Intervention de Philippe Gosselin

Monsieur le président, mes chers collègues, le rapport qu'Anne-Yvonne Le Dain et moi-même vous présentons aujourd'hui a effectivement été rédigé dans des conditions particulières, notamment dans des délais très courts.

L'application du règlement à partir de mai 2018 rend nécessaire une adaptation du cadre national de la protection des données personnelles, principalement défini par la loi du 6 janvier 1978, dite « Informatique et libertés », qui a été à l'origine de la création de la CNIL, l'une des toutes premières autorités administratives indépendantes, et un modèle pour celles qui ont été créées ultérieurement.

À la différence de la directive, qui doit faire l'objet d'une transposition, le règlement est en principe applicable immédiatement en droit national. Le règlement qui nous intéresse est un peu particulier, dans la mesure où il nécessite quelques mesures de transposition – si je devais user d'un néologisme, je dirais qu'il s'agit d'une « régletive ».

L'interruption prochaine des travaux parlementaires imposera d'engager dès le début de la nouvelle législature la révision de la loi du 6 janvier 1978 et, nonobstant le principe de séparation des pouvoirs, nous devrons veiller à ce que le Gouvernement dépose un projet de loi dès juin 2017, en tout état de cause avant l'été, afin que les travaux législatifs puissent aboutir avant la fin de l'année 2017, compte tenu du temps nécessaire pour publier les décrets d'application et pour que le texte soit applicable en droit français avant le 25 mai 2018.

La loi du 7 octobre 2016 pour une République numérique a pris en considération la problématique de la protection des données personnelles, sans pour autant couvrir l'ensemble du champ du règlement. Certaines de ses dispositions visent à anticiper l'application du règlement – je pense au droit à l'oubli numérique pour les mineurs, une disposition qui avait fait l'unanimité –, tandis que d'autres ont été adoptées à titre transitoire – c'est le cas du renforcement des sanctions prononcées par la CNIL – ou traitent de sujets connexes – par exemple, les données des personnes décédées, ou la portabilité des données n'ayant pas un caractère personnel.

Nous avons distingué, dans le rapport, deux catégories de mesures : d'une part, les adaptations nécessaires, qui ne devraient pas donner lieu à des débats très approfondis, d'autre part, les questions restant en suspens, qu'il reviendra au législateur de trancher en faisant usage de sa faculté d'appréciation, voire d'opportunité.

La future loi devra adapter les dispositions relatives aux sanctions pouvant être prononcées par la CNIL. Si la loi pour une République numérique a d'ores et déjà prévu qu'à compter du 25 mai 2018, les sanctions entrant dans le champ du règlement seront celles prévues par ce dernier, d'autres évolutions seront nécessaires. Le législateur devra notamment définir les procédures s'appliquant aux mesures correctives pouvant être prises par la CNIL – mise en demeure, mesure suspensive, saisine du juge –, ainsi que les sanctions des manquements ne relevant pas du règlement.

Par ailleurs, si le règlement prévoit les mécanismes de coopération et de décision des autorités nationales de contrôle, il ne comporte aucune disposition sur les règles procédurales, qui relèvent de la seule compétence des États membres. Les lignes directrices adoptées par le G29 – dénommé ainsi en référence à l'article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci, et ayant vocation à se transformer en une force institutionnelle à compter de l'entrée en vigueur du règlement – sur ces questions devraient donner un cadre au législateur.

Par ailleurs, d'autres questions restent en suspens. Il s'agit tout d'abord de l'interprétation de certains concepts. Plusieurs notions évoquées dans le règlement devront être précisées afin de permettre une application uniforme de ce texte au sein de l'Union européenne. C'est le cas, par exemple, de la notion de « risque élevé », nécessitant qu'un responsable de traitement consulte l'autorité de contrôle avant de mettre en oeuvre un traitement de données, sujet sur lequel tous les États n'ont pas la même perception ni la même sensibilité. Sur l'ensemble de ces notions, nous considérons que les avis du G29 seront essentiels pour éviter toute incertitude juridique potentiellement préjudiciable aux responsables de traitement dont la responsabilité pourrait être engagée et aux personnes concernées.

Comme l'a dit Mme Anne-Yvonne Le Dain, nous devrons également prévoir des dispositions afin d'éviter la pratique par les entreprises du forum shopping, qui se ferait à leur avantage mais au détriment de l'intérêt collectif – tout en veillant à ne pas corseter trop fortement le dispositif, afin que, si des marges de manoeuvre existent, elles bénéficient à l'implantation d'entreprises en France : il ne faudrait pas que notre pays devienne un repoussoir.

Ensuite, plusieurs dispositions du règlement prévoient que les États membres pourront maintenir ou adopter des règles spécifiques pour certains types de traitement.

Pour ce qui est des données de santé, un sujet plus sensible en France que dans d'autres États, la question de la compatibilité avec le règlement européen du nouveau régime d'accès aux données de santé médico-administratives à caractère personnel, défini par la loi de modernisation de notre système de santé du 26 janvier 2016, se posera sans aucun doute. Le caractère très récent de cette réforme – tous les décrets d'application n'ont pas encore été publiés – et les travaux actuellement en cours de la mission d'évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) sur cette question nous ont conduits à ne pas aborder ce sujet en détail.

D'autres traitements font l'objet de règles spécifiques définies par la loi du 6 janvier 1978. Il s'agit notamment des données biométriques et génétiques, des traitements aux fins d'expression journalistique, artistique et littéraire, des traitements de données relatives aux infractions, aux condamnations et aux mesures de sûreté, des traitements portant sur le numéro d'identification national (NIR) – une question sur laquelle la CNIL a une doctrine constante depuis près de quarante ans, dans le souci d'éviter que ce numéro n'agrège trop d'éléments sur un individu donné –, des traitements à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. D'après les éléments qui nous ont été communiqués par la CNIL, ces règles spécifiques devraient pouvoir être maintenues dans le cadre des marges ouvertes par le règlement. Il nous appartiendra de faire en sorte que les dispositifs des différents États ne divergent pas trop.

La question d'un éventuel élargissement du champ de l'action de groupe devra être tranchée par le législateur. L'action de groupe en matière de protection des données personnelles a été introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Elle est ouverte lorsque plusieurs personnes physiques subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 et permet d'obtenir la cessation du manquement.

Le règlement prévoit la simple possibilité pour les États membres d'adopter des dispositions nationales autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi. Plusieurs personnes entendues par la mission ont estimé qu'il serait souhaitable de permettre ce type d'actions de groupe pour aller jusqu'au bout de la logique du règlement. Nous aurons également à nous prononcer sur ce point.

La loi pour une République numérique prévoit la mise en oeuvre, à compter du 25 mai 2018, d'un droit à la portabilité de l'ensemble de ses données pour le consommateur – c'est-à-dire du droit de changer d'opérateur sans difficulté particulière. En ce qui concerne les données personnelles, elle renvoie au régime défini par l'article 20 du règlement. Les données non personnelles relèvent, elles, d'un régime différent, ne s'imposant qu'aux opérateurs de communications électroniques. Nous estimons que la mise en oeuvre de ces deux régimes risque de poser des difficultés d'interprétation et souhaitons que ceux-ci puissent être clarifiés et mieux articulés dans le cadre de la future loi.

Enfin, la question de l'articulation des dispositions nationales et du règlement se pose à l'égard des dispositions spécifiques aux mineurs. En effet, des âges différents sont fixés par la loi pour une République numérique – dix-huit ans – et par le règlement – seize ans, pouvant même être abaissés jusqu'à treize ans par le droit des États membres – pour l'exercice du droit à l'effacement des données personnelles.

Cependant, selon une interprétation avancée par le ministère de la justice, une disposition de l'article 17 du règlement, rendant obligatoire l'effacement des données pour respecter une obligation légale définie par le droit national, pourrait permettre de fixer une condition supplémentaire par rapport au règlement, comme le prévoit la loi pour une République numérique pour les mineurs âgés de 16 à 18 ans.

En conclusion, nous avons souhaité, par ce travail, appeler votre attention sur les enjeux posés par l'application du règlement. Nous avons également voulu transmettre un témoin à la future assemblée, qui devra examiner le projet de loi de révision de la loi du 6 janvier 1978 dans un délai très bref – pour compléter ce que j'ai dit tout à l'heure au sujet du calendrier, j'ajouterai qu'il serait souhaitable de désigner un rapporteur et un rapporteur d'application durant la session extraordinaire de juillet, afin que les auditions puissent démarrer dès septembre, c'est-à-dire avant l'examen des lois de finances.

En cette fin de législature, nous n'avons pas eu la prétention de trancher toutes les questions, mais plutôt le souci d'apporter des éléments utiles au débat sur ce sujet essentiel pour la protection des droits et libertés.