plus petites entreprises, a été noté. C’est pourquoi, en première lecture, j’avais déposé deux amendements concernant les dispositifs de médiation.

Le premier, qui concernait les relations entre particuliers et entreprises, a été adopté. La CNIL pourra donc sensibiliser les médiateurs habituels de la consommation aux nouveaux enjeux de ce texte ainsi qu’aux nouveaux droits dont les consommateurs pourront se prévaloir.

Le deuxième visait les relations entre entreprises, notamment entre responsables de traitement et sous-traitants. Nous étions convenus de travailler à une solution pour impliquer le médiateur des entreprises, qui traite déjà des contentieux contractuels, pour qu’il puisse mener des actions de médiation en amont des litiges, préserver la solidité des relations contractuelles et ainsi éviter des remontées de plainte vers la CNIL. Cette possibilité de saisine du médiateur a été confirmée. Une réunion sera donc organisée prochainement entre celui-ci et la CNIL afin de mettre en place le plus rapidement possible leur cadre de collaboration.

On le voit, le nombre de demandes envers la CNIL augmente considérablement avec le développement des technologies numériques : objets connectés, assistants vocaux ou algorithmes. Nous souhaitons aussi que le législateur, par le truchement des présidents des groupes politiques, puisse saisir la CNIL pour avis. Au début de cette année, la CNIL a publié son premier rapport sur l’intelligence artificielle : elle y montre l’importance d’une démarche éthique et responsable qui, en ligne avec nos valeurs européennes, doit nous différencier de nos concurrents chinois et américains. Les missions de l’autorité indépendante se multiplient.

M. le président. Merci de conclure.

Mme Christine Hennion. Nous nous devons donc de doter cette autorité indépendante des moyens suffisants pour lui permettre de rester en mesure de jouer le rôle de leader européen et mondial qu’elle a eu jusqu’à présent. (Applaudissements sur les bancs du groupe LaREM.)

M. Philippe Latombe. Très bien !

M. le président. La parole est à Mme Constance Le Grip.

Mme Constance Le Grip. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, nous voici à nouveau réunis pour examiner, en nouvelle lecture, les dispositions transposant les cinquante-sept points du règlement général sur la protection des données qui peuvent faire l’objet d’adaptations nationales. Les désaccords constatés lors de la première lecture entre nos deux chambres, Assemblée nationale et Sénat, ont été actés par l’échec de la CMP, réunie il y a quelques jours.

Le groupe Les Républicains a déjà dit qu’il déplorait cet échec, lequel n’était d’ailleurs pas forcément prévisible, sur un texte de transposition d’un règlement européen ; mais je crains fort que les réelles divergences entre le texte adopté par le Sénat et celui de l’Assemblée nationale ne se soient accentuées au fur et à mesure que s’intensifiaient les discussions entre les deux rapporteurs et que s’évaporait l’esprit de compromis. Dont acte.

Lors de la réunion récente de la commission des lois de notre assemblée, la version sénatoriale a été en grande partie détricotée, à la demande de Mme la rapporteure, si bien que nous sommes presque revenus au point de départ. L’urgence nous commande maintenant vraiment de trouver les solutions qui permettront d’adapter notre droit au nouveau cadre européen. Je rappelle que la protection des données à caractère personnel est consacrée comme un droit fondamental par la Charte des droits fondamentaux de l’Union européenne, en son article 8, et que le RGPD doit être appliqué partout dans l’Union d’ici au 25 mai prochain.

Je l’ai dit en première lecture et je persiste, le règlement général pour la protection des données est une réelle chance pour tous les citoyens européens et même au-delà de notre continent : la chance de bénéficier d’une harmonisation par le haut, grâce à la protection offerte par un cadre unique applicable dans l’ensemble des États membres et à l’ensemble des entreprises agissant sur le territoire de l’Union européenne. L’adoption de ce texte est donc essentielle, la protection des données personnelles se situant au cœur de toutes nos activités humaines, qu’elles soient civiles, économiques ou politiques.

Quarante ans après l’adoption, de la loi française informatique et libertés et la création de la CNIL, c’est là une avancée majeure, répétons-le. Partout dans le monde, on regarde avec beaucoup d’intérêt ce qui se passe en Europe en matière de protection des données personnelles. Ce texte est donc une avancée majeure, disais-je, pour consolider un régime commun de traitement, de partage et de libre circulation protégée de nos données.

La loi pour une République numérique d’octobre 2016 avait déjà pris en compte la problématique de la protection des données personnelles, bien évidemment, mais sans couvrir l’ensemble du champ du règlement. Le projet de loi dont nous débattons arrive donc à point nommé, quoiqu’un peu tardivement. La parution, en février 2017, d’un rapport d’information parlementaire sur les incidences des normes européennes en matière de protection des données personnelles dans la législation française n’avait guère été suivie d’effets, notre pays étant alors en campagne électorale.

La confiance, maître mot pour le fonctionnement de nos démocraties, de nos sociétés et de nos économies, est mise à mal par la succession des scandales déjà abondamment évoqués par mes collègues, s’agissant des données exploitées par les grandes plateformes, souvent américaines. La polémique sur Cambridge Analytica a ouvert grands les yeux de celles et ceux qui n’avaient peut-être pas tout à fait conscience d’un certain nombre de pratiques. L’utilisation des données de 87 millions d’utilisateurs de Facebook sans leur consentement exprès a contraint, on l’a dit, Mark Zuckerberg à venir s’expliquer devant le Sénat américain et la Chambre des représentants, laquelle a d’ailleurs concédé qu’une régulation était nécessaire. Toutefois, beaucoup d’autres scandales ont déjà émaillé la chronique, et je crains que nous ne soyons pas à l’abri d’autres révélations encore.

Le RGPD n’est pas l’alpha et l’oméga, et il sera suivi de beaucoup d’autres travaux législatifs et parlementaires, tant en France qu’au niveau européen, pour parachever l’édifice et renforcer la protection de la vie privée, des données personnelles et des libertés individuelles, mais il est une réponse très attendue, une réponse européenne, que nous saluons.

J’en viens au détail de nos travaux, notamment en commission des lois.

Nous nous félicitons que l’âge du consentement des mineurs ait été ramené à quinze ans, conformément à la position émise initialement par notre groupe. Nous sommes également favorables à la possibilité de saisine de la CNIL par les commissions permanentes des assemblées et les présidents des groupes parlementaires sur les propositions de loi relatives à la protection des données personnelles. De même, la clarification apportée sur les délégations de signature nous semble une bonne chose, ainsi que le nouvel article 13 ter, qui permet une amélioration des relations entre la CNIL et les ministères, dans leurs rôles respectifs. Nous regrettons, en revanche, le renoncement à l’obligation de chiffrement de bout en bout.

La situation des collectivités territoriales a été un point de crispation tout au long du parcours législatif et a d’ailleurs provoqué l’échec de la CMP. Les Républicains forment le vœu que la nouvelle copie que nous allons élaborer ensemble trouve le point d’équilibre, suive une voie de sagesse et de responsabilité partagée. Selon le rapport conjoint des deux rapporteurs de l’Assemblée nationale et du Sénat en vue de la CMP : « Il ne fait aucun doute que les collectivités territoriales, surtout les plus petites, doivent voir leurs besoins et spécificités pris en compte dans la manière d’appliquer les nouvelles règles, tout comme c’est le cas pour les entreprises. La CNIL nous a d’ailleurs indiqué qu’elle multipliait et multiplierait, dans les prochains mois, les efforts d’accompagnement des acteurs qui disposent de faibles moyens en vue de faciliter leur mise en conformité. »

C’est dans cet esprit de médiation et de pédagogie que j’avais déposé en première lecture, avec d’autres collègues, plusieurs amendements relatifs à la médiation, mais tous n’ont pas été adoptés. Je salue la nouvelle écriture de l’alinéa 4 de l’article 1er, qui intègre la notion d’« information adaptée » aux PME et aux collectivités territoriales, formulation qui me semble préférable à celle d’« information personnalisée ». Nous espérons que, dans les semaines et les mois à venir, la CNIL saura accomplir ce travail d’accompagnement des collectivités territoriales, surtout des plus petites, qui en ont tant besoin, de même que nos très petites entreprises.

Sur le principe, nous sommes également favorables à l’amendement audacieux de nos collègues Éric Bothorel et Cédric Villani – dont les compétences respectives sont connues – au sujet de la configuration initiale des terminaux. J’ai entendu ce que vous disiez à ce sujet, monsieur le secrétaire d’État. Il y a peut-être urgence, là encore : évitons de tergiverser et de toujours remettre à plus tard ! L’envoi d’un signal fort, dès aujourd’hui, serait peut-être bienvenu.

Dans le même esprit, le groupe Les Républicains vous invite à adopter un amendement à l’article 19 ter, introduit par le Sénat pour consolider la base légale des prestations de service offertes aux communes et intercommunalités par d’autres collectivités territoriales ou établissements publics. C’est là, nous semble-t-il, une proposition intéressante pour permettre aux collectivités territoriales ainsi qu’à leurs groupements et syndicats mixtes de conclure entre eux des conventions pour réaliser des prestations rigoureuses et performantes tout en mutualisant les charges.

Pour conclure, je veux insister, comme je l’avais fait en première lecture, sur l’importance que revêt, pour Les Républicains, l’existence d’un cadre harmonisé européen, à travers une directive et le règlement général sur la protection des données. C’est en effet à l’échelle de l’Union européenne, nous le savons bien, que doivent être traités les enjeux essentiels de protection des données. Par ailleurs, les marges de manœuvre laissées aux États membres pour appliquer le RGPD permettent d’adapter le dispositif à la complexité du sujet, bien sûr, mais aussi à la culture politique et juridique, à la sensibilité particulière de chacun d’entre eux. Veillons toutefois à ce que cela ne conduise pas à l’inverse de ce que nous recherchons, à savoir une trop grande fragmentation juridique ! À ce stade, cet écueil me semble toutefois avoir été évité.

Les Républicains sont convaincus que le RGPD et le présent projet de loi apportent des chances et des opportunités cruciales pour avancer sur le chemin de la protection des données et des libertés individuelles.

M. le président. Merci de conclure.

Mme Constance Le Grip. De ce point de vue, un équilibre me semble avoir été trouvé entre les libertés individuelles des citoyens et les intérêts économiques. Il importe de préserver cet équilibre pour nos valeurs et nos libertés.

M. le président. Merci.

Mme Constance Le Grip. C’est pourquoi nous appuierons ce projet de loi, comme nous l’avions fait en première lecture.

M. Jean-Michel Mis et M. Rémy Rebeyrotte. Très bien !

M. le président. La parole est à M. Philippe Latombe.

M. Philippe Latombe. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, la protection des données personnelles est un enjeu majeur, qui fait de plus en plus souvent la une de notre actualité ; nous avons eu l’occasion de le constater encore très récemment avec l’affaire Cambridge Analytica et l’audition, mardi soir, de Mark Zuckerberg par le Sénat américain. Ces affaires sensibilisent – enfin, oserais-je dire – les citoyens à cette problématique, bien qu’elle reste complexe à appréhender. Notre rôle, en tant que parlementaires, notamment à travers le présent projet de loi, est d’informer, de rassurer et de protéger nos concitoyens.

Il convient d’abord de les informer sur les droits, les usages et les risques liés au traitement des données à caractère personnel. Nous devons ensuite les rassurer car il ne faut pas avoir du sujet une vision manichéenne : l’utilisation des données personnelles dans le cadre d’activités économiques n’est pas néfaste en elle-même, et nombreuses sont les entreprises, tous secteurs d’activité confondus, qui font un usage cohérent et justifié des données de leurs clients. Il faut enfin protéger nos concitoyens, et, à ce titre nous devons souligner l’ambition européenne que représente le RGPD, lequel impose des règles à l’ensemble des responsables de traitement, quelle que soit leur nationalité, dès lors qu’un ressortissant européen est concerné. C’est là une première mondiale ; nous pouvons nous féliciter d’en être les acteurs.

C’est d’ailleurs cette dimension européenne qui donne toute sa force au texte, nous avons déjà eu l’occasion de le dire à cette tribune. Il permettra de faire de l’Union européenne un espace de sécurité pour tous les citoyens, attractif pour les entreprises et donnera une vraie lisibilité aux règles applicables.

L’enjeu est capital, a déclaré la présidente de la CNIL à l’occasion de la présentation de l’activité de cette autorité en 2017 : « L’Europe joue gros. Elle doit faire la démonstration que ses principes éthiques et généraux sont bons. Nous l’affirmons depuis longtemps. Mais nous devons aussi démontrer que le nouveau dispositif marche, qu’il est efficient, qu’il va apporter aux acteurs économiques les garanties, la sécurité juridique qu’ils sont en droit d’attendre. » Isabelle Falque-Pierrotin estime ainsi qu’il s’agit de réussir « un pari » qui doit permettre à l’Europe de disposer « potentiellement d’un standard mondial ». Nous partageons son point de vue.

Nous avons eu l’occasion de le rappeler à plusieurs reprises, le groupe MODEM est particulièrement satisfait de nos débats sur le projet de loi relatif à la protection des données personnelles. Nous avons pu regretter, il est vrai, l’urgence à laquelle nous sommes aujourd’hui encore soumis, puisque ce texte doit être adopté avant le 25 mai, date à laquelle le règlement général sur la protection des données entrera en vigueur. Nous pensons néanmoins que cette urgence n’a pas été préjudiciable à nos débats et que le texte que nous adopterons sera équilibré, respectueux de nos engagements européens mais aussi des spécificités françaises. De plus, il est le fruit d’un consensus au sein de notre assemblée dont nous pouvons nous féliciter.

Nous regrettons évidemment que la commission mixte paritaire n’ait pu aboutir mais nous comprenons les raisons de cet échec. Les positions du Sénat étaient, sur certains points, inacceptables.

Je souhaiterais en souligner un en particulier : il nous paraît inconcevable d’exonérer les collectivités territoriales du respect du RGPD. Les entreprises, notamment les TPE-PME, n’auraient absolument pas compris que les collectivités, qui disposent d’un nombre de données particulièrement conséquent, ne soient pas soumises à ces règles, applicables sur l’ensemble du territoire européen. De même, il était impensable que l’on puisse exonérer les collectivités de sanctions en cas de manquements graves au RGPD ; cela n’aurait pas été juste. En revanche, nous sommes tout à fait favorables à ce que les spécificités des collectivités territoriales soient prises en compte, de même que celles des PME. À ce propos, nous saluons le travail de la rapporteure, qui a fait preuve de discernement et a gardé les ajouts pertinents du Sénat en la matière.

De manière générale, nous sommes satisfaits des dispositions adoptées mardi dernier en commission, qui permettent de rétablir, pour l’essentiel, l’équilibre du texte que nous avions élaboré au fil de nos débats en première lecture, tout en maintenant certains apports et précisions utiles du Sénat.

Nous nous réjouissons ainsi du rétablissement du seuil de consentement à l’âge de quinze ans pour le traitement des données personnelles ; nous étions plusieurs à partager cette position, que nous pensons cohérente tant avec l’âge du consentement sexuel qu’avec la maturité des adolescents.

En outre, nous n’avons pas vraiment compris pourquoi le Sénat a souhaité limiter les possibilités de saisine de la CNIL par les parlementaires aux seuls présidents du Sénat et de l’Assemblée nationale, et nous sommes heureux que la rapporteure ait rétabli la possibilité de saisine par les commissions compétentes et par les présidents de groupe parlementaire.

Nous sommes également satisfaits que la commission ait choisi de rétablir l’accord qui avait été trouvé quant à la possibilité d’obtenir des réparations en cas de préjudice à la suite d’un manquement aux règles relatives aux données personnelles dès l’entrée en vigueur de la loi.

De même, la rédaction de l’Assemblée en matière d’action de groupe nous semble plus pertinente car l’agrément souhaité par le Sénat paraissait inutilement contraignant.

Je souhaiterais conclure par un point qui nous tient particulièrement à cœur depuis le début de nos travaux et sur lequel je suis heureux qu’un compromis ait pu être trouvé : je pense, bien entendu, à la question des données scolaires. Nous avions souligné à plusieurs reprises qu’il aurait été intéressant de faire usage des marges de manœuvre autorisées par le règlement en matière de protection des données sensibles, en étendant celle-ci aux données à caractère personnel traitées par l’éducation nationale. C’est un sujet qui intéresse de grandes entreprises, comme Google et Microsoft, qui développent des outils pédagogiques à destination des enseignants et des élèves. Dès lors, il nous paraissait essentiel de protéger davantage les données scolaires et, à travers elles, les données personnelles des élèves. Nous étions convenu, madame la rapporteure, de travailler ensemble afin de trouver une rédaction susceptible de convenir à tous, et je suis particulièrement heureux que cette promesse ait été tenue. Le Sénat, il faut le souligner, a été attentif à cette problématique et a proposé une rédaction que nous avons, sur votre proposition, améliorée lors de l’examen en commission, en adoptant une nouvelle version de l’article 14 bis A. Celui-ci impose donc aux établissements scolaires une transparence en matière de traitement des données scolaires ; c’est un progrès qu’il me paraissait essentiel de souligner ici.

Le projet de loi relatif à la protection des données personnelles est un texte majeur, dont l’importance n’est peut-être pas mesurée par tous. Je suis certain qu’il aura des conséquences durables et qu’il posera l’Union européenne comme un précurseur en la matière, que d’autres pays, sur tous les continents, suivront son exemple.

Enfin, la menace du Sénat, si j’ose dire, de déférer le texte au Conseil constitutionnel ne doit pas être vue ainsi ; ce serait au contraire une belle occasion de renforcer définitivement la valeur de ce texte en le purgeant de tout doute d’anticonstitutionnalité. Néanmoins, en pareil cas, monsieur le secrétaire d’État, nous vous saurions gré de demander au Conseil de rendre son avis très rapidement pour que la loi puisse s’appliquer dans les délais.

Pour l’ensemble de ces raisons, le groupe MODEM soutient ce texte avec conviction. (Applaudissements sur plusieurs bancs du groupe LaREM.)

M. le président. La parole est à M. Pierre Morel-À-L’Huissier.

M. Pierre Morel-À-L’Huissier. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, sans revenir sur ce qui a été dit précédemment à cette tribune, je ne peux que, moi aussi, rappeler l’actualité. En effet, alors que Mark Zuckerberg était invité à s’expliquer, avant-hier, devant le Sénat des États-Unis, au sujet des 87 millions de comptes Facebook illégalement exploités par la société Cambridge Analytica, la transposition dans notre droit national des nouvelles exigences européennes en matière de protection des données semble plus que jamais bienvenue. À bien des égards, l’inévitable mise en data de l’humanité soulève de nombreux défis et questions légitimes quant à la manière de partager, d’utiliser et de protéger les données les plus sensibles.

Dans ce domaine peut-être plus que dans un autre, les législations nationales et communautaires différent tant qu’elles nuisent à leur efficacité. Si les données personnelles inquiètent les particuliers et les pouvoirs publics, elles suscitent à l’inverse l’intérêt des géants du numérique qui leur associent volontiers une valeur marchande, une fois qu’elles sont collectées, analysées et traitées. Dans un environnement numérique de plus en plus dense et mondialisé, nous pouvons saluer le fait que ce débat ait été porté à l’échelle européenne, qui constitue indéniablement l’échelon le plus pertinent pour la protection des données personnelles au sein d’un cadre juridique unifié.

Le paquet européen de protection des données opère le nécessaire dépoussiérage de la loi informatique et libertés de 1978. Si cette loi a indéniablement fait de la France un pays précurseur en matière de protection des données individuelles, force est de constater que, quarante plus tard, au regard des évolutions, ou plutôt des révolutions, notre avance a perdu de sa superbe. En notre qualité de législateur, nous pouvons regretter une nouvelle fois l’examen en urgence d’un texte aussi important, aux dispositions techniques et complexes, qui laissait une marge de manœuvre dans sa transposition en droit interne. Le sujet est en effet vaste et concernera, à n’en pas douter, d’autres dispositifs législatifs qui interrogeront les dimensions politique, économique, éthique et philosophique de la numérisation de notre société.

Preuve de la complexité des enjeux entourant ce texte, la commission mixte paritaire, réunie la semaine dernière, n’est pas parvenue à trouver un accord sur les dispositions restant en discussion. Il faut avouer que la tâche est dure, tant il faut concilier des usages et intérêts parfois divergents : ceux de nos concitoyens, bien sûr, mais ceux aussi de nos entreprises, et notamment des TPE-PME, sans oublier ceux de nos collectivités territoriales. Nous regrettons tous cet échec, non seulement parce qu’il risque de nous conduire à dépasser le délai de transposition, mais surtout parce que le renforcement de la protection des données personnelles est urgent, en témoigne l’actualité.

Pour autant, il convient de ne pas exacerber les divergences qui subsistent avec nos collègues sénateurs, non qu’elles ne soient pas importantes, mais parce qu’au fond, si un consensus n’est pas possible à court terme, un compromis le serait sans doute. Qu’il s’agisse de la spécificité des collectivités territoriales, du seuil d’âge pour le consentement des mineurs au traitement de leurs données sur les réseaux sociaux, de l’extension du champ de l’action de groupe à la réparation des préjudices matériels et moraux, du renforcement de la protection face au profilage, de la saisine de la CNIL sur une proposition de loi, du fléchage du produit des amendes et astreintes qu’elle prononce, de l’encadrement des traitements de données pénales par des organismes privés ou encore des règles applicables aux fichiers de police et de justice, je suis convaincu que les parlementaires pourront s’entendre. En effet, nous poursuivons le même objectif : préserver, si ce n’est rétablir, un équilibre entre la responsabilisation des acteurs traitant des données et les droits ouverts aux citoyens sur les données qui leur appartiennent.

Aussi, notre groupe ne peut que soutenir la saisine de la CNIL par les présidents des commissions et des groupes parlementaires sur les propositions de loi relatives à la protection des données personnelles, disposition qui vise à renforcer les pouvoirs du Parlement sur un thème qui, à l’évidence, occupera une part importante de bon nombre de textes à venir. Pour guider la réflexion du législateur, il est nécessaire que celui-ci soit en mesure d’appréhender pleinement les enjeux liés au numérique et à la protection des libertés individuelles, d’où l’intérêt du recours à une telle expertise.

Sur un autre sujet, et conformément à la marge de manœuvre offerte par le règlement européen, nous nous félicitons que le Sénat comme l’Assemblée nationale aient souhaité l’introduction en droit interne d’un dispositif permettant à des associations d’exercer une action de groupe et d’obtenir in fine la réparation d’un préjudice matériel ou moral. À ce stade, les points d’achoppement avec la chambre haute portent sur l’entrée en vigueur du dispositif et sur le conditionnement d’un agrément de la part de l’autorité administrative. Nous penchons en faveur de la rédaction de notre assemblée et jugeons que le délai de deux ans pour l’entrée en vigueur du dispositif n’est pas suffisamment justifié et que l’exigence d’un agrément de l’autorité administrative est contraire à l’esprit qui anime ce texte, à savoir le renforcement des prérogatives des citoyens face aux manquements des responsables de traitement de données. Sur ces points aussi, je ne doute pas que nous puissions trouver un accord à l’issue de cette deuxième lecture.

Quant à l’âge légal du consentement des mineurs sur internet et à leur capacité à consentir seuls au traitement des données qui les concernent sur les réseaux sociaux et autres plateformes, nous nous en remettons à nouveau à l’avis de notre rapporteure. Le règlement laisse en effet aux États la possibilité de déroger à la fixation par défaut de cet âge en permettant de ramener ce seuil à treize ans. Nous trouvons sage et pertinent de le fixer à quinze ans, tout en conditionnant ce dispositif à une obligation des responsables de traitement de communiquer selon des modalités adaptées à l’âge du mineur. Cette disposition, prise à la suite d’une consultation approfondie d’associations protectrices de l’enfance et d’entreprises du numérique, concilie à la fois l’exigence de la protection des mineurs sur internet et la réalité de leur présence, d’ores et déjà bien effective, sur les réseaux sociaux.

Rassurez-vous, mes chers collègues, je ne reviendrai pas sur l’ensemble des dispositions restant en discussion, mais je tenais, à travers ces exemples, à rappeler, eu égard à l’importance et à la complexité de ce projet de loi, qu’il est primordial de communiquer de manière claire et pédagogique auprès de nos concitoyens et de nos entrepreneurs afin de les inviter à prendre pleinement la mesure du nouveau cadre législatif dans lequel ils évolueront d’ici peu et qu’il nous appartient de fixer avec pragmatisme.

M. le président. La parole est à M. Rémy Rebeyrotte.

M. Rémy Rebeyrotte. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, nous avons en effet été surpris que la commission mixte paritaire ne puisse pas aboutir sur un texte qui nécessitait l’urgence et qui pouvait – c’était notre conviction – faire largement consensus.

Nous aurions pu conclure sur plusieurs points, mais très vite est arrivée la question de l’exonération des collectivités territoriales. Nous sommes très attentifs à ce que le Sénat dit ou écrit sur la gestion de ces dernières, étant donné la spécificité de cette institution.

Mme Constance Le Grip. C’est son rôle !

M. Rémy Rebeyrotte. Nous avions trouvé un accord sur la question de l’information des collectivités, soucieux de faire en sorte que celles-ci soient aussi bien informées que les PME ou les autres entreprises, ainsi que sur la question de leur accompagnement. Mais exonérer les collectivités territoriales, ce serait d’abord vider le texte d’une partie de son contenu et dire à l’Europe que certains acteurs français seraient exonérés de ces obligations communes. Ce serait aussi, nous le croyons sincèrement, mettre en danger les maires et les présidents des intercommunalités. En effet, il est très important que dans nos petites collectivités, les secrétaires de mairie, mais aussi les élus, soient sensibilisés à ces questions. C’est essentiel et nous n’y échapperons pas.

Mme Constance Le Grip. Tout à fait !

M. Rémy Rebeyrotte. Quant aux grandes collectivités, qui comptent plus de 250 agents et disposent de services informatiques développés, comprenant au moins cinq ou six personnes, elles devraient se doter d’un délégué à la protection des données personnelles chargé de suivre, aux côtés des élus et des services, les enjeux majeurs qui entourent la gestion des informations et des fichiers. Cela nous semble d’autant plus important les membres des services comme les élus des collectivités territoriales peuvent être soumis à des tentations liées à la dimension commerciale des données. Nous sommes ainsi régulièrement interpellés par les mutuelles, qui désirent démarcher le personnel afin d’obtenir l’accès aux fichiers de nos services. Je pense aussi – et c’est une autre menace forte pour nos collectivités – aux risques de nature politique. On peut imaginer qu’un collègue, en connaissance de cause ou sans réellement comprendre la situation, utilise un jour des fichiers à des fins politiques ; ce serait grave pour lui car il devrait en répondre pénalement. Il est donc très important que les services et, bien sûr, tous les élus prennent conscience de la nécessité d’une gestion fine des fichiers et des données personnelles que nous gérons. Il faut poser les cadres, fixer les outils de gestion et accompagner tant les services que les élus dans ce domaine.

Il nous semble donc extrêmement important que les collectivités soient soumises aux mêmes obligations que les PME, ETI – entreprises de taille intermédiaire – et grandes entreprises, qui auraient d’ailleurs jugé curieux, comme l’Europe, qu’un cadre contraignant quoique protecteur leur soit imposé, et que les collectivités territoriales s’en voient exonérées. Sur ce point, nous n’avons pas pu reculer.

Sur d’autres questions également délicates – l’âge de la maturité et de l’accès libre au numérique, ou bien l’action de groupe –, nous aurions sans doute pu, à force de débat, aboutir à un accord. En revanche, en ce qui concerne la responsabilité des collectivités territoriales et la protection de leurs acteurs, il nous semblait extrêmement important de pouvoir avancer, y compris en l’imposant si nécessaire – ce n’est jamais agréable, mais c’est ici essentiel, car il y va de nos responsabilités.

Je salue le travail accompli sous la conduite de Mme la rapporteure, un travail exigeant, important, jalonné de discussions. Nous arrivons à cette deuxième lecture porteurs de quelques avancées supplémentaires, le temps, mon cher collègue Bothorel, de trouver les mots qu’il fallait pour traduire l’exigence de concurrence en matière d’accès aux moteurs de recherche.

M. le président. Il est temps de conclure, mon cher collègue.

M. Rémy Rebeyrotte. Bref, le texte est encore plus abouti et cette nouvelle lecture représente une chance d’aller encore un peu plus loin. (Applaudissements sur les bancs des groupes LaREM et MODEM.)

M. le président. La parole est à Mme Emmanuelle Ménard.

Mme Emmanuelle Ménard. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, la protection de la vie privée et des données personnelles est un enjeu de taille, je dirais même un enjeu majeur, dans nos sociétés contemporaines. L’actualité de ces derniers jours, avec ce qu’il faut bien appeler le scandale Facebook, nous en apporte une nouvelle preuve.

Notre pays, avec la CNIL, a été l’un des premiers à se donner les moyens de protéger ses citoyens d’une trop grande intrusion dans ce qui doit demeurer leur domaine privé. Mais c’était en 1978 : nous sommes quarante ans plus tard. Depuis lors, l’omniprésence d’Internet, le règne pratiquement sans partage des réseaux sociaux, l’apparition d’algorithmes toujours plus performants ont bouleversé le paysage numérique et, avec lui, bien des aspects de notre vie quotidienne.

Les données personnelles ne sont plus collectées seulement par l’État et ses administrations, mais aussi par bien d’autres acteurs publics et privés dont la puissance semble ne plus avoir de limite – une puissance construite, justement, sur la collecte de données, véritables matières premières des économies de notre siècle. C’est un domaine où les frontières n’ont plus de place : elles sont ignorées, pulvérisées par ces acteurs à l’ambition planétaire. Quant au simple citoyen, au quidam que nous sommes, il est devenu, parfois à sa propre initiative ou avec son consentement, le fournisseur de données qui sont l’enjeu d’une guerre aussi silencieuse que dépourvue d’états d’âme, livrée par les nouveaux majors d’internet.

L’Europe s’est saisie de ce dossier, ce qui a abouti, au terme de plusieurs années de négociation, à l’adoption du règlement général sur la protection des données. Celui-ci devrait entrer en vigueur le 25 mai prochain, d’où la nécessité de réviser notre propre loi de 1978 ; c’est l’objet même du présent texte.

Mais disons les choses clairement : il s’agit ici de bien davantage que d’habiliter le gouvernement à procéder à des ajustements législatifs ! Il y va de questions essentielles, et réduire le texte à un simple travail de transposition serait se tromper lourdement.

Derrière les têtes de chapitre, qui traitent de sujets aussi divers – je cite à la volée – que l’anonymisation, le profilage, la prévention ou la portabilité, se cache en effet un véritable et profond changement d’approche : il s’agit de revoir entièrement le dispositif en inversant la charge de la preuve. Jusqu’à présent, rappelons-le, nous avions un système de déclaration préalable et d’autorisation. Demain, il faudra que les entreprises démontrent qu’elles ont pris toutes les précautions, toutes les mesures nécessaires pour garantir le respect des données personnelles. Les sanctions prévues à la clé sont sans commune mesure avec celles que la CNIL pouvait prononcer jusqu’à présent : une amende de 150 000 euros hier, contre 4 % du chiffre d’affaires ou 20 millions d’euros demain.

La CNIL va donc se voir confier de nouveaux pouvoirs, ce dont chacun doit se féliciter, mais je voudrais lui suggérer de concentrer son attention sur les géants d’internet, qui finissent par ressembler au Big Brother de 1984, et de faire preuve de tolérance à l’égard des petites et moyennes entreprises, cibles souvent plus faciles à sanctionner que les GAFA. En ces matières où les règles sont difficiles à maîtriser et à mettre en œuvre pour les TPE et les PME, il peut arriver que le chef d’entreprise se perde, de bonne foi, dans un véritable maquis administratif. Ne l’oublions pas !

Au-delà de ces questions importantes, ne perdons pas de vue la dimension éthique du débat. Les données sont devenues un actif stratégique que les acteurs économiques s’arrachent. Or elles nous décrivent dans notre intimité et doivent être protégées de l’appétit toujours grandissant de ces entreprises. Il nous faut donc des contre-pouvoirs. Chacun doit savoir ce que l’on va faire des informations collectées chaque fois qu’il se connecte, qu’il fait un achat, qu’il échange avec ses amis ou qu’il visionne une série. Il nous faudra, pour cela, nous affranchir de la mainmise des grands groupes, notamment américains.

C’est à l’échelle de l’Europe que ce combat doit être mené, en promouvant et en développant les logiciels libres et en favorisant la coopération entre les pays désireux de préserver rien de moins que la liberté de leurs citoyens. La mainmise presque totale des Américains et des Chinois sur les algorithmes et sur les bases de données représente une menace pour notre indépendance et une prise de contrôle de nos destins.

Je voterai donc bien entendu pour ce règlement général sur la protection des données. Qu’il soit l’occasion d’un débat et d’une prise de conscience des dangers du tsunami numérique n’est pas le moindre de ses mérites.

M. le président. La parole est à Mme Albane Gaillot.

Mme Albane Gaillot. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, nous nous retrouvons ce matin pour la nouvelle lecture du projet de loi relatif à la protection des données personnelles, après l’échec de la CMP. Mais le contexte a changé depuis la première lecture : le scandale Cambridge Analytica – nom de l’entreprise d’analyse de données qui est accusée d’avoir recueilli sans le consentement du réseau social Facebook les informations personnelles de 87 millions d’usagers de ce dernier, dont 210 000 citoyens français – et les excuses de Mark Zuckerberg hier, devant le Congrès, démontrent clairement que la régulation européenne qui s’instaure est une réponse adaptée aux enjeux.

Comme l’ont dit mes collègues, l’Assemblée nationale avait largement adopté ce texte en première lecture, avec 523 voix pour. Il faisait donc consensus.

Il contenait de réelles avancées pour les citoyens et les entreprises, comme le développement des possibilités offertes aux citoyens face aux atteintes à la protection des données personnelles, avec l’extension de l’action de groupe à la réparation des préjudices matériels et moraux. Le Sénat a souhaité limiter la portée de cette évolution en la différant de deux ans, ce que nous ne pouvions accepter.

Le texte initial prévoyait également la protection des personnes face au profilage, qui passe par la transparence des algorithmes ; là, encore, le Sénat a modifié ce dispositif dans son ensemble.

D’autres aspects ont pu susciter un blocage, notamment la volonté du Sénat d’exempter les collectivités territoriales des amendes relatives au traitement des données personnelles, ce qui me paraît incompatible avec le principe d’égalité. Je rappelle que l’esprit du RGPD et du projet de loi est d’instaurer de nouvelles règles pour tous, en allégeant les formalités préalables et en responsabilisant davantage les acteurs des données personnelles : entreprises, chercheurs, administrations et, bien sûr, collectivités territoriales. Ces dernières traitent des données sensibles, et elles en traitent beaucoup, c’est un fait. Pouvons-nous les soustraire à ce cadre légal protecteur ?

Avant la sanction, il faut voir dans ce texte une double protection : pour le citoyen, dont les données sont sécurisées, et pour la collectivité locale – le maire, par exemple –, qui peut ainsi s’assurer de la qualité de la collecte et du traitement, d’ailleurs souvent sous-traités, des données des citoyens.

Concernant l’application du RGPD et de ces nouvelles mesures, des inquiétudes ont pu naître. Elles sont légitimes, mais je tiens à rappeler que tous les acteurs seront accompagnés, principalement ceux qui disposent de faibles moyens pour se mettre en conformité avec les nouvelles règles.

À ce sujet, la CNIL n’est plus simplement un organe de contrôle : elle est pleinement engagée dans le rôle d’accompagnateur des acteurs que lui confie le texte et a déjà développé des outils au service des citoyens et des parties prenantes. Ce développement de son rôle doit être conforté par la mise à disposition de moyens supplémentaires.

Je voudrais enfin revenir sur les données de santé, sur lesquelles j’ai travaillé, en première lecture, comme rapporteure pour avis de la commission des affaires sociales. Sur ce point aussi, le texte contient des avancées considérables.

Le principe d’interdiction du traitement des données sensibles et des données génétiques et biométriques est conforté.

Par ailleurs, l’ouverture de l’accès aux données de santé doit permettre de favoriser la recherche, l’innovation, l’amélioration de la prise en charge des patients et la définition de nos politiques de santé publique. À cet égard, je ne peux pas ne pas citer l’excellent rapport de notre collègue Cédric Villani sur l’intelligence artificielle : « Les données sont généralement le point de départ de toute stratégie en IA, car de leur disponibilité dépendent de nombreux usages et applications. […] Au niveau européen, plusieurs réformes en cours doivent permettre un meilleur accès et une plus grande circulation des données. » Et il préconise que nous concentrions nos efforts sur quatre secteurs, dont celui de la santé.

Je tiens enfin à dire combien je suis satisfaite que, à l’occasion de cette nouvelle lecture à l’Assemblée nationale, la commission des lois ait rétabli les dispositions que nous avions votées en première lecture.

Je rappelle que l’équilibre dégagé par la loi de modernisation de notre système de santé n’est remis en question ni par le RGPD, ni par ce projet de loi, et que le cadre juridique de ce dernier opère une véritable conciliation entre les exigences de la vie privée et l’intérêt général.

Ce texte constitue donc une réponse adaptée au contexte dans lequel nous nous trouvons, celui d’un perpétuel changement et d’un développement exponentiel des données personnelles, particulièrement des données de santé. Il nous faut être au rendez-vous des objectifs fixés par le RGPD. (Applaudissements sur les bancs du groupe LaREM.)

M. le président. La parole est à M. Éric Bothorel.

M. Éric Bothorel. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, l’actualité est riche d’enseignements sur le sujet qui nous réunit à nouveau ce matin : celui de la protection des données personnelles.

L’affaire Cambridge Analytica a mis en lumière la manière dont une application tierce a pu obtenir de façon détournée les données de 87 millions d’utilisateurs du réseau social Facebook. Ce qui est désormais qualifié de véritable scandale par de nombreux observateurs n’a pas fini de nourrir le débat public, aux États-Unis comme en Europe. Outre-Atlantique, la prise de conscience est tout aussi brutale que salutaire. L’affaire interroge profondément l’acceptabilité de modèles économiques fondés sur la collecte massive de données personnelles lorsque cette collecte ne rencontre aucune forme de régulation, comme c’est le cas aux États-Unis.

Mark Zuckerberg a affirmé cette semaine, devant le Congrès américain : « Nous traversons un grand changement philosophique au sein de la société. » Je le crois bien volontiers, d’autant que les bouleversements technologiques qui nous attendent vont être toujours plus intenses et rapides. Car, dans un monde hyperconnecté, où les algorithmes seront aussi bien logés dans nos poches qu’au milieu de notre salon, et où assistants vocaux et voitures autonomes seront pensés pour nous faciliter la vie, les volumes de données en circulation iront toujours croissant. Face à cette perspective, les attentes de nos concitoyens nous obligent. Or le constat est sans appel : ils demandent le maximum de transparence et de souveraineté sur l’usage qui est fait de leurs données.

Fort heureusement, l’Europe est à l’avant-garde de cette bataille juridique et politique, notamment grâce à son règlement général sur la protection des données. Je ne reviendrai que brièvement sur les grandes orientations du texte que nous avons la responsabilité d’incorporer dans le droit interne, car elles sont bien connues.

En premier lieu, le règlement renforce les droits des personnes physiques, par le droit à l’oubli et à la portabilité, et facilite l’exercice de ces droits sur le plan juridictionnel. Les dispositions relatives aux principes privacy by default et privacy by design et les garanties entourant le consentement libre et éclairé achèvent de consolider cet édifice protecteur.

En deuxième lieu, le texte consacre le passage à une régulation a posteriori qui responsabilise les acteurs manipulant des données personnelles, notamment par la progressivité de leurs obligations en fonction du risque pour la vie privée et par le recours à des instruments de droit souple, propices à l’expérimentation et à l’innovation.

En troisième lieu, le RGPD constitue un véritable instrument de souveraineté européenne par son extraterritorialité et par le caractère dissuasif des sanctions qu’il prévoit.

Mais ne nous leurrons pas : beaucoup reste à faire, et certains risques menacent les avancées que nous défendons. Je pense notamment à la signature récente par le président des États-Unis du CLOUD Act, qui permet à l’exécutif américain de négocier des accords bilatéraux avec d’autres gouvernements pour faciliter les réquisitions administratives des données détenues par les entreprises numériques, y compris lorsque celles-ci sont situées en dehors du territoire, le tout sans réel contrôle du juge. Il va sans dire que cette loi soulève beaucoup d’interrogations et que nous devrons rester très vigilants pour que son application ne contourne nullement le RGPD.

Par ailleurs, si le RGPD dessine un juste équilibre entre innovation et protection, de fins réglages demeurent nécessaires pour que ses principes soient pleinement effectifs en pratique. J’ai notamment à l’esprit la nécessité d’assurer à nos concitoyens une véritable liberté de choisir leurs services numériques, pour que leur consentement ne soit jamais présumé. C’est la condition pour réinstaurer une saine concurrence entre les acteurs et nous extraire de la menace qui nous guette d’une « atrophie systémique majeure de notre économie », pour reprendre les termes de Sébastien Soriano. Le libre choix, le consentement éclairé sont des questions sur lesquels nous reviendrons très certainement lors de l’examen des articles.

Je ne résiste pas, chers collègues, à l’envie de mentionner un exemple qui a récemment été porté à ma connaissance. Il montre comment des divergences doctrinales entre autorités européennes peuvent rejaillir négativement sur la capacité de nos concitoyens à consentir au traitement qui est fait de leurs données personnelles.

En l’espèce, une plateforme d’e-commerce bien connue peut enregistrer automatiquement les données bancaires de ses clients dès le premier achat, sans jamais leur demander leur avis, et ce, en toute légalité, car son siège social est situé au Luxembourg et que son autorité de contrôle le permet. Or la réciproque n’est pas vraie pour les e-commerçants français. À l’évidence, il est grand temps de rompre avec ces pratiques et d’œuvrer à une harmonisation des législations nationales qui soit la plus protectrice possible.

Cela étant, je suis aussi d’avis qu’un cadre protecteur des données personnelles n’est que la première brique, certes fondamentale, d’une régulation efficace des acteurs du numérique. Les suivantes sont bien identifiées, à savoir la nécessité de moderniser notre droit de la concurrence pour saisir certaines pratiques commerciales déloyales propres à l’économie des plateformes, ou la nécessité de fluidifier le marché des données pour que tous les acteurs, grands comme petits, puissent s’en servir pour innover.

C’est l’ensemble de ces sujets qu’il nous faudra traiter, sans jamais nous départir d’une vision globale, car les technologies sont en mouvement perpétuel, et les ruptures parfois imprédictibles dans leur délai d’exécution et leurs conséquences. Par conséquent, notre cadre juridique et législatif doit pouvoir épouser leurs évolutions au plus près.

Pour un numérique au service de l’humain, reposant sur ce qui pourrait être une devise, d’Helsinki à Paimpol, de Lisbonne à Lannion : neutralité, portabilité, sérendipité. (Applaudissements sur plusieurs bancs des groupes LaREM et LR.)

M. le président. La discussion générale est close.

Discussion des articles

M. le président. J’appelle maintenant, dans le texte de la commission, les articles du projet de loi.

Article 1er

(L’article 1er est adopté.)

Article 1er bis

M. le président. La commission a maintenu la suppression par le Sénat de l’article 1er bis.

Article 2

M. le président. La parole est à M. Philippe Gosselin, pour soutenir l’amendement n7.

M. Philippe Gosselin. Je n’ignore pas la raison pour laquelle cet amendement fait sourire la rapporteure : souvent, député varie, bien fol qui s’y fie… (Sourires.) Comme vous le savez, chers collègues, j’étais à l’origine d’un amendement qui exigeait des personnalités qualifiées membres de la CNIL de cumuler certaines compétences.

Au cours du débat, après réflexion et discussion avec plusieurs personnes, il m’a semblé que les conditions cumulatives, loin d’améliorer le recrutement des personnalités qualifiées, risquaient de restreindre le champ des compétences. C’est pourquoi j’avais déposé un amendement allant dans ce sens en première lecture.

Or la CNIL n’a pas, tant s’en faut, uniquement des fonctions de sanction : c’est l’objet de la commission restreinte, dont les compétences seront renforcées par le RGPD, avec de nouvelles capacités de sanction, qui sont considérables – 20 millions d’euros d’amende ou 4 % du chiffre d’affaires consolidé. Elle a en revanche d’autres fonctions, liées à l’éthique et à l’interrogation sur la place des données personnelles dans notre société, qui lui ont été confiées par la loi pour une République numérique.

Ainsi, des qualités cumulatives pourraient exclure des regards différents – ceux d’historiens, de philosophes ou autres. Il me semble donc intéressant qu’une plus grande diversité puisse être représentée dans le collège de la CNIL.

Cet amendement qui, je l’espère, chers collègues, recevra votre soutien, vise donc un retour au statu quo ante.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Avis défavorable. En effet, monsieur Gosselin, nous avons eu un dialogue persistant tout au long de l’étude du texte sur ce sujet. Comme je l’ai déjà expliqué, il me semble qu’il faut vraiment renforcer la CNIL en termes de compétences techniques numériques.

Pour l’instant, la composition de cette instance est très juridique : sur les dix-huit membres, deux sont issus du Conseil d’État ; deux, de la Cour de cassation ; deux, de la Cour des comptes ; deux du Conseil économique, social et environnemental. La CNIL devenant de plus en plus un tribunal, avec les amendes considérables qu’elle pourra infliger aux différents acteurs, il est nécessaire qu’elle puisse saisir ces enjeux très techniques.

Sachant qu’elle aura aussi une mission d’accompagnement des acteurs, pour les aider à monter en compétence, elle doit être dotée de ces compétences numériques pour assurer leur transfert.

Quant aux réflexions plus prospectives autour du numérique, elles pourront être menées dans d’autres espaces, tel le Conseil national du numérique – le CNNUM –, où des profils plus divers pourront s’exprimer.

Je maintiens donc que cette disposition ne doit pas figurer dans le texte du projet de loi.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Après la démonstration de la rapporteure et au nom de cette exigence de compétences, le Gouvernement est défavorable à cet amendement.

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. J’entends bien ces avis, tout en persistant à défendre mon amendement car, vous le savez, il n’y a que les combats que l’on ne mène pas que l’on perd.

Je rappelle que les services de la CNIL, qui sont en première ligne pour répondre aux interrogations non seulement de nos concitoyens mais aussi des entreprises, disposent de toutes les compétences techniques nécessaires.

Il me semble cependant que le collège de la CNIL est d’une nature un peu différente. Il me semble évident que la totalité de ses membres n’ont pas à se substituer aux services, ni à nécessairement connaître l’ensemble des développements techniques, comme cela découlerait du texte.

Encore une fois, même si les fonctions de la CNIL prendront davantage d’ampleur dans les mois à venir, compte tenu de l’application du RGPD à partir du 25 mai, et que celle-ci a la propension à être davantage un tribunal – je reprends là votre expression, madame la rapporteure, même si elle n’est pas tout à fait exacte –, nombre d’entre elles, bien qu’elles supposent une technicité, une expertise, ne sont pas « techniques » au sens où vous l’entendez. Elles nécessiteraient donc un regard plus large que celui du cumul des compétences, que le texte semble inscrire dans le marbre – si cet amendement était retoqué, ce qu’à ce stade je n’espère pas.

M. le président. La parole est à M. Philippe Latombe.

M. Philippe Latombe. La réflexion a été menée en commission et en séance, par deux fois. La vision de M. Gosselin conduisant à ouvrir le champ des compétences au sein de la CNIL nous paraît plus souple.

Nous sommes donc favorables à un retour à la rédaction initiale, c’est-à-dire à un remplacement du mot « et » par le mot « ou », afin de ne pas restreindre la possibilité pour la CNIL de disposer de profils différents : il serait intéressant qu’un épidémiologiste ou encore un sociologue, potentiellement axés sur la prospective de l’utilisation des données, puissent éclairer la CNIL de façon plus large. Nous sommes donc favorables à cet amendement.

M. le président. La parole est à M. Rémy Rebeyrotte.

M. Rémy Rebeyrotte. Pour notre part, nous suivrons la rapporteure, car nous pensons que les connaissances numériques sont essentielles, au moment où la CNIL devra, sinon se transformer en tribunal, du moins sanctionner des problèmes d’ordre numérique et juridique.

Abondance de biens ne nuit pas : si une personne a quelques compétences dans d’autres secteurs tout en connaissant le droit et en disposant de compétences numériques, son profil en sera d’autant plus intéressant. Ce cumul est donc non pas une condition limitative, mais un socle, qui nous semble indispensable.

(L’amendement n7 n’est pas adopté.)

M. le président. La parole est à Mme Danièle Obono, pour soutenir l’amendement n1.

Mme Danièle Obono. Comme nous le disions tous et toutes, les missions de la CNIL ne cesseront de croître quantitativement, et de se spécialiser qualitativement. Il s’agit d’une autorité administrative indépendante devant faire face aux enjeux majeurs du XXIsiècle, notamment le renouvellement du logiciel en matière de protection des libertés fondamentales auquel l’ère numérique nous invite.

Le Conseil d’État l’a montré dans son étude intitulée Le Numérique et les droits fondamentaux : l’inventivité que ce changement de paradigme va recueillir exige de la part des personnes membres de la CNIL un haut degré d’expertise et de technicité. Il faut donc que chacun et chacune de ses membres y soient, parce qu’ils et elles sont compétents et compétentes, tout en évitant les conflits d’intérêts, ô combien nombreux, qui peuvent survenir dans leur nomination.

Pour assurer le respect de cette exigence de compétences, la publication des critères d’évaluation et des évaluations elles-mêmes est nécessaire, afin de garantir une plus grande transparence de la procédure de sélection, ce qui répond également à une exigence plus générale de transparence dans les procédures de nomination aux fonctions administratives de responsabilité.

L’existence d’un jury et sa composition répondent aux mêmes exigences dans la sélection, et permettent, lors du processus de nomination, de croiser plusieurs perspectives – institutionnelles, professionnelles, citoyennes et militantes.

Cet amendement, qui va dans le sens d’un renforcement d’une institution au rôle de plus en plus central, participe donc à la crédibiliser.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Avis défavorable. Nous venons d’encadrer le processus de nomination en termes de compétences. Cet amendement cependant me semble aller un peu trop loin. Nous en avons déjà discuté plusieurs fois.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Même démonstration et même avis.

M. le président. La parole est à Mme Danièle Obono.

Mme Danièle Obono. La démonstration me semble un peu faible. Après toutes les déclarations qui reconnaissaient l’importance et l’urgence de protéger les données personnelles, compte tenu des scandales que nous avons connus et connaissons actuellement, considérer qu’une exigence de transparence va trop loin dans ce domaine, c’est faire la démonstration du manque de volonté de la majorité et du Gouvernement, et d’un manque de prise en compte des délais.

Au contraire, donner aux citoyens et aux citoyennes de tels éléments contribue à rassurer et à redonner confiance dans une institution qui jouera un rôle central. Il est dommage que vous ne preniez pas la mesure de ce défi et de cette exigence.

M. le président. La parole est à Mme la rapporteure.

Mme Paula Forteza, rapporteure. Ce n’est pas la transparence que nous voulons réduire. En réalité, votre dispositif, madame Obono, qui mettrait en place un jury et un avis rendu public, irait beaucoup plus loin. Il semble disproportionné par rapport au processus de nomination des autres membres de la CNIL. J’ai déjà eu l’occasion de répéter maintes fois ces explications dans le cadre de l’examen du texte.

(L’amendement n1 n’est pas adopté.)

M. le président. La parole est à Mme Danièle Obono, pour soutenir l’amendement n2.

Mme Danièle Obono. Si l’article 3 modifie les articles 17 et 18 de la loi de janvier 1978, notamment pour prévoir des cas où les membres de la CNIL délibèrent hors de la présence des agents de la commission et du commissaire du Gouvernement, nous estimons que la CNIL doit aussi faire preuve de transparence vis-à-vis du grand public pour certaines de ses délibérations, à la fois pour exercer un contrôle citoyen sur le bon fonctionnement d’une instance aussi importante pour les droits et libertés, et pour que les citoyens puissent être pleinement conscients et informés de son activité.

Pour ce faire, il nous est apparu indispensable de proposer une expérimentation, à savoir que certaines délibérations de la CNIL – en formation collégiale ou restreinte – puissent être télédiffusées et accessibles au public.

À cet égard, le secret du délibéré ne s’applique en aucun cas à la CNIL, puisque, en tout état de cause, celle-ci est non pas une instance judiciaire, mais une autorité administrative indépendante. Dans certains cas, les délibérations et la prise d’une juste sanction peuvent avoir une vertu pédagogique, afin de s’assurer que la CNIL n’ait pas la main qui tremble lorsqu’il s’agit de condamner une entreprise ayant un pouvoir de marché et de nuisance, tels que les GAFA – notamment Facebook, pour ne pas le citer –, qui font souvent peu de cas des droits et libertés démocratiques et numériques.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Avis défavorable. Nous avions également déjà discuté de cet amendement. Nous ne pouvons pas aller aussi loin que vous le proposez, madame Obono, car la CNIL doit respecter le secret des délibérés. En revanche, nous avions inscrit la publicité de l’ordre du jour de la CNIL dans le texte. Le Sénat l’avait retiré ; nous l’avons remis sur la table en commission. Le dispositif me semble donc suffisant.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Pour éviter de restreindre la capacité de la CNIL à décider et pour permettre de préserver l’anonymat et le respect de la protection de certaines données personnelles, et après la démonstration de la rapporteure, le Gouvernement émet un avis défavorable.

M. le président. La parole est à Mme Danièle Obono.

Mme Danièle Obono. Madame la rapporteure, pourquoi faire peu quand on peut faire beaucoup ? Rappelons l’importance des enjeux et la dimension du problème, encore mises en évidence par l’actualité. Nous saluons une première avancée mais, si le texte revient devant nous en nouvelle lecture, c’est qu’il peut encore être amélioré. Je déplore que ni vous ni le Gouvernement ne soyez prêts à le faire.

Il faudra donc malheureusement y revenir au cours de la législature, pour des affaires, je l’espère, moins graves que celle que nous connaissons aujourd’hui. Votre manque de volonté politique nous conduira nécessairement à légiférer une nouvelle fois.

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. J’entends le souci louable de Mme Obono, que je partage pour une large part. Je crains cependant qu’elle ne confonde les deux strates de la CNIL, laquelle comprend un collège général, dont les compétences découlent de la loi de 1978, telle que modifiée en 2004, et une formation restreinte, qui juge et prononce des sanctions.

Concernant cette formation, il me semble important, dans l’intérêt des justiciables, de préserver le secret des délibérations…

M. Xavier Breton. Bien sûr !

M. Philippe Gosselin. …ainsi que le respect des droits de la défense, qui est essentiel et qui le sera encore plus à partir du 25 mai, quand les sanctions, dépassant de beaucoup celles qui peuvent être prononcées aujourd’hui, pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel consolidé des sociétés. De telles discussions ne peuvent être mises sur la place publique.

Pour le reste, l’obligation de publicité existe. Outre les contraintes légales ou réglementaires, une part importante des délibérations de la CNIL est publiée au Journal officiel. C’est le cas de nombre d’avis sur des décrets et des autorisations uniques. La CNIL publie aussi un rapport annuel et organise régulièrement des conférences ici et là. Par conséquent, si nous sommes encore loin du souhait formulé par Mme Obono, l’époque où la transparence n’existait pas est révolue.

Je rappelle qu’en 1978, on parlait à propos des autorités administratives indépendantes, comme la Commission des opérations de bourse ou du médiateur, du « carré magique de la transparence ». Le souci de la transparence se manifestait donc déjà, il y a quarante ans.

(L’amendement n2 n’est pas adopté.)

(L’article 2 est adopté.)

Article 2 bis, 4 et 5

(Les article2 bis, 4, et 5, successivement mis aux voix, sont adoptés.)

Article 6

M. le président. La parole est à Mme Danièle Obono, pour soutenir l’amendement n3.

Mme Danièle Obono. L’octroi à la CNIL du droit de prononcer des sanctions pécuniaires prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par le projet de loi. Délaissant en grande partie sa compétence d’autorisation a priori pour se concentrer sur des fonctions de sanction a posteriori, la CNIL voit son rôle d’organe sanctionnant devenir l’une de ses premières missions. Bien que nous désapprouvions ce choix, ainsi que la logique du texte, nous prenons acte du nouveau fonctionnement de cette institution.

L’octroi d’un pouvoir de sanction doit être accompagné d’un strict encadrement des motifs légaux de la sanction, si l’on veut assurer une protection optimale des libertés fondamentales de tous et toutes.

Notre amendement dessine les conditions du bien-fondé légal de la sanction, afin de permettre non seulement à la CNIL mais également aux organes juridictionnels, de même qu’aux citoyens et aux citoyennes, d’évaluer au plus juste le sens, donc le fondement de la sanction.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Une fois encore, nous avons déjà eu cette discussion. Le RGPD indique à plusieurs reprises que les mesures de sanction doivent être appropriées, nécessaires et proportionnées. Je vous renvoie aux considérants 127, 148 et 151. Ces garanties me semblent suffisantes. Il faut aussi laisser à la CNIL des marges de manœuvre dans le choix des sanctions. Avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Pour compléter la démonstration de la rapporteure, je précise que l’amendement est partiellement contraire au texte du RGPD. Le pouvoir réglementaire ne peut encadrer le pouvoir de sanction au moyen d’une grille préétablie, alors que le règlement donne à la CNIL le soin de fixer les sanctions sous le contrôle d’un juge. Ces dispositions nous rappellent le rôle et l’indépendance nécessaire de la CNIL en la matière. Avis défavorable.

(L’amendement n3 n’est pas adopté.)

M. le président. La parole est à Mme Danièle Obono, pour soutenir l’amendement n5.

Mme Danièle Obono. Le RGPD prévoit des sanctions pouvant s’élever de 10 millions à 20 millions d’euros ou, dans le cas d’une entreprise, pouvant atteindre 2 % à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, ce qui devrait avoir un effet réellement dissuasif sur les très grandes entreprises, notamment les GAFAM. À défaut, celles-ci pourraient considérer que l’illégalité n’est qu’un risque financier qui vaut la peine d’être couru.

Le législateur européen n’ayant pas épuisé sa compétence sur le cas précis d’une récidive en l’état du RGPD, nous avons tout à fait la possibilité de préciser et de compléter les dispositions européennes. Tel est le sens de l’amendement, qui vise à aller plus loin en matière de sanctions, ce qui aurait un effet dissuasif.

L’appât du gain et la recherche du profit maximal ne doivent pas permettre aux très grandes entreprises de remettre en cause les droits et les libertés. Les événements que nous avons connus auront sans doute un effet important – et c’est heureux – sur le développement du numérique. Cet amendement de bon sens, qui recevra certainement l’assentiment de la commission et du Gouvernement, renforcera la protection des données de nos concitoyens et de nos concitoyennes.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Les pénalités financières prévues par le RGPD semblent suffisamment dissuasives. On parle en effet de 20 millions d’euros ou de 4 % du chiffre d’affaires, ce qui permet de proportionner la sanction à la taille de l’entreprise. En quelques années, la sanction est passée de 150 000 euros à 20 millions ou à 4 % du chiffre d’affaires. Le changement d’échelle est considérable. Il ne nous semble pas nécessaire d’aller plus loin, d’autant qu’il faut, sur ces sujets, une harmonisation au niveau européen. Avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. L’amendement pose plusieurs questions. Joue-t-on à armes égales avec les grands acteurs internationaux du numérique ? Les sanctions prévues sont-elles vraiment de nature à les contraindre ? Peuvent-elles leur faire peur ? Le pourcentage de 4 % peut paraître réduit, mais, appliqué à Facebook, il représente une sanction pouvant atteindre 1,6 milliard de dollars.

M. Xavier Breton. À ceci près que la sanction reste théorique !

M. Mounir Mahjoubi, secrétaire d’État. Voilà qui doit dissiper vos inquiétudes, madame Obono : une telle sanction permet de parler à armes égales avec les très grandes entreprises et de les contraindre à respecter le règlement.

C’est pourquoi, même si le Gouvernement, comme toute l’Assemblée, soutient votre démonstration, il juge l’amendement inutile. Avis défavorable.

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. Même si un plafond a été fixé, la CNIL comme les autorités de sanction européennes disposent désormais d’une arme véritable. Le montant de 20 millions est très élevé, surtout comparé à celui de 100 000 ou 150 000 euros, qui s’appliquait précédemment.

En outre, la publicité de la sanction dépasse largement son aspect financier. Quand certains GAFA – je pense à Google en particulier – ont été sanctionnés par la CNIL, le retentissement des articles sur le grand public est allé bien au-delà de l’amende plafonnée à 150 000 euros.

M. Xavier Breton. La peine a en effet une dimension symbolique.

M. Philippe Gosselin. Je comprends qu’on propose des sanctions plus fortes si la loi est contournée. Mais peut-être faut-il laisser du temps au temps. Le texte s’appliquera dans quelques semaines. Il sera toujours possible d’y revenir dans plusieurs mois ou plusieurs années, après un bilan. On sait bien que de telles sanctions ne seront pas prononcées tous les jours.

(L’amendement n5 n’est pas adopté.)

M. le président. La parole est à Mme Paula Forteza, pour soutenir l’amendement n14 rectifié.

Mme Paula Forteza, rapporteure. Il s’agit d’un amendement de précision.

(L’amendement n14 rectifié, accepté par le Gouvernement, est adopté.)

(L’article 6, amendé, est adopté.)

Article 6 bis

M. le président. La commission a supprimé l’article 6 bis.

Article 7

M. le président. La parole est à Mme Danièle Obono, pour soutenir l’amendement n4.

Mme Danièle Obono. Pour le groupe La France insoumise, il est important de ne pas transiger sur nos libertés individuelles et de ne pas tomber dans le faux débat, purement rhétorique, sur la recherche d’un prétendu équilibre, qui en vérité porte atteinte à la protection des données individuelles dans une logique disproportionnée et purement mercantile.

C’est pourquoi il nous semble urgent d’interdire le profilage privé à des fins lucratives, pour protéger la partie la plus faible. En effet, notre constat est double : d’une part, les pratiques commerciales de récolte des données ne respectent pas le consentement des personnes, compte tenu de l’absence d’information et du traitement automatisé ; d’autre part, l’usage des données individuelles permet une création de richesses, qui se fait à l’insu des utilisateurs, par l’alimentation de bases de données.

Notre responsabilité en tant que parlementaires est de créer un cadre réellement protecteur de nos droits et libertés, qui incitera les acteurs français, européens et internationaux du numérique à investir dans des modèles plus vertueux. Tel le sens de l’amendement, qui vise à compléter l’article par deux alinéas interdisant clairement d’effectuer un profilage privé à des fins lucratives.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Nous ne sommes pas favorables à l’interdiction des algorithmes. En revanche, nous souhaitons rendre leur utilisation plus transparente et offrir toute l’information aux utilisateurs, afin qu’ils puissent donner leur consentement et le retirer si nécessaire. Le cadre proposé par le RGPD va dans le bon sens. Avis défavorable.

(L’amendement n4, repoussé par le Gouvernement, n’est pas adopté.)

(L’article 7 est adopté.)

Articles 8 A à 14 A

M. le président. En l’absence d’amendements, je vais mettre directement aux voix les articles 8 A à 14 A, à l’exclusion de l’article 10 bis, que la commission a supprimé.

(Les articles 8 A, 9, 11, 12, 12 bis, 13, 13 ter et 14 A sont successivement adoptés.)

Article 14

M. le président. La parole est à M. le secrétaire d’État, pour soutenir l’amendement n10.

M. Mounir Mahjoubi, secrétaire d’État. L’article 14 ouvre plus largement la possibilité à l’administration de prendre des décisions individuelles sur le seul fondement d’un algorithme. Nous avons toutefois assorti cette disposition de garanties, en instituant notamment une obligation de notification.

Au cours des discussions, le Sénat et l’Assemblée se sont légitimement inquiétés de la mise en œuvre réelle de ces garanties, et ont posé le principe de la nullité de la décision en cas d’absence de la mention explicite d’information prévue à l’article L. 311-3-1 du code des relations entre le public et l’administration.

Le Gouvernement a entendu ces préoccupations, bien qu’il considère que la nullité constitue une sanction particulièrement forte qui, en outre, n’est pas nécessaire pour garantir ces obligations. En effet, la rédaction existante, par les modifications qu’elle apporte à l’article L. 311-3-1 du code des relations entre le public et l’administration, apporte une garantie suffisante. Cette disposition a une portée très large : elle ne s’applique non pas seulement aux décisions prises sur le seul fondement d’un algorithme mais à toutes les décisions, y compris celles faisant intervenir en partie un traitement algorithmique, quand bien même un humain aurait pris la décision finale.

Le dispositif dépasse donc l’objet même du règlement général pour la protection des données. Cet amendement vise à maintenir ce principe de nullité – le Gouvernement a opéré une avancée sur ce point – mais en le limitant à l’objet spécifique du texte, c’est-à-dire aux décisions intégralement prises sur le fondement d’un algorithme.

(L’amendement n10, accepté par la commission, est adopté.)

M. le président. La parole est à Mme Danièle Obono, pour soutenir l’amendement n6.

Mme Danièle Obono. L’article 14 autorise un recours accru au profilage administratif et à l’utilisation d’algorithmes, notamment par les autorités publiques. Il s’agit de thématiques fondamentales pour les droits et libertés numériques. Aussi estimons-nous que les algorithmes utilisés dans la prise de décision publique doivent être soumis à un contrôle citoyen. Pour éviter les biais discriminants que peuvent introduire de nombreux algorithmes utilisés par les pouvoirs publics, nous considérons qu’un contrôle citoyen des algorithmes eux-mêmes doit être organisé avec les équipes d’inspection de la CNIL. Nous nous inspirons notamment des constats et conclusions du rapport sur les modalités de régulation des algorithmes de traitement des contenus remis à la secrétaire d’État chargée du numérique en mai 2016.

L’introduction de ce contrôle permettrait de compléter une première ouverture importante introduite par la loi pour une République numérique, qui a conféré un droit d’accès et d’information à la personne concernée par une décision individuelle prise sur la base d’un traitement algorithmique. Celle-ci peut demander à l’administration la communication des éléments suivants : le degré et le mode de contribution du traitement algorithmique à la prise de décision ; les données traitées et leurs sources ; les paramètres de traitement et, éventuellement, leur pondération, appliqués à la situation de l’intéressé ; les opérations effectuées par le traitement, conformément à l’article R. 311-3-1-2 du code des relations entre le public et l’administration, issu du décret du 14 mars 2017, applicable à compter du 1er septembre 2017.

Nous proposons donc, par cet amendement, de renforcer la capacité de tout citoyen, tout contribuable et tout administré de demander des comptes et de vérifier la nature des données et des algorithmes utilisés. Il me semble que cela participerait de la pédagogie numérique et de la nécessaire transparence concernant des décisions qui ont une incidence sur des questions privées, très importantes pour la vie de nos concitoyens et concitoyennes.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Madame Obono, comme souvent, je suis d’accord avec une grande partie de votre argumentaire, mais pas avec votre conclusion ; en l’occurrence, il ne me paraît pas utile d’inscrire ce dispositif dans la loi. Les personnes intéressées peuvent déjà accéder aux codes sources, aux algorithmes et étudier ces derniers dans différents cadres. Par exemple, la CNIL avait réalisé une étude sur APB – admission post-bac. Il serait intéressant que d’autres institutions, comme l’INRIA – Institut national de recherche en informatique et en automatique –, le CNNUM ou des associations le fassent également. Il n’est pas nécessaire, en tout état de cause, d’inscrire cette disposition dans la loi. Avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Madame la députée, comme l’a rappelé la rapporteure, les obligations de transparence actuelles sont très importantes. De surcroît, la CNIL s’est saisie de ce sujet et fournit déjà énormément d’informations. Elle a publié, en décembre 2017, un rapport intitulé Comment permettre à l’Homme de garder la main ?, dans le cadre de la mission de réflexion sur les enjeux éthiques et les questions de société soulevés par l’évolution des technologies numériques, qui lui a été confiée par la loi. La CNIL s’inspire des conclusions de ce rapport, qui traite des enjeux éthiques des algorithmes d’intelligence artificielle, dans le cadre, par exemple, de la mise en œuvre de l’un de ses dispositifs, le LINC – laboratoire d’innovation numérique – et de ses partenariats avec l’INRIA. C’est pourquoi il n’est pas nécessaire, à nos yeux, de prévoir cette expérimentation, mais qu’il faut plutôt célébrer le travail déjà accompli par la CNIL sur ces sujets. L’avis est donc défavorable.

(L’amendement n6 n’est pas adopté.)

M. le président. La parole est à M. le secrétaire d’État, pour soutenir l’amendement n9.

M. Mounir Mahjoubi, secrétaire d’État. Si vous me le permettez, monsieur le président, je consacrerai un assez long développement à cet amendement, comme je l’ai fait au Sénat. En effet, je souhaitais vous apporter des informations très claires et très précises sur cet amendement qui a fait l’objet de nombreux débats. Cela me permettra de mettre en perspective les enjeux des discussions des dernières semaines.

Le présent amendement a vocation à rétablir une disposition de la loi du 8 mars 2018 relative à l’orientation et à la réussite des étudiants qui a été supprimée par le Sénat. Pour mettre un terme à l’opacité qui entourait la plateforme APB, le Gouvernement a souhaité refondre les modalités d’entrée dans l’enseignement supérieur autour de deux exigences fondamentales qui ont guidé notre réflexion dans la rédaction de ces dispositions. La première exigence consiste à remettre de l’humain dans la procédure d’affectation, en écartant toute prise de décision sur le seul fondement d’un algorithme. La seconde consiste à garantir la transparence de la procédure d’affectation et les droits des étudiants. L’article L. 612-3 du code de l’éducation, issu de la loi ORE permet de garantir un niveau exigeant de transparence, jusqu’alors inédit dans l’accès à l’enseignement supérieur.

La loi a inscrit un principe fort : le critère retenu pour l’examen des vœux est la cohérence entre le profil du candidat et les attendus de la formation demandée. Les critères d’examen des vœux sont connus, publics, affichés sur Parcoursup dans les caractéristiques des formations. Ils sont donc accessibles à tous. Cela est vrai pour les 13 000 formations déjà référencées dans Parcoursup, y compris celles qui sont sélectives.

Le II de l’article L. 612-3 précité prévoit la publication de tous les algorithmes de Parcoursup, c’est-à-dire ceux qui permettent le fonctionnement de la plateforme au niveau national, mais aussi la publication de l’outil d’aide à la décision qui est mis à la disposition des établissements pour les appuyer dans leur travail. On rend ainsi publics l’algorithme principal comme l’algorithme spécifique et, pour chaque établissement, tous les critères qui auront été utilisés pour l’évaluation.

Au sein des établissements, toutes les mesures ont été prises pour garantir une intervention humaine sur chaque dossier, ce qui était essentiel. Le décret d’application de la loi instaure, pour chaque formation, une commission d’examen des vœux, principalement composée d’enseignants, chargée d’examiner et de classer les dossiers. Ces instances sont constituées, j’y insiste, d’enseignants, c’est-à-dire d’êtres humains, de femmes et d’hommes qui vont regarder chacun des dossiers. Comme son nom l’indique, l’outil d’aide à la décision, dont le code sera publié, n’est qu’un appui à la commission d’examen composée de femmes et d’hommes experts du sujet.

La commission peut décider – certaines l’ont déjà fait – de ne pas utiliser l’algorithme spécifique. Si la commission souhaite l’utiliser, elle doit alors paramétrer l’outil en fonction des éléments d’appréciation pédagogiques qu’elle seule peut déterminer. Elle doit en superviser le fonctionnement et en valider le résultat. Ce paramétrage consiste, pour l’essentiel, à préciser, hiérarchiser, pondérer les critères qui ont été portés à la connaissance des candidats.

Seule la commission d’examen des vœux est compétente pour décider des réponses qui seront apportées aux candidats. Ainsi, la manière dont l’outil d’aide à la décision est utilisé est indissociable de la délibération, mais ce dispositif ne peut se substituer à elle. Aucune décision ne sera prise sans l’action de ces êtres humains, de façon collégiale, dans le cadre de ces commissions. Le module en lui-même ne peut fonder la décision de l’établissement et aucun d’eux n’a prévu de le faire de cette manière. La décision ne peut découler que des délibérations de la commission. Chacun des dossiers est examiné individuellement. Le travail de ces commissions est essentiel, car elles doivent notamment identifier les étudiants qui auront besoin d’un accompagnement pédagogique spécifique pour aller au terme de leur cursus.

Or la disposition votée par le Sénat retire toute forme de protection à la délibération de ces commissions. La disposition que nous souhaitons réintégrer permettra d’ancrer dans la loi le rôle de ces équipes pédagogiques et de protéger le contenu de ces délibérations. Ce contenu, ces échanges et ces débats sont essentiels. Concrètement, nous garantissons à chaque candidat un accès individuel aux informations et motifs qui justifient la décision prise par l’établissement – comme je vous le disais, la seconde de nos exigences consiste à renforcer la transparence, au bénéfice des étudiants. Cela n’était pas possible auparavant. C’est donc une avancée majeure en faveur de la transparence. On pourra savoir quels critères ont été pris en compte et comment ils ont été évalués.

En revanche, sans cette disposition, les formations devraient dévoiler une part substantielle de leurs propres délibérations, qui sont en principe couvertes par le secret, conformément à la jurisprudence du Conseil d’État. Une telle remise en cause serait très excessive. En effet, sans protection des délibérations, les équipes pédagogiques, par crainte de recours, seraient conduites soit à renoncer au module d’aide à la décision, soit à y recourir de façon mécanique, sans intervention humaine ; dans ce dernier cas, alors qu’on entend se protéger des algorithmes, on retournerait au système APB d’attribution purement algorithmique.

Le Gouvernement et la majorité ont eu à cœur, au cours de l’examen de la loi ORE, de faire progresser la transparence dans l’accès au premier cycle de l’enseignement supérieur. Pour nous, il n’est pas envisageable de revenir sur la lettre de la loi, qui a été votée et promulguée. En revanche, il est naturel et sain – tel a été l’objet de nos discussions ces dernières semaines – que ce sujet suscite le débat, que le Parlement puisse disposer d’une information régulière et indépendante sur les garanties de transparence de la nouvelle procédure Parcoursup. À cette fin, le présent amendement permettra au comité éthique et scientifique, dont la mission de contrôle de Parcoursup est fixée dans la loi, de faire connaître au Parlement son évaluation indépendante des garanties permises par la loi en la matière. Cela pourra prendre la forme d’un rapport – comme le stipule le texte de l’amendement –, mais cela pourra aussi se traduire par une audition publique, comme le permet le règlement de l’Assemblée nationale.

J’irai même plus loin, mesdames et messieurs les députés : je souhaite prendre date devant vous, au nom du Gouvernement, sur cette question. Si le dispositif doit évoluer après quelques années, il évoluera et le Gouvernement soutiendra toutes les initiatives en ce sens. Par ailleurs, ma collègue Frédérique Vidal, ministre de l’enseignement supérieur, de la recherche et de l’innovation, qui a construit et défendu ce texte, se tient à votre disposition – vous êtes d’ailleurs nombreux à l’avoir sollicitée – pour répondre à vos questions et rendre compte du traitement des vœux au sein de toutes les formations lors de la première session d’affectation, qui vient de commencer.

Je vous propose par conséquent de rétablir cette disposition en adoptant l’amendement du Gouvernement. Vous pourrez, par là même, rassurer toutes les familles de France qui ont déjà rempli leurs dossiers sur Parcoursup et qui attendent maintenant que leur examen avance. (Applaudissements sur plusieurs bancs des groupes LaREM et MODEM.)

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Je salue l’engagement du Gouvernement et de tous les acteurs en faveur du renforcement de la transparence, qui est une exigence que nous partageons. À titre personnel, je continue à m’interroger sur la rédaction de la loi ORE, mais nous n’avons pas eu le temps de mener des auditions complémentaires. Nous savons très bien que ces réformes sont en cours et que l’on demande beaucoup d’efforts à tous les acteurs.

Nous saluons la volonté du Gouvernement de rendre un rapport au Parlement l’année prochaine, de manière à pouvoir, le cas échéant, revenir sur les dispositions juridiques et retravailler le texte, afin qu’il soit plus en accord avec la réalité. Nous ne savons pas encore comment les acteurs vont se saisir des outils d’aide à la décision : vont-ils les utiliser de façon automatique ou les paramétrer d’une façon ou d’une autre ? Les paramétrages seront-ils couverts par le secret des délibérations ou feront-ils partie du code source qui devra être rendu public ? Des sujets restent donc à creuser, et la question demeure de savoir, pour un certain nombre de points, où le curseur sera placé. Nous allons suivre cela de près avec notre collègue Gabriel Attal, qui a beaucoup travaillé sur le sujet, pour voir s’il faut apporter des corrections à la loi. Avis favorable sur l’amendement n9.

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. Je m’en veux, d’une certaine manière, de m’exprimer avant notre collègue Gabriel Attal, qui est concerné au premier chef. Le texte porte sur le numérique, les données personnelles et le RGPD, mais on voit bien que le débat universitaire, qui est d’actualité, s’introduit dans notre discussion. Sans doute faudrait-il, monsieur le secrétaire d’État, que la vidéo de votre intervention soit largement diffusée dans les universités, car elle serait de nature à rassurer certains étudiants, qui en manipulent d’autres.

Mme Danièle Obono. Ben voyons !

M. Philippe Gosselin. Il serait grand temps de débloquer les universités.

M. Pierre Dharréville. Et comment comptez-vous vous y prendre ?

M. Philippe Gosselin. J’espère que ce plaidoyer, qui intéresse le rapporteur du texte relatif à Parcoursup, éclairera les choses. Ce que vous venez de rappeler est important et je donne acte au Gouvernement de sa volonté de transparence sur ce sujet.

Cela dit, même après vous avoir entendu, je ne suis pas sûr que le sujet soit totalement clos. Certaines inquiétudes sont inhérentes au parcours estudiantin, à la qualification professionnelle, aux études supérieures, à la recherche d’emploi et à la place de chacun dans la société. Ce débat est légitime, et ce que vous avez dit permettra peut-être de l’éclairer.

Sans vouloir passer la brosse à reluire, il me semble que l’amendement n9 va dans le bon sens et, même si c’est un casse-bras pour certains, je n’en doute pas, les uns et les autres doivent faire œuvre de pédagogie. Quoi qu’il en soit, il n’y a pas aujourd’hui de malaise particulier sur ce point précis. Pour le reste, le débat n’est pas clos, et un petit bout de blanc-seing n’est pas une sanctification rapide. Ce n’est pas encore le moment de dire : « Santo subito ». (Applaudissements sur les bancs du groupe LR.)

M. le président. La parole est à M. Gabriel Attal.

M. Gabriel Attal. Je voudrais remercier Philippe Gosselin pour ses mots, qui montrent que nous sommes tous engagés pour l’objectif d’affecter dans les meilleures conditions possibles dans l’enseignement supérieur, l’an prochain, les bacheliers qui ont formulé leurs vœux sur la plateforme Parcoursup.

Nous ne sommes pas ici aujourd’hui pour débattre de nouveau de la relative à l’orientation et à la réussite des étudiants. Il n’en demeure pas moins qu’elle a constitué une percée majeure et historique en matière de transparence. Avant, avec APB, l’algorithme et le code source n’étaient pas publiés, alors que les associations le réclamaient. Les pouvoirs publics ont été pressés par la commission d’accès aux documents administratifs – la CADA – et la CNIL de les publier, ce qu’ils avaient finalement fait, mais en version papier. Cela montre quel était alors l’engagement des pouvoirs publics pour la transparence des algorithmes.

La nouvelle loi prévoit la transparence totale des critères d’affectation, puisqu’ils sont tous publics et consultables par tout un chacun sur la plateforme Parcoursup, filière par filière. Un amendement de notre collègue Cédric Villani, soutenu par notre groupe, permet la publication du code source et de l’algorithme de la plateforme au niveau national, et du module d’aide à la décision utilisé dans les universités au niveau local. Le Président de la République a indiqué, lors de son discours sur l’intelligence artificielle, combien cet engagement était important à ses yeux.

La manière dont la réforme se met en place fera l’objet d’une évaluation extrêmement fine de la part du Parlement. Un amendement adopté impose au Gouvernement de publier toutes les données de la campagne d’affectation, qui aura lieu tous les ans et dès cette année. Le Parlement rédigera un rapport d’évaluation dans deux ans, sur la base d’un autre rapport du Gouvernement contenant toutes les informations nécessaires.

Nous franchissons une nouvelle étape dans la transparence avec cet amendement, puisque le comité éthique et scientifique devra remettre chaque année un rapport sur les délibérations. Le groupe La République en marche le soutiendra donc.

M. le président. La parole est à Mme Danièle Obono.

Mme Danièle Obono. Le Gouvernement et la majorité tiennent à ce que l’on rediscute de la mobilisation actuelle contre la sélection à l’université, c’est très bien. Je salue cette mobilisation.

M. Philippe Gosselin. On ne salue pas de la même façon !

Mme Danièle Obono. En ce moment même, une très belle assemblée générale a lieu à la faculté de Nanterre.

Les outils numériques peuvent être un élément de l’analyse politique des citoyens et des citoyennes. La situation actuelle montre que ceux qui se mobilisent n’ont pas mal compris la réforme, mais en ont au contraire saisi le sens politique, car il ne s’agit pas d’une question technique. Le sens politique de la loi de mars dernier est de favoriser la sélection, et l’utilisation des techniques numériques pour effectuer cette sélection pose question et suscite la contestation, n’en déplaise à M. Gosselin. Ce n’est pas une minorité d’ultra-gauchistes, ou que sais-je encore : ce sont des étudiants, des jeunes gens qui s’inscrivent dans une démarche de compréhension technique, mais aussi d’apprentissage politique de la citoyenneté. Ne vous en déplaise, ils ont très bien compris ce qu’il y avait derrière l’algorithme et ce projet de loi.

M. Philippe Gosselin. On les manipule !

Mme Danièle Obono. Ils exercent pleinement leurs droits et leurs devoirs de citoyenneté. La représentation nationale devrait être fière que la jeunesse soit si consciente, si dynamique et si éveillée. En tout cas, nous, à La France insoumise, en sommes fiers et la soutenons pleinement.

M. le président. La parole est à M. Philippe Latombe.

M. Philippe Latombe. Je ne souhaite pas entrer dans une polémique. Cet amendement et les propos du ministre sont clairs et transparents. Nous soutenons cet amendement, qui correspond à tout ce que nous avons voulu faire sur ce sujet et à ce que nous avons dit en commission. Nous soutenons l’intégralité du propos du ministre et, comme l’a dit M. Gosselin, la pédagogie doit être exportée à l’extérieur de cet hémicycle. La démonstration était claire et répondra à un certain nombre de questions posées par d’autres personnes, sur les bancs de cet hémicycle et à l’extérieur. Cela permettra certainement d’apaiser les tensions.

M. le président. La parole est à M. Pierre Dharréville.

M. Pierre Dharréville. Notre collègue Philippe Gosselin appelait à débloquer les universités. Il y a deux manières de le faire : soit en envoyant les forces de l’ordre, ce qui a commencé à être fait et qui n’est pas une bonne nouvelle ni une bonne façon de traiter les jeunes qui se mobilisent, à juste raison, dans ces facultés pour leur avenir ; soit en ouvrant une discussion, ce qui n’a pas été le cas, même lors de l’élaboration du projet de loi.

Les étudiants ne sont pas les seuls à s’opposer à cette réforme : beaucoup d’enseignants font de même,…

M. Philippe Gosselin. Il y en a quelques-uns.

M. Pierre Dharréville. …et ont organisé des conférences de presse et mené des actions. Il y a un problème, dont le Gouvernement devrait prendre la juste mesure. Il devrait ouvrir de véritables discussions et arrêter de renvoyer les opposants à cette réforme au dispositif précédent, qu’ils contestaient déjà.

(L’amendement n9 est adopté.)

(L’article 14, amendé, est adopté.)

Articles 14 bis A à 17

(Les articles 14 bis A, 14 bis, 16 A, 16 et 17 sont successivement adoptés.)

Article 17 bis

M. le président. La parole est à M. Éric Bothorel, pour soutenir l’amendement n12.

M. Éric Bothorel. J’ai déjà évoqué plusieurs ce sujet : c’est ce qui s’appelle avoir de la suite dans les idées.

Le présent amendement vise à rompre avec la logique d’un consentement présumé pour lui préférer celle d’un consentement effectif, en permettant à l’utilisateur d’un terminal mobile de choisir librement son service de communication en ligne par un acte positif.

Aujourd’hui, les éditeurs d’application peuvent signer des accords avec les fabricants de smartphones, afin de bénéficier d’une exposition préférentielle de leur application, laquelle peut notamment passer par un affichage par défaut.

Par cette mesure, il s’agit non pas d’interdire la conclusion de ce type d’accords, mais de se prémunir contre les cas où ils sont assortis d’une clause d’exclusivité qui empêcherait le fabricant ou l’opérateur de proposer des alternatives à l’application configurée par défaut. Concrètement, cela signifie que chaque éditeur d’application pourra demander que son application soit configurée par défaut, mais sans pouvoir interdire que des alternatives concurrentes soient également proposées à l’utilisateur, dont certaines sont plus protectrices des données personnelles.

Cette mesure n’a pas pour objet de porter atteinte à la liberté contractuelle. Elle cherche uniquement à ce que cette liberté ne soit pas exercée au détriment de l’objectif de protection des données personnelles, qui passe par le libre consentement de l’utilisateur, et donc le libre choix de ses applications.

La rédaction de cet amendement, que je présente pour la troisième fois, a évolué. Elle satisfait aujourd’hui une bonne partie des ambitions portées lors de la première lecture dans cette assemblée. Je remercie celles et ceux qui, dans un calendrier très contraint, ont contribué à l’atterrissage de cet amendement, comme nous disons dans notre jargon.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Je remercie Éric Bothorel d’avoir eu de la suite dans les idées et d’avoir été patient. Nous avons abouti à une rédaction qui convient à peu près à tout le monde. Comme je l’ai déjà dit en commission, cette question de la concurrence loyale dans le secteur du numérique est beaucoup plus large que cela. Il faudra donc travailler, dans les prochains mois, à la mise à jour du droit de la concurrence, à la lumière des enjeux du numérique. Nous devrons nous pencher sur l’interaction de ce droit avec la fiscalité, la commande publique et la politique des données. Cher collègue, travaillons ensemble sur ces questions dans les prochains mois.

J’encourage le moteur de recherche Qwant à s’inscrire dans le registre des représentants d’intérêts à l’Assemblée nationale de la Haute Autorité pour la transparence de la vie publique. Dans l’opinion publique et parmi nos collègues, on a commencé à appeler cet amendement « l’amendement Qwant ». Cet acteur nous a beaucoup interpellés et appelés, et ce type de dialogue doit être transparent. Cette exigence ne concerne pas que les GAFA et s’impose aussi aux acteurs avec lesquels nous partageons des positions.

J’émets un avis favorable sur cet amendement.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Cet amendement fait suite à des discussions qui ont débuté dès la première lecture du texte, qui se sont poursuivies au Sénat et qui ont continué longtemps. Elles portaient sur la liberté du choix des utilisateurs, notamment pour les terminaux mobiles.

Comme vous venez de le rappeler, monsieur Bothorel et madame la rapporteure, ce sujet est beaucoup plus vaste que celui des données personnelles, qui est l’objet du texte que nous examinons aujourd’hui. Il nourrit des problématiques bien plus larges et le besoin d’une discussion sur le rôle des grandes entreprises du numérique, qui cumulent plusieurs responsabilités dans nos vies, du fait de leur taille et de leur activité.

Ces grandes entreprises ont une responsabilité économique, et vous venez d’évoquer, madame la rapporteure, le sujet concurrentiel ; elles ont une responsabilité sociale, puisqu’une partie du revenu d’un nombre toujours plus important de personnes dépend d’une activité sur ces plateformes ; elles ont également une responsabilité sociétale, comme on le voit sur le sujet spécifique des données personnelles et dans les derniers scandales qui ont eu lieu, car elles jouent un rôle dans notre société.

Il est temps maintenant pour nos sociétés et notre droit de s’adapter eux aussi à ces nouvelles réalités économiques. Voilà pourquoi les discussions sur ces questions doivent se poursuivre. L’Assemblée et le Gouvernement continueront de les mener, de même que la Commission et le Parlement européens. Je me trouvais d’ailleurs hier à Bruxelles pour discuter de ces sujets.

Dans le cadre du RGPD, on ne pouvait cependant traiter que de la question du consentement. Je vous remercie d’avoir pris le temps, d’avoir pris en compte ce point et d’avoir proposé un amendement compatible avec le RGPD et introduisant cette discussion plus générale. Le Gouvernement est donc favorable à cet amendement dans sa nouvelle rédaction. (Applaudissements sur plusieurs bancs du groupe LaREM.)

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. Je me félicite de cette heureuse issue, qui n’était pas écrite d’avance – comme quoi, perseverare n’est pas toujours diabolicum, ou alors le diable est dans les GAFA. (Sourires.) Plus sérieusement, on aurait tort de nourrir une défiance généralisée à l’endroit des GAFA. Même si je suis très prudent à l’égard de ces grands groupes, il convient de ne pas risquer d’entretenir des thèses complotistes, qui ne me paraissent pas souhaitables dans nos sociétés.

En revanche, la question de la loyauté de la concurrence et des abus de position dominante se pose. Ces abus peuvent découler d’un cadre juridique précis, ou bien tout simplement être de fait – ce qui est le cas actuellement. L’Europe doit s’emparer très sérieusement de ces questions : l’actualité nous rappelle la grande fragilité de nos données personnelles. Le libre choix fait partie de la liberté propre aux citoyens. Ce sujet fait l’objet du règlement européen concernant la vie privée et les communications électroniques, dit « ePrivacy ». Cela montre que les choses avancent. Sans être naïf évidemment, si la France pouvait porter une voix un peu plus singulière, comme elle le fait bien souvent sur ces questions dans le cadre des travaux européens, on ne pourrait que s’en réjouir.

Même si l’amendement n’offre pas une solution complète, il constitue un premier pas et correspond à un objectif que nous pouvons partager très largement sur l’ensemble des bancs de cette assemblée.

M. le président. La parole est à M. Philippe Latombe.

M. Philippe Latombe. Je suis content de la discussion que nous avons eue tout au long de l’examen de ce texte. En commission, j’avais proposé à M. Bothorel, il y a deux jours, de retirer cet amendement, dont la rédaction posait problème, afin de la rendre plus conforme. Je suis content que cet amendement, ainsi modifié, puisse être adopté.

Je souscris aux propos de Mme la rapporteure : Qwant aurait dû s’inscrire en tant que représentant d’intérêts. On le demande aux GAFA, et il serait logique que tout le monde applique cette règle.

C’est aussi l’intérêt du RGPD que d’ouvrir des voies. La France, dans ce cadre, ouvre une porte, comme l’a dit M. Gosselin. C’est une bonne chose, mais il faut aller plus loin : je propose que nous travaillions tous ensemble pour ouvrir tous les champs concernés. Nous soutiendrons, bien évidemment, cet amendement.

M. le président. La parole est à M. Rémy Rebeyrotte.

M. Rémy Rebeyrotte. Je félicite M. Bothorel, ainsi que l’ensemble des partenaires et des acteurs. Je remercie également le Gouvernement. Pour nous tous, il s’agit d’une avancée importante. « O tempora, o mores », disait Cicéron. Et si c’est rond… (Sourires.) C’était complexe : il s’agissait de trouver la quadrature du cercle, mais nous sommes arrivés à bon port.

Nous n’avons surtout pas voulu reprendre des dispositions provenant d’un lobby, quel qu’il soit. C’est ce que nous faisons systématiquement, même si c’est compliqué et cela demande du temps. Il faut trouver les bons mots et s’assurer de la sécurité juridique des dispositions, mais il n’est pas question de n’écouter qu’un son de cloche et de travailler sous la pression des lobbys : cela a demandé du temps, mais cela valait la peine. (Applaudissements sur plusieurs bancs du groupe LaREM et sur les bancs du groupe MODEM.)

(L’amendement n12 est adopté.)

(Applaudissements sur plusieurs bancs du groupe LaREM et sur les bancs du groupe MODEM.)

(L’article 17 bis, amendé, est adopté.)

Article 17 ter

M. le président. La commission a supprimé l’article 17 ter.

Articles 18 et 19

(Les articles 18 et 19 sont successivement adoptés.)

Article 19 bis

M. le président. La commission a supprimé l’article 19 bis.

Article 19 ter

M. le président. Je suis saisi d’un amendement, n13, qui fait l’objet d’un sous-amendement n15.

La parole est à M. Rémy Rebeyrotte, pour soutenir l’amendement.

M. Rémy Rebeyrotte. Nous donnons raison au Sénat : les collectivités souhaitant mutualiser les moyens pour l’application du RGPD doivent pouvoir le faire dans de bonnes conditions, en s’appuyant sur les intercommunalités, mais aussi – et c’est l’objet du sous-amendement – dans le cadre des groupements que les régions et les départements notamment ont pu constituer. Ainsi, ils pourront agir ensemble de concert, et de manière mutualisée.

Cette proposition du Sénat est intéressante. Il a fallu, là encore, trouver les voies et moyens, mais je pense que nous y sommes arrivés.

M. le président. La parole est à Mme Paula Forteza, pour soutenir le sous-amendement n15 et donner l’avis de la commission sur l’amendement n13.

Mme Paula Forteza, rapporteure. C’est un sous-amendement de précision. Je suis favorable à la proposition de M. Rebeyrotte.

M. le président. Quel est l’avis du Gouvernement ?

M. Mounir Mahjoubi, secrétaire d’État. Le Gouvernement est favorable à l’amendement présenté par M. Rebeyrotte, ainsi qu’au sous-amendement présenté par Mme la rapporteure. Il demande, par conséquent, le retrait de l’amendement suivant, présenté par M. Gosselin et Mme Le Grip.

Le présent amendement nous semble répondre aux préoccupations du Sénat concernant les collectivités territoriales, qui ont fait l’objet d’un très long débat. Il permet notamment de désigner un délégué à la protection des données personnelles – DPO –, et donne la possibilité aux collectivités territoriales de mutualiser les coûts et la responsabilité, dans certains cas. À cet égard, je rappelle que le règlement prévoit déjà la possibilité de mutualiser le DPO.

M. le président. La parole est à Mme Danielle Brulebois.

Mme Danielle Brulebois. Le RGPD a le mérite de sensibiliser à la protection des données, en particulier nos collectivités locales, qui, avec la dématérialisation, doivent gérer un grand nombre de données : c’est un travail très important pour elles. Nos petites communes partent souvent de zéro, mais elles s’organisent. Elles se tournent vers des syndicats. Elles pensent même qu’il s’agit non seulement de gérer l’open data, mais aussi de revoir complètement la gestion de l’archivage.

Monsieur le secrétaire d’État, je vous ai envoyé une lettre d’invitation pour un congrès qui aura lieu dans le Jura, au mois de septembre. Il est organisé par une association qui s’appelle DECLIC – Développement d’échanges entre collectivités locales en matière d’informations et de communications – et regroupe déjà 7 500 collectivités travaillant sur ce sujet.

M. le président. La parole est à M. Philippe Latombe.

M. Philippe Latombe. Nous sommes favorables à l’amendement et au sous-amendement. Comme je l’ai dit lors de la discussion générale, nous devons veiller à ce que les collectivités territoriales s’imprègnent totalement du RGPD. Pouvoir mutualiser les moyens avec les personnes qui pourront ainsi être beaucoup plus spécialisés est une bonne façon de sensibiliser tout le monde.

Après les discussions au Sénat, il restait à régler la question des syndicats d’économie mixte. L’amendement permet d’y répondre. Le RGPD s’applique aux collectivités territoriales, et nous devons faire en sorte qu’elles s’en imprègnent. La mutualisation est une façon de le faire.

(Le sous-amendement n15 est adopté.)

(L’amendement n13, sous-amendé, est adopté et l’article 19 ter est ainsi rédigé ; en conséquence, l’amendement n8 tombe.)

Articles 20 à 23

(Les articles 20, 20 bis, 21, 22, 23 sont successivement adoptés.)

Article 23 bis

M. le président. La commission a maintenu la suppression par le Sénat de l’article 23 bis.

Article 24

M. le président. Plusieurs orateurs sont inscrits sur l’article 24.

La parole est à M. Bruno Bonnell.

M. Bruno Bonnell. Nous partageons, avec mon collègue Éric Bothorel, non seulement la première et la dernière lettres de notre nom de famille, mais surtout une détermination. (Sourires.)

J’avais dit que je mentionnerais à nouveau, en nouvelle lecture, sans toutefois déposer d’amendements, la problématique de la propriété des données, car il est important de ne pas l’oublier. À l’avenir, et à la lumière des récents scandales, nous devrons répondre à cette préoccupation. La question de la propriété, qu’il s’agisse de droits moraux ou de droits patrimoniaux, deviendra brûlante. Dans le cadre des groupes d’études, il faudra réfléchir à la façon d’aider le Gouvernement à proposer des dispositifs de régulation.

Je tenais simplement à rappeler que cette question dépasse celle de la protection, et se pose au niveau européen. La France a un rôle essentiel à jouer : la guerre de l’intelligence étant, en définitive, la guerre des données, le sujet de la propriété de ces dernières devra être mis sur la table. (Applaudissements sur plusieurs bancs du groupe LaREM.)

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. Je profite d’une session de rattrapage, car j’ai été un peu perturbé, non pas par la manipulation, mais par les conséquences juridiques de l’adoption de l’amendement de M. Rebeyrotte, qui a fait tomber mon amendement n8. Si cet amendement est tombé, au moins l’intérêt pour les collectivités territoriales n’est-il pas retombé. Mme Le Grip l’a dit lors de la discussion générale, et nous l’avons dit en première lecture : il est important non seulement de se préoccuper des petites entreprises, notamment parce que le paradigme change, mais aussi d’accompagner les collectivités.

La mutualisation que nous souhaitions, et telle qu’elle est proposée par l’amendement de M. Rebeyrotte, me convient bien. Il est utile d’instaurer un système de conventions, qui permette, en bonne intelligence, aux collectivités territoriales de se structurer et de mutualiser les moyens, donc de mieux affronter les obligations nouvelles et importantes que l’adoption du règlement fait peser sur elles.

J’interviens un peu à contretemps, puisque nous discutons de l’article 24, mais j’ai été victime de la procédure – qui n’est, au demeurant, ni injuste ni inique. Cette session de rattrapage me permet d’expliquer ma démarche.

Mme Constance Le Grip. Très bien !

M. le président. La parole est à M. le secrétaire d’État, pour soutenir l’amendement n11.

M. Mounir Mahjoubi, secrétaire d’État. Ce dernier amendement s’inscrit dans la continuité de l’amendement n10 à l’article 14, portant sur la nullité. Vous aurez noté les efforts du Gouvernement pour aboutir à un consensus ; il faut désormais qu’ils se concrétisent par des dispositions opérationnelles. Il se trouve que je suis aussi responsable des systèmes d’information de l’État. Pour généraliser, garantir et évaluer les conditions de la nullité, je vous demande de bien vouloir accepter cet amendement, qui vise à donner à l’administration le temps nécessaire pour s’adapter : le délai sera de deux ans après la publication de la présente loi, et la nullité des décisions prises uniquement sur le fondement d’un algorithme sera opérationnelle, au quotidien, en juillet 2020. D’ici à cette date, nous aurons réussi à généraliser ces dispositifs dans tous nos systèmes d’information.

M. le président. Quel est l’avis de la commission ?

Mme Paula Forteza, rapporteure. Nous avons insisté pour garder cette disposition dans le texte, car les notifications nous semblent très importantes. En commission, nous avions proposé un délai supplémentaire, car nous étions conscients que les administrations ont besoin de temps pour appliquer ces dispositions, et nous voulions éviter un vide juridique en la matière. Nous comprenons que le délai nécessaire doive être étendu. Avis favorable.

M. le président. La parole est à M. Rémy Rebeyrotte.

M. Rémy Rebeyrotte. Je suis, bien sûr, favorable à cet amendement. Alors que nous achevons l’examen du texte, je tiens simplement à appeler l’attention de M. le secrétaire d’État sur les moyens supplémentaires dont a besoin la CNIL. Ce sujet a été évoqué à plusieurs reprises lors de nos auditions. Au regard des ambitions du présent projet de loi, les responsables de la CNIL ont évidemment besoin de moyens supplémentaires. La demande nous semble raisonnable et légitime. On ne nous a pas demandé des moyens abracadabrantesques. Si M. le secrétaire d’État a besoin de notre soutien pour appuyer la demande auprès de Bercy, dont on connaît les exigences, il pourra compter sur beaucoup d’entre nous.

M. le président. La parole est à M. Philippe Gosselin.

M. Philippe Gosselin. Il s’agit non plus d’une session de rattrapage, mais d’une intervention de soutien à la majorité. Avec une opposition, dont vous reconnaissez forcément, monsieur le secrétaire d’État, les droits et les obligations, sur la même ligne que la majorité en la matière, on devrait arriver à trouver la bonne solution. Avant que l’examen du texte ne s’achève, je voudrais appeler l’attention de la majorité, de la représentation nationale et du Gouvernement, notamment du ministre de l’économie et des finances, toujours plus difficile à convaincre, sur la nécessité de permettre à la CNIL d’assumer ses nouvelles fonctions.

Les agents et collaborateurs des autorités de contrôle européennes sont deux fois, parfois trois fois plus nombreux, pour des missions identiques. Évidemment, mon propos n’est pas de demander un alignement sur les moyens des agences européennes, et ce n’est, du reste, pas ce que demande la CNIL. Cela n’aurait pas de sens, ici, maintenant et sans trajectoire claire. En revanche, à court terme, c’est-à-dire maintenant et pour l’année prochaine, les besoins sont estimés à une bonne trentaine de postes. Ce n’est pas rien : cela représente 10 % des effectifs, mais les pourcentages importent peu. À moins de considérer que l’on peut négliger l’application du RGPD en France, ce qui n’est pas envisageable, il est impératif d’accompagner, éventuellement sur deux exercices budgétaires, ces demandes de la CNIL, qui ne sont absolument pas superfétatoires : c’est leur seul moyen de remplir des obligations nouvelles.

M. le président. La parole est à M. Stéphane Peu.

M. Stéphane Peu. Je ne reviendrai pas sur les raisons qui nous amèneront à nous abstenir sur le texte, mais prends note des avancées bien réelles qu’il comporte. Certaines impasses, que j’ai évoquées dans le cadre de la discussion générale, nous amèneront néanmoins à choisir l’abstention.

Tandis que les débats s’achèvent, je joins ma voix à celle de notre collègue Philippe Gosselin. Dans notre pays, nous avons voté de nombreuses lois imposant du contrôle et des règles, sans toujours se donner les moyens de faire en sorte que celles-ci soient appliquées, ou à tout le moins que leur respect soit vérifié et son absence sanctionnée le cas échéant.

Dans un État de droit, ne pas être en mesure de s’assurer de la pleine application de la loi affaiblit le pouvoir de celle-ci. Je joins donc ma voix à celle de nos collègues afin de rappeler que, si le renforcement du rôle de la CNIL est une bonne chose, il faut aussi renforcer les moyens dont celle-ci dispose pour exercer les compétences qu’on lui a conférées – faute de quoi, comme je l’ai indiqué tout à l’heure, on vote une loi qui est une épée de bois, ce qui affaiblit la crédibilité de l’État de droit.

(L’amendement n11 est adopté.)

(L’article 24, amendé, est adopté.)

M. le président. Nous avons achevé l’examen des articles du projet de loi.

Explications de vote

M. le président. La parole est à M. Philippe Gosselin, pour le groupe Les Républicains.

M. Philippe Gosselin. Chacun aura compris, à l’écoute des propos tenus tout à l’heure par notre collègue Constance Le Grip au nom de notre groupe et compte tenu des étapes de notre raisonnement exposées lors de la première lecture du texte, que celui-ci, à nos yeux, demeure fidèle à l’esprit du droit européen et va dans le bon sens. Il permet au droit français de s’adapter aux nécessités de notre temps, mais aussi de disposer d’une armure un peu plus conséquente qu’une simple armure franco-française.

Il constitue, nous l’espérons, un modèle, et participe en tout état de cause à l’élaboration d’un environnement européen en matière de protection des données personnelles, qui importe tout particulièrement dans un contexte très concurrentiel, comme le rappellent les auditions menées depuis quelques jours par le Congrès américain. Il importe donc d’adopter une démarche collective à l’échelle européenne.

Certaines dispositions devront sans doute être révisées dans quelque temps, et leur bilan dressé, notamment celles qui sont relatives à la place des collectivités territoriales. Sur ce point, le Sénat a eu la main un peu lourde, et la nôtre a peut-être été parfois un peu légère. Nous y reviendrons. En tout état de cause, il s’agit à nos yeux d’un texte qui est globalement à la hauteur des enjeux, ce qui amènera les membres du groupe Les Républicains, comme en première lecture, à le voter.

Mme Constance Le Grip. Très bien !

M. le président. La parole est à M. Rémy Rebeyrotte, pour le groupe La République en marche.

M. Rémy Rebeyrotte. Il s’agit d’un texte important, dont la dimension européenne a déjà été rappelée. Le travail parlementaire – à l’Assemblée nationale comme au Sénat, même si la CMP n’a pas abouti à un accord – a été riche et a permis des avancées. C’est pourquoi les membres du groupe La République en marche voteront le texte avec enthousiasme.

M. le président. La parole est à Mme Danièle Obono, pour le groupe La France insoumise.

Mme Danièle Obono. Malheureusement, en dépit de l’évocation répétée des enjeux, dont je ne doute pas que chacun ici est conscient, le projet de loi qui nous est soumis en nouvelle lecture demeure en deçà de ce qu’il faudrait faire, comme je l’ai déjà indiqué, à la suite de plusieurs de nos collègues. Même en tenant compte des marges de manœuvre laissées par la directive européenne du 27 avril 2016, il nous semble que le Gouvernement et la majorité ne prennent pas leurs responsabilités en matière de protection des données personnelles et de garantie des droits et des libertés fondamentaux de nos concitoyens et de nos concitoyennes.

Nous le regrettons et le déplorons d’autant plus qu’il s’agit d’un champ d’action à l’avant-garde duquel notre pays pourrait se situer, ce qui en ferait un modèle à l’échelle européenne. Malheureusement, monsieur le secrétaire d’État, votre majorité a préféré rester à l’arrière-garde et conserver la priorité dont bénéficie le marché en matière de business des données personnelles.

Nous aurons l’occasion, je n’en doute pas, d’en débattre à nouveau et de défendre nos propositions, qui vont dans le sens d’une véritable révolution et de nouveaux droits numériques, tels que nous les proposons dans notre programme. Tel n’est pas le cas du projet de loi, que nous ne pourrons pas voter.

M. le président. La parole est à M. Guy Bricout, pour le groupe UDI, Agir et indépendants.

M. Guy Bricout. Puisque le texte vise à transposer dans notre droit, dans un délai très court, les nouvelles exigences européennes en matière de protection des données personnelles ; puisqu’il vise non seulement à renforcer les droits et la protection des données en faveur de nos concitoyens, mais aussi à responsabiliser davantage les acteurs qui les exploitent ; puisque l’actualité nous rappelle qu’il est urgent que le législateur agisse en ce sens ; enfin, puisque l’échec de la CMP nous invite à trouver un accord avec le Sénat, sinon un consensus, sur les dispositions restant en discussion, et puisqu’il faudra informer et accompagner nos concitoyens, nos entrepreneurs et nos collectivités territoriales en vue de les inviter à prendre pleinement la mesure des nouvelles règles qu’il nous incombe de fixer avec responsabilité et pragmatisme, les membres du groupe UDI, Agir et indépendants voteront naturellement en faveur du projet de loi.

M. le président. La parole est à M. Philippe Latombe, pour le groupe du Mouvement démocrate et apparentés.

M. Philippe Latombe. Nous sommes satisfaits et fiers d’avoir participé à ce travail transpartisan, qui a permis d’obtenir des explications et de mener des échanges approfondis, tant entre nous qu’avec le Gouvernement et toutes les parties prenantes. L’Europe doit jouer un rôle moteur en matière de protection des données personnelles, comme le démontre le contexte actuel. Il est nécessaire que nous votions ce texte équilibré, afin qu’il puisse faire l’objet d’un échange avec le Sénat en vue d’une adoption rapide et que nous soyons au rendez-vous de l’Europe sur ce sujet.

Il s’agit d’une première pierre ; nous avons commencé, dans le cadre de l’examen du texte, à ouvrir des portes qui ouvrent sur de nombreux sujets. La direction générale de la concurrence de la Commission européenne a entamé fin mars des discussions avec Google. Plusieurs textes viendront en discussion sur ce sujet.

Nous devons afficher l’unité de notre assemblée – on comptera malheureusement quelques abstentions et votes contre le texte, mais l’immense majorité y est favorable – et appliquer les mêmes dispositions dans toute l’Europe, afin de créer un espace commun qui nous permettra de peser en la matière. (Applaudissements sur plusieurs bancs du groupe LaREM.)

Vote sur l’ensemble

M. le président. Je mets aux voix l’ensemble du projet de loi.

(Le projet de loi est adopté.)

(La séance, suspendue quelques instants, est immédiatement reprise.)

3

Nouveau pacte ferroviaire

Suite de la discussion d’un projet de loi

M. le président. L’ordre du jour appelle la suite de la discussion du projet de loi pour un nouveau pacte ferroviaire (nos 764, 851, 842).

Discussion des articles (suite)

M. le président. Hier soir, l’Assemblée a poursuivi la discussion des articles du projet de loi, s’arrêtant à l’amendement n63 à l’article 4.

Article 4 (suite)

M. le président. La parole est à M. Jean-Hugues Ratenon, pour soutenir l’amendement n63.

M. Jean-Hugues Ratenon. Monsieur le président, madame la ministre chargée des transports, madame la présidente de la commission du développement durable et de l’aménagement du territoire, monsieur le rapporteur, monsieur le rapporteur pour avis de la commission des affaires économiques, dans votre projet de privatisation généralisée de nos biens communs, aucune part du gâteau des services publics à se partager ne doit être oubliée. L’article 4 prévoit donc que les gares pourront désormais être gérées par des opérateurs privés – délicieux euphémisme pour désigner la privatisation de lieux qui sont souvent le poumon économique des petites villes où ils agissent comme de véritables moteurs, boosters du développement économique.

Bien entendu, nous nous opposons à cette logique d’exploitation privée des gares ainsi qu’à leur vente à la découpe. Une fois encore, votre politique dessert les territoires déjà si souvent oubliés de la République, car la gestion des petites gares, peu fréquentées, ne sera jamais assurée par les entreprises privées. Elles seront donc laissées à l’abandon, délaissées, éradiquées même, faute qu’un service public les entretienne.

Aussi un pôle public ferroviaire gérant le réseau, le matériel roulant et les gares est-il indispensable pour garantir l’égalité des citoyens devant le service public. Par cet amendement, nous demandons le maintien d’une gestion et d’une exploitation publiques des gares de voyageurs. En bref, personne ne doit rester sur le bord du chemin. Nous vous demandons donc, madame la ministre, monsieur le rapporteur, d’accepter cet amendement.

M. le président. La parole est à M. Jean-Baptiste Djebbari, rapporteur de la commission du développement durable et de l’aménagement du territoire, pour donner l’avis de la commission.

M. Jean-Baptiste Djebbari, rapporteur de la commission du développement durable et de l’aménagement du territoire. L’avis de la commission est défavorable. L’amendement n273, portant article additionnel avant l’article 1er, que nous avons adopté lundi soir, confie la gestion unifiée des gares à SNCF Réseau. Celle-ci est une structure publique, filiale de la SNCF détenue à 100 %.

M. le président. La parole est à Mme la ministre chargée des transports, pour donner l’avis du Gouvernement.

Mme Élisabeth Borne, ministre chargée des transports. Monsieur le député, nous ne nous comprenons pas.

M. Jean-Hugues Ratenon. En effet !

Mme Élisabeth Borne, ministre. Les dispositions de l’article 4 portent sur des contrats de service public. Il me semble très important que l’organisation du service public soit placée sous le contrôle de la puissance publique. La délégation de service public est l’une des modalités du service public à la française,…

M. Jean-Hugues Ratenon. Pas du tout !

Mme Élisabeth Borne, ministre. …à laquelle vous ne semblez pas adhérer, mais qui m’est chère. L’avis du Gouvernement sur l’amendement est défavorable.

M. le président. La parole est à Mme Danièle Obono.

Mme Danièle Obono. Les débats reprennent sur un ton fort amène ! Madame la ministre, nous avons une certaine vision du service public. Nous la défendons, comme nous l’avons prouvé à plusieurs reprises, par le biais des amendements que nous avons déposé sur ce texte comme sur bien d’autres. Peut-être n’est-elle pas la vôtre.

Vous, vous faites primer l’intérêt de la concurrence – votre texte ne parle que de ça, page après page. Nous, nous faisons primer la défense d’un service public permettant l’accès de chacun au transport ferroviaire et prenant en compte l’intérêt général des citoyens et des citoyennes, mais aussi l’intérêt général écologique. Il permet en effet un développement de tous les territoires dans le cadre de la transition écologique, dimension stratégique que vous persistez à refuser d’intégrer dans le projet de loi.

Nous sommes donc bien en présence de deux visions : la vôtre, rabougrie, inscrite dans le XXsiècle et en retard sur les enjeux du XXIsiècle, et la nôtre, expansive et proposant un véritable développement des services publics que, ne vous en déplaise, nous continuerons à défendre. Malheureusement, vous continuerez à les détricoter et à les remettre en cause. Nous nous y opposerons, d’autant plus que des milliers de citoyens et de citoyennes, de cheminots et de cheminotes sont d’accord avec nous sur ce point.

M. le président. La parole est à M. Jean-Marie Sermier.

M. Jean-Marie Sermier. Plusieurs de nos collègues ont critiqué les textes précédents, suggérant que, si la SNCF en est là où elle en est, c’est parce qu’elle n’a pas toujours été bien gérée en raison de l’éclatement des structures qui la composent. En la matière, il existe une information vérifiée : les gares ayant appartenu à plusieurs structures distinctes au cours des dernières décennies sont effectivement très mal gérées. La réforme que vous proposez, madame la ministre, rassemblera toutes les infrastructures – la voirie comme les gares – sous une unique responsabilité, celle de la société nationale SNCF.

J’appelle votre attention sur le fait que la gare, c’est aussi l’image de marque du transport ferroviaire ; or, depuis des années, les petites gares sont délaissées. Il faut le dire fermement : SNCF Réseau doit être responsable et entretenir ces gares et leurs alentours.

(L’amendement n63 n’est pas adopté.)

M. le président. Sur l’article 4, je suis saisi par le groupe de la Gauche démocrate et républicaine d’une demande de scrutin public.

Le scrutin est annoncé dans l’enceinte de l’Assemblée nationale.

La parole est à Mme Danièle Obono, pour soutenir l’amendement n62.

Mme Danièle Obono. Cet amendement vise à prévoir le maintien de points de vente physiques dans toutes les gares du territoire national.

Il est de plus en plus difficile pour les usagères et les usagers d’acheter un billet ou d’obtenir des informations à un guichet en gare ou en boutique SNCF. Entre 2011 et 2014, plus de 2 000 emplois ont été supprimés dans les gares, les boutiques, les caisses et les centres d’appel. Pour la seule année 2014, quatre-vingts points de vente ont été fermés ; s’ajoutent à cela la réduction des amplitudes horaires et la fermeture des points de vente le week-end. Tout est mis en œuvre pour renoncer à une distribution digne du service public.

Nous nous opposons par cet amendement à la politique de suppression des points de vente au profit du tout-numérique, qui déshumanise le service public et supprime des emplois. Au contraire, une utilisation intelligente du numérique devrait permettre de créer des postes. Nous demandons que le service public demeure accessible au plus grand nombre.

M. le président. Quel est l’avis de la commission ?

M. Jean-Baptiste Djebbari, rapporteur. Nous débattrons de la vocation des gares à devenir de véritables pôles d’échanges multimodaux lors de la discussion du projet de loi d’orientation des mobilités. Actuellement, c’est l’autorité organisatrice de transports qui définit le niveau de services en gare, lequel n’est d’ailleurs pas réductible à la présence physique de personnes dans la gare.

Je vous propose donc de retirer l’amendement ; à défaut, j’y serai défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Élisabeth Borne, ministre. Même avis.

M. le président. Retirez-vous l’amendement, madame Obono ?

Mme Danièle Obono. Non, monsieur le président.

M. le président. La parole est à M. Fabien Di Filippo.

M. Fabien Di Filippo. Cet amendement m’inquiète quelque peu. Il est vrai que les points de vente physiques disparaissent peu à peu ; mais si nous devions en rajouter, il faudrait créer des emplois : qui paierait ? Cela ne renchérirait-il pas simplement le prix des billets pour les usagers ? Bien sûr, je souhaite que les usagers, notamment les personnes âgées qui ne disposent pas d’un smartphone et qui n’ont pas accès à internet, puissent s’informer et commander un billet, mais les conséquences économiques de votre proposition risqueraient d’être disproportionnées.

(L’amendement n62 n’est pas adopté.)

M. le président. La parole est à M. Pierre Dharréville.

M. Pierre Dharréville. Nous ne voterons pas l’article 4, qui vous autorise à légiférer par ordonnances dans un certain nombre de domaines. Cela ne vous surprendra pas : nous aurions aimé être pleinement saisis, pouvoir débattre, voire décider. Notre expérience récente des ordonnances n’est pas concluante ; les ordonnances relatives au droit du travail se sont révélées plutôt fâcheuses, et de façon assez conforme aux craintes que nous avions exprimées dans le débat.

Nous ne souhaitons pas vous donner de chèque en blanc.

M. le président. La parole est à Mme Danièle Obono.

Mme Danièle Obono. Dans le même esprit, nous nous opposerons nous aussi à cet article 4, qui concentre nombre des problèmes que nous avons pointés à propos de l’ouverture à la concurrence, dont – malgré les louanges chantées par la majorité – nous connaissons les conséquences. C’est après tout une trajectoire de plusieurs dizaines d’années qui nous amène à faire ce choix.

Sur la forme, je souligne que cette majorité qui se prétend ouverte au dialogue social et prête à la coopération ne cesse d’utiliser les ordonnances. C’est quelque peu contradictoire, puisque cette méthode empêche tout véritable dialogue avec le Parlement et toute véritable contribution parlementaire : c’est un blanc-seing donné au Gouvernement. C’est encore une fois la même attitude hypocrite : « Nous sommes pour le dialogue, mais nous avons déjà tout décidé, tout écrit ; vous pouvez toujours causer, rien n’y fera. »

Nous espérons que la mobilisation actuelle, qui se développe, vous fera entendre raison et vous obligera à revenir sur ces dispositions iniques.

M. le président. Je mets aux voix l’article 4.

(Il est procédé au scrutin.)

Voici le résultat du scrutin :

Nombre de votants34
Nombre de suffrages exprimés29
Majorité absolue15
Pour l’adoption24
contre5

(L’article 4 est adopté.)

Après l’article 4

M. le président. Nous en arrivons à une série d’amendements portant article additionnel après l’article 4.

La parole est à M. Christophe Bouillon, pour soutenir l’amendement n156.

M. Christophe Bouillon. Cet amendement est Hulot-compatible. Le ministre de la transition écologique et solidaire fait la guerre au diesel sur la route, avec un objectif d’élimination de ces véhicules en 2040. Il faut, je crois, agir de même pour le rail. Le débat sur les petites lignes a soulevé la question du diesel ; il est vrai que l’argument environnemental ne joue pas en leur faveur.

Or il existe aujourd’hui des locomotives à hydrogène, par exemple. Un vrai plan d’investissement me paraît indispensable pour en finir avec le diesel dans le transport ferroviaire aussi.

M. le président. Quel est l’avis de la commission ?

M. Jean-Baptiste Djebbari, rapporteur. Nous avons débattu en commission des choix technologiques et politiques d’électrification des lignes ; en effet, l’hypothèse des trains à hydrogène produits par Alstom et utilisés en Allemagne est intéressante. Le rapport Duron aborde ce sujet. Je vous renvoie une nouvelle fois au projet de loi d’orientation des mobilités, qui comprendra un chapitre relatif au verdissement des flottes.

Je comprends votre frustration, mais je vous invite à retirer cet amendement ; à défaut, j’y serai défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Élisabeth Borne, ministre. Je vous confirme que nous travaillons, dans le cadre de la préparation du projet de loi d’orientation des mobilités, à un verdissement systématique des flottes, et plus largement de tous les véhicules, qu’ils soient terrestres, fluviaux, maritimes ou ferroviaires.

Il existe aujourd’hui des locomotives hybrides ; elles sont toutefois assez peu développées. La technologie des locomotives à hydrogène émerge.

Je vous propose donc moi aussi de retirer votre amendement ; à défaut, j’y serai défavorable.

M. le président. La parole est à M. Christophe Bouillon.

M. Christophe Bouillon. Chacun ici se rappelle le slogan : « À nous de vous faire préférer le train ». Eh bien, manifestement, vous voulez nous faire préférer la loi LOM.

Mme Barbara Pompili, présidente de la commission du développement durable et de l’aménagement du territoire. Elle va être fantastique, vous verrez !

Mme Valérie Rabault. Avec tout ce que vous dites que vous allez y mettre, nous sommes partis pour la voter !

Mme Barbara Pompili, présidente de la commission du développement durable et de l’aménagement du territoire. J’espère bien !

M. Christophe Bouillon. Il aurait sans doute mieux valu commencer par là : cela aurait donné une vision générale.

Mme Valérie Rabault. C’est vrai, il aurait fallu mettre la locomotive avant les wagons !

M. Christophe Bouillon. J’ai pleinement souscrit aux assises de la mobilité, qui ont été très réussies, avec beaucoup de contributions. Aujourd’hui, je ne peux qu’éprouver une certaine frustration. Cela dit, je retiens vos propos, et j’espère que ces promesses seront tenues ; un plan d’action, ou à tout le moins une volonté politique très forte, sont indispensables. Je retire l’amendement.

(L’amendement n156 est retiré.)

M. le président. La parole est à M. Christophe Bouillon, pour soutenir l’amendement n157.

M. Christophe Bouillon. Nous connaissons tous, j’imagine, le Haut Comité du système de transport ferroviaire. (Sourires.) Sinon, cet amendement sera l’occasion de le faire connaître. Créé par la loi de 2014, il a pour mission d’éclairer le Gouvernement et le Parlement. Vous avez, madame la ministre, beaucoup parlé de performance du système ferroviaire, et je vous rejoins sur l’importance de ce sujet.

C’est pourquoi je propose que ce haut comité rende chaque année au Parlement un rapport qui permettrait de vérifier où nous en sommes et si la trajectoire est la bonne.

M. le président. Quel est l’avis de la commission ?

M. Jean-Baptiste Djebbari, rapporteur. Je vais encore vous décevoir, monsieur Bouillon, mais notre assemblée dispose de tous les rapports financiers du groupe public ferroviaire ; nous avons en outre le droit d’auditionner les acteurs du ferroviaire aussi souvent que nous le souhaitons.

Je demande donc le retrait de l’amendement ; à défaut, avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Élisabeth Borne, ministre. Dans la loi de 2014 a été inscrit le principe de contrats pluriannuels entre l’État et la SNCF. Ces contrats prévoient des indicateurs de performance précis. Ce contrat devra bien sûr être revu, mais le principe de ces indicateurs sera maintenu. Le code des transports prévoit déjà, en outre, que la SNCF rend compte chaque année de l’exécution de ce contrat dans un rapport d’activité transmis au Parlement.

Il me semble donc que votre amendement est satisfait. Je vous propose de le retirer ; à défaut, avis défavorable.

M. le président. Monsieur Bouillon, souhaitez-vous retirer votre amendement ?

M. Christophe Bouillon. Je le maintiens, monsieur le président. Le Haut Comité du système de transport ferroviaire mérite vraiment d’être mieux connu, et il passera ainsi à la postérité. (Sourires.)

M. le président. La parole est à Mme Laurianne Rossi.

Mme Laurianne Rossi. Je souhaite réagir brièvement à cet amendement. Je salue les travaux réalisés par ce haut comité, mais cet organisme extra-parlementaire fixe lui-même, chaque année, le programme de ses travaux et décide des rapports qu’il souhaite rendre – j’insiste d’autant plus sur ce point que je suis moi-même membre du Haut Comité pour la qualité de service dans les transports. Cet amendement n’a pas lieu d’être ; la loi n’a pas à définir les travaux de ce haut comité.

M. le président. La parole est à M. Pierre Dharréville.

M. Pierre Dharréville. Ces demandes systématiques de retrait des amendements m’attristent. (Sourires.) Nous n’aurons, je crois, adopté presque aucun amendement déposé par l’opposition, et c’est un problème.

M. Jean-Marie Sermier. C’est vrai, et pour toutes les oppositions !

M. Pierre Dharréville. Bien sûr, vous estimez sans doute que ces amendements ne correspondent pas à la manière dont vous aviez imaginé les choses, mais cet hémicycle devrait aussi nous permettre de nous rencontrer : il y avait là des espaces de dialogue.

Certes, cela n’aurait rien changé à notre vote final, car ces amendements ne suffisent pas à mener la révolution du rail dont nous avons besoin, mais votre attitude est regrettable.

(L’amendement n157 n’est pas adopté.)

M. le président. La parole est à M. Damien Adam, rapporteur pour avis de la commission des affaires économiques, pour soutenir l’amendement n202.

M. Damien Adam, rapporteur pour avis de la commission des affaires économiques. Au cours des auditions sur ce projet de loi, plusieurs interlocuteurs nous ont alertés sur une situation préoccupante : certains biens dans les gares sont non affectés. Autrement dit, nous ne sommes pas en mesure de savoir si ces éléments du patrimoine appartiennent à SNCF Réseau, SNCF Mobilités ou encore Gares & Connexions. Le plus bel exemple en est la verrière de la gare de Lyon.

Cette situation complexe est d’abord source de difficultés économiques puisqu’elle freine les projets de développement, de rénovation ou de simple entretien. Ensuite, elle est susceptible de poser un problème juridique en cas d’accident : à qui imputer la responsabilité ?

Il semble donc plus que nécessaire de simplifier et de clarifier la répartition du patrimoine non affecté dans les gares. À cet effet, à travers cet amendement, je souhaite demander un rapport au Gouvernement identifiant l’ensemble des difficultés, de manière à y répondre au cas par cas.

M. le président. Quel est l’avis de la commission ?

M. Jean-Baptiste Djebbari, rapporteur. Nous avons tous en tête cette situation parfois ubuesque dans laquelle SNCF Réseau est propriétaire des quais, SNCF Mobilités de la verrière, et Gares & Connexions des surfaces commerciales.

L’adoption de l’amendement n273, qui confie à SNCF Réseau la gestion unifiée des gares, satisfait votre requête. Je vous invite donc à retirer votre amendement. À défaut, j’y serai défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Élisabeth Borne, ministre. Même avis.

M. le président. Monsieur Adam, acceptez-vous de retirer l’amendement ?

M. Damien Adam, rapporteur pour avis. Je le retire.

(L’amendement n202 est retiré.)

Article 5

M. le président. Je suis saisi d’un amendement, n80, visant à supprimer l’article 5.

La parole est à M. Bruno Bilde, pour le soutenir.

M. Bruno Bilde. Il est défendu.

(L’amendement n80, repoussé par la commission et le Gouvernement, n’est pas adopté.)

(L’article 5 est adopté.)

M. le président. La suite de la discussion est renvoyée à la prochaine séance.

4

Ordre du jour de la prochaine séance

M. le président. Prochaine séance, cet après-midi, à quinze heures :

Suite de la discussion du projet de loi pour un nouveau pacte ferroviaire.

La séance est levée.

(La séance est levée à treize heures.)

La Directrice du service du compte rendu de la séance

de l’Assemblée nationale

Catherine Joly