XVe législature
Session ordinaire de 2017-2018

Séance du jeudi 12 avril 2018

L’ordre du jour appelle la discussion, selon la procédure d’examen simplifiée, en application de l’article 103 du règlement, du projet de loi autorisation l’approbation du protocole additionnel à l’accord franco-allemand concernant l’emploi transfrontalier d’aéronefs (nos 670, 843).
Ce texte n’ayant fait l’objet d’aucun amendement, je vais le mettre aux voix, en application de l’article 106 du règlement.
Je mets aux voix l’ensemble du projet de loi.
(L’article unique est adopté, ainsi que l’ensemble du projet de loi.)
L’ordre du jour appelle la discussion, en nouvelle lecture, du projet de loi, modifié par le Sénat, relatif à la protection des données personnelles (nos 809, 860). La parole est à M. le secrétaire d’État chargé du numérique. Monsieur le président, madame la rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, mesdames et messieurs les députés, l’Assemblée nationale est saisie en nouvelle lecture du projet de loi relatif à la protection des données personnelles. Cette nouvelle lecture intervient après l’échec de la commission mixte paritaire qui s’est réunie vendredi dernier.
Je ne reviendrai pas sur les conditions de cet échec ; Mme la rapporteure en rappellera certainement les circonstances. Le Gouvernement aurait naturellement préféré que les deux assemblées puissent s’accorder sur un texte d’une telle importance aussi bien pour nos libertés individuelles que pour notre avenir économique – tel est son équilibre. Mais un accord ne peut avoir lieu à n’importe quel prix, et le Gouvernement prend acte du désaccord entre les deux assemblées.
Il est vrai que les positions des deux chambres étaient assez éloignées sur plusieurs points : l’action de groupe en réparation, la création d’une dotation spécifique aux collectivités territoriales, l’exonération de toute sanction à leur égard, le fléchage des produits des amendes et des astreintes prononcées par la CNIL, la Commission nationale de l’informatique et des libertés, l’
open data des décisions de justice et enfin l’âge du consentement des mineurs – question largement reprise par les médias, bien qu’elle ne soit pas au cœur du texte.
Qu’à cela ne tienne, la commission des lois de l’Assemblée nationale a repris ses travaux dans la foulée et a examiné ce texte dès mardi dernier, afin de respecter un calendrier très serré : nous devons en effet impérativement disposer d’un texte législatif et de ses décrets d’application avant le 25 mai prochain ! Pour l’essentiel, elle a rétabli le projet de loi dans sa version adoptée ici en première lecture.
C’est le choix de la cohérence, et nous le saluons. Il témoigne de votre volonté de respecter absolument la logique du règlement général sur la protection des données et de la directive que ce texte vise à transposer en droit français. Il s’agit de responsabiliser les acteurs qui traitent de données personnelles, sans surtransposer le droit européen, tout en maintenant une protection forte. Pour cela, il faut que la CNIL dispose d’un puissant pouvoir de sanction.
La commission des lois a choisi de concilier l’exigence de protection des intérêts de l’enfant avec la réalité des pratiques numériques, en rétablissant la disposition abaissant de seize à quinze ans le seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux. Cette proposition a d’ailleurs été consensuelle à l’Assemblée.
Vous avez également choisi de renforcer la capacité d’action des citoyens face aux atteintes à la protection de leurs données personnelles. Vous avez ainsi rétabli, dans sa plénitude, l’extension de l’action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux. Vous avez refusé de différer de deux années, au 25 mai 2020, l’entrée en vigueur du dispositif et de soumettre à un agrément délivré par l’autorité administrative la faculté pour une association d’exercer une action de groupe. C’est une évolution importante, que certains qualifient même de « petite révolution » ; il s’agit à présent, pour le public, pour la société civile, de se saisir de ce dispositif.
La question de l’utilisation des algorithmes est importante pour votre assemblée. Il s’agit, sur ce point, de trouver un équilibre entre les nécessités de l’administration et les garanties offertes aux usagers. C’est l’objet de l’article 14, dont nous avons beaucoup discuté en première lecture, et dont le Sénat a ensuite beaucoup discuté. Nous en reparlerons tout à l’heure car il faut trouver le bon équilibre afin non seulement de préserver les principes auxquels nous sommes aussi attachés que vous, mais aussi de permettre aux administrations d’agir en recourant à des techniques modernes performantes.
Enfin, vous avez rétabli les dispositions – qui avaient été écartées par le Sénat – permettant à l’opposition parlementaire de saisir la CNIL, notamment par le biais des présidents de groupe.
Les débats qui auront lieu ce matin nous permettront aussi d’affiner quelques positions, notamment au sujet de l’article 14, dont je viens de parler, mais aussi à propos de la liberté du consentement – question abordée en particulier par Éric Bothorel – et de la nécessaire adaptation de notre droit de la concurrence au numérique. Cette dernière question, qui est d’actualité, a toute sa place dans nos débats, mais elle dépasse le cadre de ce texte, vous l’avez souvent évoqué, madame la rapporteure. Le Gouvernement mènera donc ultérieurement d’autres travaux très importants sur ce point, en collaboration avec cette assemblée, la Commission européenne et le Parlement européen. Toutes les questions relatives à la régulation des plateformes sont pleinement concernées par ce texte.
Je souhaite, en conclusion, revenir sur les propos que je tenais en première lecture devant vous. Certains trouvent ce projet de loi trop technique, trop compliqué, trop éloigné de la réalité vécue par les personnes. Il est pourtant éminemment politique car il porte nos valeurs, les valeurs européennes et françaises. C’est un moyen puissant pour dire à nos concitoyens que l’on peut reprendre en main son propre avenir numérique. En la matière, il y a un modèle français, un modèle européen, et l’actualité nous montre que d’autres continents nous observent. Ce projet de loi invite chacun à s’interroger sur l’usage de ses données personnelles, à la fois par lui-même et par les entreprises – petites ou grandes – et les collectivités publiques. Ce texte invite chacun à prendre ses responsabilités et à considérer que le numérique fait désormais entièrement partie de nos vies.
Au moment où nous débattons, le scandale Cambridge Analytica a déjà fait beaucoup de bruit. Facebook est gravement mis en cause : son dirigeant a dû s’expliquer devant le Congrès des États-Unis ces deux derniers jours. Ce texte arrive donc à point nommé pour tracer, face aux enjeux, une voie française et européenne. En protégeant les données personnelles, nous affirmons notre conception de la démocratie. Par votre travail, mesdames et messieurs les députés, vous avez su démontrer que le Parlement avait pris la mesure des enjeux. Le Gouvernement et la France vous en remercient.
De son côté, le Gouvernement, en lien avec la CNIL, se portera aux côtés de ceux qui devront appliquer le nouveau régime de protection des données. Des appréhensions persistent, mais il ne faut pas considérer ce texte comme une contrainte nouvelle : c’est au contraire l’opportunité de porter un regard nouveau, responsable, juste et performant sur la protection des données. Je suis persuadé que nos débats contribueront grandement à cet objectif essentiel.
Ils ont déjà permis de rendre ces enjeux plus visibles : les Français, les Européens se rendent de mieux en mieux compte de son importance. Je vous en remercie tous.
(Applaudissements sur les bancs du groupe LaREM.) La parole est à Mme Paula Forteza, rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, nous abordons en séance l’examen de ce texte en nouvelle lecture, après son passage en commission mardi dernier. Nous travaillons suivant les mêmes convictions qui nous avaient guidées lors de nos travaux en première lecture, convictions souvent partagées par la majorité et l’opposition, ce dont je me félicite.
Nous sommes notamment convaincus que la société civile a une attente forte de davantage de transparence sur les traitements et les conditions de stockage des données. Il faut davantage d’information et de protection contre ceux qui, sans le consentement des personnes concernées, utilisent les données personnelles à d’autres fins que celles au nom desquelles elles ont été recueillies. En un mot, il y a une attente forte d’une maîtrise effective des données personnelles par tout un chacun. Le retard pris en la matière, tant dans le secteur public que dans le secteur privé, doit à présent être rattrapé pour rétablir la confiance parfois ébranlée des citoyens dans les outils numériques.
Cette attente est partagée par les entreprises du numérique, les chercheurs et les administrations – pour ne citer qu’eux –, qui souhaitent pouvoir utiliser les données personnelles dans un cadre juridique sûr, afin de développer leur activité, de proposer de nouveaux produits ou de nouveaux services, ou encore d’améliorer les relations avec les usagers du service public.
Il faut comprendre que les failles dans la protection des données pénalisent non seulement les personnes qui sont victimes des scandales – il n’y a pas d’autre mot – qui émaillent l’actualité, mais également les acteurs, publics et privés, qui pourraient faire de ces données un usage bénéfique pour tous. Je pense notamment aux secteurs de la santé, de la recherche et du journalisme, mais bien d’autres domaines sont concernés.
Trop souvent, ceux qui parlent du numérique s’expriment au futur, comme s’il s’agissait d’un monde à venir, alors qu’il s’agit bien de notre présent. Il est donc urgent de relever collectivement les défis qui s’imposent en urgence à nous.
En conséquence, nous ne pouvons que prendre toute la mesure du changement de paradigme que représente le RGPD, le règlement général sur la protection des données. Celui-ci vise à responsabiliser les acteurs et à renforcer les droits des personnes. Ce nouvel équilibre favorisera ceux qui s’engagent en faveur de la protection des données personnelles tout en pénalisant davantage ceux qui, au contraire, ne respectent pas les règles.
Le plus important, c’est que cette nouvelle réglementation soit prise au niveau européen, car cela nous permettra de construire un écosystème favorable à l’émergence de nouvelles pratiques. Nombreux sont les pays extérieurs à l’Union européenne qui s’interrogent pour eux-mêmes sur les outils de régulation à mettre en place et observent attentivement les changements de réglementation en cours chez nous, je le souligne.
L’audition de Mark Zuckerberg par le Sénat des États-Unis en est la meilleure illustration. De façon assez symbolique, elle a eu lieu mardi soir, alors même que nous examinions ce texte en commission. Il a exprimé ses excuses à des millions d’utilisateurs pour le scandale impliquant Facebook et la société Cambridge Analytica. Les pratiques en cause constitueront, dans quelques semaines, de graves manquements à la réglementation française et européenne. Cette audition a soulevé d’autres enjeux que nous devrons étudier de façon approfondie dans les semaines à venir, à propos des
fake news , ou, plus largement, du modèle d’affaires des plateformes, de leur régulation et de la concurrence loyale dans l’industrie du numérique.
Je me réjouis en outre que le numérique suscite autant de réflexions et de propositions dans nos assemblées. Le projet de loi que vous nous aviez soumis, monsieur le secrétaire d’État, a beaucoup évolué, s’est beaucoup enrichi, au cours des débats qui ont eu lieu à l’Assemblée nationale et au Sénat.
À ce propos, bien que la CMP ait échoué en raison de l’absence de compromis sur l’ensemble du texte, nous reconnaissons la valeur de nombreux apports du Sénat. J’ai tâché d’en conserver la plus grande partie, dans l’esprit constructif qui nous anime tous sur ce texte.
Toutefois, j’ai également souhaité que les dispositions qui avaient recueilli un large consensus au sein de notre assemblée – je rappelle que le texte, en première lecture, y a été adopté à une majorité de 523 voix – soient rétablies. C’est la raison pour laquelle j’ai proposé à notre commission des lois d’adopter à nouveau des dispositions que le Sénat avait soit supprimées, soit fortement remises en question par des modifications substantielles de rédaction.
D’abord, nous avons rétabli l’équilibre, trouvé en première lecture – avec, fait rare, l’assentiment de l’ensemble des groupes politiques –, entre l’exigence de protection des intérêts de l’enfant face au traitement de ses données personnelles et l’adaptation de la législation à la réalité des pratiques numériques actuelles. Alors que le Sénat était revenu sur l’abaissement de seize à quinze ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, j’ai déposé un amendement identique à celui de M. Gosselin – que je salue à cette occasion pour son travail et pour son implication –, revenant au texte de l’Assemblée nationale.
De même, nous sommes revenus sur toutes les dispositions visant à restreindre la capacité d’action des utilisateurs du numérique face aux manquements à la loi. En effet, dans le contexte actuel de révélations multiples sur des utilisations détournées de données personnelles concernant des centaines de milliers, voire des millions de personnes, les restrictions apportées par le Sénat à l’extension de l’action de groupe en matière de protection des données personnelles n’étaient pas acceptables.
Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre des décisions administratives, rédaction qui apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu’un renforcement de leur droit d’information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, souvent en contradiction avec le règlement européen, le recours à ces outils d’aide à la décision.
Sur ce sujet, j’ai une conviction que nous sommes nombreux à partager : ce n’est pas le recours aux algorithmes qui pose problème mais l’absence de transparence et l’impossibilité de contrôle de la part des citoyens. Il ne s’agit en effet que d’outils au service des administrations, qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l’objet d’une publication par défaut pour lever toute interrogation, voire tout soupçon. La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n’entraver ni l’innovation dans le secteur public ni la modernisation et la simplification des politiques publiques. C’était la logique de la loi pour une République numérique, et c’est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée
AI for humanity .
À ce propos, je souligne que le Président a alors souhaité : « l’État, pour ce qui le concerne, rendra […] par défaut public le code de tous les algorithmes qu’il serait amené à utiliser au premier rang desquels […] celui de Parcoursup, parce que […] c’est une pratique démocratique ». Je m’associe à cet engagement et souhaite que l’État soit exemplaire en la matière. Le Gouvernement a d’ailleurs déposé en ce sens un amendement qui permettra d’assurer une meilleure information du Parlement et, le cas échéant, d’ajuster le cadre juridique en la matière, une fois la reforme stabilisée.
Nous avons également rétabli la possibilité de saisine de la CNIL par les commissions permanentes des assemblées et les présidents de groupe parlementaire. Il est en effet essentiel que les parlementaires puissent avoir une expertise en la matière, le sujet du numérique prenant une place croissante dans les textes qui nous sont soumis, nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d’une société de confiance ; projet de loi ELAN, portant évolution du logement, de l’aménagement et du numérique ; plan très haut débit ; textes sur les
fake news ou sur les données personnelles.
Enfin, notre commission a supprimé des dispositions que nous avons considérées comme contraires à l’esprit du règlement européen ou à d’autres dispositions de notre droit national, et qui expliquent également l’échec de la CMP, notamment : le fléchage du produit des amendes et des astreintes prononcées par la CNIL, contraire à la LOLF, la loi organique sur les lois de finances ; l’encadrement des traitements de données pénales par des organismes privés, qui fragiliserait l’action des associations de victimes et d’aide à la réinsertion ; la remise en cause de l’
open data des décisions de justice, qui serait devenu pratiquement impossible à mettre en œuvre avec les exigences posées par le Sénat ; à l’initiative du Gouvernement, les mesures de durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.
Par ailleurs, si le Sénat a adopté des dispositions utiles pour compléter l’information et l’accompagnement des collectivités territoriales dans le cadre de leur mise en conformité aux nouvelles obligations qui leur sont faites, certaines propositions n’étaient pas acceptables, comme la création d’une dotation de 170 millions d’euros ou l’exemption d’astreinte et d’amende administratives. Les acteurs locaux traitent en effet de données très sensibles pour nos concitoyens, comme la composition et les revenus des ménages, et rien ne justifie de restreindre les sanctions pouvant être prononcées par la CNIL en cas de manquements graves et persistants malgré de préalables mises en demeure, car cela déresponsabiliserait complètement ces acteurs. En commission, nous avons été unanimes sur ce point.
Il me semble donc, mes chers collègues, que la commission a adopté un texte équilibré, conservant les avancées proposées par le Sénat lorsqu’elles s’inscrivaient dans le respect du nouveau cadre réglementaire européen, tout en maintenant les orientations soutenues précédemment à l’Assemblée nationale, au-delà de la majorité.
Nous avons ainsi clarifié les règles qui s’appliqueront aux acteurs publics et privés, qui attendent des textes clairs pour engager, au cours des prochaines années, une réforme profonde de leurs pratiques en matière de protection des données personnelles. J’espère que nos débats auront contribué à les rassurer sur l’accompagnement qui leur sera apporté par la CNIL, même si nous devons nous montrer vigilants pour que celle-ci ait les moyens d’exercer ce rôle dans de bonnes conditions – et nous le serons lors de l’examen du prochain projet de loi de finances. J’espère aussi que nous les aurons encouragés à acquérir de nouvelles compétences en matière de protection des données personnelles, et plus généralement de numérique.
(Applaudissements sur les bancs des groupes LaREM et MODEM.) J’ai reçu de M. Jean-Luc Mélenchon et des membres du groupe La France insoumise une motion de renvoi en commission déposée en application de l’article 91, alinéa 6, du règlement.
La parole est à M. Bastien Lachaud.
Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mon camarade François Ruffin a exposé à cette tribune les vertus de la fonction recherche, autrement connue par les aficionados sous l’appellation « Ctrl + F ». Elle ne permet certes pas d’apprécier la cohérence d’un texte, mais au moins de vérifier en quelques secondes s’il passe à côté d’un point essentiel dans la recherche. En l’occurrence, c’est malheureusement le cas. Alors que le monde entier s’ébranle à la suite des révélations du lanceur d’alerte Christopher Wylie, ce projet de loi ne comporte aucune mention de la collecte et de l’utilisation frauduleuses de données personnelles en vue de perturber des élections. L’affaire Cambridge Analytica met Facebook et ses dirigeants sur la sellette : le Sénat américain enquête ; la Chambre des communes britannique enquête ; en Allemagne et au Nigeria aussi des enquêtes sont diligentées. Or, en France, nous débattons d’un projet de loi sur la protection des données personnelles qui n’effleure même pas la question, malgré vos affirmations de dernières minutes.
Alors que le Président de la République fait tourner son monde et menace la liberté d’expression en parlant de
fake news , son gouvernement et sa majorité n’ont pas vu venir, ou ne veulent pas le voir, qu’une menace plus grave encore pèse sur la démocratie, qu’une menace plus insidieuse encore et donc plus dangereuse plane sur la sincérité même des élections. Cette menace, c’est celle de la manipulation des consciences à la faveur de la collecte indue d’informations personnelles. Le président de la première puissance du monde doit-il son élection à ce genre de procédé ? Le Royaume-Uni est-il en train d’organiser son départ de l’Union européenne parce que quelques aigrefins de la communication se sont adjugé les services de savants sans conscience ? Voilà qui mériterait qu’on en discute ; voilà qui mériterait l’attention du législateur !
Mais de cela, il n’est pas question dans ce texte. Je gage que la mauvaise foi pourrait vous faire dire qu’en parlant ainsi je suis hors sujet, mais je dirais plutôt que c’est la preuve que votre texte est hors sujet. Comment, en effet, pourrait-on admettre que ce texte est abouti et ne mérite pas d’être renvoyé en commission s’il ne donne pas les moyens de protéger nos concitoyens de l’utilisation de leurs données pour dévoyer la démocratie ?
Qu’on me permette de résumer assez brièvement le problème : la société Cambridge Analytica, une filiale de la société britannique SCL Group, a aspiré les données de 80 millions d’utilisateurs de Facebook, et, à partir de ceux-ci, ce sont 250 millions à 300 millions de personnes dont les vies ont été examinées. Laurent Solly, vice-président de Facebook, a admis que des Françaises et des Français sont concernés et a promis de les en informer. Pour ma part, j’ai un doute. En tout état de cause, les goûts et les pensées de millions de personnes ont été fichés, les informations ont été croisées, on a fait la cartographie de leurs personnalités, sondant leurs intentions avant même qu’elles fussent venues à leur propre conscience.
Pourquoi faire ce travail d’espionnage intime qui n’a rien à envier aux pratiques de la STASI ? Pour réaliser le fantasme de tous les despotes : tenir, retenir ou orienter la main du peuple au moment où il exerce sa souveraineté, c’est-à-dire au moment de voter ! Au moment de faire un choix crucial, des millions de personnes ont fait l’objet d’un matraquage subreptice, leur for intime a été forcé à leur insu. À la délibération libre, à l’échange libre et conscient d’arguments, ont été substitués l’endoctrinement, le bourrage de crâne 2.0 par les propagandistes d’un fascisme du XXIsiècle, à l’instigation notamment d’un milliardaire réactionnaire et de Steve Bannon, le grand ami de Mme Le Pen, l’invité d’honneur du congrès de son parti. On peut s’étonner que, devant ce genre de périls, le texte que nous soumet le Gouvernement reste coi.
Mais il manque aussi le traitement des questions matérielles de sécurité et ce qui doit relever de la souveraineté sur les données de notre population. Prenons l’exemple
a priori très simple des data centers . Aujourd’hui, notre souveraineté s’arrête aux portes de ces immenses boîtes noires où transitent et sommeillent des milliards d’informations personnelles, alors qu’agrégées les unes aux autres, elles donnent une image de notre pays tout entier, de sa population, de ses forces et de ses vulnérabilités. Il est étonnant que le parti de la disruption ne se soit pas préoccupé de ce sujet dans un texte sur les données personnelles.
L’exploitation des données, l’
open data , cette mine de croissance à l’évocation de laquelle s’extasient les thuriféraires de la start-up nation , tout ce qui leur fait briller les yeux peut aussi et surtout constituer le talon d’Achille d’une nation, fût-elle technologiquement avancée. Savez-vous, mes chers collègues, que les responsables de l’administration chargée d’assurer la cybersécurité de notre pays ne peuvent pas répondre si on leur demande où sont stockées les données de l’assurance maladie, ni sans doute si on leur demande où sont stockées les données de l’éducation nationale ? Alors que l’histoire récente aurait dû nous instruire, aurait dû hâter l’action des gouvernements pour mettre notre peuple à l’abri des espionnages de toutes sortes, rien, dans ce texte, ne le permet sérieusement. Mais où donc, en quels pays sont les serveurs qui abritent nos données et de quel droit dépendent-ils ? « Abritent », le mot est bien mal choisi puisqu’elles y sont conservées comme une pâture dans une chambre froide avant de rassasier je ne sais quelle puissance hostile ou déloyale.
Ou plutôt, je me dois d’apporter un correctif car je ne sais que trop bien quel genre de puissance se repaît depuis des années des données de ses alliés… En vertu d’un privilège juridique et politique exorbitant que notre naïveté, ou plutôt notre lâcheté, leur accorde, les États-Unis,
via leurs agences de renseignement pléthoriques, dont la NSA –  National Security Agency – est seulement la plus connue, ont table ouverte, chez nous, au banquet de la donnée. À ce propos, quel fut le rôle des données collectées par la NSA dans l’affaire de la vente d’Alstom à General Electric ? Cette vente a marqué une véritable perte de souveraineté industrielle pour notre pays. N’y a-t-il pas là matière à légiférer ? Ne devrions-nous pas inscrire dans la loi l’obligation non seulement pour l’État mais aussi pour les sociétés privées de disposer de leur data center sur le territoire national, relevant du droit français et non pas américain, à l’abri des mouchards en tout genre ?
On me répondra que la directive de 2016 ici transposée apporte de notables avancées dans la protection des données personnelles. Je n’en disconviens pas. Mais il suffit de les énoncer pour se dire que seuls un minimum de droits sont garantis et qu’il y a encore du chemin avant de mettre nos concitoyens hors de portée des GAFAM – Google, Amazon, Facebook, Apple, Microsoft – et autres vilains curieux. Il est heureux que le consentement des utilisateurs doive dorénavant être explicite pour autoriser la collecte de données, mais encore faut-il s’assurer que le consentement n’est pas arraché du fait des complications qu’induirait un refus de leur part ! Lorsque l’on achète un téléphone, on accepte le partage des données en l’activant ; sinon pas de téléphone. Tout le monde sait combien il est difficile de se soustraire à la pression des organes qui vivent de la collecte, du traitement et de la revente de données. Comment allons-nous agir pour garantir que les entreprises susceptibles de collecter ou d’exploiter des données ne changent pas sans cesse leurs conditions d’utilisation ? Comment allons-nous faire pour que ces conditions d’utilisation deviennent vraiment lisibles pour le profane ? Je suis au regret de vous le dire qu’après le vote de ce texte, la situation des utilisateurs ne sera guère caractérisée par la limpidité.
Et voilà bien un autre aspect de ce texte qui justifie son renvoi en commission : il n’a pas toute l’ambition qu’il prétend. Une illustration de ce problème : les codes de conduite que les entreprises sont incitées à élaborer. L’incitation est un médiocre moyen quand on veut obtenir des résultats. Qu’on se souvienne des propos d’Emmanuel Macron, apparemment sur un tout autre sujet, celui du plafonnement des rémunérations des grands patrons : en bon libéral, celui-ci s’oppose à l’idée d’une loi qui impose, mais laisser choisir et compter en l’occurrence sur la moralité des agents, c’est vraiment construire sur du sable ! De la même façon, les codes de bonne conduite ne seront vraisemblablement pas autre chose qu’une collection de vœux pieux. Là où l’intérêt matériel et, pour tout dire, la cupidité sont mis en concurrence avec les sentiments moraux, il n’est pas difficile de juger que la morale se trouve en bien mauvaise posture. Mieux vaudrait ne pas créer les conditions favorables à l’apparition de dilemmes : il ne faut en effet pas laisser le choix entre profit et éthique. Il faudrait soulager par avance la conscience de ceux qui se sentent prêts à faillir ou pas assez forts pour se donner d’eux-mêmes un code de conduite. Il est vrai que la philosophie de votre projet de loi est d’accompagner la collecte et l’exploitation des données plutôt que d’y mettre un coup d’arrêt net. L’idée de faire suer de l’or aux algorithmes suscite trop de fascination pour décider d’y renoncer, même partiellement.
Mais,
a contrario , les aspects les plus ambitieux de ce projet de loi mettent en lumière son caractère inabouti.
En outre, le recours à la procédure accélérée est un accroc de plus à la pratique normale du débat parlementaire. La CNIL avait d’ailleurs souligné le caractère hâtif du procédé, en regrettant de n’avoir pas pu, par manque de temps, se prononcer sérieusement sur le contenu de la réforme. Dans son avis, le Conseil d’État lui-même avait confirmé cet état de fait.
Un dernier argument plaide en faveur du renvoi en commission : il est étonnant de devoir adopter un tel projet de loi alors que le rapport de notre collègue Cédric Villani sur l’intelligence artificielle n’a pas pu le nourrir. Encore une fois, l’exécutif nous fait avancer à marche forcée et ne tient pas compte du travail de l’assemblée. Dans le cas présent, c’est faire bien peu de cas d’un rapport auquel, par ailleurs, la majorité, comme le Gouvernement ont, non sans quelque raison, sans doute, donné tant d’écho. En tout cas, ce type d’affichage me paraît bien peu respectueux de notre collègue comme de notre assemblée.
Pour toutes ces raisons, vous comprendrez que nous demandions le renvoi du texte en commission.
(Applaudissements sur les bancs des groupes FI et GDR.) Dans les explications de vote sur la motion de renvoi en commission, la parole est à Mme Danièle Obono, pour le groupe La France insoumise. Nous allons effectivement voter cette motion de renvoi en commission car, comme l’a brillamment expliqué notre collègue Lachaud, ce texte n’est malheureusement pas à la hauteur des enjeux d’actualité en matière de protection des données personnelles comme en matière de droits et de libertés de nos concitoyens et de nos concitoyennes que l’actualité.
Je voudrais revenir sur un sujet qui sera de nouveau évoqué, je le pense, au cours du débat : l’audition du patron de Facebook devant le Congrès états-unien. Un des éléments assez impressionnants de cette audition, outre les propos tenus, a été la capacité du législateur, aux États-Unis, d’auditionner un des dirigeants les plus puissants de la nouvelle économie pour lui demander des comptes. Celui-ci, s’étant rendu compte de l’enjeu et donc des risques qu’il encourait, a été obligé de faire son
mea culpa et de tenter de rassurer à nouveau les pouvoirs publics : face au pouvoir du législateur, il a bien compris qu’il jouait gros.
Faisant écho à des auditions que nous avons pu conduire dans cette assemblée, on rend se compte à quel point se défausser de ses responsabilités, comme le présent texte le fait malheureusement – en se privant, à notre sens, d’utiliser toutes les marges de manœuvre offertes par la directive pour encadrer ou contrôler non pas
a posteriori mais a priori la protection de ces données –, peut avoir de lourdes conséquences. On voit comment, une fois encore, la majorité qui se dit celle du nouveau monde, est malheureusement en retard d’un bon siècle en ce qui concerne l’arsenal du Parlement pour réclamer des comptes, y compris aux plus puissants, qu’ils soient Français ou étrangers.
Nous appelons donc à voter pour cette motion de renvoi en commission, qui nous permettrait de conquérir les marges de manœuvres dont nos collègues états-uniens disposent déjà.
(Applaudissements sur les bancs du groupe FI.) La parole est à M. Stéphane Peu, pour le groupe de la Gauche démocrate et républicaine. Notre groupe votera cette motion de renvoi en commission. Notre collègue Bastien Lachaud a donné beaucoup d’arguments sur les effets pervers d’un vote précipité ou accéléré de ce projet de loi, arguments qui d’ailleurs avaient déjà été employés à la fois par le Conseil d’État et par la CNIL. Une conséquence non négligeable est que les observateurs et les autorités compétentes critiquent la future loi, qu’ils décrivent comme un texte illisible. Or un État de droit requiert des lois compréhensibles et lisibles par tous ; c’est ainsi qu’elles deviennent des lois communes.
De plus, en dépit des avancées de ce projet de loi, sur lesquelles je reviendrai tout à l’heure, il fait beaucoup d’impasses. Hier, en commission des lois, le défenseur des droits, à l’occasion de la présentation de son rapport annuel, nous a expliqué qu’il y a consacré un chapitre entier aux problèmes posés par la dématérialisation de l’administration française, détaillant toutes les difficultés rencontrées par nos compatriotes compte tenu de cette dématérialisation et le recul de l’humain dans les procédures administratives. Or l’une de ces impasses faites dans ce projet de loi concerne l’application de ses dispositions aux administrations : elle n’est en effet traitée que par le biais d’une simple exception, d’une simple dérogation, ce qui aura pour conséquence de laisser libre cours à des algorithmes qui présideront à toute une série de mesures administratives, sans contrôle, sans intervention humaine. Tout cela a fait l’objet d’amendements, qui ont été rejetés.
Par conséquent, un réexamen du projet de loi en commission serait pour le moins nécessaire. Nous voterons donc ce renvoi en commission.
(Applaudissements sur les bancs du groupe FI.) La parole est à M. Rémy Rebeyrotte, pour le groupe La République en marche. Une remarque à l’attention de nos collègues le groupe La France insoumise : il aurait été préférable, madame Obono, que vous présentiez vous-même la motion de renvoi en commission, à la place de M. Lachaud, car vous avez participé à sa dernière réunion, alors que nous n’avons pas eu l’honneur de l’y voir. S’il avait été présent, il aurait pu nous exposer un certain nombre des motifs soulevés dans l’intervention qu’il vient de prononcer.
Quoi qu’il en soit, M. Lachaud présente l’avantage de faire à la fois les questions et les réponses.
Hors sujet ! En effet : vous étiez assez largement hors sujet, je ne peux pas vous le cacher. Comment ça ? La rédaction du titre II que nous nous apprêtons à adopter vise précisément à éviter, aux niveaux national et européen, les abus que vous avez très largement dénoncés. Je rappelle que ce résultat est – c’est une bonne chose – le fruit d’heures de discussion en commission, puisque le projet de loi a été travaillé en première lecture puis retravaillé en nouvelle lecture, et nous allons d’ailleurs continuer à le travailler dans les moments qui viennent.
Nous ne voyons par conséquent pas l’intérêt de le renvoyer en commission. Nous voterons donc contre cette motion.
Très bien ! La parole est à Mme Constance Le Grip, pour le groupe Les Républicains. J’ai écouté avec beaucoup d’attention les propos de notre collègue Bastien Lachaud. Loin de moi l’idée de balayer d’un revers de main les inquiétudes, à bien des égards légitimes, qui ont émergé au sein de la société française comme dans bien des sociétés européennes et qu’il a relayées. Nous aurons l’occasion d’en reparler tout au long de la discussion générale.
Cependant, il y a, je crois, urgence à ce que notre assemblée travaille, avance et chemine vers l’aboutissement de la mise en application du règlement général sur la protection des données, dans un esprit de responsabilité, afin de tenir compte de nos engagements européens. Nous estimons qu’il faut agir vite, qu’il n’est maintenant plus temps de tergiverser. Le groupe Les Républicains votera donc contre cette motion de renvoi en commission.
(Applaudissements sur les bancs du groupe LR.)
(La motion de renvoi en commission, mise aux voix, n’est pas adoptée.) Dans la discussion générale, la parole est à Mme Danièle Obono. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, le projet de loi relatif à la protection des données personnelles revient donc en nouvelle lecture devant notre assemblée.
Le temps de la navette parlementaire, le scandale Cambridge Analytica a éclaté, et le dirigeant du réseau social Facebook, Mark Zuckerberg, a fait à ce sujet l’objet de vigoureuses auditions parlementaires devant le Sénat et la Chambre des représentants des États-Unis. C’est ainsi, fort opportunément, que l’actualité nous rappelle combien la protection de nos données personnelles de nos concitoyennes et de nos concitoyens est un enjeu démocratique fondamental.
Le groupe La France insoumise a pris part aux débats en première lecture de ce texte à l’Assemblée nationale, à travers ma participation aux travaux de la commission des lois comme à travers celle de l’ensemble de ses membres qui travaillent sur ce dossier.
J’en profite pour répondre à notre collègue Rebeyrotte. Sachez que M. Bastien Lachaud a évoqué les questions de cybersécurité dans la commission où il siège. Sachez en outre que, même si notre groupe ne compte pas autant de membres que le vôtre, nous y travaillons de concert et de manière transversale, et que, collectivement, nous avons élaboré un certain nombre de propositions sur le sujet en débat ce matin, afin de tenter de faire prendre conscience à votre majorité de la mesure des risques liés à l’usage par les GAFAM de nos données personnelles, directement ou indirectement, comme c’est le cas dans l’affaire Cambridge Analytica.
Face à ce risque, nous avions abondamment amendé le texte afin de renforcer les compétences de la CNIL et de s’assurer que celle-ci agisse en faveur de l’intérêt général et non sous l’influence du lobby des grands groupes du numérique. Mais votre majorité les a tous rejetés, à une seule exception, peut-être.
Le passage au Sénat a permis plusieurs modifications allant dans le sens de ce que nous avions défendu.
Je pense par exemple au rétablissement d’un régime d’autorisation préalable, à la publication des règles d’un traitement algorithmique ayant servi à fonder une décision, ou encore à l’obligation de l’emploi d’un langage clair et facilement accessible concernant la collecte de données à caractère personnel des mineurs de moins de seize ans.
La mouture adoptée par le Sénat est ainsi revenue à un régime d’autorisation préalable et non à un système de contrôle
a posteriori et aléatoire. Il ressort d’ailleurs des débats que le groupe La République en marche du Sénat a voté cette rédaction du texte, alors même qu’elle contenait des avancées que nous avions proposées et qui avaient été refusées, comme je l’ai dit, par le groupe LaREM de l’Assemblée nationale. Peut-être devriez-vous donc, monsieur Rebeyrotte, vous poser la question de la coordination et de la cohérence de votre majorité sur ce sujet. Pour vous la question ne se pose pas : il n’y pas de groupe La France insoumise au Sénat ! Les modifications votées par le Sénat, entérinées, donc, par le groupe La République en marche de la deuxième chambre, rejoignaient, en tout cas, la ligne défendue au travers de nos amendements. Nous jugions celle-ci, et continuons à la juger, la mieux à même de protéger les libertés fondamentales, notamment au vu des moyens limités de la CNIL. Nous l’affirmions, et le sénateur Loïc Hervé, membre du groupe de l’Union centriste – et qu’on ne peut donc soupçonner de complaisance à notre égard – l’a indiqué : « Ce projet de loi n’est pas un texte technique, c’est un texte politique. » L’argument de l’urgence, de la nécessité de la transposition dans la précipitation, ne doit pas faire oublier cette dimension.
Nous l’avons dit et le redisons donc, la rédaction du texte a depuis le départ une logique politique que nous contestons : vouloir passer d’une logique d’autorisation préalable à une logique de contrôle, afin d’offrir aux entreprises du
big data des possibilités de faire du business.
Oui, des protections complémentaires pouvaient et peuvent encore être décidées. La justesse de notre argumentation s’est ainsi trouvée validée par le Sénat, y compris, comme je l’ai dit, chers collègues, par son groupe La République en marche, qui a voté dans ce sens. Permettez-moi donc de souligner, pour la déplorer, cette incohérence de la majorité, qui a fait perdre du temps à la représentation parlementaire, avec l’échec de la CMP.
Nous regrettons encore plus que, lors de l’examen par la commission du projet de loi en nouvelle lecture, la plupart des ajouts du Sénat qui allaient dans ce sens positif aient été supprimés ou aient vu leur portée significativement amoindrie.
Alors que les soupçons de manipulations de masse fondées sur des collectes massives et non consenties de données défraient la chronique et soulèvent des questions démocratiques fondamentales, le texte qui nous est soumis en nouvelle lecture, est encore, de notre point de vue, terriblement insatisfaisant.
Il l’est parce que les moyens humains et financiers de la CNIL ne lui permettront pas d’assurer un réel contrôle systématique
a posteriori – puisque tel est, chers collègues, votre choix –, là où un système d’autorisation oblige à l’examen.
Il l’est surtout car c’est aller à contretemps de la course à la collecte des données numériques que de réduire l’intensité du contrôle de la CNIL, alors que la numérisation de notre quotidien est de plus en plus importante, que les techniques de croisement des données se perfectionnent à une vitesse folle et que ces évolutions ont lieu – c’est peut-être en réalité la raison sous-jacente de ce changement de paradigme – alors que le marché de la collecte des données explose. Quelle grave insuffisance, en somme, face au risque d’un certain usage du numérique qui ébranle nos démocraties !
Cette réforme laisse donc le champ libre aux très grandes entreprises de l’internet pour faire du profit avec notre vie privée – ces très grandes entreprises dont certaines font déjà des profits d’un montant équivalant aux PIB de grands États. Pour elles, les sanctions prévues par le projet de loi, si par hasard la CNIL effectuait un contrôle, constituent des sommes risibles, susceptibles d’être anticipées et prévues dans leurs budgets annuels.
Ce choix de changer de paradigme est un choix de politique nationale, la directive européenne laissant aux États membres le champ libre dans ce domaine. Le gouvernement Philippe doit donc assumer la responsabilité de ses choix politiques et ne pas se défausser, une fois sur le Conseil constitutionnel, l’autre fois sur l’Union européenne et, par jour de neige, sur les deux.
Quant à nous, nous souhaitons prendre pleinement notre part de responsabilité dans ce débat important et garantir véritablement la protection des droits et libertés de nos concitoyens et concitoyennes. Voilà pourquoi nous avons choisi de vous proposer à nouveau une courte série d’amendements ; nous espérons qu’ils trouveront auprès de vous une meilleure écoute qu’en première lecture, et que la clarté et la consistance de notre argumentation, cette fois, emporteront pleinement votre adhésion.
Nous proposons ainsi : la garantie de publication des critères d’évaluation des membres de la CNIL, ainsi que des évaluations elles-mêmes, afin d’assurer une plus grande transparence de la procédure de sélection ; la publicité des délibérations en formation restreinte, notamment en ce qui concerne les sanctions ; un strict encadrement du pouvoir de sanction de la CNIL, afin d’en consolider le bien-fondé ; la possibilité de renchérir les amendes, en utilisant la marge de liberté laissée au législateur par la Commission européenne ; l’interdiction du profilage privé à des fins lucratives ; la possibilité d’un contrôle citoyen des algorithmes.
Notre groupe continue d’apprécier le potentiel extraordinaire de progrès sociaux, démocratiques, environnementaux et scientifiques attaché à une collecte de données à but non premièrement lucratif et correctement anonymisée. Nous appelons de nos vœux la réalisation d’une révolution numérique pour tous et toutes, au service de l’intérêt général. Il est impératif d’investir ce terrain législatif, car c’est là que s’inventent et s’inventeront les nouveaux outils de participation et de prise de décision collective. Croyez bien, chers collègues, que, dans ce débat comme dans tous les autres, nous continuerons à être activement présents.
(Applaudissements sur les bancs des groupes FI et GDR.) La parole est à M. Stéphane Peu. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, je voudrais tout d’abord formuler quelques remarques sur la forme. Je déplore l’utilisation de la procédure accélérée et le recours aux ordonnances pour réécrire l’ensemble de la loi de 1978, dite « informatique et libertés ». Par ailleurs, le présent projet de loi souffre d’un défaut de lisibilité, comme l’a souligné avec force la CNIL. Les opérateurs et les citoyens auront du mal à comprendre les règles relatives à la protection des données personnelles à la seule lecture de ce texte, qui ne donne pas de vision claire et précise. En somme, on ne peut que regretter, avec le Conseil d’État, l’occasion manquée de procéder à un réexamen global du droit à la protection des données personnelles et d’approfondir les droits des personnes.
Sur le fond, nous l’avons souligné lors des précédentes discussions, cette réforme nous semble apporter certaines garanties supplémentaires dans la protection des données personnelles.
Tout d’abord, son champ d’application permettra de soumettre à la nouvelle législation l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors qu’ils offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. Alors que la Commission européenne a annoncé, vendredi dernier, que Facebook avait confirmé que les données personnelles de près de 2,7 millions d’Européens ou de personnes résidant dans l’Union européenne pourraient avoir été transmises « de manière inappropriée » à la société Cambridge Analytica, on mesure l’impérieuse nécessité de renforcer la législation afin de protéger les libertés individuelles face au développement du numérique et, en particulier, des géants américains du numérique, les GAFA – Google, Apple, Facebook et Amazon.
Si le RGPD allège considérablement les formalités préalables, il tend à une responsabilisation des acteurs, qui seront soumis à des sanctions beaucoup plus fortes, et à un renforcement des droits des individus. La CNIL verra ainsi ses pouvoirs se renforcer significativement. En particulier, ses pouvoirs de contrôle et de sanction seront considérablement accrus. Premièrement, ses agents obtiennent un droit de contrôle sur place généralisé à l’ensemble des locaux servant à la mise en œuvre d’un traitement des données personnelles. Deuxièmement, l’effectivité des contrôles en ligne est améliorée par l’autorisation qui est accordée aux agents d’utiliser une identité d’emprunt. Troisièmement, le projet de loi permet des opérations conjointes des autorités de contrôle.
S’agissant du pouvoir de sanction de la CNIL, le règlement prévoit des sanctions administratives désormais dissuasives en cas de méconnaissance des dispositions de la réforme.
Si nous soutenons ces évolutions, nous regrettons en revanche que les mesures de contrôle attribuées à la CNIL ne soient pas applicables dans le cas où le traitement est mis en œuvre par l’État. De même, il est regrettable qu’une injonction avec astreinte ne soit pas prévue afin de satisfaire les demandes présentées par les personnes en vue d’exercer leurs droits : accès, opposition, rectification, notamment.
Enfin, accroître le contrôle sans accroître les moyens de l’autorité qui l’assure fait problème : cela risque de faire de cette loi une simple épée de bois. C’est pourquoi nous insistons sur l’importance d’octroyer les moyens humains et financiers nécessaires à la CNIL, afin de lui permettre de mener à bien ses missions, en particulier ses missions de contrôle.
Lors de l’examen du texte en première lecture, des améliorations avaient été apportées. Je pense, en particulier, à l’élargissement du champ de l’action de groupe à la réparation des préjudices matériels et moraux.
S’agissant de la modification de l’âge du consentement des mineurs, l’abaissement du seuil à quinze ans par la commission des lois de notre assemblée, assortie de l’exigence d’un double consentement des parents et du mineur en dessous de cet âge, et de l’obligation pour les responsables de traitement de données de communiquer suivant des modalités adaptées à l’âge du mineur, nous paraît une position équilibrée.
En revanche, certaines dispositions que nous avions dénoncées demeurent inquiétantes à nos yeux. Ainsi, si le projet de loi réaffirme l’interdiction de principe des décisions produisant des effets juridiques et fondées exclusivement sur des traitements automatisés de données personnelles, il tend à instituer une dérogation pour les décisions administratives individuelles. Sur ce point, nous regrettons que la majorité n’ait pas accepté les amendements adoptés par le Sénat, qui visaient à encadrer plus strictement l’usage des algorithmes par l’administration – hormis, bien entendu, s’agissant des sujets dits « sensibles ».
En outre, l’encadrement du profilage et les clarifications actuelles ne sont absolument pas suffisants. Le Conseil d’État estime, à ce propos, qu’il est essentiel « de garantir à tout instant une maîtrise humaine complète des algorithmes, comportant notamment la capacité d’interrompre le fonctionnement du traitement, notamment lorsque ceux-ci sont dotés de capacités d’apprentissage leur permettant de modifier leur logique de fonctionnement sans une démarche humaine préalable de validation ». L’objectif de moderniser l’administration et de gagner en performance ne saurait justifier l’extension, dans la précipitation, du recours aux décisions fondées sur un traitement intégralement automatisé, sous couvert de l’apport de quelques garanties comme l’information des personnes ou le droit au recours. Pour notre part, nous considérons que l’approfondissement des réflexions et des études, notamment sur la maîtrise des algorithmes, est un préalable indispensable à toute décision d’extension du recours aux décisions administratives automatisées. Les traitements de masse de données et les progrès de l’intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés ; c’est la seule condition, selon nous, de la neutralité.
Concernant la transposition de la directive applicable aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, on doit regretter une volonté de sous-transposer la directive et de renvoyer l’essentiel des dispositions au pouvoir réglementaire. La CNIL relève ainsi que la transposition de la directive est réalisée « 
a minima  ». Le projet de loi aurait notamment pu prévoir des garanties supérieures en matière de protection des données traitées à des fins pénales, expressément prévue à l’article 1erde la directive.
En définitive, nous maintiendrons notre abstention sur ce projet de loi. L’avènement du numérique dans nos sociétés contemporaines provoque de plus en plus de bouleversements dans le fonctionnement de nos démocraties et les droits fondamentaux. Si la société numérique doit être une société de liberté, elle doit, pour ce faire, être clairement encadrée et préserver les droits fondamentaux comme le droit au respect de la vie privée ou le droit à des données personnelles. Les conséquences du traitement massif des données, la propriété des données personnelles, l’information pleine et entière des citoyens, la vigilance, la maîtrise et le contrôle des algorithmes, la place de l’intelligence artificielle et tant d’autres questions se posent aujourd’hui, qui devraient faire l’objet de réflexions et d’études approfondies, puis de choix politiques qui ne soient pas pris dans la précipitation.
La parole est à Mme Christine Hennion. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, nous examinons ce matin en deuxième lecture le projet de loi qui adapte notre législation au règlement général sur la protection des données et à la directive de 2016 relative aux données pénales.
Mme la rapporteure a déjà détaillé les améliorations apportées au texte lors de son examen au Sénat et adoptées par la commission des lois de notre assemblée. L’Assemblée nationale souhaite cependant conserver l’esprit du texte qui avait été adopté à une très large majorité en première lecture, et tendre vers une harmonisation aussi aboutie que possible des législations avec nos partenaires européens, afin de favoriser la mise en place d’un marché unique du numérique efficient.
L’actualité de ces derniers jours, avec l’affaire Cambridge Analytica et, ce matin, celle des mutuelles néerlandaises, montre à quel point ce paquet relatif aux données personnelles est nécessaire. En responsabilisant tous les acteurs, privés et publics, l’ambition de ce texte est bien de respecter la vie privée des personnes, en protégeant leurs données personnelles. Même Mark Zuckerberg, devant la Chambre des représentants, a souligné la nécessité de réglementer, a estimé que le RGPD allait dans le bon sens et a indiqué qu’il l’appliquerait partout dans le monde.
Les Français sont de plus en plus concernés par l’usage qui est fait de leurs données. Le rapport de la CNIL pour 2017, publié cette semaine, fait état d’une croissance continue des plaintes : plus de 8 300 en 2017. Ce rapport montre également que, si la CNIL a réalisé 341 contrôles en 2017, elle a surtout renforcé les mesures d’accompagnement auprès des pouvoirs publics et des professionnels. Les requêtes sur sa plateforme Besoin d’aide ont augmenté de 21 % en 2017 et elles ont encore crû de 64 % au premier trimestre de cette année. Des outils pratiques sont mis à la disposition des organismes sur le site de la CNIL : outils d’autoévaluation, modèles de registre, logiciels d’analyse d’impact, packs de conformité. Des fiches, des vidéos, des conseils sensibilisent nos concitoyens aux usages du numérique.
L’importance et le rôle de l’éducation et de l’accompagnement ont été soulignés lors de nos premiers débats. Le Sénat, lui aussi, est allé dans ce sens, en soulignant, en particulier, les besoins des petites collectivités territoriales. Nous ne pouvons qu’abonder encore dans ce sens et invitons la CNIL à travailler à un guide, comme elle l’a fait à destination des TPE-PME, les très petites entreprises et petites et moyennes entreprises.
Pour ce qui est des entreprises, le règlement permet de sortir du paradigme traditionnel du régime d’autorisation. La confiance affirmée envers les responsables de traitement de données et leurs sous-traitants implique désormais que ce soient eux, accompagnés, dans la mesure de leurs moyens, par les autorités de contrôle nationales, qui vérifient la licéité de leur traitement des données à caractère personnel. En contrepartie de cette plus grande souplesse, des amendes administratives plus lourdes pourront être infligées. Tous les acteurs, qu’ils soient responsables de traitement de données ou sous-traitants, pourront être sanctionnés. Un contrat devra être établi entre les parties afin de définir et répartir leurs responsabilités.
Je souhaite que ce texte puisse bénéficier de conditions d’application aussi efficaces que possible. Le fort risque de contentieux, qui peut faire peur à un certain nombre d’acteurs du secteur et fragiliser les plus petites entreprises, a été noté. C’est pourquoi, en première lecture, j’avais déposé deux amendements concernant les dispositifs de médiation.
Le premier, qui concernait les relations entre particuliers et entreprises, a été adopté. La CNIL pourra donc sensibiliser les médiateurs habituels de la consommation aux nouveaux enjeux de ce texte ainsi qu’aux nouveaux droits dont les consommateurs pourront se prévaloir.
Le deuxième visait les relations entre entreprises, notamment entre responsables de traitement et sous-traitants. Nous étions convenus de travailler à une solution pour impliquer le médiateur des entreprises, qui traite déjà des contentieux contractuels, pour qu’il puisse mener des actions de médiation en amont des litiges, préserver la solidité des relations contractuelles et ainsi éviter des remontées de plainte vers la CNIL. Cette possibilité de saisine du médiateur a été confirmée. Une réunion sera donc organisée prochainement entre celui-ci et la CNIL afin de mettre en place le plus rapidement possible leur cadre de collaboration.
On le voit, le nombre de demandes envers la CNIL augmente considérablement avec le développement des technologies numériques : objets connectés, assistants vocaux ou algorithmes. Nous souhaitons aussi que le législateur, par le truchement des présidents des groupes politiques, puisse saisir la CNIL pour avis. Au début de cette année, la CNIL a publié son premier rapport sur l’intelligence artificielle : elle y montre l’importance d’une démarche éthique et responsable qui, en ligne avec nos valeurs européennes, doit nous différencier de nos concurrents chinois et américains. Les missions de l’autorité indépendante se multiplient.
Merci de conclure. Nous nous devons donc de doter cette autorité indépendante des moyens suffisants pour lui permettre de rester en mesure de jouer le rôle de leader européen et mondial qu’elle a eu jusqu’à présent. (Applaudissements sur les bancs du groupe LaREM.) Très bien ! La parole est à Mme Constance Le Grip. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, nous voici à nouveau réunis pour examiner, en nouvelle lecture, les dispositions transposant les cinquante-sept points du règlement général sur la protection des données qui peuvent faire l’objet d’adaptations nationales. Les désaccords constatés lors de la première lecture entre nos deux chambres, Assemblée nationale et Sénat, ont été actés par l’échec de la CMP, réunie il y a quelques jours.
Le groupe Les Républicains a déjà dit qu’il déplorait cet échec, lequel n’était d’ailleurs pas forcément prévisible, sur un texte de transposition d’un règlement européen ; mais je crains fort que les réelles divergences entre le texte adopté par le Sénat et celui de l’Assemblée nationale ne se soient accentuées au fur et à mesure que s’intensifiaient les discussions entre les deux rapporteurs et que s’évaporait l’esprit de compromis. Dont acte.
Lors de la réunion récente de la commission des lois de notre assemblée, la version sénatoriale a été en grande partie détricotée, à la demande de Mme la rapporteure, si bien que nous sommes presque revenus au point de départ. L’urgence nous commande maintenant vraiment de trouver les solutions qui permettront d’adapter notre droit au nouveau cadre européen. Je rappelle que la protection des données à caractère personnel est consacrée comme un droit fondamental par la Charte des droits fondamentaux de l’Union européenne, en son article 8, et que le RGPD doit être appliqué partout dans l’Union d’ici au 25 mai prochain.
Je l’ai dit en première lecture et je persiste, le règlement général pour la protection des données est une réelle chance pour tous les citoyens européens et même au-delà de notre continent : la chance de bénéficier d’une harmonisation par le haut, grâce à la protection offerte par un cadre unique applicable dans l’ensemble des États membres et à l’ensemble des entreprises agissant sur le territoire de l’Union européenne. L’adoption de ce texte est donc essentielle, la protection des données personnelles se situant au cœur de toutes nos activités humaines, qu’elles soient civiles, économiques ou politiques.
Quarante ans après l’adoption, de la loi française informatique et libertés et la création de la CNIL, c’est là une avancée majeure, répétons-le. Partout dans le monde, on regarde avec beaucoup d’intérêt ce qui se passe en Europe en matière de protection des données personnelles. Ce texte est donc une avancée majeure, disais-je, pour consolider un régime commun de traitement, de partage et de libre circulation protégée de nos données.
La loi pour une République numérique d’octobre 2016 avait déjà pris en compte la problématique de la protection des données personnelles, bien évidemment, mais sans couvrir l’ensemble du champ du règlement. Le projet de loi dont nous débattons arrive donc à point nommé, quoiqu’un peu tardivement. La parution, en février 2017, d’un rapport d’information parlementaire sur les incidences des normes européennes en matière de protection des données personnelles dans la législation française n’avait guère été suivie d’effets, notre pays étant alors en campagne électorale.
La confiance, maître mot pour le fonctionnement de nos démocraties, de nos sociétés et de nos économies, est mise à mal par la succession des scandales déjà abondamment évoqués par mes collègues, s’agissant des données exploitées par les grandes plateformes, souvent américaines. La polémique sur Cambridge Analytica a ouvert grands les yeux de celles et ceux qui n’avaient peut-être pas tout à fait conscience d’un certain nombre de pratiques. L’utilisation des données de 87 millions d’utilisateurs de Facebook sans leur consentement exprès a contraint, on l’a dit, Mark Zuckerberg à venir s’expliquer devant le Sénat américain et la Chambre des représentants, laquelle a d’ailleurs concédé qu’une régulation était nécessaire. Toutefois, beaucoup d’autres scandales ont déjà émaillé la chronique, et je crains que nous ne soyons pas à l’abri d’autres révélations encore.
Le RGPD n’est pas l’alpha et l’oméga, et il sera suivi de beaucoup d’autres travaux législatifs et parlementaires, tant en France qu’au niveau européen, pour parachever l’édifice et renforcer la protection de la vie privée, des données personnelles et des libertés individuelles, mais il est une réponse très attendue, une réponse européenne, que nous saluons.
J’en viens au détail de nos travaux, notamment en commission des lois.
Nous nous félicitons que l’âge du consentement des mineurs ait été ramené à quinze ans, conformément à la position émise initialement par notre groupe. Nous sommes également favorables à la possibilité de saisine de la CNIL par les commissions permanentes des assemblées et les présidents des groupes parlementaires sur les propositions de loi relatives à la protection des données personnelles. De même, la clarification apportée sur les délégations de signature nous semble une bonne chose, ainsi que le nouvel article 13 
ter , qui permet une amélioration des relations entre la CNIL et les ministères, dans leurs rôles respectifs. Nous regrettons, en revanche, le renoncement à l’obligation de chiffrement de bout en bout.
La situation des collectivités territoriales a été un point de crispation tout au long du parcours législatif et a d’ailleurs provoqué l’échec de la CMP. Les Républicains forment le vœu que la nouvelle copie que nous allons élaborer ensemble trouve le point d’équilibre, suive une voie de sagesse et de responsabilité partagée. Selon le rapport conjoint des deux rapporteurs de l’Assemblée nationale et du Sénat en vue de la CMP : « Il ne fait aucun doute que les collectivités territoriales, surtout les plus petites, doivent voir leurs besoins et spécificités pris en compte dans la manière d’appliquer les nouvelles règles, tout comme c’est le cas pour les entreprises. La CNIL nous a d’ailleurs indiqué qu’elle multipliait et multiplierait, dans les prochains mois, les efforts d’accompagnement des acteurs qui disposent de faibles moyens en vue de faciliter leur mise en conformité. »
C’est dans cet esprit de médiation et de pédagogie que j’avais déposé en première lecture, avec d’autres collègues, plusieurs amendements relatifs à la médiation, mais tous n’ont pas été adoptés. Je salue la nouvelle écriture de l’alinéa 4 de l’article 1er, qui intègre la notion d’« information adaptée » aux PME et aux collectivités territoriales, formulation qui me semble préférable à celle d’« information personnalisée ». Nous espérons que, dans les semaines et les mois à venir, la CNIL saura accomplir ce travail d’accompagnement des collectivités territoriales, surtout des plus petites, qui en ont tant besoin, de même que nos très petites entreprises.
Sur le principe, nous sommes également favorables à l’amendement audacieux de nos collègues Éric Bothorel et Cédric Villani – dont les compétences respectives sont connues – au sujet de la configuration initiale des terminaux. J’ai entendu ce que vous disiez à ce sujet, monsieur le secrétaire d’État. Il y a peut-être urgence, là encore : évitons de tergiverser et de toujours remettre à plus tard ! L’envoi d’un signal fort, dès aujourd’hui, serait peut-être bienvenu.
Dans le même esprit, le groupe Les Républicains vous invite à adopter un amendement à l’article 19 
ter , introduit par le Sénat pour consolider la base légale des prestations de service offertes aux communes et intercommunalités par d’autres collectivités territoriales ou établissements publics. C’est là, nous semble-t-il, une proposition intéressante pour permettre aux collectivités territoriales ainsi qu’à leurs groupements et syndicats mixtes de conclure entre eux des conventions pour réaliser des prestations rigoureuses et performantes tout en mutualisant les charges.
Pour conclure, je veux insister, comme je l’avais fait en première lecture, sur l’importance que revêt, pour Les Républicains, l’existence d’un cadre harmonisé européen, à travers une directive et le règlement général sur la protection des données. C’est en effet à l’échelle de l’Union européenne, nous le savons bien, que doivent être traités les enjeux essentiels de protection des données. Par ailleurs, les marges de manœuvre laissées aux États membres pour appliquer le RGPD permettent d’adapter le dispositif à la complexité du sujet, bien sûr, mais aussi à la culture politique et juridique, à la sensibilité particulière de chacun d’entre eux. Veillons toutefois à ce que cela ne conduise pas à l’inverse de ce que nous recherchons, à savoir une trop grande fragmentation juridique ! À ce stade, cet écueil me semble toutefois avoir été évité.
Les Républicains sont convaincus que le RGPD et le présent projet de loi apportent des chances et des opportunités cruciales pour avancer sur le chemin de la protection des données et des libertés individuelles.
Merci de conclure. De ce point de vue, un équilibre me semble avoir été trouvé entre les libertés individuelles des citoyens et les intérêts économiques. Il importe de préserver cet équilibre pour nos valeurs et nos libertés. Merci. C’est pourquoi nous appuierons ce projet de loi, comme nous l’avions fait en première lecture. Très bien ! La parole est à M. Philippe Latombe. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, la protection des données personnelles est un enjeu majeur, qui fait de plus en plus souvent la une de notre actualité ; nous avons eu l’occasion de le constater encore très récemment avec l’affaire Cambridge Analytica et l’audition, mardi soir, de Mark Zuckerberg par le Sénat américain. Ces affaires sensibilisent – enfin, oserais-je dire – les citoyens à cette problématique, bien qu’elle reste complexe à appréhender. Notre rôle, en tant que parlementaires, notamment à travers le présent projet de loi, est d’informer, de rassurer et de protéger nos concitoyens.
Il convient d’abord de les informer sur les droits, les usages et les risques liés au traitement des données à caractère personnel. Nous devons ensuite les rassurer car il ne faut pas avoir du sujet une vision manichéenne : l’utilisation des données personnelles dans le cadre d’activités économiques n’est pas néfaste en elle-même, et nombreuses sont les entreprises, tous secteurs d’activité confondus, qui font un usage cohérent et justifié des données de leurs clients. Il faut enfin protéger nos concitoyens, et, à ce titre nous devons souligner l’ambition européenne que représente le RGPD, lequel impose des règles à l’ensemble des responsables de traitement, quelle que soit leur nationalité, dès lors qu’un ressortissant européen est concerné. C’est là une première mondiale ; nous pouvons nous féliciter d’en être les acteurs.
C’est d’ailleurs cette dimension européenne qui donne toute sa force au texte, nous avons déjà eu l’occasion de le dire à cette tribune. Il permettra de faire de l’Union européenne un espace de sécurité pour tous les citoyens, attractif pour les entreprises et donnera une vraie lisibilité aux règles applicables.
L’enjeu est capital, a déclaré la présidente de la CNIL à l’occasion de la présentation de l’activité de cette autorité en 2017 : « L’Europe joue gros. Elle doit faire la démonstration que ses principes éthiques et généraux sont bons. Nous l’affirmons depuis longtemps. Mais nous devons aussi démontrer que le nouveau dispositif marche, qu’il est efficient, qu’il va apporter aux acteurs économiques les garanties, la sécurité juridique qu’ils sont en droit d’attendre. » Isabelle Falque-Pierrotin estime ainsi qu’il s’agit de réussir « un pari » qui doit permettre à l’Europe de disposer « potentiellement d’un standard mondial ». Nous partageons son point de vue.
Nous avons eu l’occasion de le rappeler à plusieurs reprises, le groupe MODEM est particulièrement satisfait de nos débats sur le projet de loi relatif à la protection des données personnelles. Nous avons pu regretter, il est vrai, l’urgence à laquelle nous sommes aujourd’hui encore soumis, puisque ce texte doit être adopté avant le 25 mai, date à laquelle le règlement général sur la protection des données entrera en vigueur. Nous pensons néanmoins que cette urgence n’a pas été préjudiciable à nos débats et que le texte que nous adopterons sera équilibré, respectueux de nos engagements européens mais aussi des spécificités françaises. De plus, il est le fruit d’un consensus au sein de notre assemblée dont nous pouvons nous féliciter.
Nous regrettons évidemment que la commission mixte paritaire n’ait pu aboutir mais nous comprenons les raisons de cet échec. Les positions du Sénat étaient, sur certains points, inacceptables.
Je souhaiterais en souligner un en particulier : il nous paraît inconcevable d’exonérer les collectivités territoriales du respect du RGPD. Les entreprises, notamment les TPE-PME, n’auraient absolument pas compris que les collectivités, qui disposent d’un nombre de données particulièrement conséquent, ne soient pas soumises à ces règles, applicables sur l’ensemble du territoire européen. De même, il était impensable que l’on puisse exonérer les collectivités de sanctions en cas de manquements graves au RGPD ; cela n’aurait pas été juste. En revanche, nous sommes tout à fait favorables à ce que les spécificités des collectivités territoriales soient prises en compte, de même que celles des PME. À ce propos, nous saluons le travail de la rapporteure, qui a fait preuve de discernement et a gardé les ajouts pertinents du Sénat en la matière.
De manière générale, nous sommes satisfaits des dispositions adoptées mardi dernier en commission, qui permettent de rétablir, pour l’essentiel, l’équilibre du texte que nous avions élaboré au fil de nos débats en première lecture, tout en maintenant certains apports et précisions utiles du Sénat.
Nous nous réjouissons ainsi du rétablissement du seuil de consentement à l’âge de quinze ans pour le traitement des données personnelles ; nous étions plusieurs à partager cette position, que nous pensons cohérente tant avec l’âge du consentement sexuel qu’avec la maturité des adolescents.
En outre, nous n’avons pas vraiment compris pourquoi le Sénat a souhaité limiter les possibilités de saisine de la CNIL par les parlementaires aux seuls présidents du Sénat et de l’Assemblée nationale, et nous sommes heureux que la rapporteure ait rétabli la possibilité de saisine par les commissions compétentes et par les présidents de groupe parlementaire.
Nous sommes également satisfaits que la commission ait choisi de rétablir l’accord qui avait été trouvé quant à la possibilité d’obtenir des réparations en cas de préjudice à la suite d’un manquement aux règles relatives aux données personnelles dès l’entrée en vigueur de la loi.
De même, la rédaction de l’Assemblée en matière d’action de groupe nous semble plus pertinente car l’agrément souhaité par le Sénat paraissait inutilement contraignant.
Je souhaiterais conclure par un point qui nous tient particulièrement à cœur depuis le début de nos travaux et sur lequel je suis heureux qu’un compromis ait pu être trouvé : je pense, bien entendu, à la question des données scolaires. Nous avions souligné à plusieurs reprises qu’il aurait été intéressant de faire usage des marges de manœuvre autorisées par le règlement en matière de protection des données sensibles, en étendant celle-ci aux données à caractère personnel traitées par l’éducation nationale. C’est un sujet qui intéresse de grandes entreprises, comme Google et Microsoft, qui développent des outils pédagogiques à destination des enseignants et des élèves. Dès lors, il nous paraissait essentiel de protéger davantage les données scolaires et, à travers elles, les données personnelles des élèves. Nous étions convenu, madame la rapporteure, de travailler ensemble afin de trouver une rédaction susceptible de convenir à tous, et je suis particulièrement heureux que cette promesse ait été tenue. Le Sénat, il faut le souligner, a été attentif à cette problématique et a proposé une rédaction que nous avons, sur votre proposition, améliorée lors de l’examen en commission, en adoptant une nouvelle version de l’article 14 
bis  A. Celui-ci impose donc aux établissements scolaires une transparence en matière de traitement des données scolaires ; c’est un progrès qu’il me paraissait essentiel de souligner ici.
Le projet de loi relatif à la protection des données personnelles est un texte majeur, dont l’importance n’est peut-être pas mesurée par tous. Je suis certain qu’il aura des conséquences durables et qu’il posera l’Union européenne comme un précurseur en la matière, que d’autres pays, sur tous les continents, suivront son exemple.
Enfin, la menace du Sénat, si j’ose dire, de déférer le texte au Conseil constitutionnel ne doit pas être vue ainsi ; ce serait au contraire une belle occasion de renforcer définitivement la valeur de ce texte en le purgeant de tout doute d’anticonstitutionnalité. Néanmoins, en pareil cas, monsieur le secrétaire d’État, nous vous saurions gré de demander au Conseil de rendre son avis très rapidement pour que la loi puisse s’appliquer dans les délais.
Pour l’ensemble de ces raisons, le groupe MODEM soutient ce texte avec conviction.
(Applaudissements sur plusieurs bancs du groupe LaREM.) La parole est à M. Pierre Morel-À-L’Huissier. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, sans revenir sur ce qui a été dit précédemment à cette tribune, je ne peux que, moi aussi, rappeler l’actualité. En effet, alors que Mark Zuckerberg était invité à s’expliquer, avant-hier, devant le Sénat des États-Unis, au sujet des 87 millions de comptes Facebook illégalement exploités par la société Cambridge Analytica, la transposition dans notre droit national des nouvelles exigences européennes en matière de protection des données semble plus que jamais bienvenue. À bien des égards, l’inévitable mise en data de l’humanité soulève de nombreux défis et questions légitimes quant à la manière de partager, d’utiliser et de protéger les données les plus sensibles.
Dans ce domaine peut-être plus que dans un autre, les législations nationales et communautaires différent tant qu’elles nuisent à leur efficacité. Si les données personnelles inquiètent les particuliers et les pouvoirs publics, elles suscitent à l’inverse l’intérêt des géants du numérique qui leur associent volontiers une valeur marchande, une fois qu’elles sont collectées, analysées et traitées. Dans un environnement numérique de plus en plus dense et mondialisé, nous pouvons saluer le fait que ce débat ait été porté à l’échelle européenne, qui constitue indéniablement l’échelon le plus pertinent pour la protection des données personnelles au sein d’un cadre juridique unifié.
Le paquet européen de protection des données opère le nécessaire dépoussiérage de la loi informatique et libertés de 1978. Si cette loi a indéniablement fait de la France un pays précurseur en matière de protection des données individuelles, force est de constater que, quarante plus tard, au regard des évolutions, ou plutôt des révolutions, notre avance a perdu de sa superbe. En notre qualité de législateur, nous pouvons regretter une nouvelle fois l’examen en urgence d’un texte aussi important, aux dispositions techniques et complexes, qui laissait une marge de manœuvre dans sa transposition en droit interne. Le sujet est en effet vaste et concernera, à n’en pas douter, d’autres dispositifs législatifs qui interrogeront les dimensions politique, économique, éthique et philosophique de la numérisation de notre société.
Preuve de la complexité des enjeux entourant ce texte, la commission mixte paritaire, réunie la semaine dernière, n’est pas parvenue à trouver un accord sur les dispositions restant en discussion. Il faut avouer que la tâche est dure, tant il faut concilier des usages et intérêts parfois divergents : ceux de nos concitoyens, bien sûr, mais ceux aussi de nos entreprises, et notamment des TPE-PME, sans oublier ceux de nos collectivités territoriales. Nous regrettons tous cet échec, non seulement parce qu’il risque de nous conduire à dépasser le délai de transposition, mais surtout parce que le renforcement de la protection des données personnelles est urgent, en témoigne l’actualité.
Pour autant, il convient de ne pas exacerber les divergences qui subsistent avec nos collègues sénateurs, non qu’elles ne soient pas importantes, mais parce qu’au fond, si un consensus n’est pas possible à court terme, un compromis le serait sans doute. Qu’il s’agisse de la spécificité des collectivités territoriales, du seuil d’âge pour le consentement des mineurs au traitement de leurs données sur les réseaux sociaux, de l’extension du champ de l’action de groupe à la réparation des préjudices matériels et moraux, du renforcement de la protection face au profilage, de la saisine de la CNIL sur une proposition de loi, du fléchage du produit des amendes et astreintes qu’elle prononce, de l’encadrement des traitements de données pénales par des organismes privés ou encore des règles applicables aux fichiers de police et de justice, je suis convaincu que les parlementaires pourront s’entendre. En effet, nous poursuivons le même objectif : préserver, si ce n’est rétablir, un équilibre entre la responsabilisation des acteurs traitant des données et les droits ouverts aux citoyens sur les données qui leur appartiennent.
Aussi, notre groupe ne peut que soutenir la saisine de la CNIL par les présidents des commissions et des groupes parlementaires sur les propositions de loi relatives à la protection des données personnelles, disposition qui vise à renforcer les pouvoirs du Parlement sur un thème qui, à l’évidence, occupera une part importante de bon nombre de textes à venir. Pour guider la réflexion du législateur, il est nécessaire que celui-ci soit en mesure d’appréhender pleinement les enjeux liés au numérique et à la protection des libertés individuelles, d’où l’intérêt du recours à une telle expertise.
Sur un autre sujet, et conformément à la marge de manœuvre offerte par le règlement européen, nous nous félicitons que le Sénat comme l’Assemblée nationale aient souhaité l’introduction en droit interne d’un dispositif permettant à des associations d’exercer une action de groupe et d’obtenir
in fine la réparation d’un préjudice matériel ou moral. À ce stade, les points d’achoppement avec la chambre haute portent sur l’entrée en vigueur du dispositif et sur le conditionnement d’un agrément de la part de l’autorité administrative. Nous penchons en faveur de la rédaction de notre assemblée et jugeons que le délai de deux ans pour l’entrée en vigueur du dispositif n’est pas suffisamment justifié et que l’exigence d’un agrément de l’autorité administrative est contraire à l’esprit qui anime ce texte, à savoir le renforcement des prérogatives des citoyens face aux manquements des responsables de traitement de données. Sur ces points aussi, je ne doute pas que nous puissions trouver un accord à l’issue de cette deuxième lecture.
Quant à l’âge légal du consentement des mineurs sur internet et à leur capacité à consentir seuls au traitement des données qui les concernent sur les réseaux sociaux et autres plateformes, nous nous en remettons à nouveau à l’avis de notre rapporteure. Le règlement laisse en effet aux États la possibilité de déroger à la fixation par défaut de cet âge en permettant de ramener ce seuil à treize ans. Nous trouvons sage et pertinent de le fixer à quinze ans, tout en conditionnant ce dispositif à une obligation des responsables de traitement de communiquer selon des modalités adaptées à l’âge du mineur. Cette disposition, prise à la suite d’une consultation approfondie d’associations protectrices de l’enfance et d’entreprises du numérique, concilie à la fois l’exigence de la protection des mineurs sur internet et la réalité de leur présence, d’ores et déjà bien effective, sur les réseaux sociaux.
Rassurez-vous, mes chers collègues, je ne reviendrai pas sur l’ensemble des dispositions restant en discussion, mais je tenais, à travers ces exemples, à rappeler, eu égard à l’importance et à la complexité de ce projet de loi, qu’il est primordial de communiquer de manière claire et pédagogique auprès de nos concitoyens et de nos entrepreneurs afin de les inviter à prendre pleinement la mesure du nouveau cadre législatif dans lequel ils évolueront d’ici peu et qu’il nous appartient de fixer avec pragmatisme.
La parole est à M. Rémy Rebeyrotte. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, nous avons en effet été surpris que la commission mixte paritaire ne puisse pas aboutir sur un texte qui nécessitait l’urgence et qui pouvait – c’était notre conviction – faire largement consensus.
Nous aurions pu conclure sur plusieurs points, mais très vite est arrivée la question de l’exonération des collectivités territoriales. Nous sommes très attentifs à ce que le Sénat dit ou écrit sur la gestion de ces dernières, étant donné la spécificité de cette institution.
C’est son rôle ! Nous avions trouvé un accord sur la question de l’information des collectivités, soucieux de faire en sorte que celles-ci soient aussi bien informées que les PME ou les autres entreprises, ainsi que sur la question de leur accompagnement. Mais exonérer les collectivités territoriales, ce serait d’abord vider le texte d’une partie de son contenu et dire à l’Europe que certains acteurs français seraient exonérés de ces obligations communes. Ce serait aussi, nous le croyons sincèrement, mettre en danger les maires et les présidents des intercommunalités. En effet, il est très important que dans nos petites collectivités, les secrétaires de mairie, mais aussi les élus, soient sensibilisés à ces questions. C’est essentiel et nous n’y échapperons pas. Tout à fait ! Quant aux grandes collectivités, qui comptent plus de 250 agents et disposent de services informatiques développés, comprenant au moins cinq ou six personnes, elles devraient se doter d’un délégué à la protection des données personnelles chargé de suivre, aux côtés des élus et des services, les enjeux majeurs qui entourent la gestion des informations et des fichiers. Cela nous semble d’autant plus important les membres des services comme les élus des collectivités territoriales peuvent être soumis à des tentations liées à la dimension commerciale des données. Nous sommes ainsi régulièrement interpellés par les mutuelles, qui désirent démarcher le personnel afin d’obtenir l’accès aux fichiers de nos services. Je pense aussi – et c’est une autre menace forte pour nos collectivités – aux risques de nature politique. On peut imaginer qu’un collègue, en connaissance de cause ou sans réellement comprendre la situation, utilise un jour des fichiers à des fins politiques ; ce serait grave pour lui car il devrait en répondre pénalement. Il est donc très important que les services et, bien sûr, tous les élus prennent conscience de la nécessité d’une gestion fine des fichiers et des données personnelles que nous gérons. Il faut poser les cadres, fixer les outils de gestion et accompagner tant les services que les élus dans ce domaine.
Il nous semble donc extrêmement important que les collectivités soient soumises aux mêmes obligations que les PME, ETI – entreprises de taille intermédiaire – et grandes entreprises, qui auraient d’ailleurs jugé curieux, comme l’Europe, qu’un cadre contraignant quoique protecteur leur soit imposé, et que les collectivités territoriales s’en voient exonérées. Sur ce point, nous n’avons pas pu reculer.
Sur d’autres questions également délicates – l’âge de la maturité et de l’accès libre au numérique, ou bien l’action de groupe –, nous aurions sans doute pu, à force de débat, aboutir à un accord. En revanche, en ce qui concerne la responsabilité des collectivités territoriales et la protection de leurs acteurs, il nous semblait extrêmement important de pouvoir avancer, y compris en l’imposant si nécessaire – ce n’est jamais agréable, mais c’est ici essentiel, car il y va de nos responsabilités.
Je salue le travail accompli sous la conduite de Mme la rapporteure, un travail exigeant, important, jalonné de discussions. Nous arrivons à cette deuxième lecture porteurs de quelques avancées supplémentaires, le temps, mon cher collègue Bothorel, de trouver les mots qu’il fallait pour traduire l’exigence de concurrence en matière d’accès aux moteurs de recherche.
Il est temps de conclure, mon cher collègue. Bref, le texte est encore plus abouti et cette nouvelle lecture représente une chance d’aller encore un peu plus loin. (Applaudissements sur les bancs des groupes LaREM et MODEM.) La parole est à Mme Emmanuelle Ménard. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, la protection de la vie privée et des données personnelles est un enjeu de taille, je dirais même un enjeu majeur, dans nos sociétés contemporaines. L’actualité de ces derniers jours, avec ce qu’il faut bien appeler le scandale Facebook, nous en apporte une nouvelle preuve.
Notre pays, avec la CNIL, a été l’un des premiers à se donner les moyens de protéger ses citoyens d’une trop grande intrusion dans ce qui doit demeurer leur domaine privé. Mais c’était en 1978 : nous sommes quarante ans plus tard. Depuis lors, l’omniprésence d’Internet, le règne pratiquement sans partage des réseaux sociaux, l’apparition d’algorithmes toujours plus performants ont bouleversé le paysage numérique et, avec lui, bien des aspects de notre vie quotidienne.
Les données personnelles ne sont plus collectées seulement par l’État et ses administrations, mais aussi par bien d’autres acteurs publics et privés dont la puissance semble ne plus avoir de limite – une puissance construite, justement, sur la collecte de données, véritables matières premières des économies de notre siècle. C’est un domaine où les frontières n’ont plus de place : elles sont ignorées, pulvérisées par ces acteurs à l’ambition planétaire. Quant au simple citoyen, au quidam que nous sommes, il est devenu, parfois à sa propre initiative ou avec son consentement, le fournisseur de données qui sont l’enjeu d’une guerre aussi silencieuse que dépourvue d’états d’âme, livrée par les nouveaux majors d’internet.
L’Europe s’est saisie de ce dossier, ce qui a abouti, au terme de plusieurs années de négociation, à l’adoption du règlement général sur la protection des données. Celui-ci devrait entrer en vigueur le 25 mai prochain, d’où la nécessité de réviser notre propre loi de 1978 ; c’est l’objet même du présent texte.
Mais disons les choses clairement : il s’agit ici de bien davantage que d’habiliter le gouvernement à procéder à des ajustements législatifs ! Il y va de questions essentielles, et réduire le texte à un simple travail de transposition serait se tromper lourdement.
Derrière les têtes de chapitre, qui traitent de sujets aussi divers – je cite à la volée – que l’anonymisation, le profilage, la prévention ou la portabilité, se cache en effet un véritable et profond changement d’approche : il s’agit de revoir entièrement le dispositif en inversant la charge de la preuve. Jusqu’à présent, rappelons-le, nous avions un système de déclaration préalable et d’autorisation. Demain, il faudra que les entreprises démontrent qu’elles ont pris toutes les précautions, toutes les mesures nécessaires pour garantir le respect des données personnelles. Les sanctions prévues à la clé sont sans commune mesure avec celles que la CNIL pouvait prononcer jusqu’à présent : une amende de 150 000 euros hier, contre 4 % du chiffre d’affaires ou 20 millions d’euros demain.
La CNIL va donc se voir confier de nouveaux pouvoirs, ce dont chacun doit se féliciter, mais je voudrais lui suggérer de concentrer son attention sur les géants d’internet, qui finissent par ressembler au
Big Brother de 1984 , et de faire preuve de tolérance à l’égard des petites et moyennes entreprises, cibles souvent plus faciles à sanctionner que les GAFA. En ces matières où les règles sont difficiles à maîtriser et à mettre en œuvre pour les TPE et les PME, il peut arriver que le chef d’entreprise se perde, de bonne foi, dans un véritable maquis administratif. Ne l’oublions pas !
Au-delà de ces questions importantes, ne perdons pas de vue la dimension éthique du débat. Les données sont devenues un actif stratégique que les acteurs économiques s’arrachent. Or elles nous décrivent dans notre intimité et doivent être protégées de l’appétit toujours grandissant de ces entreprises. Il nous faut donc des contre-pouvoirs. Chacun doit savoir ce que l’on va faire des informations collectées chaque fois qu’il se connecte, qu’il fait un achat, qu’il échange avec ses amis ou qu’il visionne une série. Il nous faudra, pour cela, nous affranchir de la mainmise des grands groupes, notamment américains.
C’est à l’échelle de l’Europe que ce combat doit être mené, en promouvant et en développant les logiciels libres et en favorisant la coopération entre les pays désireux de préserver rien de moins que la liberté de leurs citoyens. La mainmise presque totale des Américains et des Chinois sur les algorithmes et sur les bases de données représente une menace pour notre indépendance et une prise de contrôle de nos destins.
Je voterai donc bien entendu pour ce règlement général sur la protection des données. Qu’il soit l’occasion d’un débat et d’une prise de conscience des dangers du tsunami numérique n’est pas le moindre de ses mérites.
La parole est à Mme Albane Gaillot. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, mes chers collègues, nous nous retrouvons ce matin pour la nouvelle lecture du projet de loi relatif à la protection des données personnelles, après l’échec de la CMP. Mais le contexte a changé depuis la première lecture : le scandale Cambridge Analytica – nom de l’entreprise d’analyse de données qui est accusée d’avoir recueilli sans le consentement du réseau social Facebook les informations personnelles de 87 millions d’usagers de ce dernier, dont 210 000 citoyens français – et les excuses de Mark Zuckerberg hier, devant le Congrès, démontrent clairement que la régulation européenne qui s’instaure est une réponse adaptée aux enjeux.
Comme l’ont dit mes collègues, l’Assemblée nationale avait largement adopté ce texte en première lecture, avec 523 voix pour. Il faisait donc consensus.
Il contenait de réelles avancées pour les citoyens et les entreprises, comme le développement des possibilités offertes aux citoyens face aux atteintes à la protection des données personnelles, avec l’extension de l’action de groupe à la réparation des préjudices matériels et moraux. Le Sénat a souhaité limiter la portée de cette évolution en la différant de deux ans, ce que nous ne pouvions accepter.
Le texte initial prévoyait également la protection des personnes face au profilage, qui passe par la transparence des algorithmes ; là, encore, le Sénat a modifié ce dispositif dans son ensemble.
D’autres aspects ont pu susciter un blocage, notamment la volonté du Sénat d’exempter les collectivités territoriales des amendes relatives au traitement des données personnelles, ce qui me paraît incompatible avec le principe d’égalité. Je rappelle que l’esprit du RGPD et du projet de loi est d’instaurer de nouvelles règles pour tous, en allégeant les formalités préalables et en responsabilisant davantage les acteurs des données personnelles : entreprises, chercheurs, administrations et, bien sûr, collectivités territoriales. Ces dernières traitent des données sensibles, et elles en traitent beaucoup, c’est un fait. Pouvons-nous les soustraire à ce cadre légal protecteur ?
Avant la sanction, il faut voir dans ce texte une double protection : pour le citoyen, dont les données sont sécurisées, et pour la collectivité locale – le maire, par exemple –, qui peut ainsi s’assurer de la qualité de la collecte et du traitement, d’ailleurs souvent sous-traités, des données des citoyens.
Concernant l’application du RGPD et de ces nouvelles mesures, des inquiétudes ont pu naître. Elles sont légitimes, mais je tiens à rappeler que tous les acteurs seront accompagnés, principalement ceux qui disposent de faibles moyens pour se mettre en conformité avec les nouvelles règles.
À ce sujet, la CNIL n’est plus simplement un organe de contrôle : elle est pleinement engagée dans le rôle d’accompagnateur des acteurs que lui confie le texte et a déjà développé des outils au service des citoyens et des parties prenantes. Ce développement de son rôle doit être conforté par la mise à disposition de moyens supplémentaires.
Je voudrais enfin revenir sur les données de santé, sur lesquelles j’ai travaillé, en première lecture, comme rapporteure pour avis de la commission des affaires sociales. Sur ce point aussi, le texte contient des avancées considérables.
Le principe d’interdiction du traitement des données sensibles et des données génétiques et biométriques est conforté.
Par ailleurs, l’ouverture de l’accès aux données de santé doit permettre de favoriser la recherche, l’innovation, l’amélioration de la prise en charge des patients et la définition de nos politiques de santé publique. À cet égard, je ne peux pas ne pas citer l’excellent rapport de notre collègue Cédric Villani sur l’intelligence artificielle : « Les données sont généralement le point de départ de toute stratégie en IA, car de leur disponibilité dépendent de nombreux usages et applications. […] Au niveau européen, plusieurs réformes en cours doivent permettre un meilleur accès et une plus grande circulation des données. » Et il préconise que nous concentrions nos efforts sur quatre secteurs, dont celui de la santé.
Je tiens enfin à dire combien je suis satisfaite que, à l’occasion de cette nouvelle lecture à l’Assemblée nationale, la commission des lois ait rétabli les dispositions que nous avions votées en première lecture.
Je rappelle que l’équilibre dégagé par la loi de modernisation de notre système de santé n’est remis en question ni par le RGPD, ni par ce projet de loi, et que le cadre juridique de ce dernier opère une véritable conciliation entre les exigences de la vie privée et l’intérêt général.
Ce texte constitue donc une réponse adaptée au contexte dans lequel nous nous trouvons, celui d’un perpétuel changement et d’un développement exponentiel des données personnelles, particulièrement des données de santé. Il nous faut être au rendez-vous des objectifs fixés par le RGPD.
(Applaudissements sur les bancs du groupe LaREM.) La parole est à M. Éric Bothorel. Monsieur le président, monsieur le secrétaire d’État, madame la rapporteure, chers collègues, l’actualité est riche d’enseignements sur le sujet qui nous réunit à nouveau ce matin : celui de la protection des données personnelles.
L’affaire Cambridge Analytica a mis en lumière la manière dont une application tierce a pu obtenir de façon détournée les données de 87 millions d’utilisateurs du réseau social Facebook. Ce qui est désormais qualifié de véritable scandale par de nombreux observateurs n’a pas fini de nourrir le débat public, aux États-Unis comme en Europe. Outre-Atlantique, la prise de conscience est tout aussi brutale que salutaire. L’affaire interroge profondément l’acceptabilité de modèles économiques fondés sur la collecte massive de données personnelles lorsque cette collecte ne rencontre aucune forme de régulation, comme c’est le cas aux États-Unis.
Mark Zuckerberg a affirmé cette semaine, devant le Congrès américain : « Nous traversons un grand changement philosophique au sein de la société. » Je le crois bien volontiers, d’autant que les bouleversements technologiques qui nous attendent vont être toujours plus intenses et rapides. Car, dans un monde hyperconnecté, où les algorithmes seront aussi bien logés dans nos poches qu’au milieu de notre salon, et où assistants vocaux et voitures autonomes seront pensés pour nous faciliter la vie, les volumes de données en circulation iront toujours croissant. Face à cette perspective, les attentes de nos concitoyens nous obligent. Or le constat est sans appel : ils demandent le maximum de transparence et de souveraineté sur l’usage qui est fait de leurs données.
Fort heureusement, l’Europe est à l’avant-garde de cette bataille juridique et politique, notamment grâce à son règlement général sur la protection des données. Je ne reviendrai que brièvement sur les grandes orientations du texte que nous avons la responsabilité d’incorporer dans le droit interne, car elles sont bien connues.
En premier lieu, le règlement renforce les droits des personnes physiques, par le droit à l’oubli et à la portabilité, et facilite l’exercice de ces droits sur le plan juridictionnel. Les dispositions relatives aux principes
privacy by default et privacy by design et les garanties entourant le consentement libre et éclairé achèvent de consolider cet édifice protecteur.
En deuxième lieu, le texte consacre le passage à une régulation
a posteriori qui responsabilise les acteurs manipulant des données personnelles, notamment par la progressivité de leurs obligations en fonction du risque pour la vie privée et par le recours à des instruments de droit souple, propices à l’expérimentation et à l’innovation.
En troisième lieu, le RGPD constitue un véritable instrument de souveraineté européenne par son extraterritorialité et par le caractère dissuasif des sanctions qu’il prévoit.
Mais ne nous leurrons pas : beaucoup reste à faire, et certains risques menacent les avancées que nous défendons. Je pense notamment à la signature récente par le président des États-Unis du CLOUD Act, qui permet à l’exécutif américain de négocier des accords bilatéraux avec d’autres gouvernements pour faciliter les réquisitions administratives des données détenues par les entreprises numériques, y compris lorsque celles-ci sont situées en dehors du territoire, le tout sans réel contrôle du juge. Il va sans dire que cette loi soulève beaucoup d’interrogations et que nous devrons rester très vigilants pour que son application ne contourne nullement le RGPD.
Par ailleurs, si le RGPD dessine un juste équilibre entre innovation et protection, de fins réglages demeurent nécessaires pour que ses principes soient pleinement effectifs en pratique. J’ai notamment à l’esprit la nécessité d’assurer à nos concitoyens une véritable liberté de choisir leurs services numériques, pour que leur consentement ne soit jamais présumé. C’est la condition pour réinstaurer une saine concurrence entre les acteurs et nous extraire de la menace qui nous guette d’une « atrophie systémique majeure de notre économie », pour reprendre les termes de Sébastien Soriano. Le libre choix, le consentement éclairé sont des questions sur lesquels nous reviendrons très certainement lors de l’examen des articles.
Je ne résiste pas, chers collègues, à l’envie de mentionner un exemple qui a récemment été porté à ma connaissance. Il montre comment des divergences doctrinales entre autorités européennes peuvent rejaillir négativement sur la capacité de nos concitoyens à consentir au traitement qui est fait de leurs données personnelles.
En l’espèce, une plateforme d’e-commerce bien connue peut enregistrer automatiquement les données bancaires de ses clients dès le premier achat, sans jamais leur demander leur avis, et ce, en toute légalité, car son siège social est situé au Luxembourg et que son autorité de contrôle le permet. Or la réciproque n’est pas vraie pour les e-commerçants français. À l’évidence, il est grand temps de rompre avec ces pratiques et d’œuvrer à une harmonisation des législations nationales qui soit la plus protectrice possible.
Cela étant, je suis aussi d’avis qu’un cadre protecteur des données personnelles n’est que la première brique, certes fondamentale, d’une régulation efficace des acteurs du numérique. Les suivantes sont bien identifiées, à savoir la nécessité de moderniser notre droit de la concurrence pour saisir certaines pratiques commerciales déloyales propres à l’économie des plateformes, ou la nécessité de fluidifier le marché des données pour que tous les acteurs, grands comme petits, puissent s’en servir pour innover.
C’est l’ensemble de ces sujets qu’il nous faudra traiter, sans jamais nous départir d’une vision globale, car les technologies sont en mouvement perpétuel, et les ruptures parfois imprédictibles dans leur délai d’exécution et leurs conséquences. Par conséquent, notre cadre juridique et législatif doit pouvoir épouser leurs évolutions au plus près.
Pour un numérique au service de l’humain, reposant sur ce qui pourrait être une devise, d’Helsinki à Paimpol, de Lisbonne à Lannion : neutralité, portabilité, sérendipité.
(Applaudissements sur plusieurs bancs des groupes LaREM et LR.) La discussion générale est close. J’appelle maintenant, dans le texte de la commission, les articles du projet de loi.
(L’article 1er est adopté.) La commission a maintenu la suppression par le Sénat de l’article 1er  bis . La parole est à M. Philippe Gosselin, pour soutenir l’amendement n7. Je n’ignore pas la raison pour laquelle cet amendement fait sourire la rapporteure : souvent, député varie, bien fol qui s’y fie… (Sourires.) Comme vous le savez, chers collègues, j’étais à l’origine d’un amendement qui exigeait des personnalités qualifiées membres de la CNIL de cumuler certaines compétences.
Au cours du débat, après réflexion et discussion avec plusieurs personnes, il m’a semblé que les conditions cumulatives, loin d’améliorer le recrutement des personnalités qualifiées, risquaient de restreindre le champ des compétences. C’est pourquoi j’avais déposé un amendement allant dans ce sens en première lecture.
Or la CNIL n’a pas, tant s’en faut, uniquement des fonctions de sanction : c’est l’objet de la commission restreinte, dont les compétences seront renforcées par le RGPD, avec de nouvelles capacités de sanction, qui sont considérables – 20 millions d’euros d’amende ou 4 % du chiffre d’affaires consolidé. Elle a en revanche d’autres fonctions, liées à l’éthique et à l’interrogation sur la place des données personnelles dans notre société, qui lui ont été confiées par la loi pour une République numérique.
Ainsi, des qualités cumulatives pourraient exclure des regards différents – ceux d’historiens, de philosophes ou autres. Il me semble donc intéressant qu’une plus grande diversité puisse être représentée dans le collège de la CNIL.
Cet amendement qui, je l’espère, chers collègues, recevra votre soutien, vise donc un retour au
statu quo ante. Quel est l’avis de la commission ? Avis défavorable. En effet, monsieur Gosselin, nous avons eu un dialogue persistant tout au long de l’étude du texte sur ce sujet. Comme je l’ai déjà expliqué, il me semble qu’il faut vraiment renforcer la CNIL en termes de compétences techniques numériques.
Pour l’instant, la composition de cette instance est très juridique : sur les dix-huit membres, deux sont issus du Conseil d’État ; deux, de la Cour de cassation ; deux, de la Cour des comptes ; deux du Conseil économique, social et environnemental. La CNIL devenant de plus en plus un tribunal, avec les amendes considérables qu’elle pourra infliger aux différents acteurs, il est nécessaire qu’elle puisse saisir ces enjeux très techniques.
Sachant qu’elle aura aussi une mission d’accompagnement des acteurs, pour les aider à monter en compétence, elle doit être dotée de ces compétences numériques pour assurer leur transfert.
Quant aux réflexions plus prospectives autour du numérique, elles pourront être menées dans d’autres espaces, tel le Conseil national du numérique – le CNNUM –, où des profils plus divers pourront s’exprimer.
Je maintiens donc que cette disposition ne doit pas figurer dans le texte du projet de loi.
Quel est l’avis du Gouvernement ? Après la démonstration de la rapporteure et au nom de cette exigence de compétences, le Gouvernement est défavorable à cet amendement. La parole est à M. Philippe Gosselin. J’entends bien ces avis, tout en persistant à défendre mon amendement car, vous le savez, il n’y a que les combats que l’on ne mène pas que l’on perd.
Je rappelle que les services de la CNIL, qui sont en première ligne pour répondre aux interrogations non seulement de nos concitoyens mais aussi des entreprises, disposent de toutes les compétences techniques nécessaires.
Il me semble cependant que le collège de la CNIL est d’une nature un peu différente. Il me semble évident que la totalité de ses membres n’ont pas à se substituer aux services, ni à nécessairement connaître l’ensemble des développements techniques, comme cela découlerait du texte.
Encore une fois, même si les fonctions de la CNIL prendront davantage d’ampleur dans les mois à venir, compte tenu de l’application du RGPD à partir du 25 mai, et que celle-ci a la propension à être davantage un tribunal – je reprends là votre expression, madame la rapporteure, même si elle n’est pas tout à fait exacte –, nombre d’entre elles, bien qu’elles supposent une technicité, une expertise, ne sont pas « techniques » au sens où vous l’entendez. Elles nécessiteraient donc un regard plus large que celui du cumul des compétences, que le texte semble inscrire dans le marbre – si cet amendement était retoqué, ce qu’à ce stade je n’espère pas.
La parole est à M. Philippe Latombe. La réflexion a été menée en commission et en séance, par deux fois. La vision de M. Gosselin conduisant à ouvrir le champ des compétences au sein de la CNIL nous paraît plus souple.
Nous sommes donc favorables à un retour à la rédaction initiale, c’est-à-dire à un remplacement du mot « et » par le mot « ou », afin de ne pas restreindre la possibilité pour la CNIL de disposer de profils différents : il serait intéressant qu’un épidémiologiste ou encore un sociologue, potentiellement axés sur la prospective de l’utilisation des données, puissent éclairer la CNIL de façon plus large. Nous sommes donc favorables à cet amendement.
La parole est à M. Rémy Rebeyrotte. Pour notre part, nous suivrons la rapporteure, car nous pensons que les connaissances numériques sont essentielles, au moment où la CNIL devra, sinon se transformer en tribunal, du moins sanctionner des problèmes d’ordre numérique et juridique.
Abondance de biens ne nuit pas : si une personne a quelques compétences dans d’autres secteurs tout en connaissant le droit et en disposant de compétences numériques, son profil en sera d’autant plus intéressant. Ce cumul est donc non pas une condition limitative, mais un socle, qui nous semble indispensable.
(L’amendement n7 n’est pas adopté.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n1. Comme nous le disions tous et toutes, les missions de la CNIL ne cesseront de croître quantitativement, et de se spécialiser qualitativement. Il s’agit d’une autorité administrative indépendante devant faire face aux enjeux majeurs du XXIsiècle, notamment le renouvellement du logiciel en matière de protection des libertés fondamentales auquel l’ère numérique nous invite.
Le Conseil d’État l’a montré dans son étude intitulée
Le Numérique et les droits fondamentaux  : l’inventivité que ce changement de paradigme va recueillir exige de la part des personnes membres de la CNIL un haut degré d’expertise et de technicité. Il faut donc que chacun et chacune de ses membres y soient, parce qu’ils et elles sont compétents et compétentes, tout en évitant les conflits d’intérêts, ô combien nombreux, qui peuvent survenir dans leur nomination.
Pour assurer le respect de cette exigence de compétences, la publication des critères d’évaluation et des évaluations elles-mêmes est nécessaire, afin de garantir une plus grande transparence de la procédure de sélection, ce qui répond également à une exigence plus générale de transparence dans les procédures de nomination aux fonctions administratives de responsabilité.
L’existence d’un jury et sa composition répondent aux mêmes exigences dans la sélection, et permettent, lors du processus de nomination, de croiser plusieurs perspectives – institutionnelles, professionnelles, citoyennes et militantes.
Cet amendement, qui va dans le sens d’un renforcement d’une institution au rôle de plus en plus central, participe donc à la crédibiliser.
Quel est l’avis de la commission ? Avis défavorable. Nous venons d’encadrer le processus de nomination en termes de compétences. Cet amendement cependant me semble aller un peu trop loin. Nous en avons déjà discuté plusieurs fois. Quel est l’avis du Gouvernement ? Même démonstration et même avis. La parole est à Mme Danièle Obono. La démonstration me semble un peu faible. Après toutes les déclarations qui reconnaissaient l’importance et l’urgence de protéger les données personnelles, compte tenu des scandales que nous avons connus et connaissons actuellement, considérer qu’une exigence de transparence va trop loin dans ce domaine, c’est faire la démonstration du manque de volonté de la majorité et du Gouvernement, et d’un manque de prise en compte des délais.
Au contraire, donner aux citoyens et aux citoyennes de tels éléments contribue à rassurer et à redonner confiance dans une institution qui jouera un rôle central. Il est dommage que vous ne preniez pas la mesure de ce défi et de cette exigence.
La parole est à Mme la rapporteure. Ce n’est pas la transparence que nous voulons réduire. En réalité, votre dispositif, madame Obono, qui mettrait en place un jury et un avis rendu public, irait beaucoup plus loin. Il semble disproportionné par rapport au processus de nomination des autres membres de la CNIL. J’ai déjà eu l’occasion de répéter maintes fois ces explications dans le cadre de l’examen du texte.
(L’amendement n1 n’est pas adopté.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n2. Si l’article 3 modifie les articles 17 et 18 de la loi de janvier 1978, notamment pour prévoir des cas où les membres de la CNIL délibèrent hors de la présence des agents de la commission et du commissaire du Gouvernement, nous estimons que la CNIL doit aussi faire preuve de transparence vis-à-vis du grand public pour certaines de ses délibérations, à la fois pour exercer un contrôle citoyen sur le bon fonctionnement d’une instance aussi importante pour les droits et libertés, et pour que les citoyens puissent être pleinement conscients et informés de son activité.
Pour ce faire, il nous est apparu indispensable de proposer une expérimentation, à savoir que certaines délibérations de la CNIL – en formation collégiale ou restreinte – puissent être télédiffusées et accessibles au public.
À cet égard, le secret du délibéré ne s’applique en aucun cas à la CNIL, puisque, en tout état de cause, celle-ci est non pas une instance judiciaire, mais une autorité administrative indépendante. Dans certains cas, les délibérations et la prise d’une juste sanction peuvent avoir une vertu pédagogique, afin de s’assurer que la CNIL n’ait pas la main qui tremble lorsqu’il s’agit de condamner une entreprise ayant un pouvoir de marché et de nuisance, tels que les GAFA – notamment Facebook, pour ne pas le citer –, qui font souvent peu de cas des droits et libertés démocratiques et numériques.
Quel est l’avis de la commission ? Avis défavorable. Nous avions également déjà discuté de cet amendement. Nous ne pouvons pas aller aussi loin que vous le proposez, madame Obono, car la CNIL doit respecter le secret des délibérés. En revanche, nous avions inscrit la publicité de l’ordre du jour de la CNIL dans le texte. Le Sénat l’avait retiré ; nous l’avons remis sur la table en commission. Le dispositif me semble donc suffisant. Quel est l’avis du Gouvernement ? Pour éviter de restreindre la capacité de la CNIL à décider et pour permettre de préserver l’anonymat et le respect de la protection de certaines données personnelles, et après la démonstration de la rapporteure, le Gouvernement émet un avis défavorable. La parole est à Mme Danièle Obono. Madame la rapporteure, pourquoi faire peu quand on peut faire beaucoup ? Rappelons l’importance des enjeux et la dimension du problème, encore mises en évidence par l’actualité. Nous saluons une première avancée mais, si le texte revient devant nous en nouvelle lecture, c’est qu’il peut encore être amélioré. Je déplore que ni vous ni le Gouvernement ne soyez prêts à le faire.
Il faudra donc malheureusement y revenir au cours de la législature, pour des affaires, je l’espère, moins graves que celle que nous connaissons aujourd’hui. Votre manque de volonté politique nous conduira nécessairement à légiférer une nouvelle fois.
La parole est à M. Philippe Gosselin. J’entends le souci louable de Mme Obono, que je partage pour une large part. Je crains cependant qu’elle ne confonde les deux strates de la CNIL, laquelle comprend un collège général, dont les compétences découlent de la loi de 1978, telle que modifiée en 2004, et une formation restreinte, qui juge et prononce des sanctions.
Concernant cette formation, il me semble important, dans l’intérêt des justiciables, de préserver le secret des délibérations…
Bien sûr ! …ainsi que le respect des droits de la défense, qui est essentiel et qui le sera encore plus à partir du 25 mai, quand les sanctions, dépassant de beaucoup celles qui peuvent être prononcées aujourd’hui, pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel consolidé des sociétés. De telles discussions ne peuvent être mises sur la place publique.
Pour le reste, l’obligation de publicité existe. Outre les contraintes légales ou réglementaires, une part importante des délibérations de la CNIL est publiée au
Journal officiel . C’est le cas de nombre d’avis sur des décrets et des autorisations uniques. La CNIL publie aussi un rapport annuel et organise régulièrement des conférences ici et là. Par conséquent, si nous sommes encore loin du souhait formulé par Mme Obono, l’époque où la transparence n’existait pas est révolue.
Je rappelle qu’en 1978, on parlait à propos des autorités administratives indépendantes, comme la Commission des opérations de bourse ou du médiateur, du « carré magique de la transparence ». Le souci de la transparence se manifestait donc déjà, il y a quarante ans.
(L’amendement n2 n’est pas adopté.)
(L’article 2 est adopté.)
(Les articles 2 bis, 4, et 5, successivement mis aux voix, sont adoptés.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n3. L’octroi à la CNIL du droit de prononcer des sanctions pécuniaires prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par le projet de loi. Délaissant en grande partie sa compétence d’autorisation a priori pour se concentrer sur des fonctions de sanction a posteriori , la CNIL voit son rôle d’organe sanctionnant devenir l’une de ses premières missions. Bien que nous désapprouvions ce choix, ainsi que la logique du texte, nous prenons acte du nouveau fonctionnement de cette institution.
L’octroi d’un pouvoir de sanction doit être accompagné d’un strict encadrement des motifs légaux de la sanction, si l’on veut assurer une protection optimale des libertés fondamentales de tous et toutes.
Notre amendement dessine les conditions du bien-fondé légal de la sanction, afin de permettre non seulement à la CNIL mais également aux organes juridictionnels, de même qu’aux citoyens et aux citoyennes, d’évaluer au plus juste le sens, donc le fondement de la sanction.
Quel est l’avis de la commission ? Une fois encore, nous avons déjà eu cette discussion. Le RGPD indique à plusieurs reprises que les mesures de sanction doivent être appropriées, nécessaires et proportionnées. Je vous renvoie aux considérants 127, 148 et 151. Ces garanties me semblent suffisantes. Il faut aussi laisser à la CNIL des marges de manœuvre dans le choix des sanctions. Avis défavorable. Quel est l’avis du Gouvernement ? Pour compléter la démonstration de la rapporteure, je précise que l’amendement est partiellement contraire au texte du RGPD. Le pouvoir réglementaire ne peut encadrer le pouvoir de sanction au moyen d’une grille préétablie, alors que le règlement donne à la CNIL le soin de fixer les sanctions sous le contrôle d’un juge. Ces dispositions nous rappellent le rôle et l’indépendance nécessaire de la CNIL en la matière. Avis défavorable.
(L’amendement n3 n’est pas adopté.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n5. Le RGPD prévoit des sanctions pouvant s’élever de 10 millions à 20 millions d’euros ou, dans le cas d’une entreprise, pouvant atteindre 2 % à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, ce qui devrait avoir un effet réellement dissuasif sur les très grandes entreprises, notamment les GAFAM. À défaut, celles-ci pourraient considérer que l’illégalité n’est qu’un risque financier qui vaut la peine d’être couru.
Le législateur européen n’ayant pas épuisé sa compétence sur le cas précis d’une récidive en l’état du RGPD, nous avons tout à fait la possibilité de préciser et de compléter les dispositions européennes. Tel est le sens de l’amendement, qui vise à aller plus loin en matière de sanctions, ce qui aurait un effet dissuasif.
L’appât du gain et la recherche du profit maximal ne doivent pas permettre aux très grandes entreprises de remettre en cause les droits et les libertés. Les événements que nous avons connus auront sans doute un effet important – et c’est heureux – sur le développement du numérique. Cet amendement de bon sens, qui recevra certainement l’assentiment de la commission et du Gouvernement, renforcera la protection des données de nos concitoyens et de nos concitoyennes.
Quel est l’avis de la commission ? Les pénalités financières prévues par le RGPD semblent suffisamment dissuasives. On parle en effet de 20 millions d’euros ou de 4 % du chiffre d’affaires, ce qui permet de proportionner la sanction à la taille de l’entreprise. En quelques années, la sanction est passée de 150 000 euros à 20 millions ou à 4 % du chiffre d’affaires. Le changement d’échelle est considérable. Il ne nous semble pas nécessaire d’aller plus loin, d’autant qu’il faut, sur ces sujets, une harmonisation au niveau européen. Avis défavorable. Quel est l’avis du Gouvernement ? L’amendement pose plusieurs questions. Joue-t-on à armes égales avec les grands acteurs internationaux du numérique ? Les sanctions prévues sont-elles vraiment de nature à les contraindre ? Peuvent-elles leur faire peur ? Le pourcentage de 4 % peut paraître réduit, mais, appliqué à Facebook, il représente une sanction pouvant atteindre 1,6 milliard de dollars. À ceci près que la sanction reste théorique ! Voilà qui doit dissiper vos inquiétudes, madame Obono : une telle sanction permet de parler à armes égales avec les très grandes entreprises et de les contraindre à respecter le règlement.
C’est pourquoi, même si le Gouvernement, comme toute l’Assemblée, soutient votre démonstration, il juge l’amendement inutile. Avis défavorable.
La parole est à M. Philippe Gosselin. Même si un plafond a été fixé, la CNIL comme les autorités de sanction européennes disposent désormais d’une arme véritable. Le montant de 20 millions est très élevé, surtout comparé à celui de 100 000 ou 150 000 euros, qui s’appliquait précédemment.
En outre, la publicité de la sanction dépasse largement son aspect financier. Quand certains GAFA – je pense à Google en particulier – ont été sanctionnés par la CNIL, le retentissement des articles sur le grand public est allé bien au-delà de l’amende plafonnée à 150 000 euros.
La peine a en effet une dimension symbolique. Je comprends qu’on propose des sanctions plus fortes si la loi est contournée. Mais peut-être faut-il laisser du temps au temps. Le texte s’appliquera dans quelques semaines. Il sera toujours possible d’y revenir dans plusieurs mois ou plusieurs années, après un bilan. On sait bien que de telles sanctions ne seront pas prononcées tous les jours.
(L’amendement n5 n’est pas adopté.) La parole est à Mme Paula Forteza, pour soutenir l’amendement n14 rectifié. Il s’agit d’un amendement de précision.
(L’amendement n14 rectifié, accepté par le Gouvernement, est adopté.)
(L’article 6, amendé, est adopté.) La commission a supprimé l’article 6  bis . La parole est à Mme Danièle Obono, pour soutenir l’amendement n4. Pour le groupe La France insoumise, il est important de ne pas transiger sur nos libertés individuelles et de ne pas tomber dans le faux débat, purement rhétorique, sur la recherche d’un prétendu équilibre, qui en vérité porte atteinte à la protection des données individuelles dans une logique disproportionnée et purement mercantile.
C’est pourquoi il nous semble urgent d’interdire le profilage privé à des fins lucratives, pour protéger la partie la plus faible. En effet, notre constat est double : d’une part, les pratiques commerciales de récolte des données ne respectent pas le consentement des personnes, compte tenu de l’absence d’information et du traitement automatisé ; d’autre part, l’usage des données individuelles permet une création de richesses, qui se fait à l’insu des utilisateurs, par l’alimentation de bases de données.
Notre responsabilité en tant que parlementaires est de créer un cadre réellement protecteur de nos droits et libertés, qui incitera les acteurs français, européens et internationaux du numérique à investir dans des modèles plus vertueux. Tel le sens de l’amendement, qui vise à compléter l’article par deux alinéas interdisant clairement d’effectuer un profilage privé à des fins lucratives.
Quel est l’avis de la commission ? Nous ne sommes pas favorables à l’interdiction des algorithmes. En revanche, nous souhaitons rendre leur utilisation plus transparente et offrir toute l’information aux utilisateurs, afin qu’ils puissent donner leur consentement et le retirer si nécessaire. Le cadre proposé par le RGPD va dans le bon sens. Avis défavorable.
(L’amendement n4, repoussé par le Gouvernement, n’est pas adopté.)
(L’article 7 est adopté.) En l’absence d’amendements, je vais mettre directement aux voix les articles 8 A à 14 A, à l’exclusion de l’article 10  bis , que la commission a supprimé.
(Les articles 8 A, 9, 11, 12, 12 bis, 13, 13 ter et 14 A sont successivement adoptés.) La parole est à M. le secrétaire d’État, pour soutenir l’amendement n10. L’article 14 ouvre plus largement la possibilité à l’administration de prendre des décisions individuelles sur le seul fondement d’un algorithme. Nous avons toutefois assorti cette disposition de garanties, en instituant notamment une obligation de notification.
Au cours des discussions, le Sénat et l’Assemblée se sont légitimement inquiétés de la mise en œuvre réelle de ces garanties, et ont posé le principe de la nullité de la décision en cas d’absence de la mention explicite d’information prévue à l’article L. 311-3-1 du code des relations entre le public et l’administration.
Le Gouvernement a entendu ces préoccupations, bien qu’il considère que la nullité constitue une sanction particulièrement forte qui, en outre, n’est pas nécessaire pour garantir ces obligations. En effet, la rédaction existante, par les modifications qu’elle apporte à l’article L. 311-3-1 du code des relations entre le public et l’administration, apporte une garantie suffisante. Cette disposition a une portée très large : elle ne s’applique non pas seulement aux décisions prises sur le seul fondement d’un algorithme mais à toutes les décisions, y compris celles faisant intervenir en partie un traitement algorithmique, quand bien même un humain aurait pris la décision finale.
Le dispositif dépasse donc l’objet même du règlement général pour la protection des données. Cet amendement vise à maintenir ce principe de nullité – le Gouvernement a opéré une avancée sur ce point – mais en le limitant à l’objet spécifique du texte, c’est-à-dire aux décisions intégralement prises sur le fondement d’un algorithme.
(L’amendement n10, accepté par la commission, est adopté.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n6. L’article 14 autorise un recours accru au profilage administratif et à l’utilisation d’algorithmes, notamment par les autorités publiques. Il s’agit de thématiques fondamentales pour les droits et libertés numériques. Aussi estimons-nous que les algorithmes utilisés dans la prise de décision publique doivent être soumis à un contrôle citoyen. Pour éviter les biais discriminants que peuvent introduire de nombreux algorithmes utilisés par les pouvoirs publics, nous considérons qu’un contrôle citoyen des algorithmes eux-mêmes doit être organisé avec les équipes d’inspection de la CNIL. Nous nous inspirons notamment des constats et conclusions du rapport sur les modalités de régulation des algorithmes de traitement des contenus remis à la secrétaire d’État chargée du numérique en mai 2016.
L’introduction de ce contrôle permettrait de compléter une première ouverture importante introduite par la loi pour une République numérique, qui a conféré un droit d’accès et d’information à la personne concernée par une décision individuelle prise sur la base d’un traitement algorithmique. Celle-ci peut demander à l’administration la communication des éléments suivants : le degré et le mode de contribution du traitement algorithmique à la prise de décision ; les données traitées et leurs sources ; les paramètres de traitement et, éventuellement, leur pondération, appliqués à la situation de l’intéressé ; les opérations effectuées par le traitement, conformément à l’article R. 311-3-1-2 du code des relations entre le public et l’administration, issu du décret du 14 mars 2017, applicable à compter du 1er septembre 2017.
Nous proposons donc, par cet amendement, de renforcer la capacité de tout citoyen, tout contribuable et tout administré de demander des comptes et de vérifier la nature des données et des algorithmes utilisés. Il me semble que cela participerait de la pédagogie numérique et de la nécessaire transparence concernant des décisions qui ont une incidence sur des questions privées, très importantes pour la vie de nos concitoyens et concitoyennes.
Quel est l’avis de la commission ? Madame Obono, comme souvent, je suis d’accord avec une grande partie de votre argumentaire, mais pas avec votre conclusion ; en l’occurrence, il ne me paraît pas utile d’inscrire ce dispositif dans la loi. Les personnes intéressées peuvent déjà accéder aux codes sources, aux algorithmes et étudier ces derniers dans différents cadres. Par exemple, la CNIL avait réalisé une étude sur APB – admission post-bac. Il serait intéressant que d’autres institutions, comme l’INRIA – Institut national de recherche en informatique et en automatique –, le CNNUM ou des associations le fassent également. Il n’est pas nécessaire, en tout état de cause, d’inscrire cette disposition dans la loi. Avis défavorable. Quel est l’avis du Gouvernement ? Madame la députée, comme l’a rappelé la rapporteure, les obligations de transparence actuelles sont très importantes. De surcroît, la CNIL s’est saisie de ce sujet et fournit déjà énormément d’informations. Elle a publié, en décembre 2017, un rapport intitulé Comment permettre à l’Homme de garder la main ? , dans le cadre de la mission de réflexion sur les enjeux éthiques et les questions de société soulevés par l’évolution des technologies numériques, qui lui a été confiée par la loi. La CNIL s’inspire des conclusions de ce rapport, qui traite des enjeux éthiques des algorithmes d’intelligence artificielle, dans le cadre, par exemple, de la mise en œuvre de l’un de ses dispositifs, le LINC – laboratoire d’innovation numérique – et de ses partenariats avec l’INRIA. C’est pourquoi il n’est pas nécessaire, à nos yeux, de prévoir cette expérimentation, mais qu’il faut plutôt célébrer le travail déjà accompli par la CNIL sur ces sujets. L’avis est donc défavorable.
(L’amendement n6 n’est pas adopté.) La parole est à M. le secrétaire d’État, pour soutenir l’amendement n9. Si vous me le permettez, monsieur le président, je consacrerai un assez long développement à cet amendement, comme je l’ai fait au Sénat. En effet, je souhaitais vous apporter des informations très claires et très précises sur cet amendement qui a fait l’objet de nombreux débats. Cela me permettra de mettre en perspective les enjeux des discussions des dernières semaines.
Le présent amendement a vocation à rétablir une disposition de la loi du 8 mars 2018 relative à l’orientation et à la réussite des étudiants qui a été supprimée par le Sénat. Pour mettre un terme à l’opacité qui entourait la plateforme APB, le Gouvernement a souhaité refondre les modalités d’entrée dans l’enseignement supérieur autour de deux exigences fondamentales qui ont guidé notre réflexion dans la rédaction de ces dispositions. La première exigence consiste à remettre de l’humain dans la procédure d’affectation, en écartant toute prise de décision sur le seul fondement d’un algorithme. La seconde consiste à garantir la transparence de la procédure d’affectation et les droits des étudiants. L’article L. 612-3 du code de l’éducation, issu de la loi ORE permet de garantir un niveau exigeant de transparence, jusqu’alors inédit dans l’accès à l’enseignement supérieur.
La loi a inscrit un principe fort : le critère retenu pour l’examen des vœux est la cohérence entre le profil du candidat et les attendus de la formation demandée. Les critères d’examen des vœux sont connus, publics, affichés sur Parcoursup dans les caractéristiques des formations. Ils sont donc accessibles à tous. Cela est vrai pour les 13 000 formations déjà référencées dans Parcoursup, y compris celles qui sont sélectives.
Le II de l’article L. 612-3 précité prévoit la publication de tous les algorithmes de Parcoursup, c’est-à-dire ceux qui permettent le fonctionnement de la plateforme au niveau national, mais aussi la publication de l’outil d’aide à la décision qui est mis à la disposition des établissements pour les appuyer dans leur travail. On rend ainsi publics l’algorithme principal comme l’algorithme spécifique et, pour chaque établissement, tous les critères qui auront été utilisés pour l’évaluation.
Au sein des établissements, toutes les mesures ont été prises pour garantir une intervention humaine sur chaque dossier, ce qui était essentiel. Le décret d’application de la loi instaure, pour chaque formation, une commission d’examen des vœux, principalement composée d’enseignants, chargée d’examiner et de classer les dossiers. Ces instances sont constituées, j’y insiste, d’enseignants, c’est-à-dire d’êtres humains, de femmes et d’hommes qui vont regarder chacun des dossiers. Comme son nom l’indique, l’outil d’aide à la décision, dont le code sera publié, n’est qu’un appui à la commission d’examen composée de femmes et d’hommes experts du sujet.
La commission peut décider – certaines l’ont déjà fait – de ne pas utiliser l’algorithme spécifique. Si la commission souhaite l’utiliser, elle doit alors paramétrer l’outil en fonction des éléments d’appréciation pédagogiques qu’elle seule peut déterminer. Elle doit en superviser le fonctionnement et en valider le résultat. Ce paramétrage consiste, pour l’essentiel, à préciser, hiérarchiser, pondérer les critères qui ont été portés à la connaissance des candidats.
Seule la commission d’examen des vœux est compétente pour décider des réponses qui seront apportées aux candidats. Ainsi, la manière dont l’outil d’aide à la décision est utilisé est indissociable de la délibération, mais ce dispositif ne peut se substituer à elle. Aucune décision ne sera prise sans l’action de ces êtres humains, de façon collégiale, dans le cadre de ces commissions. Le module en lui-même ne peut fonder la décision de l’établissement et aucun d’eux n’a prévu de le faire de cette manière. La décision ne peut découler que des délibérations de la commission. Chacun des dossiers est examiné individuellement. Le travail de ces commissions est essentiel, car elles doivent notamment identifier les étudiants qui auront besoin d’un accompagnement pédagogique spécifique pour aller au terme de leur cursus.
Or la disposition votée par le Sénat retire toute forme de protection à la délibération de ces commissions. La disposition que nous souhaitons réintégrer permettra d’ancrer dans la loi le rôle de ces équipes pédagogiques et de protéger le contenu de ces délibérations. Ce contenu, ces échanges et ces débats sont essentiels. Concrètement, nous garantissons à chaque candidat un accès individuel aux informations et motifs qui justifient la décision prise par l’établissement – comme je vous le disais, la seconde de nos exigences consiste à renforcer la transparence, au bénéfice des étudiants. Cela n’était pas possible auparavant. C’est donc une avancée majeure en faveur de la transparence. On pourra savoir quels critères ont été pris en compte et comment ils ont été évalués.
En revanche, sans cette disposition, les formations devraient dévoiler une part substantielle de leurs propres délibérations, qui sont en principe couvertes par le secret, conformément à la jurisprudence du Conseil d’État. Une telle remise en cause serait très excessive. En effet, sans protection des délibérations, les équipes pédagogiques, par crainte de recours, seraient conduites soit à renoncer au module d’aide à la décision, soit à y recourir de façon mécanique, sans intervention humaine ; dans ce dernier cas, alors qu’on entend se protéger des algorithmes, on retournerait au système APB d’attribution purement algorithmique.
Le Gouvernement et la majorité ont eu à cœur, au cours de l’examen de la loi ORE, de faire progresser la transparence dans l’accès au premier cycle de l’enseignement supérieur. Pour nous, il n’est pas envisageable de revenir sur la lettre de la loi, qui a été votée et promulguée. En revanche, il est naturel et sain – tel a été l’objet de nos discussions ces dernières semaines – que ce sujet suscite le débat, que le Parlement puisse disposer d’une information régulière et indépendante sur les garanties de transparence de la nouvelle procédure Parcoursup. À cette fin, le présent amendement permettra au comité éthique et scientifique, dont la mission de contrôle de Parcoursup est fixée dans la loi, de faire connaître au Parlement son évaluation indépendante des garanties permises par la loi en la matière. Cela pourra prendre la forme d’un rapport – comme le stipule le texte de l’amendement –, mais cela pourra aussi se traduire par une audition publique, comme le permet le règlement de l’Assemblée nationale.
J’irai même plus loin, mesdames et messieurs les députés : je souhaite prendre date devant vous, au nom du Gouvernement, sur cette question. Si le dispositif doit évoluer après quelques années, il évoluera et le Gouvernement soutiendra toutes les initiatives en ce sens. Par ailleurs, ma collègue Frédérique Vidal, ministre de l’enseignement supérieur, de la recherche et de l’innovation, qui a construit et défendu ce texte, se tient à votre disposition – vous êtes d’ailleurs nombreux à l’avoir sollicitée – pour répondre à vos questions et rendre compte du traitement des vœux au sein de toutes les formations lors de la première session d’affectation, qui vient de commencer.
Je vous propose par conséquent de rétablir cette disposition en adoptant l’amendement du Gouvernement. Vous pourrez, par là même, rassurer toutes les familles de France qui ont déjà rempli leurs dossiers sur Parcoursup et qui attendent maintenant que leur examen avance.
(Applaudissements sur plusieurs bancs des groupes LaREM et MODEM.) Quel est l’avis de la commission ? Je salue l’engagement du Gouvernement et de tous les acteurs en faveur du renforcement de la transparence, qui est une exigence que nous partageons. À titre personnel, je continue à m’interroger sur la rédaction de la loi ORE, mais nous n’avons pas eu le temps de mener des auditions complémentaires. Nous savons très bien que ces réformes sont en cours et que l’on demande beaucoup d’efforts à tous les acteurs.
Nous saluons la volonté du Gouvernement de rendre un rapport au Parlement l’année prochaine, de manière à pouvoir, le cas échéant, revenir sur les dispositions juridiques et retravailler le texte, afin qu’il soit plus en accord avec la réalité. Nous ne savons pas encore comment les acteurs vont se saisir des outils d’aide à la décision : vont-ils les utiliser de façon automatique ou les paramétrer d’une façon ou d’une autre ? Les paramétrages seront-ils couverts par le secret des délibérations ou feront-ils partie du code source qui devra être rendu public ? Des sujets restent donc à creuser, et la question demeure de savoir, pour un certain nombre de points, où le curseur sera placé. Nous allons suivre cela de près avec notre collègue Gabriel Attal, qui a beaucoup travaillé sur le sujet, pour voir s’il faut apporter des corrections à la loi. Avis favorable sur l’amendement n9.
La parole est à M. Philippe Gosselin. Je m’en veux, d’une certaine manière, de m’exprimer avant notre collègue Gabriel Attal, qui est concerné au premier chef. Le texte porte sur le numérique, les données personnelles et le RGPD, mais on voit bien que le débat universitaire, qui est d’actualité, s’introduit dans notre discussion. Sans doute faudrait-il, monsieur le secrétaire d’État, que la vidéo de votre intervention soit largement diffusée dans les universités, car elle serait de nature à rassurer certains étudiants, qui en manipulent d’autres. Ben voyons ! Il serait grand temps de débloquer les universités. Et comment comptez-vous vous y prendre ? J’espère que ce plaidoyer, qui intéresse le rapporteur du texte relatif à Parcoursup, éclairera les choses. Ce que vous venez de rappeler est important et je donne acte au Gouvernement de sa volonté de transparence sur ce sujet.
Cela dit, même après vous avoir entendu, je ne suis pas sûr que le sujet soit totalement clos. Certaines inquiétudes sont inhérentes au parcours estudiantin, à la qualification professionnelle, aux études supérieures, à la recherche d’emploi et à la place de chacun dans la société. Ce débat est légitime, et ce que vous avez dit permettra peut-être de l’éclairer.
Sans vouloir passer la brosse à reluire, il me semble que l’amendement n9 va dans le bon sens et, même si c’est un casse-bras pour certains, je n’en doute pas, les uns et les autres doivent faire œuvre de pédagogie. Quoi qu’il en soit, il n’y a pas aujourd’hui de malaise particulier sur ce point précis. Pour le reste, le débat n’est pas clos, et un petit bout de blanc-seing n’est pas une sanctification rapide. Ce n’est pas encore le moment de dire : « Santo subito ».
(Applaudissements sur les bancs du groupe LR.) La parole est à M. Gabriel Attal. Je voudrais remercier Philippe Gosselin pour ses mots, qui montrent que nous sommes tous engagés pour l’objectif d’affecter dans les meilleures conditions possibles dans l’enseignement supérieur, l’an prochain, les bacheliers qui ont formulé leurs vœux sur la plateforme Parcoursup.
Nous ne sommes pas ici aujourd’hui pour débattre de nouveau de la relative à l’orientation et à la réussite des étudiants. Il n’en demeure pas moins qu’elle a constitué une percée majeure et historique en matière de transparence. Avant, avec APB, l’algorithme et le code source n’étaient pas publiés, alors que les associations le réclamaient. Les pouvoirs publics ont été pressés par la commission d’accès aux documents administratifs – la CADA – et la CNIL de les publier, ce qu’ils avaient finalement fait, mais en version papier. Cela montre quel était alors l’engagement des pouvoirs publics pour la transparence des algorithmes.
La nouvelle loi prévoit la transparence totale des critères d’affectation, puisqu’ils sont tous publics et consultables par tout un chacun sur la plateforme Parcoursup, filière par filière. Un amendement de notre collègue Cédric Villani, soutenu par notre groupe, permet la publication du code source et de l’algorithme de la plateforme au niveau national, et du module d’aide à la décision utilisé dans les universités au niveau local. Le Président de la République a indiqué, lors de son discours sur l’intelligence artificielle, combien cet engagement était important à ses yeux.
La manière dont la réforme se met en place fera l’objet d’une évaluation extrêmement fine de la part du Parlement. Un amendement adopté impose au Gouvernement de publier toutes les données de la campagne d’affectation, qui aura lieu tous les ans et dès cette année. Le Parlement rédigera un rapport d’évaluation dans deux ans, sur la base d’un autre rapport du Gouvernement contenant toutes les informations nécessaires.
Nous franchissons une nouvelle étape dans la transparence avec cet amendement, puisque le comité éthique et scientifique devra remettre chaque année un rapport sur les délibérations. Le groupe La République en marche le soutiendra donc.
La parole est à Mme Danièle Obono. Le Gouvernement et la majorité tiennent à ce que l’on rediscute de la mobilisation actuelle contre la sélection à l’université, c’est très bien. Je salue cette mobilisation. On ne salue pas de la même façon ! En ce moment même, une très belle assemblée générale a lieu à la faculté de Nanterre.
Les outils numériques peuvent être un élément de l’analyse politique des citoyens et des citoyennes. La situation actuelle montre que ceux qui se mobilisent n’ont pas mal compris la réforme, mais en ont au contraire saisi le sens politique, car il ne s’agit pas d’une question technique. Le sens politique de la loi de mars dernier est de favoriser la sélection, et l’utilisation des techniques numériques pour effectuer cette sélection pose question et suscite la contestation, n’en déplaise à M. Gosselin. Ce n’est pas une minorité d’ultra-gauchistes, ou que sais-je encore : ce sont des étudiants, des jeunes gens qui s’inscrivent dans une démarche de compréhension technique, mais aussi d’apprentissage politique de la citoyenneté. Ne vous en déplaise, ils ont très bien compris ce qu’il y avait derrière l’algorithme et ce projet de loi.
On les manipule ! Ils exercent pleinement leurs droits et leurs devoirs de citoyenneté. La représentation nationale devrait être fière que la jeunesse soit si consciente, si dynamique et si éveillée. En tout cas, nous, à La France insoumise, en sommes fiers et la soutenons pleinement. La parole est à M. Philippe Latombe. Je ne souhaite pas entrer dans une polémique. Cet amendement et les propos du ministre sont clairs et transparents. Nous soutenons cet amendement, qui correspond à tout ce que nous avons voulu faire sur ce sujet et à ce que nous avons dit en commission. Nous soutenons l’intégralité du propos du ministre et, comme l’a dit M. Gosselin, la pédagogie doit être exportée à l’extérieur de cet hémicycle. La démonstration était claire et répondra à un certain nombre de questions posées par d’autres personnes, sur les bancs de cet hémicycle et à l’extérieur. Cela permettra certainement d’apaiser les tensions. La parole est à M. Pierre Dharréville. Notre collègue Philippe Gosselin appelait à débloquer les universités. Il y a deux manières de le faire : soit en envoyant les forces de l’ordre, ce qui a commencé à être fait et qui n’est pas une bonne nouvelle ni une bonne façon de traiter les jeunes qui se mobilisent, à juste raison, dans ces facultés pour leur avenir ; soit en ouvrant une discussion, ce qui n’a pas été le cas, même lors de l’élaboration du projet de loi.
Les étudiants ne sont pas les seuls à s’opposer à cette réforme : beaucoup d’enseignants font de même,…
Il y en a quelques-uns. …et ont organisé des conférences de presse et mené des actions. Il y a un problème, dont le Gouvernement devrait prendre la juste mesure. Il devrait ouvrir de véritables discussions et arrêter de renvoyer les opposants à cette réforme au dispositif précédent, qu’ils contestaient déjà.
(L’amendement n9 est adopté.)
(L’article 14, amendé, est adopté.)
<