M. Michel Vaspart. Très bien !
Mme Maryse Carrère. Alors que nous nous apprêtons à discuter des derniers points d’achoppement qui demeurent entre notre chambre et l’Assemblée nationale sur ce projet de loi, le RGPD s’est retrouvé au cœur de l’actualité internationale.
Lors des auditions du fondateur de Facebook conduites la semaine dernière, plusieurs sénateurs américains ont souligné la nécessité d’établir une régulation de l’utilisation des données personnelles à des fins commerciales, ce qui est une évolution considérable dans un pays où la législation européenne en la matière est souvent perçue comme une entrave à la liberté d’entreprendre.
Le dirigeant de Facebook a lui-même reconnu que « nous traversons un grand changement philosophique au sein de la société » et a fini par accepter le principe de contrôles aux États-Unis.
Comme je le soulignais lors de la première lecture, le RGPD et ce projet de loi n’apportent pas toutes les réponses à « ce grand changement philosophique », c’est-à-dire la prise de conscience des limites du modèle économique des services en ligne reposant sur un principe de gratuité apparente, mais en réalité financé par l’exploitation des données personnelles.
Beaucoup d’utilisateurs, aux États-Unis comme en France, attendent de pouvoir disposer de leurs données comme ils disposent de leur personne.
Si l’on peut reconnaître à ce texte des avancées significatives comme le renforcement des pouvoirs de sanction de la CNIL en contrepartie d’un assouplissement du régime de déclaration, mais également l’étoffement des droits des personnes concernées par des traitements de données, nous regrettons de ne pas avoir été entendus par nos collègues de l’Assemblée nationale sur de nombreux sujets – je pense notamment aux collectivités territoriales.
Pis, certains sont même allés jusqu’à dire que la suppression des amendes administratives et l’exemption d’astreinte déresponsabiliseraient nos élus locaux, qui, de fait, n’appliqueraient pas le RGPD ! Doit-on y voir un procès en amateurisme fait à nos collectivités ? Je ne l’espère pas.
Vouloir que les collectivités, notamment les plus rurales, soient exemptées d’astreintes et d’amendes administratives ne constitue pas une exemption de respect du RGPD, mais une meilleure prise en compte de leurs spécificités.
C’est d’abord une demande de considération des collectivités, dont les impôts ne doivent pas à mon sens venir nourrir la CNIL (Mme la rapporteur applaudit.), mais plutôt servir des projets structurants pour nos territoires.
M. Michel Vaspart. Très bien !
Mme Maryse Carrère. C’est ensuite une attente des élus, qui demandent davantage de moyens pour former leur administration et protéger plus efficacement les données, car, oui, il faut que les données de nos collectivités soient davantage protégées parce qu’il a pu y avoir, c’est un fait, certaines dérives. Mais je le dis, ce n’est pas aux collectivités de supporter la totalité du coût de la protection de données.
La commission des lois du Sénat a su répondre à ces attentes par la réintroduction de la dotation communale et intercommunale pour la protection des données à caractère personnel, tandis que l’Assemblée nationale a maintenu les possibilités de mutualisation, qui permettent notamment d’avoir un délégué commun à la protection des données pour plusieurs collectivités ou organismes publics.
Sur ce sujet particulier, ainsi que sur le reste du texte, je souhaite une nouvelle fois souligner la grande qualité des propositions faites par notre rapporteur Sophie Joissains et son approche attentive et constructive.
Maigre consolation : nous notons toutefois que nos propositions ont permis une évolution de nos collègues députés en faveur d’une reconnaissance des difficultés particulières liées à l’illettrisme informatique et de la suppression des mentions à l’article 12 qui auraient porté atteinte aux archives.
Concernant les sujets de désaccord entre le Sénat et l’Assemblée nationale, si, à titre personnel, je soutiens les dispositions visant à faciliter le recours aux actions de groupe en cas de traitement illicite de données personnelles, nous restons en revanche convaincus de la nécessité d’inscrire dans la loi un certain nombre de garde-fous en vue de l’utilisation croissante d’algorithmes par l’administration et des risques liés à la sous-traitance de données personnelles.
S’agissant des algorithmes, nous ne sommes bien évidemment pas opposés à leur utilisation : elle délivre les agents de tâches répétitives et pourrait utilement réduire les délais des décisions attendues par les administrés. Nous considérons cependant que la modernisation de l’administration doit se faire a minima à droit constant et se conformer aux règles préexistantes, qui visent à protéger les administrés.
Enfin, je tiens également à alerter le Gouvernement et les députés sur les risques liés aux contrats de sous-traitance des données personnelles, susceptibles de se multiplier à travers l’Union européenne. De notre point de vue, à défaut de permettre aux personnes concernées d’avoir connaissance des clauses relatives au traitement de leurs données entre le responsable du traitement et son sous-traitant, le texte devrait au moins prévoir de les informer de l’identité de ce dernier.
Les responsables de traitement eux-mêmes y ont intérêt : dans une course mondiale aux gisements de données personnelles, le haut niveau de protection garanti par notre droit pourrait en effet devenir un argument commercial séduisant pour des consommateurs de services en ligne soucieux de leur intégrité numérique.
Pour conclure, les membres du groupe du Rassemblement Démocratique et Social Européen dans leur majorité voteront la version du Sénat, qui, à notre sens, est plus protectrice de nos concitoyens mais aussi de nos collectivités territoriales. (Applaudissements sur les travées du groupe du Rassemblement Démocratique et Social Européen, ainsi que sur des travées du groupe socialiste et républicain, du groupe Union Centriste et du groupe Les Républicains.)
Mme la présidente. La parole est à M. Guillaume Chevrollier, pour le groupe Les Républicains.
M. Guillaume Chevrollier. Madame la présidente, madame la garde des sceaux, monsieur le président de la commission des lois, madame la rapporteur, mes chers collègues, je tiens tout d’abord à remercier mes collègues parlementaires qui ont travaillé sur ce texte particulièrement important sur la protection des données personnelles, sujet majeur.
Nous ne pouvons en effet passer outre l’urgence de bâtir une souveraineté numérique européenne, une souveraineté forte pour protéger les intérêts des États membres, des entreprises, des collectivités territoriales, des citoyens, contre toute ingérence extérieure.
La révolution numérique et technologique est inéluctable. L’Europe est prise en tenaille entre les géants américains d’un côté, avec les GAFA – Google, Amazon, Facebook, Apple – et les géants chinois BATX – Baidu, Alibaba, Tencent, Xiaomi –, de l’autre.
Le scandale de Cambridge Analytica a été un électrochoc et une prise de conscience collective de l’ampleur et du fonctionnement de cet écosystème qui collecte toutes les données de notre vie numérique.
Je vous rappelle que 2 millions d’Européens, dont plus de 200 000 Français, seraient concernés par la fuite de leurs données personnelles.
Je me permets aussi d’évoquer, comme Jérôme Durain, cette fameuse vidéo informative sur le prélèvement à la source, hébergée par YouTube, que Bercy oblige à regarder lorsque l’on se rend sur le site des impôts. Ainsi, le contribuable qui a à cœur de déclarer ses impôts se fait directement siphonner des données personnelles par Google… C’est incroyable, c’est inquiétant.
Si nous tenons à notre liberté et à la protection de nos données, nous devons engager une réforme globale et apporter une réponse européenne claire et unanime.
Ce qui s’avère être plus compliqué que prévu…
Les échecs successifs des deux dernières commissions mixtes paritaires chargées d’examiner, pour l’une, le projet de loi renforçant l’efficacité de l’administration pour une relation de confiance avec le public et, pour l’autre, le projet de loi relatif à la protection des données personnelles témoignent de la distance que cherchent à instaurer les députés du groupe majoritaire de l’Assemblée nationale avec notre Haute Assemblée. Deux visions du monde nouveau s’affrontent.
En tant que représentants des territoires, notre devoir au Sénat est de favoriser les libertés publiques, de protéger la vie privée et de défendre, avec force, détermination et bon sens les collectivités territoriales.
C’est ce que nous avons tenté de faire dans le cadre de ce projet de loi relatif à la protection des données personnelles et c’est ce que les députés de la majorité ont notamment rejeté.
Les orientations de ce projet de loi, approuvées par le Sénat dès la première lecture, vont dans le bon sens. Ces dernières adaptent au droit de l’Union européenne la loi française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elles transposent ainsi le « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016, qui entrera en vigueur le 25 mai 2018.
Sans enfreindre nos libertés, il nous faut donc mettre en place des moyens de surveillance renforcés pour assurer notre sécurité, en particulier notre sécurité juridique.
La réponse doit être européenne, pour protéger tout d’abord les droits et libertés des citoyens.
C’est, par exemple, la raison pour laquelle le Sénat a souhaité maintenir à seize ans la majorité numérique et donner au consommateur de nouveaux droits, comme le droit à la portabilité des données.
La réponse européenne à cet enjeu doit aussi responsabiliser tous ceux qui traitent les données.
Les TPE-PME, ainsi que les collectivités territoriales, en font partie.
Le texte leur impose des obligations pour se conformer aux nouvelles règles issues du règlement général sur la protection des données, qui doivent être appliquées, je le rappelle, dès le 25 mai 2018, au risque de sanctions lourdes. Pour les entreprises, elles sont de l’ordre de 4 % du chiffre d’affaires mondial. C’est considérable.
Les collectivités territoriales, elles, étaient absentes dans les dispositifs dérogatoires prévus. Or elles sont directement concernées par la protection des données personnelles qu’elles collectent en raison d’obligations légales – état civil, cadastre, listes électorales, etc.
De toute évidence, elles ne pourront financièrement assumer ces obligations d’ici le 25 mai prochain. Je pense au respect des procédures encadrant l’usage des traitements de données personnelles, ou bien encore à l’obligation de se doter d’un délégué à la protection des données, y compris dans les plus petites collectivités.
C’est pourquoi la commission des lois du Sénat a souhaité donner aux collectivités territoriales les moyens d’accomplir ces nouvelles modalités de traitement en imposant à la CNIL d’adapter les normes aux besoins des collectivités, en facilitant la mutualisation des services supports offerts par les syndicats mixtes au bénéfice des communes et intercommunalités, en créant une dotation communale et intercommunale pour la protection des données à caractère personnel, prélevées sur les recettes de l’État, en exonérant les collectivités territoriales, au même titre que l’État, des amendes et astreintes administratives en cas de sanction.
Mes chers collègues, il s’agit ici non pas de déresponsabiliser les collectivités, mais de se rappeler ensemble que ces dernières, notamment les collectivités les plus modestes en milieu rural, manquent de financements et de moyens. (M. Charles Revet approuve.)
Madame la garde des sceaux, le 25 mai, c’est demain : je vous remercie de bien vouloir prendre en compte cette difficulté supplémentaire pour les élus.
Naturellement, le groupe Les Républicains soutiendra cette nouvelle version de ce projet de loi relatif à la protection des données personnelles. (Applaudissements sur les travées du groupe Les Républicains et du groupe Union Centriste.)
Mme la présidente. La parole est à M. Arnaud de Belenet, pour le groupe La République En Marche.
M. Arnaud de Belenet. Madame la présidente, madame la garde des sceaux, monsieur le président de la commission des lois, madame la rapporteur, mes chers collègues, en écoutant les précédents orateurs, j’ai eu peur. (Sourires.) J’ai eu peur que la procédure ait terriblement accéléré et que notre ordre du jour porte sur la réforme constitutionnelle.
M. Pascal Allizard. Ça va venir !
M. Jérôme Durain. Nous prenons date !
M. Arnaud de Belenet. Je crois que c’est effectivement le sujet. Néanmoins, s’agissant de la protection des données personnelles, les exemples de Cambridge Analytica et de la vidéo mise en ligne par Bercy sur le prélèvement à la source dans une louable intention pédagogique, mais qui a techniquement permis à Google de recueillir les données personnelles principalement de navigation – mais pas seulement – de 2 millions de Français, montrent que l’enjeu du texte qui est soumis une nouvelle fois à notre examen n’en est que plus important. Sans parler évidemment de l’urgence compte tenu de la date contrainte de l’entrée en vigueur du règlement européen le 25 mai prochain.
Alors oui, la commission mixte paritaire, réunie le 6 avril dernier, n’a pas réussi à trouver un accord, malgré la volonté des deux rapporteurs – je veux saluer tout particulièrement la rapporteur du Sénat, Sophie Joissains –…
M. Charles Revet. Qui a beaucoup travaillé !
M. Arnaud de Belenet. … de surmonter certaines difficultés. Je le souligne vraiment. Les divergences demeuraient trop fortes, trop profondes, notamment sur l’extension de l’action de groupe – et pas seulement sur les collectivités – en matière de protection des données personnelles à la réparation des préjudices matériels et moraux, sur la possibilité pour les présidents de commission et de groupe parlementaires de saisir la CNIL sur une proposition de loi, sur l’encadrement de l’usage des algorithmes par l’administration, et bien évidemment sur l’accompagnement des collectivités locales dans l’application du nouveau droit.
Nous avions introduit en première lecture le fléchage du produit des amendes et des astreintes prononcées par la CNIL vers les collectivités locales. Mon groupe préférait, en application du principe « qui décide paie », que nous nous tournions vers des dispositifs communautaires. La suppression des amendes administratives à l’intention des collectivités locales avait recueilli ici un plein consensus. Les députés avaient estimé que les collectivités devaient se voir appliquer les mêmes règles que celles qui seront appliquées aux entreprises. C’était regrettable. Il me semble que leur position a évolué du fait de nos travaux. Néanmoins la commission mixte paritaire n’a pas abouti.
Depuis le début de la législature, six des sept commissions mixtes paritaires relevant de la commission des lois, en revanche, ont abouti. La tension s’est néanmoins accrue ces dernières semaines entre les deux chambres, nous l’avons tous constaté.
La friction est souvent génératrice de consensus, elle est parfois nécessaire ; elle est néanmoins préoccupante. Le dialogue instauré à ce sujet entre les présidents de nos deux assemblées, la semaine dernière, en revanche, est tout à fait rassurant et, permettez-moi de le dire, hélas ! nécessaire.
Ce qui fait le Sénat, c’est sa sagesse, c’est son travail de fond, sa culture du compromis ; nul besoin d’en faire la démonstration aujourd’hui. Le Sénat est nécessaire à l’élaboration d’une loi de qualité (Mme Catherine Morin-Desailly s’exclame.), nous le savons tous.
M. Charles Revet. Il faut le rappeler !
M. Arnaud de Belenet. En revanche, s’agissant des conditions nécessaires au compromis ou, à tout le moins, au débat avec l’Assemblée nationale, force est de constater que nous n’avons pas réussi ces dernières semaines à les réunir. En faire porter, mes chers collègues, la seule responsabilité sur l’Assemblée nationale ne me semble pas dans la culture, dans la tradition d’équilibre, d’honnêteté intellectuelle de notre assemblée. (Exclamations sur des travées du groupe Les Républicains.)
Mme Sophie Joissains, rapporteur. Ce n’est pas une tradition : c’est la réalité !
M. Arnaud de Belenet. Ces derniers mois, j’ai souvent entendu ici que tout ce qui est excessif est insignifiant. Or l’excès et l’insignifiance, ce n’est pas le Sénat ! (Même mouvement.)
Nous avons entendu nos collègues députés s’exprimer : entendons-les, examinons leur posture, entendons la façon dont ils voient les choses ! (Exclamations.) Ne me faites pas de procès d’intention ! Pas à moi !
Nous les avons entendus s’exprimer sur le fait qu’ils ne comprenaient pas un certain nombre de mots, d’expressions employés notamment dans nos communiqués de presse. (M. Jérôme Durain s’exclame.) Et il est vrai qu’une certaine forme de vivacité les caractérisait.
Ils vivent très mal le dépôt d’un grand nombre de propositions de loi sénatoriales juste avant le dépôt par le Gouvernement de ses projets de loi. Entendons-les ! (Mme Jacqueline Eustache-Brinio s’exclame.) J’arrête là la liste parce que je sens que je vais provoquer une irritation forte.
Mme Catherine Morin-Desailly. Où est la liberté du Parlement ?
M. Arnaud de Belenet. Néanmoins, entendons ce que nous disent nos collègues députés, recréons les conditions d’un dialogue avec le Sénat : c’est ainsi que nous ferons, à mon humble avis, la démonstration de la totale utilité et du caractère indispensable du Sénat à l’exercice de la démocratie et de la production de textes de loi de qualité. (M. Didier Rambaud applaudit.)
M. Didier Rambaud. Absolument !
Mme la présidente. La parole est à Mme Esther Benbassa, pour le groupe communiste républicain citoyen et écologiste.
Mme Esther Benbassa. Madame la présidente, madame la garde des sceaux, monsieur le président de la commission des lois, madame la rapporteur, mes chers collègues, il y a quarante ans, en 1978, le Parlement adoptait l’une des premières lois protectrices des données personnelles dans le monde, faisant de la France une pionnière dans ce domaine.
Cette question, qui relève de la protection de la vie privée, de l’intimité de chacun, est devenue, avec les évolutions technologiques, tout à fait fondamentale pour l’ensemble de nos concitoyens.
Une réponse européenne était bien entendu nécessaire, plus personne ne pouvant penser que le droit national, aussi novateur soit-il, pourrait suffire à l’ère de ce que l’on peut considérer comme une révolution numérique mondiale.
Ce texte, loin d’être seulement technique, comporte de nombreux aspects politiques et la récente audition du patron-fondateur de Facebook, Mark Zuckerberg, devant le Congrès américain nous l’a, s’il en était besoin, confirmé.
Je vous rappelle, mes chers collègues, que dans l’affaire Cambridge Analytica, ce sont les données personnelles d’au moins 87 millions d’utilisateurs de Facebook qui ont été « siphonnées », volées – peut-être ne l’avons-nous pas dit clairement – pour servir la campagne présidentielle de Donald Trump.
Le scandale Cambridge Analytica aura sans doute permis de réveiller un peu les consciences des utilisateurs d’internet et des réseaux sociaux. Cela aura au moins permis à chacun de comprendre, d’appréhender concrètement, qu’en dehors de la question de la vie privée, la protection des données personnelles constitue également un enjeu majeur pour nos démocraties.
Rappelons que l’utilisation des données des utilisateurs de Facebook par Cambridge Analytica aurait permis le basculement de trois États américains en faveur de l’élection du candidat républicain et son accession à la Maison-Blanche.
Dans ce contexte, et plus d’un an après l’adoption par l’Europe du règlement général pour la protection des données, RGPD, qui repose sur le droit fondamental que constitue, pour chaque citoyen européen, la protection de sa vie privée et de ses données personnelles, la commission mixte paritaire n’est pas parvenue hélas ! à trouver un accord.
Je vais faire un peu de patriotisme sénatorial (Mme Françoise Laborde sourit.) : c’est tout à fait regrettable et le signal envoyé est aussi regrettable.
Certains de nos collègues députés ont choisi d’adopter une posture plutôt politicienne, rejetant le compromis proposé par le Sénat et ses apports.
Ce projet de loi, issu d’un règlement longuement négocié au niveau européen, n’était bien sûr pas dénué de défauts à nos yeux. Nous avions d’ailleurs fait des propositions en vue de son amélioration et regretté le manque de courage politique pour aborder par exemple les dispositions liberticides de la loi Renseignement.
Mais nous avions soutenu, sans considération partisane – vous le remarquerez –, certaines des modifications apportées par le Sénat en première lecture, notamment pour encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles – comme cela est préconisé dans la loi d’octobre 2016 pour une République numérique » –, ainsi que pour renforcer les garanties de transparence en la matière, par exemple pour les inscriptions dans l’enseignement supérieur – Parcoursup.
Au cours de cette nouvelle lecture, nous continuerons bien évidemment à soutenir et à défendre les amendements visant à combattre les exceptions à la loi d’octobre 2016 pour une République numérique, comme la mise en place pour Parcoursup du secret des délibérations.
Au groupe communiste républicain citoyen et écologiste, nous entendons la complainte qui monte des rues et dans nos universités. Nous sommes sensibles aux revendications de nos étudiants et des enseignants du supérieur, notamment sur l’opacité de la sélection par Parcoursup, que cette assemblée aura, j’en suis sûre, la volonté de rejeter, comme elle l’a fait en première lecture.
Le groupe CRCE avait également souhaité que les collectivités territoriales soient mieux accompagnées dans la mise en œuvre de leurs nouvelles obligations et que la CNIL soit dotée des moyens suffisants au plein exercice de sa mission.
Tout cela a malheureusement été balayé par l’Assemblée nationale, qui a rétabli son texte en séance jeudi dernier et le rétablira encore, quel que soit le résultat de nos travaux – je le suppose…
J’avais regretté, lors de la première lecture, un texte qui manquait d’ambition ; je le regrette encore aujourd’hui. Mais à cela s’ajoute la déception de voir que, sur un sujet aussi important pour notre démocratie, pour nos libertés, le consensus ait été sacrifié sur l’autel de la politique politicienne. (Applaudissements sur les travées du groupe communiste républicain citoyen et écologiste et sur des travées du groupe Les Républicains et du groupe Union Centriste.)
Mme Catherine Morin-Desailly. Madame la présidente, madame la garde des sceaux, monsieur le président de la commission, madame la rapporteur, mes très chers collègues, « le Nouveau Monde doit apprendre de l’Ancien » :…
Mme Maryvonne Blondin. Exactement !
Mme Catherine Morin-Desailly. … c’est en ces termes que s’exprimait il y a quelques jours l’ancien patron de la Federal Communications Commission,…
M. Philippe Bas, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale. Je croyais que c’était du Macron ! (Sourires.)
Mme Catherine Morin-Desailly. … dans le New York Times, faisant la promotion de l’Europe dans sa conception de la protection de la vie privée.
Aujourd’hui, au lendemain de la scandaleuse affaire Cambridge Analytica, où l’on a découvert que les données de dizaines de millions d’internautes ont été détournées, ces propos prennent une saveur toute particulière. Ils doivent encore être appréciés à l’aune des aveux de Mark Zuckerberg lui-même, qui, la semaine dernière, convoqué par le Congrès, reconnaissait que, oui, Facebook avait collecté les données d’internautes n’ayant pas de compte, mais liés à des Facebookers ; que, oui, Facebook avait constitué des shadow profiles, faits confirmés par une employée de Cambridge Analytica, qui a depuis lors précisé que certaines données auraient pu servir lors de la campagne sur le Brexit.
Alors oui, le RGPD est regardé avec intérêt outre-Atlantique. Oui, certains Américains commencent à se rendre compte, en l’absence chez eux de législation sur les données, de la menace désormais avérée que font peser les géants du numérique non seulement sur la vie économique, mais également, ce qui est plus grave, sur la vie démocratique et citoyenne.
Oui, sur ces questions, et ce n’était pas l’intention à l’origine, il faut désormais réguler ! C’est le fondateur du World Wide Web, le Britannique Tim Berners-Lee lui-même, qui s’exprimait ainsi il y a quelques jours dans l’un de nos grands quotidiens nationaux, constatant que le web dans les mains de quelques géants de plus en plus monopolistiques s’éloignait dangereusement du web libre et ouvert de ses débuts.
Les événements, mes chers collègues, nous rattrapent et nous démontrent jour après jour que ce modèle économique de l’internet basé sur la captation et le profilage des données, sur la publicité et la gratuité, n’est plus viable à terme ; on a laissé se créer les conditions d’une revente sauvage, quasi incontrôlée, des données, laissant des monopoles se constituer, lesquels ne cessent d’éliminer du jeu leurs concurrents, le système s’autoalimentant par le biais de toujours plus de données traitées, renforçant toujours plus les positions dominantes.
Aujourd’hui, il faut dire stop à ces entreprises, les GAFAM, qui continueront de contester les actions juridiques lancées contre elles, qui réaffirmeront la main sur le cœur que tout ira bien. Elles ont largement outrepassé leurs droits : c’est vrai en matière de fiscalité, c’est vrai en matière de concurrence déloyale et aujourd’hui, fait nouveau et grave, elles outrepassent leurs droits en s’attaquant au cœur de ce qui fait nos systèmes démocratiques, s’immisçant dans les processus électoraux et contribuant à la manipulation des opinions. Ce n’est pas tolérable !
Dans ce contexte, le RGPD est assurément le coup de frein ; je pense qu’il ne sera efficace que s’il est accompagné d’une vraie volonté politique, madame la garde des sceaux : d’une part, accompagner avec les moyens financiers et humains nécessaires son application – le besoin de formation et d’information de nos collectivités, de nos administrations, de nos entreprises et de nos concitoyens est en effet immense – ; d’autre part, il faut qu’il soit accompagné d’une vraie prise de conscience politique qui fasse que nous ne soyons pas uniquement dans le défensif, mais que son application s’inscrive dans une cohérence d’action et une stratégie plus globale et offensive.
Or, pour l’instant, que constatons-nous ? Des incohérences entre le ministre de l’économie, qui, dans le sillage de l’action de l’Union, s’attaque aux abus de position dominante de Google et d’Apple – ce que j’approuve totalement, même si je pense que tout cela doit être accompagné d’une politique industrielle puissante –, et d’autres ministères, lesquels, pendant ce temps-là, contractualisent ou ont contractualisé aveuglément avec ces mêmes acteurs. Je l’ai dit au ministre de l’éducation nationale la semaine dernière lors d’une question d’actualité au Gouvernement. Ce dernier en est d’ailleurs convenu.
Le dernier fait en date a déjà été cité par certains de mes collègues : il s’agit de la mise en ligne sur YouTube, par la direction générale des finances publiques, sans que le citoyen-contribuable en ait été préalablement informé, d’une vidéo d’information susceptible d’offrir à Google les données de millions de Français ! Est-ce franchement sérieux ? (Non ! au banc des commissions et sur des travées du groupe socialiste et républicain.)
S’agissant des marchés publics portant sur le traitement des données ou la formation de nos administrations, il y a là encore beaucoup à dire. Je vous l’ai déjà dit il y a quinze jours, madame la garde des sceaux : nous exigeons un surcroît de rigueur de la part du Gouvernement dans le choix des prestataires, notamment lorsqu’il s’agit des données publiques sensibles.
Dans la même perspective, l’État doit s’inquiéter de voir certains de ses agents quitter des postes hautement stratégiques, qui celui de directeur de l’ARCEP, l’Autorité de régulation des communications électroniques et des postes, qui celui de directeur du numérique pour l’éducation, afin de rejoindre des entreprises exerçant – c’est avéré – un lobbying intense sur l’appareil d’État.
Qu’on se le dise : ces mouvements nous fragilisent, et j’aimerais que l’on mette un peu de déontologie là-dedans ! Cette porosité est vraiment préoccupante.
En résumé, madame la garde des sceaux, ma question est la suivante : qui coordonne le traitement de ces sujets au niveau du Gouvernement ?
Où est l’équivalent français du chief technology officer d’Obama ?
Où est le commissariat au numérique dont, préoccupés de la souveraineté de notre pays et de celle de l’Union européenne, nous avions, ici même, au Sénat, inscrit le principe dans la loi pour une République numérique ?
Où est, en tout état de cause, celui qui disposerait de suffisamment d’autorité et de poids pour assurer la transversalité de la réflexion et la cohérence de l’action gouvernementale sur ces sujets ?
Vraiment, madame la garde des sceaux, il est temps que nous sortions de cette complaisance naïve ou de ce fatalisme consistant à penser que nous avons une révolution de retard. Ces attitudes vont à l’encontre de nos intérêts supérieurs et entravent le développement d’un internet construit sur nos valeurs.
Pour cette raison, je déplore que les députés, en lien avec le Gouvernement, n’aient pas jugé bon de prendre en compte les avancées du Sénat sur ces sujets que nous connaissons bien, sur lesquels nous disposons d’une tradition de réflexion, d’anticipation et d’initiative.
Je voudrais, à cet égard, saluer le travail de notre commission des lois et celui de la commission des affaires européennes, aux travaux desquelles, d’ailleurs, j’ai pu participer.
Dois-je rappeler que la CNIL, dont nous avons fêté les quarante ans dans cette enceinte il y a quelques jours, est née sur l’initiative du Sénat ?
À ce titre, nous pensions que nous pouvions améliorer, sur quelques sujets, ce texte de transposition de directive. Le traitement des masses de données et l’intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés, seule condition de la neutralité. De même faut-il garantir une liberté de choix des fournisseurs de logiciels ou de services nécessaires au fonctionnement de ces derniers. Tel était le sens des amendements que j’ai portés au nom de notre groupe, le groupe Union Centriste, et que vous avez boudés, madame la garde des sceaux.
Je remercie Mme la rapporteur d’avoir compris ce sens et, par ailleurs, d’avoir voulu améliorer ce texte, en concertation avec l’ensemble des sénateurs, pour ce qui concerne les collectivités territoriales.
S’agissant, en quelques mots, de la plateforme Parcoursup, il y a quelques semaines, dans le cadre de l’examen du projet de loi relatif à l’orientation et à la réussite des étudiants, avec le rapporteur Jacques Grosperrin, nous avions abordé la question de la transparence des algorithmes de traitement, mais sans aboutir à une solution satisfaisante. À la demande du Gouvernement, auteur d’un amendement de dernière minute, et dans un souci d’apaisement et de sécurisation des acteurs, alors que la plateforme était déjà active et utilisée par les étudiants, nous avions accepté une exception aux règles de publicité pour Parcoursup.
Mais on voit bien que cette question de la transparence des algorithmes n’était pas traitée ; or elle reste centrale dans le fonctionnement de la nouvelle plateforme, ceci ne retirant rien, bien sûr, au respect dû au travail des universités et au secret des délibérations.
Dernier point : je viens de déposer une proposition de résolution européenne sur ce que je considère comme un angle mort du RGPD, à savoir la question des objets connectés. Tout, demain, transitera par eux, et notamment nos données les plus sensibles ; la question de leur certification est donc posée, ainsi que celle de la définition d’une politique industrielle en la matière.
À défaut d’avoir voulu réformer nos règles économiques et nos règles de concurrence au niveau européen, il va nous falloir être beaucoup plus offensifs sur ce sujet.
En tout état de cause, mes chers collègues, l’intensification des problèmes sur lesquels j’ai voulu insister au nom de mon groupe est inexorable.
Pour conclure, je voudrais saluer le rôle majeur qu’a joué la CNIL dans cette affaire. Le dynamisme et la clairvoyance de sa présidente ont fait jouer à la France un rôle majeur. Notre pays a été moteur dans l’élaboration de ce règlement et a aiguillonné le G29 dans le bon sens.
Mon dernier mot est pour notre rapporteur : exigeante, constructive, à l’écoute, elle a su faire progresser ce texte utilement. (Applaudissements sur les travées du groupe Union Centriste et sur des travées du groupe Les Républicains. – Mme Sylvie Robert applaudit également.)