Allez au contenu, Allez à la navigation

Séance du 17 octobre 2013 (compte rendu intégral des débats)

M. François Pillet. Monsieur le président, madame la ministre, mes chers collègues, après l’affaire du fichier SAFARI, le système automatisé pour les fichiers administratifs et le répertoire des individus, la France a adopté, voilà plus de trente ans, la loi fondatrice du 6 janvier 1978 dite « informatique et libertés ». La France a donc été un précurseur majeur en matière de protection des données. Cette loi, qui est le fondement de la protection des citoyens face aux traitements de données à caractère personnel, a doté la France d’une autorité de contrôle : la CNIL. Elle a réglementé la manière dont sont collectées, exploitées et conservées les données personnelles par les entreprises, les administrations et les individus eux-mêmes.

Pour autant, le développement rapide des nouvelles technologies suscite de nouveaux défis de taille s’agissant de la protection des données à caractère personnel et, par conséquent, de la vie privée des individus. Internet est un vecteur sans précédent de la liberté d’expression et de communication.

Eu égard au contexte de mutation technologique rapide que nous connaissons, l’effectivité du droit au respect de la vie privée suppose d’adapter les instruments juridiques propres à garantir la protection des données à caractère personnel.

La législation communautaire a été fortement inspirée par l’exemple français. Le socle de la législation européenne en matière de protection des données est constitué par la directive européenne du 24 octobre 1995, mais ce texte est aujourd’hui obsolète.

En effet, les données personnelles des citoyens sont désormais traitées par différents acteurs publics et privés à l’échelon international, et non plus seulement dans un cadre national. Les données à caractère personnel sont exploitées par les entreprises et sont précieuses pour leur activité économique.

Depuis 1995, le secteur de la donnée a été totalement bouleversé. L’État s’est doté de très nombreux fichiers, procédant à l’interconnexion de certains d’entre eux. Mes chers collègues, vous pouvez le vérifier en constatant la fréquence de publication au Journal officiel d’annonces de mise en œuvre de nouveaux traitements de grande envergure par des administrations.

Avec le développement d’Internet, les individus sont de plus en plus les acteurs de la diffusion de leurs données. Le commerce électronique implique la communication de données à un cybermarchand, tout comme la gestion d’un compte bancaire en ligne. Au-delà, le développement des forums de discussion et des réseaux sociaux a permis aux internautes, à tous les particuliers, d’être à l’origine de la diffusion de nombreuses données personnelles qui soit les concernent, soit – c'est peut-être pis encore ! – sont relatives à des tiers.

Avec le développement du numérique et le fait que ce dernier soit dorénavant au cœur de toutes les industries, les données sont un carburant essentiel de notre économie, à l’origine de gains de productivité ou de nouveaux modèles économiques, de revenus, de croissance et, au final, de création d’emplois.

Le domaine de la donnée s’est donc considérablement élargi : tous les acteurs, tous les secteurs sont à l’origine de la collecte et de la diffusion des données, et ce sans aucune mesure. C'est la raison pour laquelle il est nécessaire d’avoir une réforme globale du cadre applicable.

Madame la ministre, la Commission européenne prépare actuellement un projet de règlement, qui a été évoqué par les orateurs précédents. Nous attendons avec impatience et intérêt que vous nous apportiez des précisions sur l’état des négociations.

Ce règlement européen doit avoir une ambition forte : harmoniser au niveau européen le cadre protecteur des données personnelles. En effet, l’Europe au travers de son Digital agenda souhaite développer un marché unique européen dans le domaine du numérique. Ce marché unique numérique ne peut exister que si un cadre communautaire, harmonisé, commun à tous les pays européens est créé en parallèle.

Cette harmonisation est d’autant plus nécessaire que les consommateurs sont mobiles. Grâce au commerce électronique, un internaute français peut acheter des produits auprès de marchands situés au Royaume-Uni, en Espagne ou en Pologne, et inversement. Mais surtout, grâce à l’espace Schengen, il est dorénavant possible aux citoyens, et à leurs données, de se déplacer physiquement dans les différents pays de l’Union européenne.

La création d’un tel marché unique est aussi prédestinée par un autre facteur : les relations avec les autres régions et les autres continents du monde. Chaque année, la CNIL autorise plus de 800 entreprises à envoyer leurs données en dehors de l’Union européenne.

En parallèle, de plus en plus de multinationales offrent des services à des citoyens européens et français sans être physiquement installées sur le territoire français.

Construire un cadre européen uniforme rendra l’Union européenne plus forte et plus attractive. Ce cadre pourrait reposer sur plusieurs principes.

D’abord, il est nécessaire de prévoir une harmonisation maximale au sein de l’Union européenne. Il faut en effet en finir avec les « paradis numériques » : les droits et obligations reposant sur une société doivent être les mêmes que celle-ci soit établie en France, en Irlande, au Luxembourg ou en Bulgarie. C’est pourquoi le principe d’un règlement européen est la bonne voie.

Ensuite, il faut harmoniser les contrôleurs européens. Nous sommes face à un enjeu : créer un guichet unique à la fois pour les entreprises, afin de simplifier leurs démarches, et pour les consommateurs, pour rendre effectifs leurs droits. Pour autant, il faut veiller à préserver l’efficacité des réglementations nationales lorsque celles-ci protègent davantage les droits des consommateurs et la vie privée de nos concitoyens.

Au-delà de ces principes, il convient de créer, sur des bases solides, de nouveaux droits pour les consommateurs. Ces droits devront avoir un point commun : le respect, à l’avenir, de la vie privée. On ne sait pas aujourd’hui de quoi cet avenir sera fait. Nous sommes un peu inquiets face à l’apparition de techniques que l’on peut ne plus maîtriser. Le droit sait-il se rendre maître des techniques ?

M. François Pillet. Quelles seront les applications ? Comment l’État ou les entreprises utiliseront-ils les données ? Jusqu’où la recherche scientifique, médicale ou universitaire s’aventurera-t-elle dans le secteur de la donnée massive ?

Les législateurs que nous sommes se doivent donc de concilier deux concepts qui peuvent paraître antinomiques : la stabilité juridique pour les entreprises dans un monde mouvant et la protection constante des individus.

Pour atteindre cet objectif, plusieurs principes doivent être établis : la transparence, le contrôle et la sécurité ; voilà quel doit être le triptyque de la protection des données personnelles dans cette nouvelle révolution industrielle.

La transparence est un principe clé qui doit s’appliquer aussi bien aux États qu’aux entreprises. L’individu doit être en mesure de savoir les raisons pour lesquelles ses données sont collectées, comment elles seront utilisées et à quelle finalité.

Le contrôle est le second principe clé. Il faut redonner aux utilisateurs la possibilité, le soin même, de contrôler l’usage de leurs données. Cela signifie, par exemple, qu’il faut leur permettre de demander la suppression de données qu’ils ont mises sur un blog ou sur un réseau social. C’est le fameux droit à l’oubli. Il faut également offrir la possibilité aux utilisateurs de récupérer, de télécharger l’ensemble des données dont ils sont à l’origine. C’est le droit à la portabilité, que pousse le règlement européen. Ce droit au contrôle a également une signification forte : il ne revient pas à un intermédiaire, à un tiers de décider ce qu’il va advenir de mes données. C’est au citoyen d’en conserver la maîtrise.

Quant à la sécurité, elle est indispensable : il n’y a pas de vie privée sans sécurité. Il ne se passe pas une semaine sans que la presse se fasse l’écho d’un vol de données, d’une violation de sécurité. La sécurité doit donc être une priorité, et les précédents intervenants ont tenu des propos forts sur ce point.

Madame la ministre, de nombreuses actions sont à entreprendre, dont l’adoption d’un cadre européen de qualité qui soit compatible avec le besoin de renforcer une stabilité pour les entreprises et – j’insiste sur ce point auquel je suis très attaché, comme notre assemblée d’ailleurs – une meilleure protection des consommateurs et de la vie privée. Le Sénat l'a toujours démontré, en particulier dans les débats qui ont été évoqués, il est le gardien du respect de la vie privée et de la liberté personnelle de nos concitoyens.

M. Jean Bizet. Très bien !

M. François Pillet. Il semble néanmoins urgent de privilégier la qualité à la rapidité.

Une seule question persiste : comment serons-nous jugés plus tard si nous ne veillons pas aujourd'hui à protéger des dérapages techniques la liberté et la vie privée de nos concitoyens ? C'est un défi fondamental !

Madame la ministre, vous pouvez compter sur le soutien unanime tant du Sénat que de l'Assemblée nationale pour faire respecter ces fondements essentiels de notre société. (Applaudissements.)

M. le président. La parole est à Mme Éliane Assassi.

Mme Éliane Assassi. Monsieur le président, madame la ministre, mes chers collègues, les possibilités techniques de collecter des données personnelles sans que les personnes concernées en soient forcément conscientes ne cessent de croître.

Tout au long de sa vie, tout individu est susceptible d’être fiché, et ce à son insu, par la simple mise en œuvre de moyens techniques lors de ses déplacements, connexions, consultations d’informations ou transactions.

De plus, la lutte contre l’insécurité, le terrorisme et l’immigration est devenue, depuis une dizaine d’années, un élément de justification commode des fichages en tout genre, au mépris des libertés individuelles et publiques, dont le respect est pourtant au cœur de la démocratie.

Nous avons eu l’occasion de dénoncer ce fait à plusieurs reprises : on assiste désormais à la mise en œuvre d’une surveillance policière doublée d’un contrôle social généralisé de la population.

Ce fichage « tentaculaire » touche aussi bien les acteurs de l’éducation nationale, les bénéficiaires d’allocations sociales, les consommateurs, les clients des banques et des assurances, les nationaux étrangers, les personnes placées sous main de justice ou faisant l’objet d’un suivi psychiatrique.

Dans le même temps, le développement des réseaux sociaux a favorisé la mise à disposition volontaire d’informations personnelles, mais sans que l’on puisse réellement connaître et maîtriser l’usage qui en est fait, ni décider de leur retrait ultérieur.

Ainsi, les fichiers informatiques et les traitements automatisés de données à caractère personnel qui y sont associés sont devenus de véritables outils de gestion de la société, en même temps que de formidables pourvoyeurs d’une manne financière, par la commercialisation, de manière occulte et accélérée, de ces données auprès d’entreprises désireuses de cibler leurs offres publicitaires.

L’adoption voilà dix-sept ans de la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données fut l’acte fondateur de la protection de la vie privée à l’échelle communautaire. Toutefois, la modernisation de ce texte semble désormais à la fois urgente et indispensable.

La Commission européenne a fait le choix de réviser la directive européenne de 1995 par l’intermédiaire de deux instruments juridiques distincts.

L’un de ces instruments est une directive spécifique traitant des questions relevant de l’ancien « troisième pilier » communautaire, relatif à la coopération policière et judiciaire.

On peut regretter qu’il ait été choisi d’instaurer des règles spécifiques s’agissant de la coopération policière et judiciaire en matière pénale : les mêmes dispositions devraient au contraire s’appliquer, particulièrement dans un contexte de multiplication des fichiers en matière policière et judiciaire. Nous devrons veiller à ce que les règles applicables en matière de police et de justice ne soient pas moins protectrices que les autres.

Cela étant dit, les nouveaux droits qui semblent actuellement se dessiner pour l’ensemble des citoyens européens représentent de réelles avancées permettant de faire face aux défis des technologies informatiques. Mais ces avancées devraient, me semble-t-il, être plus ambitieuses pour être à la hauteur de l’enjeu qui concerne chacun d’entre nous : la garantie du respect de notre vie privée au sein d’un univers qui a tellement changé depuis dix ans.

Cet enjeu est de taille, et nous avons quelques inquiétudes.

D’abord, nous voulons nous assurer que les garanties offertes par notre droit national ne seront pas réduites.

Ensuite, la proximité des citoyens avec l’autorité de protection des données doit être préservée. Il ne s’agit pas de se prononcer contre un guichet unique, mais de prendre en compte la préoccupation des citoyens sur les données qui les concernent, dans leur propre langue.

La Commission nationale de l’informatique et des libertés, qui a développé depuis plus de trente ans une connaissance des acteurs comme des processus et qui participe actuellement à une démarche constructive et positive pour l’amélioration du futur cadre juridique commun, ne doit pas en ressortir affaiblie.

La résolution de notre collègue Simon Sutour adoptée par le Sénat a permis d’attirer l’attention du Gouvernement sur ce point. Le débat d’aujourd’hui doit être l’occasion de réaffirmer le souhait de notre assemblée de préserver les pouvoirs de la CNIL.

La consultation préalable de la CNIL doit être requise autant que possible dans les cas où le traitement créé contient des données sensibles et lorsqu’il utilise de nouvelles technologies susceptibles de porter atteinte aux droits fondamentaux, et ce aussi bien pour la création d’un nouveau fichier que pour ses modifications ultérieures. De même, le pouvoir de contrôle a posteriori de la CNIL doit aussi être préservé.

Un autre point crucial est le droit à l’oubli. Tout comme la CNIL, nous déplorons le manque d’ambition de la Commission européenne en la matière. Ce droit doit être renforcé, et des obligations doivent peser sur les moteurs de recherche pour assurer sa garantie effective.

Mme Nathalie Goulet. Très bien !

Mme Éliane Assassi. Mes chers collègues, si la révision de la directive de 1995 est nécessaire afin que l’Europe soit plus forte et mieux armée pour faire face à la mondialisation des transferts de données, nous devrons veiller à ne pas rogner sur nos dispositions parfois plus protectrices. Nous devrons aussi penser à les améliorer, car, bien que plus protectrices, elles n’en demeurent pas moins imparfaites.

Permettez-moi de vous rappeler, par exemple, qu’il existe dans notre législation nationale un fichier national automatisé des empreintes génétiques, créé à l’origine pour les délinquants sexuels, mais qui a été élargi à quasiment tous nos concitoyens, y compris le simple manifestant. N’y voyez aucune allusion à la proposition de loi adoptée par le Sénat sur l’initiative de notre groupe et aujourd’hui bloquée à l’Assemblée nationale, dont l’une des dispositions vise à retirer de ce fichier un certain nombre de personnes, en l’occurrence des manifestants qui n’ont rien à y faire...

Ainsi, vous le constatez, mes chers collègues, au niveau aussi bien européen que national, la mise en place d’un corpus juridique efficace en matière de protection des données personnelles est loin d’être achevé. Dans ce travail, gardons à l’esprit nos principes et nos valeurs dont le citoyen est le centre de gravité ! (M. le président de la commission des affaires européennes et M. Yves Détraigne applaudissent.)

M. le président. La parole est à Mme Françoise Laborde.

Mme Françoise Laborde. Monsieur le président, madame la ministre, mes chers collègues, fidèle à sa tradition de défenseur en toutes circonstances des libertés publiques, le groupe du RDSE se réjouit naturellement de la tenue de ce débat sur un sujet qui préoccupe de plus en plus nos concitoyens.

Il s’en réjouit d’autant plus qu’il s’en était emparé très tôt au travers de la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, déposée par notre ancienne collègue Anne-Marie Escoffier et par Yves Détraigne, votée par le Sénat le 23 mars 2010 mais toujours en attente d’examen à l’Assemblée nationale. Nous ne pouvons que répéter notre regret que nos collègues députés tardent tant à agir sur une problématique aussi fondamentale pour les libertés et évolutive du point de vue technologique.

Désormais, nous connaissons bien les termes de la problématique : comment concilier les progrès des technologies de l’information et leurs apports sur l’économie ou la vie quotidienne avec le respect des droits fondamentaux de la personne, à commencer par le droit au respect de la dignité humaine et à celui de la vie privée ?

À cette question cruciale, le droit n’a pas encore su apporter de réponse satisfaisante. Un récent sondage a ainsi montré que 80 % des Français ne croient pas à la confidentialité de leurs données personnelles sur Internet. Les faits leur donnent raison : l’expansion continue d’Internet a pour corollaire l’explosion des données rendues publiques hors de tout contrôle, qu’il s’agisse des informations stockées par les moteurs de recherche ou les cybermarchands, des moyens de paiement ou encore des dérives des réseaux sociaux.

L’actualité nous montre à quel point il est urgent d’agir, de l’affaire Snowden, qui a mis au jour les agissements tentaculaires de la National Security Agency, ou NSA, aux propensions des géants comme Google ou Facebook à monnayer à des fins commerciales les données personnelles qu’ils collectent – ouvertement ou pas, d’ailleurs. Je pense en particulier au conflit qui oppose Google à la CNIL et à ses équivalents européens, s’agissant des règles de confidentialité. Plus près de nous, il n’est désormais pas rare que les recruteurs fouillent la vie privée des candidats sur les réseaux sociaux ou que le harcèlement des plus jeunes sur Internet favorise la marginalisation ou pis encore.

Madame la ministre, la France avait su, en son temps, se montrer à la pointe du sujet en promulguant, dès 1978, la loi dite « informatique et libertés ». La décision politique, pour être efficace, ne peut pourtant aujourd’hui intervenir que dans un cadre au minimum européen.

De ce point de vue, nous nous félicitons du volontarisme qui semble enfin se faire jour, comme en témoigne, par exemple, la tenue la semaine dernière d’un Conseil « Justice et affaires intérieures » consacré à cette question. Nous approuvons ainsi la proposition de la mise en place d’un guichet unique au niveau européen, qui permettrait l’harmonisation de la surveillance des traitements de données personnelles, sous la réserve, bien sûr, que tous les États membres adoptent les mêmes standards de protection de la vie privée.

C’est d’ailleurs pour contourner cette éventuelle difficulté que la garde des sceaux, avec l’appui implicite de la CNIL, a récemment mis en avant l’idée d’une procédure de codécision qui associerait chaque autorité de contrôle nationale aux procédures concernant l’un de ses résidents. Cette mesure nous paraît conforme au but recherché, à savoir garantir aux citoyens comme aux entreprises un niveau de protection optimal.

Nous serons attentifs à l’évolution de cette question dès le prochain Conseil européen qui se tiendra les 24 et 25 octobre prochain, et dont un point de l’ordre du jour sera consacré au numérique.

Madame la ministre, mes chers collègues, nous ne perdons pas de vue la question de fond, à savoir la création d’un véritable droit à l’oubli numérique.

Peu de personnes ont conscience que le moindre clic sur Internet est tracé, conservé, utilisé à des fins de profilage publicitaire, lorsque ce n’est pas à des fins policières, légales ou non. Le droit à l’oubli numérique demeure, à ce stade, une chimère. Nous militons ardemment pour son instauration, dans la lignée des propositions qu’avaient formulées nos collègues Anne-Marie Escoffier et Yves Détraigne. D'ailleurs, ce point concerne aussi bien les fichiers de données créés par les autorités que ceux qui sont créés par des entreprises.

La lutte contre l’insécurité sous toutes ses formes ne doit pas servir de prétexte à la banalisation des outils de surveillance de la population, sans que celle-ci en ait du reste toujours conscience.

La question du fichier des données des passagers des transports aériens – les « données PNR » – est l’illustration de ces dérives : sous couvert de renforcer la lutte antiterroriste, la Commission européenne, influencée par les États-Unis, souhaite contraindre les compagnies aériennes à transmettre aux gouvernements des vingt-sept États membres des informations personnelles sur les passagers entrant dans l’Union européenne ou en sortant, comme leur adresse, leur numéro de téléphone ou encore leur numéro de carte bancaire. C’est à bon droit que la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a rejeté cette proposition, arguant de préoccupations quant à la conformité de cette dernière aux droits fondamentaux de la personne.

Dans le même registre, la vidéosurveillance a été benoîtement renommée « vidéoprotection », tandis que la création de fichiers a atteint un rythme quasiment industriel, qui donne le tournis à la CNIL.

Dans tous les cas, la conservation des données et le détournement de leur usage constituent une question sensible sur laquelle notre pays n’est pas exempt de reproches : je songe, par exemple, aux données du fichier automatisé des empreintes digitales, qui peuvent être conservées vingt-cinq ans en dehors de toute condamnation et ont valu à la France une condamnation par la Cour européenne des droits de l’homme, le 18 avril dernier, pour atteinte disproportionnée au droit à la vie privée.

Mes chers collègues, pour notre part, nous plaidons pour une sensibilisation aux dangers de la vie numérique dès le plus jeune âge, afin que les enfants deviennent, demain, des citoyens numériques informés et responsables. Faire de l’éducation au numérique une grande cause nationale pour l’année 2014, comme le soutient la CNIL, nous paraît essentiel dans notre société démocratique en mutation constante, où l’ignorance numérique produit de véritables ravages et aggrave la fracture entre citoyens. Le groupe du RDSE apporte son soutien à cette initiative et souhaite, madame la ministre, que le Gouvernement fasse de même. (Applaudissements sur les travées du groupe socialiste.)

M. le président. La parole est à Mme Hélène Lipietz.

Mme Hélène Lipietz. Monsieur le président, madame la ministre, mes chers collègues, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui, dans son article 2, définit la notion de « donnée à caractère personnel », est-elle toujours suffisante ?

Si donner son numéro de sécurité sociale était inadmissible il y a quarante ans, remettre sa carte Vitale à une préparatrice en pharmacie pour lui permettre de savoir si vous avez déjà bénéficié d’un traitement paraît aujourd’hui normal ; et la lecture de cette carte n’est pourtant pas protégée.

Déposer sur Facebook la liste de ses exploits sexuels, voire délictueux est devenu banal. (Sourires.)

Il n’y a guère longtemps, les parents ne connaissaient les résultats de leur enfant qu’une fois par trimestre, via le bulletin scolaire « papier », ce qui laissait à leur progéniture la possibilité de différer l’annonce des mauvaises nouvelles jusqu’à l’arrivée d’une note meilleure… (Nouveaux sourires.) Aujourd’hui, par le biais de Téléscol, les parents suivent au jour le jour les résultats de leur enfant, le privant ainsi de toute intimité, pourtant nécessaire à leur épanouissement selon Françoise Dolto.

Dans le même temps, les empreintes digitales sont devenues un moyen de contrôler non pas le délinquant, mais l’accès à certaines cantines scolaires.

Le site internet qui permet la délivrance d’un extrait de casier judiciaire n’a prévu aucun contrôle du destinataire : la seule protection de cette donnée personnelle est l’indication – certes, à trois endroits différents du site – que « la loi interdit de faire délivrer votre bulletin à une tierce personne ». Mes chers collègues, je vous invite à le constater par vous-mêmes en vous connectant à ce site, comme je l’ai fait hier !

Le fichier génétique est au cœur même de l’intime. Initialement prévu pour les délinquants sexuels, il a été progressivement étendu à la délinquance aux biens, y compris pour les faucheurs volontaires. Or la comparaison génétique amène à y trouver une personne non fichée mais dont l’un des parents l’est, ce qui, sur trois générations, voire sur deux, étendra le champ des personnes fichées à toute la société !

Des entreprises internationales – acteurs aujourd’hui incontournables – imposent à la planète des conditions juridiques d’utilisation des données personnelles des plus douteuses, mais parfaitement légitimes au regard des normes en vigueur outre-Atlantique.

On le voit, la définition même de « donnée à caractère personnel » n’est la même ni d’une époque à l’autre, ni d’une personne à l’autre, ni d’un organisme public à l’autre, ni d’un continent à l’autre.

De plus, les données personnelles individuelles peuvent se révéler des « données personnelles sociales », nécessaires à la collectivité sans que l’identification de la personne soit pour autant requise. Ainsi, si les données médicales sont des données personnelles, elles deviennent des « données personnelles sociales » lorsqu’il s’agit de les exploiter dans l’intérêt de la société. En Suède, par exemple, toutes les données médicales sont rendues anonymes puis centralisées pour l’étude automatique des cohortes, afin d’en tirer des indications permettant une meilleure prévention, une meilleure qualité des soins ainsi qu’une meilleure utilisation des capacités médicales. La société entière – donc chacun en particulier – bénéficie de cette utilisation collective des données anonymisées de chacun.

En France, la collecte de telles données nécessite la bonne volonté des médecins, ce qui la rend moins systématique et moins exhaustive. Il est vrai que, depuis le douloureux souvenir du « fichier des Juifs », retrouvé quarante ans plus tard, la société française a totalement bloqué sa réflexion sur l’utilisation des informations personnelles sociales collectées – quand bien même elles seraient anonymisées –, notamment les données liées à l’origine ethnique.

Ce scrupule, les multinationales ou d’autres pays ne l’ont pas actuellement. En effet, ces données personnelles individuelles ou sociales sont aussi des données économiques lucratives. Aujourd’hui, notre vie privée intéresse les marchands de tout poil, les assureurs, les banques et autres services privés, qui peuvent ainsi mieux cibler leur offre de services – et mieux nous prendre dans leurs filets –, sans compter les services secrets, au nom d’une veille antiterroriste généralisée.

En réalité, le problème est double. D’une part, comment protéger les citoyens, parfois contre eux-mêmes ? D’autre part, comment utiliser les données individuelles dans un but collectif ?

Si la publication des données collectivisées et anonymisées, de manière large, gratuite et sans aucune possibilité de rétro-information individuelle, est une nécessité citoyenne, il n’empêche qu’il faut restreindre à tout prix l’accès aux données personnelles, les réserver aux services régaliens et aux usages indispensables pour l’intérêt de la personne. C’est le porteur de données qui doit être le seul et unique bénéficiaire des données le concernant.

En ce qui concerne les données sociales, l’enjeu est de couper le cordon ombilical entre la donnée personnelle et la collectivisation de ces données, sans aucune possibilité de retour en arrière.

Ce double défi passe d’abord et avant tout par la prévention, et donc par l’éducation à l’usage d’Internet. Nous devons apprendre et apprendre à nos enfants à rester maîtres de nos données.

La CNIL, en partenariat avec ses équivalents européens, pourrait jouer le rôle de gendarme, dans un cadre européen et dans le respect des exigences républicaines actuelles. Cela dit, face à la course technologique, est-elle en mesure de jouer ce rôle aujourd'hui de la même manière qu’en 1978 ? A-t-elle les moyens humains de faire face au poids économique de nos données ? Ne pourrait-on pas penser à la faire évoluer pour lui permettre de mieux répondre à ces nouveaux enjeux ?

Ne faut-il pas aussi criminaliser ceux qui veulent faire de nos vies une nouvelle marchandise et, surtout, augmenter de manière dissuasive le montant des amendes qui leur sont infligées ? Nous ne pouvons faire l’économie de cette réflexion. (Applaudissements sur les travées du groupe écologiste, du groupe socialiste et du groupe CRC, ainsi que sur certaines travées du RDSE.)

M. le président. La parole est à Mme Catherine Morin-Desailly.