Accueil » Accès par thème » Police et sécurité » Projet de loi relatif à la protection des données personnelles

Police et sécurité<<< Revenir à la liste


Projet de loi relatif à la protection des données personnelles

Maryse CARRERE

M. le président. La parole est à Mme Maryse Carrère, pour le groupe du Rassemblement Démocratique et Social Européen. (Applaudissements sur les travées du groupe du Rassemblement Démocratique et Social Européen.)

Mme Maryse Carrère. Monsieur le président, madame la garde des sceaux, mes chers collègues, si le texte que nous examinons aujourd'hui a pour principal objet d'assurer la conformité de notre droit national avec le droit européen, il soulève toutefois plusieurs questions qui méritent d'être plus longuement discutées au sein de notre assemblée.

L'adoption en 2016 du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, dit RGPD, constitue un progrès indéniable sur le plan européen. Il s'agit également d'une victoire diplomatique française, ce règlement visant à faire converger les droits des États membres vers des standards plus protecteurs des données personnelles, proches des standards français. Il est vrai que, depuis la loi du 6 janvier 1978, notre pays a joué un rôle précurseur en la matière.

Ce règlement européen est également réaliste. Il prend acte du formidable développement des données personnelles en circulation qui constituent aujourd'hui la matière première de nombreuses entreprises, en transformant la logique d'autorisation en logique de responsabilisation des acteurs du marché. Il revient désormais à ces derniers de s'assurer que leurs traitements des données sont effectués en conformité avec les règles applicables en matière de collecte.

Ces impératifs du RGPD concernant la licéité de la collecte, le consentement des individus dont les données sont collectées, ou encore la finalité du traitement des données s'imposent donc à tous, acteurs privés, mais également acteurs publics… Je pense évidemment à nos collectivités territoriales !

Au sein de toutes ces structures, en particulier les plus petites et les moins bien informées, l'application du RGPD est un défi, un « changement de paradigme », comme l'ont évoqué certains, qui mériterait un meilleur accompagnement par l'État.

La plupart des collectivités ont anticipé l'échéance du 25 mai 2018 et l'adoption de ce projet de loi. Par exemple, au sein du conseil départemental des Hautes-Pyrénées, la mise en conformité, avec la nomination d'un délégué à la protection des données et la mise en place d'un meilleur ciblage du traitement concernant les données sensibles et les mineurs, a bouleversé les habitudes. Elle a également nécessité un ciblage des hébergements des données personnelles sous-traitées à l'extérieur du réseau du département, la mise en œuvre d'un registre des traitements priorisé sur les données sensibles, et, enfin, une communication à destination des usagers, notamment au vu des obligations en termes de consentement.

Ainsi, c'est toute une organisation, avec des processus et des mesures dont je vous épargnerai le nom, qui a dû être mise en place pour assurer la conformité avec ce règlement et une réelle protection des données de nos concitoyens. Il s'agit enfin d'un énorme travail à destination des agents, notamment en termes de formation sur le traitement des données sensibles et, surtout, sur la conservation des données de manière générale.

D'une part, le coût global de ces transformations est largement sous-estimé. D'autre part, l'absence de prise en compte des difficultés que rencontrent de nombreuses collectivités territoriales donne lieu à une protection inégale des données personnelles de nos concitoyens, selon qu'ils sont domiciliés dans une collectivité respectueuse ou non du RGPD.

C'est pourquoi je tiens à saluer le travail important effectué par notre collègue Sophie Joissains, qui a procédé à un grand nombre de modifications en faveur des collectivités territoriales, mais également des petites entreprises.

M. Philippe Bas, président de la commission des lois. Je m'y associe.

Mme Maryse Carrère. Malgré les difficultés matérielles de mise en œuvre, je souhaite insister sur plusieurs dispositions importantes du projet de loi qui permettront une amélioration de la protection de nos données personnelles. Je pense, par exemple, à la facilitation des actions en justice, notamment à la création d'une action de groupe. Je pense aussi à la possibilité donnée à la CNIL de saisir le Conseil d'État pour qu'il puisse ordonner la suspension du transfert des données en cause, dans l'attente d'une décision définitive de la Cour de justice de l'Union européenne. Ces dispositions contribueront effectivement à la protection des données personnelles des Français.

La question de la fixation d'un âge légal de consentement au partage de données personnelles devrait également donner lieu à de nombreux débats. Sur ce point, deux visions se dégagent, certains considérant que cet âge devrait être le même que celui de l'émancipation, d'autres souhaitant responsabiliser progressivement les adolescents. À nos yeux, cette question devrait être abordée dans le cadre d'une approche globale de l'accès à la majorité.

Après la phase de découverte des possibilités offertes par les nouvelles technologies de l'information et de la communication, nous entrons dans une phase de prudence et de prise de conscience de l'impact potentiel de l'utilisation de ces technologies sur nos libertés publiques et individuelles. Nous regrettons donc que ce projet de loi ne réponde pas à l'ensemble des préoccupations des Français.

La question du consentement à l'utilisation des données personnelles est légitime, et reviendra sûrement au cours de nos prochains débats. Il convient de réfléchir au financement des services proposés par des sites internet, lesquels font valoir que l'exploitation des données personnelles à des fins de publicité est la contrepartie de la gratuité de leurs services. La création de droits sur les données personnelles remettrait en cause ce modèle de financement. Un tel sujet mérite d'être débattu, dès lors que les Français attendent une plus grande traçabilité des informations les concernant.

Il en va de même s'agissant des algorithmes utilisés par l'administration, à la suite des vives critiques qui se sont élevées contre le traitement automatisé du système admission post-bac. La solution proposée par Mme la rapporteur est plus satisfaisante que la version issue des travaux de l'Assemblée nationale, mais nous considérons que le dispositif pourrait encore être amélioré.

L'introduction d'un droit de rectification des archives fera probablement l'objet de nombreuses discussions. Il est à craindre que cette disposition, qui soulève d'importantes questions déontologiques, n'engorge nos services d'archives.

Enfin, l'existence de marges de manœuvre autorisées par le règlement européen nous inquiète, dès lors que celles-ci pourraient encourager la localisation de sous-traitants des responsables de données personnelles dans les États membres les moins protecteurs. C'est pourquoi nous avons proposé plusieurs amendements destinés à alerter le Gouvernement sur les risques que cela pourrait comporter pour nos concitoyens et sur la situation difficile dans laquelle se trouveront nos entreprises de traitement de données personnelles, très protectrices en la matière, face à leurs concurrents localisés dans les États offrant moins de garanties.

Si nous avons souhaité enrichir le débat en déposant des amendements, nous restons cependant conscients de l'obligation de mise en conformité avec le droit européen, et abordons donc ce texte de façon favorable. (Applaudissements sur les travées du groupe du Rassemblement Démocratique et Social Européen, ainsi qu'au banc des commissions.)


Visualisez la vidéo sur le site du Sénat :

http://videos.senat.fr/senat/2018/03/encoder1_20180320144709_1_14379368_14781479.mp4
<<< Revenir à la liste