Intervention de Delphine Batho

Je salue l'arrivée devant notre Assemblée de ce projet de loi très attendu, dont la méthode d'élaboration est exemplaire par sa transparence et par la manière dont elle a mis la société civile à contribution.

Le texte comporte d'importantes avancées. J'approuve le choix de son titre ; je souhaite même que l'on aille jusqu'au bout de la logique qui y préside. Le projet, en effet, ne répond pas entièrement à cette question fondamentale : comment la souveraineté s'exerce-t-elle dans le cyberespace ? Telle est la question lancinante qu'ont posée les parlementaires de tous les groupes lors du débat préparatoire en séance publique. Entre-temps est intervenue la très importante décision, évoquée par le rapporteur, de la Cour de justice de l'Union européenne, qui dit clairement que les données des citoyens européens sont exploitées en toute illégalité aux États-Unis, ce qui révèle une défaillance de la régulation européenne et nationale.

Moi qui ai voté avec enthousiasme le projet de loi sur le renseignement, parce qu'il me paraît absolument normal que nos services aient les moyens de faire leur travail dans le cyberespace, je trouve paradoxal que les défenseurs des libertés ne s'émeuvent pas davantage de ce captage massif des données, exploitées notamment à des fins commerciales, sans que ne s'applique la moindre règle visant à protéger les droits des citoyens.

Les données sont la matière première ; elles sont en quelque sorte le capital de cette nouvelle économie du big data. Le problème est que les catégories juridiques de la loi de 1978 ne sont plus adaptées aux systèmes technologiques que nous connaissons aujourd'hui. En effet, cette loi prend en considération des données individuelles, même si elle intègre l'idée essentielle que celles-ci peuvent renseigner «  directement ou indirectement  » sur un individu ; or, actuellement, c'est à un réseau de données que nous sommes confrontés. De ce point de vue, l'article 26 du projet de loi, aux termes duquel tout citoyen a le droit de contrôler ses données, est problématique. Car, en laissant un tiers accéder à mes données, je lui offre aussi l'accès à celles de toutes les personnes figurant dans mon carnet d'adresses, avec qui j'ai eu un rendez-vous, qui ont posté des commentaires sur ma page Facebook, etc. On ne peut plus isoler les données personnelles les unes des autres.

Ce réseau de données solidaires rattachées aux personnes appelle une nouvelle approche juridique : les données ne peuvent plus être traitées que comme un bien commun. Dès lors, si l'on veut favoriser l'open data, le partage des données publiques et l'économie numérique, se pose la question du chiffrement lorsqu'il s'agit de gérer ce bien commun. Il faut, en effet, différents niveaux d'ouverture et de protection des informations qui se rattachent aux personnes. Les textes juridiques qui le permettront ne seront pas faciles à rédiger.

Je ne crois pas à l'autorégulation des plateformes. Il faudra, même si ce n'est pas au niveau européen, établir une règle de domiciliation juridique et fiscale à la source des données. On ne peut pas laisser exploiter les données des citoyens sans imposer la valeur ainsi créée et sans permettre d'en appeler à la justice en cas de défaillance.