Intervention de Axelle Lemaire

Le droit à l'autodétermination informationnelle renverse la logique de la loi « Informatique et libertés », puisqu'il repose sur le principe selon lequel c'est à l'utilisateur de gérer ses données personnelles. Faut-il aller jusqu'à reconnaître un droit de propriété en la matière ? Pour ma part, j'y suis opposée, car un tel droit impliquerait un droit de cession. Or, il ne me paraît pas souhaitable que se développe, comme c'est le cas actuellement dans certains pays, un véritable marché des données personnelles. Au demeurant, le droit à l'autodétermination informationnelle permet à l'utilisateur de disposer librement de ses données. Encore faut-il améliorer l'accès à ces données, leur gestion et leur suivi, ainsi que le droit au déréférencement, voire le droit à l'oubli. Telles sont les pistes sur lesquelles nous travaillons dans le cadre de l'élaboration du projet de loi.

Les données de santé sont, quant à elles, particulièrement sensibles car, une fois croisées, elles permettent un profilage des individus qui peut les pénaliser, notamment lors de la souscription d'un prêt bancaire ou de la négociation d'un contrat d'assurance. Néanmoins, bien utilisées, notamment dans le cadre du Big data, et anonymisées, elles peuvent favoriser la médecine préventive et prédictive – il y a là, du reste, un champ de recherche et d'innovation qui est encore insuffisamment exploité en France. Un équilibre très délicat doit donc être trouvé. Il me semble que le projet de loi relatif à la santé y est parvenu, en prévoyant une plus grande ouverture des données de santé qui offrira davantage de possibilités de recherche.

Le droit au déréférencement, qui n'est pas un droit à l'oubli, est issu de l'arrêt « Google Spain ». La Cour de justice de l'Union européenne a en effet estimé que Google était, d'une part, responsable du traitement des données à caractère personnel réalisé par son moteur de recherche et, d'autre part, soumis à la réglementation européenne en ce qui concerne la protection de ces données. En soi, cette décision n'a rien d'extraordinaire : on doit pouvoir demander à un moteur de recherche comme à n'importe quelle entreprise dont on ne souhaite plus recevoir les actualités commerciales, par exemple, de ne plus utiliser nos données personnelles. L'opérateur Google est en mesure de réaliser ce déréférencement dans les cas simples. Dans les cas complexes, il doit tout d'abord appliquer la loi nationale, et bientôt la loi européenne, en matière de protection des données personnelles et, en cas de doute, les lignes directrices définies par le G29, composé de l'ensemble des régulateurs nationaux européens. Lorsque le cas est très complexe, il doit être possible de recourir au juge d'une manière simplifiée et plus efficace, notamment lorsque la liberté d'expression et d'information peut être en jeu.