Protection des données personnelles

par Peu Stéphane

Monsieur le président, madame la ministre, monsieur le secrétaire d’État, mesdames les rapporteures, chers collègues, avec l’avènement de la société numérique, les enjeux relatifs à la protection des données personnelles revêtent une nouvelle dimension. Si la loi fondatrice de 1978 « Informatique et libertés » reste, aujourd’hui encore, le cœur du dispositif de protection des données personnelles, elle se trouve confrontée à la place croissante et à la multiplication des usages numériques. Il n’est donc pas surprenant, quarante ans après son entrée en vigueur, qu’elle doive régulièrement évoluer. Cette évolution doit nécessairement être encadrée et régulée pour permettre à notre droit de répondre au double impératif : assurer les libertés individuelles et collectives, et garantir le droit au respect de la vie privée comme le prévoit la Charte des droits fondamentaux de l’Union européenne.
Or la réforme qui nous est présentée ici, en procédure accélérée, est difficilement intelligible du fait, principalement, d’un empilement de textes, de multiples renvois et de superpositions. Le Conseil d’État et la CNIL eux-mêmes ont souligné ce défaut de lisibilité. En outre, l’étude d’impact est bien insuffisante pour apporter les éléments d’analyse nécessaires à la compréhension de cette réforme. Le Conseil d’État observe à cet égard qu’elle « n’éclaire, en dépit de son volume, qu’assez peu les choix stratégiques que le Gouvernement a pratiqués. » Au regard de ces difficultés, le projet de loi autorise, en son article 20, le Gouvernement à réécrire l’ensemble de la loi de 1978 par voie d’ordonnance et à mettre en cohérence l’ensemble de la législation applicable à la protection des données personnelles. Nous réfutons cette méthode autoritaire de légiférer ; c’est d’ailleurs l’objet de l’un des amendements que notre groupe défendra dans la discussion.
Le règlement général sur la protection des données et le projet de loi destiné à adapter le droit français en conséquence constituent, certes, un progrès en matière de protection des données personnelles dans l’espace européen. Ils donnent, par exemple, de nouvelles missions et de nouveaux pouvoirs de contrôle et de sanction à la CNIL et renforcent la responsabilité des opérateurs. Ils consacrent un principe de responsabilité et allègent les formalités préalables au profit d’une démarche de responsabilisation des acteurs, soumis à des sanctions beaucoup plus fortes et dissuasives, qui les contraindront à se conformer aux règles de la protection des données. C’est une avancée qui renforce le droit des individus et nous la saluons.
Mais il reste encore à faire, et ce projet de loi peut et doit s’améliorer. Ainsi, nous regrettons que les mesures de contrôle attribuées à la CNIL ne soient pas applicables dans le cas où le traitement est mis en œuvre par l’État. De même, nous déplorons qu’une injonction avec astreinte ne soit pas prévue afin de satisfaire aux demandes présentées par les personnes en vue d’exercer leurs droits. Nous considérons également que l’élargissement de la possibilité pour l’administration de recourir à des décisions prises sur le fondement exclusif d’un algorithme demeure également très problématique. Rappelons ici que la CNIL regrette le manque de garanties dans ce domaine et « appelle à l’approfondissement de la réflexion sur ces différents points. » Le Conseil d’État estime de son côté qu’« il est (…) essentiel (…) de garantir à tout instant une maîtrise humaine complète des algorithmes, comportant notamment la capacité d’interrompre le fonctionnement du traitement, notamment lorsque ceux-ci sont dotés de capacités d’apprentissage leur permettant de modifier leur logique de fonctionnement sans une démarche humaine préalable de validation. » L’objectif affiché de moderniser l’administration et de gagner en performance ne saurait justifier l’élargissement, dans la précipitation, de décisions fondées sur un traitement intégralement automatisé. L’approfondissement des réflexions, et notamment des études sur la maîtrise des algorithmes, est un préalable indispensable à tout choix d’élargissement des décisions administratives automatisées.
Enfin, le projet de loi transpose également la directive du 27 avril 2016. Les principales innovations de la directive consistent en la création, en matière pénale, d’un droit à l’information de la personne concernée par les données personnelles traitées et en la consécration d’un droit d’accès, de rectification et d’effacement.
Notons tout de même que la CNIL relève, à juste titre, que la transposition de cette directive est réalisée « a minima » – c’est son regret. Le projet de loi aurait notamment pu prévoir des garanties supérieures en matière de protection des données traitées à des fins pénales, expressément prévue à l’article 1er de la directive.
En définitive, ce projet de loi porte principalement sur la réaffirmation du rôle de la CNIL tant comme autorité de contrôle que comme accompagnatrice des usagers et opérateurs dans le traitement des données personnelles. Il ne donne malheureusement pas une vision claire, précise et exhaustive. Les opérateurs et les citoyens ne pourront pas, en tout état de cause, se contenter de la lecture de cette seule loi pour comprendre les règles relatives à la protection des données personnelles. Au regard de la complexité et de l’importance des enjeux, ce projet de loi constitue donc, comme le relève le Conseil d’État, une occasion manquée de procéder à un réexamen global du droit de la protection des données personnelles et d’approfondir les droits des personnes.
Pour parer à certaines lacunes du présent texte, notre groupe a déposé plusieurs amendements. Il nous semble ainsi essentiel que les présidents de groupe, et non pas les seuls présidents de l’Assemblée nationale et du Sénat, puissent saisir la CNIL sur toute proposition de loi relative à la protection des données personnelles. De même, nous proposons un amendement visant à interdire cette nouvelle forme de flicage – excusez-moi pour ce terme, mais je n’en vois pas d’autre – que représente l’utilisation des outils de géolocalisation afin de proposer une publicité ciblée à l’internaute.
Nous défendrons également un amendement visant à mettre un terme aux pratiques parfois opérées par les sites d’e-commerce, et plus particulièrement par ceux de vente de billets de train et d’avion, consistant à ajuster leurs tarifs en fonction du nombre de visites d’un internaute sur leur site.
J’ai également évoqué le problème que pose le recours plus large à des décisions automatisées : c’est pourquoi nous demandons la suppression de l’article 14 du règlement, en attendant que des réflexions plus poussées soient réalisées sur ce sujet.
De la même manière, nous demanderons la suppression de l’article 20, qui autorise le Gouvernement à procéder par voie d’ordonnance à la réécriture de la loi « Informatique et libertés ». Ce sujet, qui concerne de très près nos libertés fondamentales, ne peut être discuté ailleurs qu’au sein de cet hémicycle, devant la représentation nationale.
Mes chers collègues, au-delà de ces points de discussion que nous ne manquerons pas d’aborder, d’autres enjeux fondamentaux de société se posent aujourd’hui, sur lesquels nous ne pourrons pas faire l’impasse à l’avenir. La conséquence du traitement massif des données, la question de la propriété des données personnelles, la maîtrise et le contrôle des algorithmes, la place de l’intelligence artificielle et tant d’autres questions se posent aujourd’hui : elles devront faire l’objet de réflexions et d’études, puis de choix politiques qui ne soient pas pris dans la précipitation.
Si la société numérique doit être une société de liberté, elle doit pour ce faire être clairement encadrée. Il est important de protéger efficacement les données personnelles qui circulent sur internet et de permettre une maîtrise réelle de leurs données par les personnes concernées. Les citoyens doivent être informés et conscients ; ils doivent pouvoir s’approprier pleinement la notion de consentement et faire preuve de vigilance pour protéger leurs données, ce qui n’est pas toujours le cas aujourd’hui.
Dans une société où le numérique impacte, jour après jour, de nouveaux domaines, il est donc nécessaire à la fois de résorber la fracture numérique et de mettre en œuvre un ambitieux chantier de sensibilisation, en particulier à l’attention des plus jeunes. (Applaudissements sur les bancs du groupe GDR.)