Question de M. BIGNON Jérôme (Somme - Les Indépendants) publiée le 20/12/2017

Question posée en séance publique le 19/12/2017

M. Jérôme Bignon. Ma question s'adresse à Mme la garde des sceaux, ministre de la justice.

Le projet de loi destiné à adapter la législation française au règlement général européen sur la protection des données personnelles – le RGPD – a été adopté mercredi dernier en conseil des ministres.

L'entrée en vigueur du règlement, qui réforme en profondeur notre cadre normatif de traitement des données, est fixée au 25 mai prochain. Le temps presse, par conséquent, et nous regrettons que les délais pour débattre d'un sujet aussi stratégique et complexe s'annoncent quelque peu serrés.

Le RGPD constitue pourtant une véritable révolution au service d'une meilleure protection des données personnelles : il crée un « droit à l'oubli » et à la portabilité des données pour les citoyens, il oblige les entreprises à recevoir le consentement « explicite » et « positif » des utilisateurs avant le traitement de leurs données, il contraint ces mêmes entreprises à prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits. Ce règlement permet de combler en partie le retard des régulateurs européens et nationaux sur les avancées technologiques.

Je souhaite saluer ici le rôle crucial joué par la présidente de la Commission nationale de l'informatique et des libertés, Mme Falque-Pierrotin, dans les travaux européens qui ont conduit à l'adoption du RGPD.

Notre groupe se réjouit que cette régulation mette en valeur une conception très européenne, très protectrice de la vie privée, qui n'est pas celle des États-Unis.

Devant la puissance des entreprises américaines du numérique, en particulier des « GAFA » – Google, Apple, Facebook, Amazon –, devant une législation américaine particulièrement indulgente pour les services de renseignement des États-Unis dès que la sécurité nationale du pays est concernée – l'affaire Snowden l'a démontré –, comment la France compte-t-elle défendre au niveau européen et international le respect de ces nouvelles dispositions, notamment par les entreprises et le gouvernement américains, qui disposent d'un quasi-monopole sur l'hébergement des données numériques ? (Applaudissements sur les travées du groupe Les Indépendants – République et Territoires.)

- page 10413


Réponse du Ministère de la justice publiée le 20/12/2017

Réponse apportée en séance publique le 19/12/2017

Mme Nicole Belloubet, garde des sceaux, ministre de la justice. Monsieur le sénateur, le projet de loi relatif à la protection des données personnelles, qui sera débattu à partir du mois de février prochain, vise en réalité à adapter la loi Informatique et libertés de 1978 à un nouveau cadre juridique européen composé d'un règlement et d'une directive, laquelle devra être transposée avant le 25 mai 2018.

Ce règlement et le texte français qui le transpose instaurent de nouveaux droits pour les citoyens, en particulier – c'est très important – un droit à l'effacement des données et un droit à la portabilité des données personnelles. Le cadre juridique sécurisé ainsi dessiné permettra de renforcer la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles.

Pour répondre précisément à la question que vous posez, monsieur le sénateur, il faut dire que le règlement constitue un cadre très protecteur pour l'ensemble des Européens en matière de données personnelles. Il est applicable à l'ensemble des entreprises et de leurs sous-traitants, quel que soit leur lieu d'implantation, dès lors qu'ils offrent des biens et des services à des personnes résidant sur le territoire de l'Union européenne.

C'est évidemment une avancée tout à fait considérable qui permet à la France de garder un rôle moteur dans ce domaine. Dans ce cadre uniformisé, les pouvoirs de la CNIL sont considérablement renforcés, puisqu'elle disposera d'un pouvoir de sanction, pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé.

En cas de contentieux, les juridictions nationales et/ou européennes pourront également être saisies et intervenir par rapport aux entreprises américaines. De plus, la France a souhaité être associée au « bouclier vie privée », adopté par la Commission européenne en 2016, qui permet les transferts de données des entreprises européennes vers les États-Unis. La France a rappelé la nécessité, pour l'administration américaine, de garantir un niveau de protection équivalent au standard européen. Ainsi, c'est une nouvelle forme de souveraineté que notre pays a promu au sein de l'Union européenne en matière de données personnelles. (MM. Alain Richard et Jean-Pierre Sueur applaudissent.)

- page 10414

Page mise à jour le