XVe législature
Session ordinaire de 2017-2018

Séance du mardi 06 février 2018

L’ordre du jour appelle la suite de la discussion du projet de loi relatif à la protection des données personnelles (nos 490, 592, 579). Cet après-midi, l’Assemblée a entendu tous les orateurs inscrits dans la discussion générale.
La parole est à Mme la garde des sceaux, ministre de la justice.
Madame la présidente, madame la rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, madame la rapporteure pour avis de la commission des affaires sociales, madame la rapporteure au nom de la commission des affaires européennes, mesdames et messieurs les députés, je répondrai en quelques mots aux propos tenus par les orateurs qui se sont exprimés lors la discussion générale.
Peut-être commencerai-je par reconnaître un désaccord substantiel avec M. Prud’homme sur les modalités même du règlement général sur la protection des données – RGPD. En effet, monsieur le député, vous contestez le changement de paradigme né du RGPD, alors que nous pensons, avec les autres États européens, que la responsabilisation des acteurs est un élément extrêmement puissant, qui permet de concilier la protection des données et la liberté laissée aux acteurs.
Vous dites par ailleurs que ce texte laisse le champ libre au marché de la collecte des données à but lucratif. Ce sentiment ne me semble pas conforme à la réalité, puisque le texte tend à protéger les libertés et les données personnelles, et qu’il organise cette protection.
Sans moyens ? Monsieur Peu, vous avez reconnu que le projet de loi apportait des avancées, mais vous refusez ce que vous nommez une méthode arbitraire de légiférer. Selon vous, l’habilitation qui sera soumise à votre vote empêche le Parlement de prendre ses responsabilités. Je vous rappelle que nous nous sommes engagés à opérer une codification à droit constant, en fonction des dispositions que vous adopterez dans le texte qui est soumis à votre approbation. Il s’agit d’une simple opération de légistique destinée à permettre la clarification du texte.
Vous avez regretté des manques ou des oublis. Vous avez notamment posé la question du consentement, en précisant, à la fin de votre propos, que la notion mériterait d’être approfondie. Plusieurs orateurs ont soulevé le problème. Je rappelle que le RGPD définit le consentement et que nous pouvons reprendre cette définition. La rapporteure formulera en ce sens une proposition que nous examinerons avec la plus grande attention. Nous convenons qu’il s’agit d’un point nodal, mais, entre les propositions du RGPD et les évolutions suggérées par la rapporteure, nous devrions trouver une solution satisfaisante.
Monsieur Rebeyrotte, vous êtes revenu sur plusieurs sujets que nous avions abordés en commission et c’est à peine si, à la tribune, vous avez eu le temps de poser quatre questions.
Vous demandez en premier lieu quels seront les nouveaux moyens de la Commission nationale de l’informatique et des libertés – CNIL. La CNIL a vu son plafond d’emplois s’élever, entre 2010 et 2017, de 140 à 198 emplois, de même qu’elle s’est vu attribuer des crédits supplémentaires. Mais peut-être n’est-ce pas ici le lieu d’en discuter : cela devra être débattu lors de l’examen du projet de loi de finances.
Vous posez aussi la question essentielle de l’accompagnement des entreprises. Comme vous le savez, différents dispositifs ont été prévus par le texte. Par ailleurs, la chancellerie comme la CNIL ont d’ores et déjà adopté une série de dispositions très concrètes pour communiquer avec les entreprises sur les nouvelles obligations qui leur seraient imposées. Nous espérons que l’ensemble de ces dispositifs constituera un accompagnement suffisant.
En troisième lieu, vous vous êtes interrogé sur le droit à l’oubli
post mortem. Je vous rappelle que le règlement ne trouve pas à s’appliquer aux personnes décédées, comme le précisent les considérants 27 et 158, et que l’article 40-1 de la loi de 1978, modifié par la loi pour une République numérique, précise le régime applicable nationalement aux personnes décédées. L’article 40-1 prévoit ainsi que « Les droits ouverts à la présente section s’éteignent au décès de leur titulaire ».
La direction des affaires civiles et du sceau de mon ministère rédige actuellement un décret en vue de créer un registre unique d’enregistrement des références des directives générales relatives à la conservation, à l’effacement et à la communication de ces données à caractère personnel après son décès et du tiers de confiance numérique. Nous espérons que ces dispositifs – mais il en existe d’autres – répondront à vos interrogations.
J’en viens à votre quatrième question – pardonnez-moi de répondre brièvement, je ne voudrais pas être trop longue. Il s’agissait des délais pour l’ordonnance. Celle-ci sera prise d’ici à la fin du mois d’octobre 2018. Comme je l’ai dit à l’instant, son seul objet est de clarifier la rédaction de la loi de 1978, sans modifier le fond du texte que vous allez voter. Il s’agit d’une simple réécriture.
Monsieur Gosselin, vous avez eu une très belle expression, en disant qu’après de longues années de travail, « le fruit est plutôt beau ». Sans verser dans la satisfaction abusive, j’avoue que l’enfant qui nous est présenté est ma foi plutôt bien tourné.
(Sourires.) Il n’y a pas eu non plus d’accouchement au forceps ! Dans votre propos, vous avez rappelé l’importance de l’historique de ces textes, auxquels vous avez pris une part considérable. Le résultat – l’équilibre, pour citer d’autres orateurs – auquel nous sommes parvenus est relativement satisfaisant, sous réserve d’un certain nombre de corrections.
Vous avez formulé des inquiétudes quant à la précipitation de nos travaux et à la loi d’habilitation. La précipitation – ce n’est pas une excuse, mais apporte du moins une explication – tient à la charge de travail du Parlement et à la nécessité d’inscrire des textes à l’ordre du jour dans des délais parfois contraints. Quant à l’habilitation, je ne reviens pas sur le fait qu’il s’agisse d’un travail strictement légistique. C’est un engagement que je prends devant vous.
Encore un mot sur le retard que vous avez souligné : au moment où nous parlons, seules l’Allemagne et l’Autriche ont adopté le texte de transposition.
Je l’ai dit. Nous ne sommes donc pas en retard, la nécessité étant de disposer d’un texte en mai. Quoi qu’il en soit, je vous remercie, monsieur le député, pour votre propos sur le modèle français qui a permis de construire le modèle européen. Je pense comme vous qu’il est nécessaire d’en exclure la marchandisation. Je m’engage également sur ce point, comme sur l’accompagnement des PME, auquel vous avez fait allusion.
Monsieur Latombe, à l’aide d’exemples très concrets, vous avez évoqué l’approche pragmatique de ce texte pouvant paraître conceptuel et abstrait, et ce qu’il apporterait en matière de protection des données personnelles. Je pense comme vous que la force du projet de loi vient de son ancrage européen. Dans ce domaine, il n’y a pas vraiment de frontières, tant celles-ci sont difficiles à tracer. Il était essentiel de donner à ce travail une assise européenne.
Vous avez également formulé des propositions sur l’action de groupe. Nous aurons l’occasion d’en reparler lors de nos débats. Je ne préjuge pas de leur contenu ni des amendements qui seront défendus.
Madame Untermaier, je pense comme vous que passer à un système responsable est un véritable pari, pour reprendre votre mot. Il s’agit en effet d’inverser les pratiques connues jusqu’à présent et de responsabiliser les acteurs. Les acteurs publics devront mettre l’ensemble des entreprises en capacité de gérer de nouvelles informations, et la CNIL faire face à une nouvelle forme de travail et de réactivité. Je partage évidemment votre approche.
Vous craignez que le texte ne comporte des oublis. Vous faites notamment allusion aux nécessaires explications des algorithmes. Nous aurons l’occasion d’y revenir. Vous êtes très attachée à un mécanisme de transparence
ab initio de ces algorithmes. Notre système s’organise plutôt autour des garanties qu’il convient de leur apporter. Nous en reparlerons au cours du débat.
À partir de l’expérience précise de la start-up Cardiologs, M. Villani a évoqué la nécessité d’être à la fois protecteur et efficace. Telle est l’optique du Gouvernement qui, dans ce texte, a pour ambition de protéger sans retarder.
Par ailleurs, M. Villani souligne qu’on ne peut pas aller trop loin dans l’encadrement sans prendre le risque d’affaiblir entreprises ou chercheurs. Le Gouvernement a précisément choisi de ne pas surtransposer, de ne pas brider certains mécanismes, ce qui me semble très important.
Mme de la Raudière a souligné que la CNIL doit être tolérante et compréhensive avec ceux qu’elle nomme les « petits », et qu’il est important que nous attachions de l’intérêt au nouveau travail que nous allons demander notamment aux petites et moyennes entreprises. C’est aussi notre conception et notre philosophie.
Mme de la Raudière a également souligné, comme d’autres orateurs, qu’il faut travailler sur le consentement : chaque personne doit pouvoir accorder un consentement éclairé sur l’utilisation de ses données personnelles. Je lui donne raison sur ce point. Je redis ce que j’ai indiqué précédemment : le consentement est un sujet qui est source de préoccupations et qui doit être défini clairement. Chacun doit pouvoir mesurer ce à quoi il consent. Le RGPD propose une définition, que nous préciserons peut-être grâce à l’action de la rapporteure.
Madame Constance Le Grip, vous avez rappelé que vous avez déjà voté ce texte au Parlement européen. À ce titre, vous avez assisté à la naissance du RGPD, connu son progrès et son déploiement. Je pense, comme vous le souligniez, qu’il est essentiel de ne pas créer de frein pour les entreprises. Je réaffirme que nous sommes attentifs à la communication, à la mission d’appui de la CNIL. C’est dans cet équilibre du texte entre la protection des données et la nécessaire impulsion, l’indispensable créativité, que nous trouverons la meilleure utilisation de ce texte.
Mme Le Pen a évoqué plusieurs sujets, notamment des questions liées à la souveraineté et au pouvoir donné à des autorités de contrôle étrangères. Je rappelle à ce sujet que la CNIL joue un rôle tout à fait essentiel et que rien, évidemment, ne pourra se faire sans elle. C’est bien la coopération entre toutes les autorités qui fera la force du travail que nous aurons à conduire ensemble.
M. Vuilletet a évoqué le sens politique du texte, en rappelant la nécessité de convaincre les citoyens que cette loi va les protéger, ce en quoi nous sommes d’accord. Il a également souhaité que l’on revienne sur l’âge à partir duquel on peut donner son consentement, soit quinze ans ; nous en reparlerons dans le cours du débat. De même pour ce qui est de la nécessité d’élargir le cadre de l’action de groupe, plusieurs amendements nous permettront d’en débattre.
Monsieur Bothorel, vous avez fait part de votre accord sur la philosophie générale du texte, en faisant valoir qu’il s’agissait à la fois d’un projet de loi d’équilibre et d’un texte qui offrait un avantage de compétitivité à l’Europe. Je crois qu’il est tout à fait essentiel de le souligner. Vous avez souhaité que, s’agissant du consentement de l’utilisateur, nous exercions une grande vigilance : ce consentement, avez-vous dit, ne doit être « ni présumé, ni induit ». Nous aurons un débat sur tous ces sujets. Vous nous avez rappelé votre implication pour préserver les droits des Européens, notamment face aux grands groupes. À cet égard, il faut saluer la philosophie d’ensemble de ce texte et aller plus loin si nécessaire. Il importe que nous y travaillions, ce qui suppose aussi de bien cerner les enjeux juridiques et économiques au plan européen.
L’ensemble des observations qui ont été faites par les députés me paraissent extrêmement précieuses pour le débat que nous allons tenir et augurent d’échanges sereins, précis et argumentés.
J’appelle maintenant, dans le texte de la commission, les articles du projet de loi. La parole est à Mme Virginie Duby-Muller, inscrite sur l’article. Madame le président, madame le ministre, madame le rapporteur, mes chers collègues, lors de la précédente législature, nous avions eu l’occasion d’examiner ce qui est devenu la loi pour une République numérique, votée le 7 octobre 2016. Elle portait plusieurs propositions pour la protection des données personnelles, sans pour autant couvrir l’ensemble du champ du règlement européen. Nous l’avions déjà dénoncé : de nombreux sujets clés étaient éludés ou traités de manière incohérente au regard de la réglementation européenne ; des mesures étaient en décalage, sinon en contradiction, avec le paquet européen.
Le présent projet de loi arrive donc à point nommé. Il marque un vrai changement de paradigme, en renforçant la sécurité des données personnelles de nos concitoyens et en responsabilisant les dirigeants. Vous l’aurez compris, nous en tirons un bilan positif, d’autant plus que nos discussions se déroulent dans un esprit de consensus, en bonne intelligence.
Cependant, j’appelle votre attention sur un vrai bémol, sur une occasion manquée : celle de l’innovation. Le RGPD prévoit en effet plus de cinquante possibilités pour les États membres d’assouplir certaines de leurs obligations. Parmi celles-ci figure la possibilité de favoriser le
big data , en facilitant la mise en œuvre des traitements des données à des fins statistiques.
Vous le savez, nous connaissons aujourd’hui un déluge de données, leur volume doublant tous les vingt-quatre mois. Faciliter leur analyse, chercher des corrélations inédites, favoriser l’émergence de services innovants, c’est l’enjeu du
big data aujourd’hui, et c’est la condition de l’intelligence artificielle de demain. En renonçant à exploiter cette possibilité, le projet de loi risque de passer à côté de ce sujet, qui n’est pas seulement prospectif mais qui peut exercer un impact sur toute notre économie, et plus largement notre société.
Au vu des atouts de notre industrie et de notre école mathématique, ce choix serait regrettable. Cela risque aussi de donner une longueur d’avance à nos concurrents dans ce domaine. Nous devons donc prendre en compte le sujet dans sa globalité, en construisant des ponts entre l’innovation, la protection des données et le développement industriel. Sans revenir sur la protection apportée par le droit européen, il faut permettre à l’innovation d’être au rendez-vous.
(Applaudissements sur les bancs du groupe LR.) La parole est à M. Yannick Favennec Becot. Madame la présidente, madame la ministre, mes chers collègues, notre pays s’est toujours montré soucieux d’accompagner les évolutions en matière informatique, et aujourd’hui numérique, dans le respect des droits des personnes. Avec l’Allemagne, il a d’ailleurs été un précurseur en la matière.
Avec ce nouveau texte, la CNIL, autorité administrative indépendante, mais qui peut être qualifiée de juge de la conformité, va jouer un rôle encore plus essentiel dans la protection des données personnelles des personnes concernées, notamment parce que son pouvoir de sanction sera plus dissuasif grâce à l’augmentation de l’amende administrative qu’elle pourra infliger au responsable du traitement mais aussi au sous-traitant.
S’il me paraît indispensable de responsabiliser davantage les organisations publiques et privées de la donnée, en renforçant leurs obligations en matière de transparence et de respect des droits des personnes, je crois aussi important de permettre une action de groupe réparatrice des préjudices subis. En effet, il est temps de mettre un frein à la toute-puissance des GAFAM – Google, Apple, Facebook, Amazon, Microsoft – qui font fructifier, sur le dos des personnes concernées, ce nouvel or noir qu’est la donnée, une matière première gratuite et inépuisable.
Il me paraît également majeur de s’assurer qu’aucune identification, directe ou indirecte, avérée ou potentielle, ne sera possible, tant pour les données à caractère personnel dans le domaine de la santé, lorsque le résultat d’un traitement sera rendu public, que dans le cadre de l’action des réutilisateurs des informations judiciaires publiques issues de l’
open data . Nous devons en effet garantir aux personnes concernées que les algorithmes de justice prédictive, par exemple, n’évolueront pas vers des traitements qui permettront la réidentification des personnes concernées par les décisions de justice traitées. Nous en venons aux amendements. La parole est à Mme Danièle Obono, pour soutenir l’amendement n37. Ce projet de loi modifie les missions de la CNIL, qui passe d’une mission principielle d’autorisation a priori à un contrôle a posteriori de supervision. Cela fait donc reposer la mission de garantie des droits fondamentaux en matière numérique, en premier lieu, sur les acteurs et les actrices de ce secteur.
Vous venez de nous dire, madame la ministre, que nous entretenions un désaccord philosophique sur le sujet. Vous considérez que responsabiliser ces acteurs et actrices, c’est faire confiance aux entreprises du numérique pour s’autoréguler et respecter la vie privée des individus, et cela alors même que la violation des règles protégeant les données personnelles pourrait engendrer un gain économique. Pour notre part, nous considérons que c’est en réalité laisser le champ libre aux entreprises, notamment aux plus grandes d’entre elles, et que le mode de contrôle qui est proposé leur permettra de budgéter les conséquences d’un éventuel contrôle de la CNIL.
Ces contrôles seront aléatoires, non pas parce que la CNIL refuse d’opérer un contrôle systématique, mais parce qu’elle n’en a pas les moyens, humains ni techniques : son budget de 17 millions est à rapporter aux 300 millions finançant son équivalent américain. Elle n’est donc pas en mesure d’assurer un certain nombre de missions.
Alors que l’on réforme cette autorité en profondeur, l’augmentation de son budget demeure marginale. Notre amendement a donc pour objet de repréciser les missions principales de la CNIL, en réaffirmant une hiérarchie entre celles-ci au profit de ses compétences d’autorisation. Par cet amendement, ses pouvoirs de supervision ont vocation à devenir complémentaires.
Veuillez conclure, ma chère collègue… Nous avons la possibilité de le faire. En effet, le 5. de l’article 36 du règlement le permet : il confère la possibilité auxÉtats d’assurer ce garde-fou. La parole est à Mme Paula Forteza, rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, pour donner l’avis de la commission. Madame Obono, nous avons changé de paradigme. Les prises de parole au cours de la discussion générale ont montré l’existence d’un consensus pour aller dans ce sens, et cela a déjà été tranché au niveau européen. Il nous serait donc difficile de revenir dessus. Les nouveaux rôles de la CNIL en termes d’accompagnement des entreprises, de mise en place d’un droit souple, sa mission de guide, devraient aider tous les acteurs à assurer la mise en conformité. Les acteurs pourront, au fur et à mesure, comprendre quelles sont ces nouvelles obligations. L’avis de la commission est donc défavorable. Quel est l’avis du Gouvernement ? Madame la députée, comme je l’ai dit au cours de la discussion générale, vous développez un point de vue radicalement opposé à celui que nous avons défendu dans ce texte. Il me semble que le rôle de la CNIL tel que vous souhaiteriez le voir défini est totalement différent de celui qui découle logiquement de la philosophie de ce texte, qui opère un basculement du contrôle a priori vers le contrôle a posteriori . C’est vrai. Pour ces raisons, nous ne pouvons qu’émettre un avis défavorable. La parole est à Mme Danièle Obono. Nous ne désespérions pas de vous convaincre, c’est pourquoi nous avons reproposé cet amendement. Je pense que nous serons d’accord sur le fait qu’il s’agit d’un enjeu majeur aujourd’hui, en termes économiques mais aussi politiques. Nous n’intentons pas de procès en bonne ou en mauvaise foi, mais nous savons les enjeux économiques du traitement des données et de leur protection, et nous savons aussi que chez les acteurs de ce secteur, le profit et la rentabilité – fort logiquement, c’est leur nature – prévalent sur toute autre considération.
Il nous semble qu’en refusant cet amendement, vous n’accordez pas les moyens à la communauté nationale, à travers la CNIL, d’encadrer leurs activités et d’être à la hauteur des enjeux du XXIesiècle en matière de numérique et de protection. Un changement qualitatif du rôle de la CNIL doit passer, comme cela se fait dans d’autres pays, par un renforcement de ses moyens lui permettant d’être à la hauteur de cette question extrêmement importante de la protection de la vie privée, d’enjeux économiques et de droits pour les citoyens et les citoyennes à voir leurs données protégées et non pas utilisées à des fins économiques. Nous ne doutons pas que les débats continueront sur ce terrain. Nous aurons l’occasion d’y revenir, avec encore davantage d’arguments, pour faire évoluer les choses dans ce sens.
Très bien !
(L’amendement n37 n’est pas adopté.) La parole est à Mme Paula Forteza, rapporteure, pour soutenir l’amendement n102. C’est un amendement de précision.
(L’amendement n102, accepté par le Gouvernement, est adopté et l’amendement n179 tombe.) La parole est à Mme Alexandra Valetta Ardisson, pour soutenir l’amendement n7. Il s’agit également d’un amendement de précision, qui vise à protéger le traitement des données des mineurs de moins de quinze ans. En effet, la précision « moins de quinze ans » n’avait pas été apportée dans le texte initial. Ce sujet a été abordé dans la discussion générale. Quel est l’avis de la commission ? Un amendement de M. Rebeyrotte, allant dans le même sens, a été déposé. Il a un champ assez large et prévoit exactement ce que vous décrivez. Je vous demande donc de retirer votre amendement. À défaut, l’avis sera défavorable. Quel est l’avis du Gouvernement ? Même avis. Madame Valetta Ardisson, retirez-vous votre amendement ? Oui, madame la présidente.
(L’amendement n7 est retiré.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n39. Dans son avis du 30 novembre 2017, la CNIL regrette que l’objet des règlements types prévus à l’article 1erdu projet de loi soit limité à la seule sécurité des systèmes. En effet, d’autres dimensions de la protection des données, notamment en matière de finalité, de minimisation des données ou de respect des droits, devraient faire l’objet d’un encadrement par des règles de fond et pas uniquement des règles de sécurité. Le 4. de l’article 9 du règlement prévoit une telle marge de manœuvre.
En précisant que les règlements types peuvent ne pas uniquement concerner la seule sécurité des systèmes de traitement, mais être relatifs à d’autres éléments tels que le respect des libertés et des droits, la CNIL peut ainsi jouer un rôle accru pour cadrer la création de nombreux systèmes de traitement de données. En limitant la CNIL à la possibilité d’édicter des règlements types pour la sécurité des systèmes, le Gouvernement nie tout son rôle de protection des droits et l’importance des enjeux. Cet amendement vise à y remédier.
Quel est l’avis de la commission ? Élargir le champ des règlements types à tous les domaines ne nous semble pas pertinent, surtout dans une logique consistant à flexibiliser l’accès aux données. Par ailleurs, s’agissant des données plus sensibles que sont les données biométriques, génétiques et de santé, nous avons poursuivi l’élargissement que vous évoquez. J’estime que nous sommes parvenus à un bon équilibre en commission. Avis défavorable. Quel est l’avis du Gouvernement ?
Même avis. En commission des lois, nous avons émis un avis favorable à l’amendement présenté par Mme la rapporteure visant à élargir la possibilité pour la CNIL d’émettre des règlements types relatifs aux données biométriques, génétiques et de santé, qui ne se limitent pas à la seule sécurité. S’agissant des autres types de données, nous ne souhaitons pas étendre le champ d’application des règlements types au-delà de la sécurité des systèmes.
(L’amendement n39 n’est pas adopté.) Je suis saisie de deux amendements identiques, nos 38 et 111.
La parole est à M. Ugo Bernalicis, pour soutenir l’amendement n38.
Le présent projet de loi, outre transposer les textes européens, modifie également les missions de la CNIL, qui passe d’une mission principielle d’autorisation a priori à un contrôle de supervision exercé a posteriori . Cela fait reposer la mission de garantie des droits fondamentaux en matière numérique en premier lieu sur les acteurs du secteur.
On peut certes dire qu’on veut les responsabiliser, faire confiance aux entreprises du numérique pour s’autoréguler et respecter les droits fondamentaux, même si leur violation est susceptible de produire un gain économique. C’est une position.
On peut aussi considérer qu’on leur laisse en réalité le champ libre et qu’ils parieront sur le caractère très aléatoire du contrôle effectué par la CNIL – non par défaut de volonté de procéder à un contrôle systématique des entreprises, mais par manque de moyens humains et techniques. Le budget de la CNIL s’élève à 17 millions d’euros. La FTC – 
Federal Trade Commission – , qui mène des missions équivalentes aux États-Unis, dispose de 300 millions, soit près de vingt fois plus ! Ses missions ne sont pas les mêmes ! Alors que l’on veut réformer en profondeur cette autorité administrative, l’augmentation de son budget demeure marginale. Cet amendement vise à préciser les principales missions la CNIL. Quel est l’avis de la commission ? Il me semble, cher collègue, que votre intervention ne correspond pas à l’amendement que vous deviez présenter. Je m’en chargerai ! L’amendement n38 propose d’étendre l’établissement de règlements types en matière de génétique, biométrique et de santé aux traitements de données mis en œuvre pour le compte de l’État. Mais ceux-ci sont soumis à un régime d’autorisation préalable, par un décret en Conseil d’État pris après avis de la CNIL, qui sera publié. Il s’agit d’un régime plus protecteur, justifiant que ces règlements types fassent l’objet d’une exception. L’avis de la commission sur l’amendement n38 est donc défavorable. Quel est l’avis du Gouvernement ? Je m’exprimerai moi aussi sur l’amendement n38 que M. Bernalicis n’a pas présenté… (Rires.) C’est la neige ! Je rappelle que le Gouvernement a écarté la possibilité, pour la CNIL, de prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé si celui-ci est mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique, dans la mesure où la situation de l’État diffère de celle dans laquelle se trouvent les autres opérateurs de traitement.
Comme l’a rappelé Mme la rapporteure, les traitements de données comportant des données biométriques, génétiques et de santé sont soumis à une autorisation préalable de la CNIL sur le fondement des articles 26 et 27 de loi du 6 janvier 1978 s’ils sont mis en œuvre pour le compte de l’État, et sur le fondement de l’article 25 sinon. Le principe de responsabilisation des responsables de traitement qui sous-tend le règlement européen amène à supprimer les formalités préalables à la mise en œuvre de ces traitements sensibles pour les responsables autres que l’État.
Le projet de loi prévoit en contrepartie que la CNIL pourra prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement de ces données sensibles afin d’en encadrer l’utilisation. Un tel garde-fou reposant sur la CNIL nous semble inutile pour les traitements mis en œuvre pour le compte de l’État, lesquels demeurent soumis à un avis préalable de la même CNIL.
Ainsi, celle-ci sera saisie pour avis avant toute mise en œuvre d’un tel traitement et pourra préconiser toutes les mesures de sécurité qu’elle estime nécessaires pour encadrer strictement l’utilisation des données sensibles. Il n’est donc pas exact de soutenir que des fichiers tels que le fichier national automatisé des empreintes génétiques – FNAEG – ou le fichier des titres électroniques sécurisés – TES – pourraient désormais être créés sans cadrage de la CNIL. Le Gouvernement est donc défavorable à l’amendement n38.
La parole est à M. Jean-Paul Dufrègne, pour soutenir l’amendement identique n111. Et poser la question à laquelle Mme la rapporteure et Mme la ministre viennent de répondre ! (Rires.) Ce n’est pas la peine ! Gagnons du temps ! L’alinéa 11 de l’article 1er prévoit que la CNIL établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel, d’une part, et d’autre part de régir les traitements de données biométriques, génétiques et de santé. À ce titre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, conformément à l’article 9 du règlement européen, et des données relatives aux infractions pénales, conformément à l’article 10 du même règlement.
L’alinéa 11 exclut ces mesures supplémentaires pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique. Le présent amendement vise à supprimer cette exception, compte tenu de la nécessité d’encadrer strictement le traitement des données sensibles. La CNIL s’est exprimée en ce sens dans son avis du 30 novembre 2017, regrettant notamment que les mesures techniques et organisationnelles supplémentaires qu’elle prescrirait pour le traitement de ces données « ne puissent concerner les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice même des prérogatives de puissance publique, alors que le besoin de cadrage du traitement de certaines données n’y est pas moins important ».
Et quelle est la question ? Quel est l’avis de la commission ? Avis défavorable. La CNIL peut procéder à des contrôles a posteriori, pour lesquels elle dispose de pouvoirs d’enquête élargis et précisés : c’est encore une garantie de plus que celle de l’autorisation préalable. Quel est l’avis du Gouvernement ? Même avis. La parole est à M. Ugo Bernalicis. Je souhaiterais rectifier quelque peu ma défense initiale – peut-être est-ce le rhume ? (Sourires) – mais la logique reste la même. Laquelle ? La CNIL doit exercer un large contrôle. Le contrôle a posteriori qui est envisagé n’est clairement pas satisfaisant. Nous pensons qu’il faut observer un principe de précaution dans ce domaine. La CNIL doit pouvoir se saisir du sujet sans que les prérogatives de puissance publique ne fassent l’objet d’une exception.
(Les amendements identiques nos 38 et 111 ne sont pas adoptés.) La parole est à Mme Christine Hennion au nom de la commission des affaires européennes, pour soutenir l’amendement n° 181. Avant de le soutenir, j’évoquerai brièvement l’amendement n179, tombé en raison de la nouvelle rédaction de l’alinéa 6 qui vient d’être adoptée. Il visait à favoriser l’innovation et rassurer les dirigeants de start-up et de petites entreprises innovantes, qui s’inquiètent de ne pas disposer d’un cadre d’expérimentation. La CNIL doit se concentrer sur ces petites entreprises et en faire sa priorité. Il importe qu’elle le fasse et qu’elle le fasse savoir.
L’amendement n181, comme plusieurs autres que j’ai déposés, porte sur la médiation. La CNIL a reçu l’an dernier 7 000 plaintes et n’a adressé que 25 mises en demeure. Elle a donc un exercice du droit assez souple, mais il serait bon d’écrire dans la loi que la CNIL met en œuvre une certaine médiation. C’est l’objet de cet amendement, qui sera complété par deux autres que je présenterai ultérieurement.
Quel est l’avis de la commission ? S’agissant de l’expérimentation, je partage votre préoccupation, mais le règlement européen ne nous laisse pas cette latitude. Nous avons néanmoins prévu des garanties pour les PME, qui peut-être seront applicables à ces start-up innovantes qui vous tiennent à cœur.
S’agissant de l’amendement n181, faire jouer à la CNIL un rôle de médiation pose problème. En effet, un tel rôle doit être exercé par un tiers ; or la CNIL participe à l’instruction de la plainte. Mener conjointement l’instruction et la médiation la placerait en situation d’être à la fois juge et partie. Nous ne pouvons donc pas être favorables à cet amendement, mais le serons peut-être à d’autres, relatifs à la sensibilisation à la médiation, que nous examinerons plus tard.
Ouverture intéressante ! Quel est l’avis du Gouvernement ? Madame Hennion, vous soulevez le sujet intéressant de la médiation. Néanmoins, tel qu’il est rédigé, votre amendement conduit à ce que la CNIL mène des actions de médiation. Or il ne semble pas possible qu’une autorité de contrôle mène des médiations dès lors qu’elle peut être amenée à prononcer des sanctions. Une médiation ne peut être menée que par un tiers indépendant, distinct de l’autorité de contrôle. Telle est sa nature même.
Il est primordial que le médiateur soit un tiers afin qu’il exerce la médiation avec efficacité et impartialité. C’est d’ailleurs ce que prévoit la directive de 2008 sur certains aspects de la médiation en matière civile et commerciale, applicable aux litiges transfrontaliers. La CNIL est compétente pour prononcer des sanctions à l’encontre des responsables de traitement de données et de leurs sous-traitants. Elle ne peut donc jouer le rôle de médiateur.
En outre, la situation évoquée dans l’exposé sommaire de l’amendement ressortit à la phase contradictoire entre la CNIL et les responsables de traitement de données. Cette phase, préalable à une éventuelle sanction, permet un échange entre les parties et peut par exemple amener le responsable de traitement à modifier son comportement et la CNIL à classer la plainte, ce qui ne s’apparente pas exactement à une médiation.
L’amendement me semble ainsi mener à une forme de confusion entre les deux phases. Nous y sommes donc défavorables. En revanche, comme l’a laissé entendre Mme la rapporteure, nous serons favorables à certains amendements relatifs à l’instauration d’un mécanisme de médiation que vous défendrez ultérieurement.
Double promesse ! La parole est à Mme Christine Hennion. Je retire mon amendement, madame la présidente.
(L’amendement n181 est retiré.) Vous gardez la parole, madame, pour soutenir l’amendement n° 156. Il s’agit toujours de la médiation. Nous proposons que les médiateurs de la consommation puissent être saisis de litiges entre des entreprises, par exemple des plateformes, et des particuliers. Je pense en particulier aux objets connectés, qui vont se multiplier. Quel est l’avis de la commission ? Avis favorable, comme je l’ai laissé entendre tout à l’heure : si la CNIL ne peut pas devenir un médiateur, elle peut sensibiliser d’autres acteurs à la médiation, ce qui permettra de résoudre les conflits en amont. Merci pour cette proposition, comme pour votre implication dans ce texte.
(L’amendement n156, accepté par le Gouvernement, est adopté.) Je suis saisie de deux amendements, nos 40 et 104 rectifié, pouvant être soumis à une discussion commune.
La parole est à M. Loïc Prud’homme, pour soutenir l’amendement n40.
La CNIL est actuellement saisie de façon automatique uniquement sur les projets de loi ; le texte prévoit une saisine pour les propositions de loi, ce que nous approuvons. En effet, aujourd’hui, le Gouvernement peut décider de court-circuiter la CNIL en transformant des textes normalement soumis à son avis en proposition de loi, déposée par un parlementaire docile et obédient de sa majorité. Ça arrive… Oh, ce n’est pas leur genre ! Et toute ressemblance avec les législatures passées… (Sourires.) Pour éviter que des textes législatifs qui affectent les droits et libertés numériques ne soient adoptés dans la hâte et sans réelle expertise technique, il nous est apparu indispensable de créer un garde-fou parlementaire et citoyen en permettant à tout parlementaire ou toute association agréée de saisir la CNIL pour avis sur une proposition de loi, dans les mêmes conditions que les présidents de l’Assemblée nationale et du Sénat. La parole est à M. Stéphane Peu, pour soutenir l’amendement n104 rectifié. Dans la même logique, nous proposons d’élargir aux présidents de groupes parlementaires la possibilité de saisir la CNIL sur une proposition de loi relative à la protection des données personnelles. Le pluralisme des débats, et donc la démocratie, en seront renforcés. Excellent amendement ! Quel est l’avis de la commission ? Nous considérons que l’amendement du groupe La France insoumise, qui élargit la saisine à tous les parlementaires, va un peu trop loin : la CNIL risquerait de ne pas avoir les moyens de répondre à toutes les demandes. En revanche, un élargissement nous paraît judicieux. En commission, nous avions d’ailleurs déjà ouvert cette possibilité aux présidents de commission. Nous sommes donc défavorables à l’amendement n40, mais favorables au n104 rectifié, qui a l’avantage d’ouvrir la possibilité de saisine à l’opposition. Très bien ! Quel est l’avis du Gouvernement ? En effet, les possibilités de saisine de la CNIL ont déjà été élargies en commission. Je suis favorable à l’amendement n104 rectifié de M. Peu, parce que l’élargissement de la saisine aux présidents de groupes parlementaires est envisageable. En revanche, l’autre amendement est trop large : comme l’a expliqué Mme la rapporteure, la CNIL risquerait d’être noyée sous des saisines multiples. Avis défavorable à l’amendement n40. La parole est à M. Loïc Prud’homme. À nouveau, il s’agit d’une question de moyens. Vous limitez les possibilités de saisine parce que la CNIL ne pourra pas répondre aux demandes. C’est fort dommage. Le contrôle de la CNIL est nécessaire, et le fait que la sécurité des données personnelles des citoyens dépende d’une question de porte-monnaie est tout de même un grave problème.
Quant au fait que seuls les présidents de groupes puissent saisir la CNIL, je ferai observer qu’il y a des députés non inscrits : comment pourront-ils saisir la CNIL ? Et s’agissant du groupe La France insoumise, je pense que notre président le fera systématiquement quand nous lui demanderons. Cela ne changera donc rien à la question du manque de moyens.
(Applaudissements sur les bancs du groupe FI.)
(L’amendement n40 n’est pas adopté.)
(L’amendement n104 rectifié est adopté.) La parole est à M. Stéphane Peu, pour soutenir l’amendement n105. Je suis très encouragé dans mon élan. J’ai peur que vous n’alliez dans le mur ! Je suis lucide, cher collègue… C’est le début de la sagesse ! (Sourires.) La loi de 1978 autorise la CNIL à participer aux réunions d’instances internationales dans le domaine de la protection des données, mais uniquement à la demande du Premier ministre. Le projet de loi maintient cette disposition, alors que le nombre de réunions internationales de régulation a évidemment largement augmenté depuis 1978. D’après la CNIL elle-même, le texte actuel est insuffisant et inadapté à la fréquence des réunions.
Notre amendement vise donc à permettre à la CNIL de participer aux réunions internationales sans l’intervention systématique du Premier ministre.
Quel est l’avis de la commission ? La participation à ces réunions internationales constitue une action de « diplomatie numérique » dont nous pensons qu’elle est du ressort du Gouvernement. Celui-ci doit conserver un droit de regard sur cette activité, surtout menée par une autorité indépendante. Avis défavorable, et peut-être la ministre vous apportera-t-elle des précisions supplémentaires. Quel est l’avis du Gouvernement ? Avis défavorable. Je suis désolée de briser votre élan, monsieur le député ! (Sourires.) La CNIL, autorité administrative indépendance, ne dispose pas de la personnalité juridique : elle ne peut par conséquent pas représenter la France, ni être associée à des négociations internationales autrement que si le Premier ministre lui donne mandat à cet effet – cela dit sans préjudice des mécanismes de cohérence et de coopération prévus par le chapitre VII du futur règlement.
(L’amendement n105 n’est pas adopté.) Je suis saisie de deux amendements identiques, nos 152 et 163.
La parole est à M. Philippe Gosselin, pour soutenir l’amendement n152.
J’ai pris soin de déposer cet amendement, recyclé de celui qui avait été discuté en commission sous le numéro 65. J’ai bien fait, car Mme la ministre s’était engagée à déposer un amendement mieux rédigé que le nôtre, sans qu’on voie rien venir…
Il nous paraît nécessaire de permettre à la CNIL de saisir d’autres interlocuteurs que l’ARCEP – Autorité de régulation des communications électroniques et des postes. On pourrait citer l’Agence nationale de la sécurité des systèmes d’information – ANSSI –, le Conseil national du numérique – CNNum –, la Commission supérieure du numérique et des postes et bien d’autres…
Bref, l’ARCEP n’est pas le seul interlocuteur de la CNIL et il nous semble qu’il faut aller au-delà. Puisque l’idée semblait convenir à tous et que ni le Gouvernement ni la rapporteure n’ont proposé d’amendement, je vous propose d’adopter celui-ci, malgré les avis défavorables qui lui seront probablement donnés, afin d’acter les choses dès maintenant.
La parole est à Mme Constance Le Grip, pour soutenir l’amendement n163. Il faut en effet à notre sens renforcer considérablement les prérogatives de la CNIL. Nous proposons que celle-ci puisse être éclairée, accompagnée par d’autres instances, et qu’elle puisse donc saisir pour avis toute autorité ou institution pertinente, comme le CNNum ou l’ANSSI. Quel est l’avis de la commission ? Nous nous étions donné rendez-vous pour travailler ensemble à une nouvelle rédaction, monsieur Gosselin… Nous attendions un effort de votre part ! (Sourires.) C’est un rendez-vous manqué ! Mais c’est vous qui disposez des moyens de la commission ! L’amendement est partiellement satisfait par la loi du 20 janvier 2017 sur les autorités indépendantes, qui prévoit que celles-ci peuvent se saisir mutuellement. Dans le cas des autres institutions, la rédaction demeure trop vague. Avis défavorable. Quel est l’avis du Gouvernement ? Je formulerai une demande de retrait. Votre proposition, qui est de permettre à la CNIL de saisir « toute autre autorité ou institution intéressée par l’accomplissement de ses missions », est en effet satisfaite par l’article 15 de la loi du 20 janvier 2017, qui dispose que « Une autorité administrative indépendante ou une autorité publique indépendante peut saisir pour avis une autre autorité de toute question relevant de la compétence de celle-ci ». En outre, la loi de 1978 prévoit déjà une saisine pour avis de l’ARCEP par la CNIL.
Ces raisons suffiraient, mais j’ajouterai que la notion d’« autorité ou institution intéressée par l’accomplissement de ses missions » me paraît trop imprécise.
Je note enfin que la commission des lois a voté, à l’initiative de la rapporteure, un amendement qui permet à la CNIL d’établir des règlements types en concertation avec les organismes publics et privés représentatifs des acteurs concernés.
Voilà pourquoi je demande le retrait de ces amendements.
La parole est à M. Philippe Gosselin. La loi de janvier 2017 élargit les possibilités de saisine entre autorités administratives indépendantes – je rappelle au passage la place particulière de la CADA, la commission d’accès aux documents administratifs, auprès de la CNIL – mais cela ne vise justement que les autorités administratives indépendantes. Or, le Conseil national du numérique, indépendamment de ses soucis actuels, n’en est pas une, pas plus que la Commission supérieure du numérique et des postes.
Vous avez donc raison, mais partiellement. Puisqu’il semble que le rendez-vous avec la rapporteure ait été manqué – je le regrette mais je me suis fié, sans doute à tort, au compte rendu de la commission des lois, ou peut-être ai-je pris mes désirs pour des réalités… – je propose ce soir d’adopter cet amendement – ce qui est rentré ne prend plus l’eau ! – et de le parfaire lors de la navette parlementaire. J’aimerais que puisse être actée la capacité, somme toute raisonnable, de la CNIL à saisir d’autres instances.
Monsieur Gosselin, Mme Le Grip, maintenez-vous vos amendements ? Oui. Oui.
(Les amendements identiques nos 152 et 163 ne sont pas adoptés.)
(L’article 1er, amendé, est adopté.) Nous en venons aux amendements portant articles additionnels après l’article 1er. La parole est à Mme Danièle Obono, pour soutenir l’amendement n41. Au-delà de la fracture numérique qui a été dénoncée par le Défenseur des droits, la connaissance par chaque citoyen et citoyenne de ses droits et libertés en matière d’informatique et de numérique nous paraît indispensable aujourd’hui.
Je pense, par exemple, à l’éducation aux risques pouvant peser sur les droits et libertés, qui se fait par une bonne information sur les conséquences pratiques de la mise à disposition de données personnelles – pensées, photos – sur des sites internet ou des applications qui les conservent – Facebook, Linkedin – ou collectées en masse ; ou encore à une bonne information quant aux moyens de faire valoir ses droits – droit d’accès, de rectification, d’opposition, droit au déréférencement – notamment pour les personnes au sujet desquelles les systèmes de traitements de données contiennent des données erronées ou ne devant pas y figurer, avec pour conséquence d’entraver leurs projets.
La loi actuelle reste en effet trop vague. L’article 11 de la loi de 1978 dispose seulement que la CNIL « informe toutes les personnes concernées ». Cet amendement permet aussi de donner les moyens et le cadre juridique à la CNIL pour renforcer le rôle du collectif EDUCNUM, qu’elle a initié en mai 2013 et qui regroupe aujourd’hui soixante acteurs et actrices de l’éducation, de la recherche et de l’économie numérique.
Par cet amendement, nous donnons la possibilité aux départements, universités, académies et rectorats volontaires qui en font la demande de bénéficier de l’appui et des compétences de la CNIL pour informer le public et les élèves des enjeux liés aux droits et libertés numériques ainsi que des moyens de les faire valoir et de se prémunir d’atteintes qui pourraient leur être portées.
Quel est l’avis de la commission ? Je partage vos préoccupations. Cependant, la CNIL a déjà lancé plusieurs initiatives en collaboration avec le ministère chargé de l’éducation. Par exemple, une convention de partenariat a été signée le 10 mars 2016 aux termes de laquelle les deux institutions partagent des ressources pédagogiques et les mettent à disposition des enseignants et des élèves. Un site internet, www.educnum.fr, propose également des ressources. Enfin, des formations sont mises en place pour les enseignants.
Le rôle de la CNIL est de contribuer aux ressources et contenus proposés par l’éducation nationale, qui devra travailler sur les programmes et la formation des enseignants. Nous allons proposer des amendements en ce sens dans la suite des débats. À ce stade, avis défavorable.
Quel est l’avis du Gouvernement ? Comme Mme la rapporteure, je partage vos préoccupations, madame Obono, mais je vous indique qu’en prenant appui sur l’article 11 de la loi de 1978, le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche et la CNIL ont signé en 2016 une convention portant sur les usages responsables et citoyens du numérique à l’école. Cette convention permet de concevoir des ressources pédagogiques, de les mettre à disposition, d’organiser et de promouvoir différentes actions. Sa conclusion en 2016 pour une durée de deux ans prive de pertinence aujourd’hui l’expérimentation que vous proposez.
Toutefois, parce qu’il partage vos préoccupations, le Gouvernement donnera dans quelques instants un avis favorable à l’amendement de la rapporteure, rédigé de manière un peu différente, qui tend à compléter un article du code de l’éducation afin de prévoir la formation des élèves à la protection des données personnelles. J’émets donc un avis défavorable.
(L’amendement n41 n’est pas adopté.) La parole est à Mme Constance Le Grip, pour soutenir l’amendement n2. Cet amendement, déposé par Patrick Hetzel, avait été débattu lors de l’examen du projet de loi pour un État au service d’une société de confiance. Le ministre avait alors indiqué qu’il avait plutôt sa place dans le projet de loi relatif à la protection des données personnelles. C’est la raison pour laquelle nous le défendons ce soir.
L’amendement vise à rétablir la possibilité de collecter des informations biométriques, permettant ainsi de créer une carte d’identité et un passeport électroniques utilisant des procédés d’identification biométrique. Pour protéger nos compatriotes d’une éventuelle utilisation abusive de ces données biométriques, il est proposé de subordonner à l’accord explicite, libre, informé et spécifique de son titulaire l’emploi des données contenues dans un titre d’identité électronique. L’amendement garantit ainsi le respect des libertés individuelles.
Quel est l’avis de la commission ? Je voudrais rappeler l’encadrement prévu pour le traitement de ce type de données. Pour le secteur public, une autorisation préalable est exigée, avec un avis de la CNIL, celle-ci pouvant également exercer un contrôle a posteriori . Pour le secteur privé, ce sont les règlements type qui encadrent le traitement de ce type de données. Les utilisations que vous mentionnez sont permises, mais elles sont davantage encadrées afin de garantir la protection des données personnelles. Avis défavorable. Quel est l’avis du Gouvernement ? Cet amendement aborde deux sujets : d’une part, le traitement des données personnelles, notamment biométriques, par les services de l’État afin de s’assurer que le porteur d’une pièce d’identité en est bien le titulaire légitime ; d’autre part, le déséquilibre qui résulterait d’un encadrement plus strict de ces traitements lorsqu’ils sont réalisés par l’État plutôt que lorsqu’ils le sont par des entreprises à des fins privées.
Sur le premier point, le traitement de données personnelles pour les cartes d’identité et passeports biométriques est encadré par un décret d’octobre 2016. Une liste retreinte de personnes est habilitée par ce décret à s’assurer que l’identité mentionnée sur le titre est bien celle de son porteur. Il s’agit d’un objectif tout à fait conforme à la jurisprudence du Conseil constitutionnel. Il ne me semble pas opportun d’accepter le principe d’une utilisation des données biométriques pour d’autres finalités que celles qui visent à authentifier le porteur du titre d’identité, d’autant que l’amendement est très imprécis sur lesdites finalités.
Plus généralement, s’agissant de l’identité numérique, j’ai lancé il y a quelques jours, avec mes collègues Gérard Collomb et Mounir Mahjoubi, une mission confiée à l’inspection générale de l’administration. Il s’agit pour nous d’un sujet très fort. En effet, dès lors que nous voulons dématérialiser davantage de procédures, il convient d’en assurer les conditions de fiabilité, pour l’État, pour nos concitoyens et pour les entreprises.
Sur le second point qui concerne les sociétés commerciales, le RGPD et la directive que nous transposons viennent, je crois, répondre à vos préoccupations. À travers les dispositions de ce projet de loi, le Gouvernement entend encadrer le traitement de données biométriques par les entreprises privées. L’article 1er que votre assemblée a déjà adopté précise que la CNIL peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé. Il s’agit là d’autant d’informations que nos smartphones ou nos montres connectées récoltent quotidiennement. Le RGPD lui-même impose la réalisation d’une analyse d’impact ou une consultation de la CNIL préalablement au traitement de ces données dont je mesure pleinement la sensibilité.
Pour l’ensemble de ces raisons, j’émets un avis défavorable sur votre amendement.
(L’amendement n2 n’est pas adopté.) La parole est à Mme Caroline Janvier, pour soutenir l’amendement n142. Il demande la remise d’un rapport évaluant l’impact pour les PME et les ETI des nouvelles prérogatives de la CNIL.
La digitalisation constitue pour ces entreprises une priorité, mais aussi une difficulté. Selon une étude réalisée en avril-mai 2017 par OpinionWay, deux entreprises sur dix déclarent être bien engagées dans la transformation numérique.
Le rôle d’accompagnateur de la CNIL, qui est facilité par ce texte, va prendre dans ce contexte une certaine importance. En effet, au-delà de l’aspect technique de la digitalisation, c’est un ensemble de processus de certification qu’il faudra penser, ainsi qu’un travail culturel auprès des entrepreneurs qu’il faudra mener.
Quel est l’avis de la commission ? L’Assemblée nationale possède des moyens de contrôler l’application de la loi. Ainsi la commission des lois présentera-t-elle un rapport sur la mise en application de la loi afin d’évaluer l’impact de cette dernière.
En outre, une clause de revoyure est prévue dans le RGPD, dont la date est fixée au 25 mai 2020. Le Gouvernement et les États membres devront, avant cette date, transmettre des éléments d’évaluation à la Commission européenne. Nous souhaitons que l’Assemblée nationale soit associée à ce travail d’évaluation.
Pour ces raisons, avis défavorable.
Quel est l’avis du Gouvernement ? Le Gouvernement n’est pas favorable au fait d’inscrire dans la loi la remise de rapports au Parlement par le Gouvernement. Par ailleurs, Mme la rappporteure a rappelé à juste titre que le Parlement lui-même doit assurer sa mission de contrôle, de suivi et d’évaluation de la loi.
Quant au fond, la CNIL est en mesure de préciser, dans les rapports qu’elle rendra, la nature des actions de soutien aux PME qu’elle conduit. C’est un sujet, je l’ai souligné lors de la discussion générale, auquel nous serons très attentifs.
Pour toutes ces raisons, j’émets un avis défavorable.
(L’amendement n142 n’est pas adopté.) La parole est à Mme Paula Forteza, pour soutenir l’amendement n99. Amendement de coordination.
(L’amendement n99, accepté par le Gouvernement, est adopté.)
(L’article 1er bis, amendé, est adopté.) Il y a deux orateurs inscrits sur l’article. La parole est à M. Raphaël Schellenberger. Cet article prévoit d’élargir les compétences pour lesquelles les présidents des deux assemblées parlementaires pourraient nommer des membres de la CNIL : il s’agirait aussi de leurs connaissances dans le domaine des libertés individuelles, et pas seulement en matière de numérique.
Cette disposition me semble particulièrement importante pour enrichir une réflexion qui ne saurait être seulement technique, réduite à la connaissance des techniques numériques, des réseaux numériques, du développement numérique. C’est au contraire un débat de fond et de société qu’il faut mener, pour lequel l’importance que l’on accorde au respect des droits fondamentaux et des libertés individuelles est essentielle.
Nous serons particulièrement favorables à cet article.
La parole est à M. Jean Lassalle. J’apprécie que nous transcrivions une directive en droit français au terme d’un débat. Nous sommes loin d’avoir toujours agi ainsi, transcrivant de nombreux textes qui ont perdu nos compatriotes dans la réalité européenne. Si un débat avait été engagé à chaque fois, notamment dans le domaine de l’environnement, nous n’aurions pas autant jeté le trouble dans les esprits.
Je salue donc cette initiative, d’autant plus que la France était déjà pionnière, il y a quelques mois, par le texte qu’elle avait adopté. Je me demande cependant si l’on parvient réellement, à ce stade, à protéger l’individu. Ne sommes-nous pas encore trop éloignés de lui pour lui permettre d’échapper à ces nombreuses occasions où il est abandonné à la disposition de Facebook ou des autres, qui peuvent rester gratuits car ils se paient sur les données qu’ils reçoivent de chaque individu ?
Un deuxième texte viendra-t-il tirer toutes les conséquences des évaluations dont j’ai entendu parler, pour nous permettre d’approcher davantage l’individu à protéger ?
Nous en venons à l’examen des amendements.
La parole est à M. Philippe Gosselin, pour soutenir l’amendement n158.
Je me vois contraint ici de paraphraser François 1er : souvent député varie, bien fol est qui s’y fie… (Sourires.) C’est en effet la première fois, en dix ans, que je me retrouve à déposer un amendement pour supprimer une modification que j’ai fait adopter en commission la semaine précédente. C’est assez original, j’en conviens, mais entre-temps, j’ai poursuivi ma réflexion.
Il s’agit du champ des compétences des personnalités qualifiées qui siègent à la CNIL. Nous avons, dans un souci de perfection, tenté de lier la nécessité de disposer de compétences numériques, qui vont de soi pour des membres de la CNIL, à des compétences dans le domaine des libertés individuelles et publiques, exigence qui paraît également de bon aloi.
Mais en réalité, depuis la loi pour une République numérique et encore plus avec le présent projet de loi que nous adopterons dans les prochains jours, nous avons besoin de compétences plus larges. Il me semble qu’un philosophe, une historienne sauraient apporter un éclairage différent aux décisions de la CNIL.
À la réflexion donc, la rédaction issue de l’adoption de mon amendement en commission me semble si restrictive, en voulant bien faire, qu’elle pourrait nous priver de compétences plus larges au sein du collège de la CNIL.
Quel est l’avis de la commission ? Votre revirement nous surprend, cher collègue, car cet amendement avait été adopté par une large majorité en commission. Oui, j’en faisais partie ! Beaucoup d’amendements, déposés par des groupes différents, allaient d’ailleurs dans le même sens. Il sera donc difficile de revenir en arrière, d’autant que la compréhension des aspects techniques et de leur évolution est essentielle pour travailler sur ce sujet.
Les exigences posées par le RGPD tendent à créer ou à mettre en valeur ces nouveaux profils qui, à la frontière entre droit et informatique, sont amenés à se développer. De nouvelles formations de
Data protection officer sont même en train de se mettre en place. C’est un profil essentiel pour un écosystème du numérique qui se veut responsable et protecteur. Avis défavorable. Quel est l’avis du Gouvernement ? Monsieur le député, faire et défaire, c’est toujours travailler, proclame la sagesse du peuple ! Je m’en remettrai donc à la sagesse de l’Assemblée et à celle de M. Gosselin. La parole est à M. Philippe Latombe. Je salue ici l’honnêteté intellectuelle de Philippe Gosselin. Il travaille sur ce sujet depuis longtemps et l’argumentation qu’il développe aujourd’hui mérite que l’on s’y attarde. S’il estime sérieusement, par sa pratique, qu’il faut élargir les compétences présentes au sein de la CNIL pour que se développent des points de vue différents et qu’on échappe à une certaine uniformité parmi ses membres, cela mérite qu’on l’écoute. Nous serons favorables à son amendement. La parole est à M. Philippe Gosselin. J’ai bien conscience de la singularité de ma démarche. Encore une fois, c’est la première fois que j’agis ainsi en dix ans. La première fois est toujours de bonne foi ! En présentant l’amendement, je m’étais concentré sur le RGPD – le sujet du jour. Mais les missions de la CNIL sont plus larges que cela. D’ailleurs, une mission éthique de réflexion est menée sur le numérique, ses usages, qui dépasse largement le règlement général sur les données personnelles.
À l’heure du transhumanisme, des algorithmes, de la transformation de la société, il me semblait qu’en nous enfermant dans des compétences uniquement numériques et liées aux libertés individuelles et publiques, nous nous privions d’un regard différent, anthropologique, philosophique ou autre.
Bref je crois nécessaire que les membres de la CNIL aient des compétences plus larges et je vous soumets cette réflexion qui se fait, si vous me permettez l’expression, « en marchant » !
(Rires.) La parole est à M. Rémy Rebeyrotte. Je suggère que nous en restions à la proposition de Mme la rapporteure, puisque nous avons abouti en commission à un consensus en alliant le numérique et le juridique. Lors de l’examen au Sénat, nous pourrons recueillir l’avis de la Haute assemblée sur la question pour continuer à avancer – à « marcher ». Mais il n’est pas non plus impossible qu’elle partage notre avis. Cela vous gêne donc tant que cela d’adopter un amendement de M. Gosselin ? La parole est à Mme Cécile Untermaier. Tout en connaissant la qualité du travail de Mme la rapporteure, je trouve la proposition de M. Gosselin excellente. Nous avons travaillé, dans le passé, à ouvrir, notamment à l’université, des postes en général confisqués par les grands corps de l’État. Nous devons poursuivre dans cette voie. Nous n’avons pas besoin de nous en remettre au Sénat pour cela : nous pouvons décider, tous ensemble, de l’opportunité de prendre une telle décision. Le groupe Nouvelle Gauche votera cet amendement. (Applaudissements sur les bancs du groupe LR.) La parole est à M. Cédric Villani. Je souhaitais simplement vous faire part de mon expérience dans le cadre de la mission sur l’intelligence artificielle. J’ai constaté à quel point, au niveau du secrétariat général du Conseil national du numérique, qui épaule ma mission, il peut être utile d’avoir accès à des profils variés pour instruire certaines questions, dans un cadre où le numérique s’invite de plus en plus dans différents aspects de la société. (Applaudissements sur plusieurs bancs du groupe LR.) Bravo ! La parole est à Mme la rapporteure. Je voudrais rappeler que l’objectif de cette disposition était de s’assurer que la CNIL puisse s’appuyer sur des compétences techniques. Aujourd’hui, un seul développeur siège au sein de la CNIL, les autres membres étant des juristes. Or, il est nécessaire que le traitement et la manipulation des données soient compris.
Par ailleurs, il n’est question ici que de cinq membres de la CNIL sur dix-huit. Il me semble préférable d’en profiter pour rééquilibrer la composition de cette institution en faveur des compétences techniques qui manquent aujourd’hui, les autres membres étant issus de hautes juridictions et autres.
La parole est à M. Philippe Gosselin. Il est heureux que la CNIL dispose de compétences techniques, je le reconnais. Mais il est également important qu’y siègent des juristes du Conseil d’État ou de la Cour de cassation, mais aussi des socioprofessionnels, issus du Conseil économique et social, ou encore un membre de la CADA. La CNIL est riche aujourd’hui de cette diversité, et je regretterais que la précision apportée la semaine dernière l’enferme davantage. Vous souhaitez y voir nommer des développeurs. Notre proposition ne l’empêcherait nullement, mais elle favoriserait la variété. Je remercie d’ailleurs M. Villani de voler à mon secours : qui mieux que lui peut incarner la diversité au sein de notre hémicycle ? Je le salue ! (Applaudissements sur les bancs du groupe LR.)
(L’amendement n158 est adopté.) La parole est à M. Ugo Bernalicis, pour soutenir l’amendement n42. Nous allons avec cet amendement dans le sens inverse, puisque nous proposons que tous les membres soient désignés eu égard à leurs compétences réelles, notamment en matière numérique, et leurs connaissances dans le domaine des droits et des libertés fondamentales. C’est un alliage de ces différentes compétences qui mériterait d’être représenté au sein de la CNIL pour procéder à des évaluations concrètes et techniques.
Nous proposons qu’un décret en Conseil d’État précise les critères, avec une évaluation d’un à dix, les candidats étant auditionnés par un jury composé à parité de députés et de sénateurs, d’experts issus de la société civile, de membres d’organisations non gouvernementales et autres. Le mode de désignation serait ainsi transparent, pour éviter les conflits d’intérêts et permettre la représentation la plus large possible, sans négliger les compétences techniques.
En effet, on ne maîtrise pas ce genre de sujet en arrivant les mains dans les poches pour se former sur le tas. C’est peut-être possible ailleurs, mais pas à la CNIL.
Quel est l’avis de la commission ? Avis défavorable. La commission avait déjà rejeté cet amendement dont les dispositions semblaient disproportionnées par rapport aux règles de nomination des autres membres de la CNIL. Quel est l’avis du Gouvernement ? Avis défavorable, pour les mêmes raisons.
(L’amendement n42 n’est pas adopté.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n43. Je pense que nous pouvons nous retrouver sur l’idée que la CNIL doit faire preuve de transparence vis-à-vis du grand public pour certaines de ses délibérations, non seulement pour favoriser le contrôle citoyen sur le bon fonctionnement d’une instance aussi importante pour les droits et les libertés mais aussi pour que les citoyens et les citoyennes puissent être pleinement conscients et informés de son activité.
Pour ce faire, nous proposons une expérimentation, celle de télédiffuser et de rendre accessibles au public certaines délibérations de la CNIL, que celle-ci se réunisse en formation collégiale ou restreinte.
En effet, le secret du délibéré ne vaut pas pour la CNIL, qui n’est pas une instance judiciaire, mais une autorité administrative indépendante. Les délibérations et la prise d’une juste sanction dans certains cas peuvent selon nous avoir une vertu pédagogique. Il faut s’assurer que la CNIL n’a pas la main qui tremble lorsqu’il s’agit de condamner une entreprise avec un pouvoir aussi important que celui des GAFA – Google, Amazon, Facebook, Apple – en matière de droits et de libertés.
Cet amendement est de nature à renforcer la confiance du grand public dans la capacité de cette institution à protéger les droits et les libertés. Cela participerait aussi de pédagogie en matière numérique. Je ne doute donc pas, chers collègues, que vous adopterez cet amendement.
Quel est l’avis de la commission ? Avis défavorable. Le Conseil d’État considère que la CNIL peut être assimilée à un tribunal : « Eu égard à sa nature, à sa composition et à ses attributions, la CNIL peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. » De ce fait, le secret des délibérés s’impose à elle.
Les délibérations en commission restreinte ne sauraient donc être rendues publiques. Cependant, étant favorable à une certaine transparence des travaux de la CNIL, je défendrai ultérieurement un amendement allant dans ce sens.
Quel est l’avis du Gouvernement ? Je n’ajouterai pas grand-chose à ce que vient de dire Mme la rapporteure, y compris dans le teasing sur le futur amendement, que le Gouvernement soutiendra.
Pour ce qui s’attache à la délibération publique de la CNIL, j’émets un avis défavorable. Nous considérons que cet amendement porterait atteinte à la confidentialité des débats, et sans doute même à la protection de données personnelles, qui pourraient être ainsi rendues publiques.
La parole est à Mme Danièle Obono. Si nous déplorons les avis défavorables sur cet amendement, nous nous félicitons cependant qu’il ait au moins pu permettre que d’autres amendements favorisant la transparence soient déposés.
(L’amendement n43 n’est pas adopté.)
(L’article 2, amendé, est adopté.) La séance est suspendue.
(La séance, suspendue à vingt-trois heures cinq, est reprise à vingt-trois heures dix.) La séance est reprise.

Mme la présidente.