Allez au contenu, Allez à la navigation

Séance du 20 mars 2018 (compte rendu intégral des débats)

M. le président. La parole est à Mme Maryse Carrère, pour le groupe du Rassemblement Démocratique et Social Européen. (Applaudissements sur les travées du groupe du Rassemblement Démocratique et Social Européen.)

Mme Maryse Carrère. Monsieur le président, madame la garde des sceaux, mes chers collègues, si le texte que nous examinons aujourd’hui a pour principal objet d’assurer la conformité de notre droit national avec le droit européen, il soulève toutefois plusieurs questions qui méritent d’être plus longuement discutées au sein de notre assemblée.

L’adoption en 2016 du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le RGPD, constitue un progrès indéniable sur le plan européen. Il s’agit également d’une victoire diplomatique française, ce règlement visant à faire converger les droits des États membres vers des standards plus protecteurs des données personnelles, proches des standards français. Il est vrai que, depuis la loi du 6 janvier 1978, notre pays a joué un rôle précurseur en la matière.

Ce règlement européen est également réaliste. Il prend acte du formidable développement des données personnelles en circulation qui constituent aujourd’hui la matière première de nombreuses entreprises, en transformant la logique d’autorisation en logique de responsabilisation des acteurs du marché. Il revient désormais à ces derniers de s’assurer que leurs traitements des données sont effectués en conformité avec les règles applicables en matière de collecte.

Ces impératifs du RGPD concernant la licéité de la collecte, le consentement des individus dont les données sont collectées, ou encore la finalité du traitement des données s’imposent donc à tous, acteurs privés, mais également acteurs publics… Je pense évidemment à nos collectivités territoriales !

Au sein de toutes ces structures, en particulier les plus petites et les moins bien informées, l’application du RGPD est un défi, un « changement de paradigme », comme l’ont évoqué certains, qui mériterait un meilleur accompagnement par l’État.

La plupart des collectivités ont anticipé l’échéance du 25 mai 2018 et l’adoption de ce projet de loi. Par exemple, au sein du conseil départemental des Hautes-Pyrénées, la mise en conformité, avec la nomination d’un délégué à la protection des données et la mise en place d’un meilleur ciblage du traitement concernant les données sensibles et les mineurs, a bouleversé les habitudes. Elle a également nécessité un ciblage des hébergements des données personnelles sous-traitées à l’extérieur du réseau du département, la mise en œuvre d’un registre des traitements priorisé sur les données sensibles, et, enfin, une communication à destination des usagers, notamment au vu des obligations en termes de consentement.

Ainsi, c’est toute une organisation, avec des processus et des mesures dont je vous épargnerai le nom, qui a dû être mise en place pour assurer la conformité avec ce règlement et une réelle protection des données de nos concitoyens. Il s’agit enfin d’un énorme travail à destination des agents, notamment en termes de formation sur le traitement des données sensibles et, surtout, sur la conservation des données de manière générale.

D’une part, le coût global de ces transformations est largement sous-estimé. D’autre part, l’absence de prise en compte des difficultés que rencontrent de nombreuses collectivités territoriales donne lieu à une protection inégale des données personnelles de nos concitoyens, selon qu’ils sont domiciliés dans une collectivité respectueuse ou non du RGPD.

C’est pourquoi je tiens à saluer le travail important effectué par notre collègue Sophie Joissains, qui a procédé à un grand nombre de modifications en faveur des collectivités territoriales, mais également des petites entreprises.

M. Philippe Bas, président de la commission des lois. Je m’y associe.

Mme Maryse Carrère. Malgré les difficultés matérielles de mise en œuvre, je souhaite insister sur plusieurs dispositions importantes du projet de loi qui permettront une amélioration de la protection de nos données personnelles. Je pense, par exemple, à la facilitation des actions en justice, notamment à la création d’une action de groupe. Je pense aussi à la possibilité donnée à la CNIL de saisir le Conseil d’État pour qu’il puisse ordonner la suspension du transfert des données en cause, dans l’attente d’une décision définitive de la Cour de justice de l’Union européenne. Ces dispositions contribueront effectivement à la protection des données personnelles des Français.

La question de la fixation d’un âge légal de consentement au partage de données personnelles devrait également donner lieu à de nombreux débats. Sur ce point, deux visions se dégagent, certains considérant que cet âge devrait être le même que celui de l’émancipation, d’autres souhaitant responsabiliser progressivement les adolescents. À nos yeux, cette question devrait être abordée dans le cadre d’une approche globale de l’accès à la majorité.

Après la phase de découverte des possibilités offertes par les nouvelles technologies de l’information et de la communication, nous entrons dans une phase de prudence et de prise de conscience de l’impact potentiel de l’utilisation de ces technologies sur nos libertés publiques et individuelles. Nous regrettons donc que ce projet de loi ne réponde pas à l’ensemble des préoccupations des Français.

La question du consentement à l’utilisation des données personnelles est légitime, et reviendra sûrement au cours de nos prochains débats. Il convient de réfléchir au financement des services proposés par des sites internet, lesquels font valoir que l’exploitation des données personnelles à des fins de publicité est la contrepartie de la gratuité de leurs services. La création de droits sur les données personnelles remettrait en cause ce modèle de financement. Un tel sujet mérite d’être débattu, dès lors que les Français attendent une plus grande traçabilité des informations les concernant.

Il en va de même s’agissant des algorithmes utilisés par l’administration, à la suite des vives critiques qui se sont élevées contre le traitement automatisé du système admission post-bac. La solution proposée par Mme la rapporteur est plus satisfaisante que la version issue des travaux de l’Assemblée nationale, mais nous considérons que le dispositif pourrait encore être amélioré.

L’introduction d’un droit de rectification des archives fera probablement l’objet de nombreuses discussions. Il est à craindre que cette disposition, qui soulève d’importantes questions déontologiques, n’engorge nos services d’archives.

Enfin, l’existence de marges de manœuvre autorisées par le règlement européen nous inquiète, dès lors que celles-ci pourraient encourager la localisation de sous-traitants des responsables de données personnelles dans les États membres les moins protecteurs. C’est pourquoi nous avons proposé plusieurs amendements destinés à alerter le Gouvernement sur les risques que cela pourrait comporter pour nos concitoyens et sur la situation difficile dans laquelle se trouveront nos entreprises de traitement de données personnelles, très protectrices en la matière, face à leurs concurrents localisés dans les États offrant moins de garanties.

Si nous avons souhaité enrichir le débat en déposant des amendements, nous restons cependant conscients de l’obligation de mise en conformité avec le droit européen, et abordons donc ce texte de façon favorable. (Applaudissements sur les travées du groupe du Rassemblement Démocratique et Social Européen, ainsi quau banc des commissions.)

M. le président. La parole est à M. Mathieu Darnaud, pour le groupe Les Républicains. (Applaudissements sur les travées du groupe Les Républicains.)

M. Mathieu Darnaud. Monsieur le président, madame la garde des sceaux, madame la rapporteur, mes chers collègues, alors que le règlement européen relatif aux données personnelles doit entrer en vigueur à compter du 6 mai 2018, l’adoption du présent projet de loi revêt un caractère incontournable.

Toutefois, indépendamment de cette obligation liée à nos engagements européens, l’adaptation de notre législation au formidable défi soulevé par les questions liées aux big data n’en était pas moins urgente. En effet, pas plus que les géants de l’Internet, les pirates ou profiteurs de tout poil n’attendront pas l’adaptation de notre législation pour exploiter sans vergogne les données personnelles de nos concitoyens.

Pour organiser un dispositif de sécurité efficace, l’Union européenne est une chance pour la France, car elle constitue l’échelon le plus pertinent. Comme l’ont souligné Mme la rapporteur et M. Sutour, le RGPD permet aux États membres d’harmoniser leurs pratiques, en prenant exemple sur ce qui fonctionne chez leurs voisins, ce qui leur laisse une marge très appréciable pour mener leurs propres politiques d’adaptation.

Ils pourront d’ailleurs s’inspirer de la France, précurseur en matière de protection des données, puisque nous fêtons cette année les quarante années d’existence de la CNIL, d’ailleurs présidée en son temps par notre ancien collègue Alex Türk.

Les données personnelles touchent donc à la vie privée, à la santé, à nos comportements, par le biais de photos ou d’informations… bref, à l’intime. Il me semble que c’est déjà se faire une certaine idée de l’homme et de l’État de droit que de considérer que le citoyen ne peut être dépossédé de cette intimité. En affirmant son refus de laisser à des tiers une emprise sur nos existences, le Sénat remplit pleinement sa vocation de défenseur des libertés individuelles.

Au travers de ce projet de loi, c’est aussi l’occasion d’affirmer une certaine conception de la démocratie, d’autant que les révélations faites par deux journaux américains nous dessinent un horizon particulièrement sombre en la matière.

En effet, si elle était confirmée, la captation par l’entreprise Cambridge Analytica, pour des motifs prétendument académiques, de données recueillies sur Facebook émanant de 30 à 50 millions de comptes à des fins de profilage politique pour influencer le vote lors de la dernière élection présidentielle américaine montre l’acuité de la menace.

Il s’agit donc d’une question tout à fait cruciale pour la vie démocratique de nos sociétés. De la même manière, d’autres attaques impliquant des intérêts puissants, notamment d’États étrangers, soulèvent la question de la souveraineté nationale.

Mais l’existence de ces données personnelles peut aussi être, à condition de voir leur utilisation très solidement encadrée, une opportunité économique, et même une formidable chance pour la recherche médicale.

Sur le projet de loi tel qu’il nous a été transmis par l’Assemblée nationale, le travail effectué par nos rapporteurs a été remarquable. Je tiens notamment à saluer les nombreux apports que Sophie Joissains a fait intégrer dans le texte adopté par la commission des lois.

Je ne reviendrai pas sur les nombreuses dispositions que comporte le texte du Gouvernement et qui viennent d’être amplement détaillées, mais je souhaite m’arrêter sur un point sur lequel vous avez, madame la rapporteur, apporté une avancée décisive : il concerne les collectivités locales.

En effet, il s’agissait là du parent pauvre du texte : rien sur l’état civil, les cadastres, les fichiers des centres communaux d’action sociale ou les listes électorales.

Parce qu’elles sont au centre de la vie quotidienne de nos concitoyens, les collectivités sont les premières concernées par l’utilisation de leurs données personnelles. Mais en imposant à la CNIL d’adapter les normes à leurs besoins, vous avez rendu possible ce qui, avec les moyens matériels et humains actuels, ne l’aurait sans doute pas été.

Parmi les avancées déterminantes intégrées par la commission des lois, je veux citer aussi : la mutualisation des services supports offerts par les syndicats mixtes au bénéfice des communes et des intercommunalités ; la création des dotations communales et intercommunales pour la protection des données personnelles qui seront prélevées – point essentiel à l’heure de la baisse des dotations – sur les recettes de l’État ; l’exonération des collectivités des amendes et astreintes administratives en cas de sanction.

En comblant ces lacunes, vous avez rappelé, madame la rapporteur, que le Sénat est plus que jamais l’assemblée des collectivités territoriales et celle des solutions pratiques. Voilà qui devrait faire réfléchir avant d’affaiblir le bicamérisme, lequel fait la richesse de nos institutions.

M. Loïc Hervé. Très bien !

M. Mathieu Darnaud. Il convient également de le saluer, vous avez proposé une entrée en vigueur différée de deux ans concernant la possibilité de lancer une action de groupe en responsabilité.

Ce nouveau délai est effectivement indispensable pour permettre non seulement à nos collectivités, mais aussi aux TPE-PME de s’organiser pour se conformer à leurs nouvelles obligations. Ne pas laisser aux responsables de traitement ce laps de temps aurait été parfaitement déloyal au regard de leurs moyens, et aurait eu pour conséquence de les exposer directement à des actions de groupe.

En effet, les nouvelles règles dont nous débattons aujourd’hui sont certes salutaires, mais aussi particulièrement lourdes à mettre en place. Peu nombreuses sont les PME qui disposent dans l’immédiat de l’ingénierie nécessaire.

Alors que nous venons d’adopter cet après-midi le projet de loi pour un État au service d’une société de confiance qui admet le droit à l’erreur, il serait profondément inéquitable et choquant que l’administration soit plus prompte à sanctionner des PME que les GAFA, dont on connaît les ressources juridiques pour faire durer des procédures-fleuves.

Certes, on ne peut que déplorer que les précédents gouvernements n’aient pas pris la mesure du travail législatif à accomplir. Mais nous sommes nombreux à regretter, sur les travées de la Haute Assemblée, que le Gouvernement n’ait pas réalisé en amont le travail qui devait être mené auprès des PME et des collectivités locales. Il s’appuie à présent sur ses propres manquements pour justifier le recours aux ordonnances initialement inscrit à l’article 20 du texte transmis par l’Assemblée nationale, ce qui constitue une nouvelle illustration de la mise à distance d’un parlement amputé de ses prérogatives.

Pour recodifier la loi Informatique et libertés de 1978, le Gouvernement souhaite aujourd’hui légiférer dans l’urgence par ordonnances, alors que la publication, en avril 2016, du règlement et de la directive lui laissait amplement le temps d’agir. Permettez-moi donc de souscrire au signal que vous avez envoyé, madame la rapporteur, à l’heure où d’aucuns souhaitent réformer le Parlement pour pallier son supposé manque d’efficacité.

Je conclurai en formulant le vœu que ce texte soit interprété par le Gouvernement et par la CNIL comme un outil salutaire visant à protéger les citoyens, grâce à l’adoption d’armes efficaces contre les mastodontes de l’internet, et non comme un nouveau monstre juridique assommant nos collectivités locales et nos PME. (Applaudissements sur les travées du groupe Les Républicains.)

M. Michel Savin. Très bien ! L’Ardèche est à la hauteur !

M. le président. La parole est à M. Arnaud de Belenet, pour le groupe La République En Marche.

M. Arnaud de Belenet. Monsieur le président, madame la garde des sceaux, mes chers collègues, les orateurs qui m’ont précédé ont rappelé les enjeux du texte qui s’inscrivent dans l’actualité. Je pense bien évidemment à l’affaire Facebook-Cambridge Analytica.

S’agissant du règlement, Simon Sutour qualifie dans son rapport le processus d’adoption de « malaisé ». La grande disparité des régimes de protection au sein de l’Union, l’attention aiguisée de certains États, particulièrement la France, sur les données dites sensibles, les enjeux de souveraineté et les demandes de simplification des entreprises illustrent la difficulté.

Élaboré par le Gouvernement dès le mois d’août 2017, le présent projet de loi, complexe à établir, a été envoyé ensuite à la CNIL, puis au Conseil d’État et, enfin, déposé sur le bureau de l’Assemblée nationale dès le mois de décembre dernier. La Chancellerie a donc déployé des efforts considérables pour mener à bien cette transposition extrêmement ardue dans des délais très courts. Seuls quelques experts en légistique, dont je ne fais pas partie, …

M. Philippe Bas, président de la commission des lois. Cela viendra !

M. Arnaud de Belenet. … peuvent mesurer toute l’ampleur de la tâche.

M. Arnaud de Belenet. Sur le fond, j’aborderai trois points.

Le premier concerne les collectivités territoriales, qui sont visées par ce texte, même si elles ne sont pas explicitement mentionnées. La commission des lois, consciente de l’inquiétude que peut susciter un nouveau cadre législatif, a proposé une série d’amendements. En effet, seuls 2 % de nos communes ont pris conscience du problème et commencé à engager un certain nombre de procédures, la campagne de sensibilisation de la CNIL n’ayant pas été entendue.

Ces amendements tendent à dégager de nouveaux moyens financiers pour aider les collectivités à se conformer à leurs nouvelles obligations, à prendre en compte, grâce à l’action de la CNIL, leurs besoins spécifiques, à les exonérer, au même titre que l’État, en raison de leurs prérogatives de puissance publique, de l’amende administrative et de l’astreinte, à faciliter la mutualisation des services numériques entre collectivités, ou encore à sécuriser le cadre juridique des prestations de services, notamment pour ce qui concerne les syndicats.

Le groupe La République En Marche souscrit aux objets de ces amendements et se saisit de cette opportunité pour souligner les difficultés rencontrées par nos territoires, notamment l’absence de prise en compte de ce sujet par les collectivités, principalement les communes.

Nous ne pouvons que nous féliciter que le Gouvernement ait entendu le Sénat, qui est pleinement dans son rôle dans le cadre de ce processus rapide et technique, en retenant, par exemple, la suppression pour les collectivités locales de l’amende administrative et de l’astreinte prévue à l’article 6 du texte.

Je veux également évoquer l’action de groupe, introduite en France très tardivement, en 2014. Notre collègue députée Paula Forteza a souhaité en étendre le champ en constatation d’un manquement du responsable de traitement ou de son sous-traitant. Quant à notre commission des lois, elle espère durcir ses conditions d’exercice. Or, en fait et en droit, très peu d’actions de groupe ont été engagées depuis l’introduction du dispositif en France. Cette procédure constitue un droit supplémentaire pour nos concitoyens et pour les consommateurs. En matière de données personnelles, elle était la seule pour laquelle l’action en réparation n’était pas ouverte. Aussi, sur ce point, le caractère précautionneux de la version du projet de loi examinée ce jour semble peut-être excessif.

Néanmoins, le texte issu des travaux de la commission reporte à deux ans l’entrée en vigueur de ce recours, ce qui permet aux acteurs concernés, particulièrement aux collectivités locales, de s’adapter.

Enfin, comme cela a pu être mentionné, la France avait été pionnière en se dotant d’une législation globale de protection des données à caractère personnel, avec la loi du 6 janvier 1978, mais également d’une autorité de contrôle, la CNIL. Le Gouvernement a fait le choix de maintenir la loi de 1978, car, au-delà de sa portée symbolique, elle n’était pas visée dans sa totalité par les nouvelles normes européennes, ce qui permet au Parlement de procéder à l’examen d’un texte ne contenant que les dispositions affectées par le droit européen, plutôt qu’à une remise en question des dispositions existantes et satisfaisantes de la loi de 1978, telle que modifiée. Les délais l’exigeaient sans doute également.

Le Gouvernement a donc sollicité du Parlement une habilitation pour codifier par la suite les modifications apportées à notre droit par le projet de loi que nous examinons, afin d’offrir un cadre juridique lisible aux citoyens et aux acteurs économiques.

La commission des lois a relevé une certaine illisibilité du texte. Il serait en conséquence paradoxal que le Sénat s’oppose à l’habilitation par voie d’amendement. Le Gouvernement s’est engagé à respecter le texte voté par les assemblées, l’habilitation proposée dans le texte initial fixant clairement un cadre. Les dispositions de fond ont été débattues à l’Assemblée nationale, elles le sont aujourd’hui au Sénat. Le temps parlementaire est précieux, cela est souvent relevé dans cette enceinte. Finalement, l’habilitation à légiférer par ordonnance permet de le respecter. (Applaudissements sur les travées du groupe La République En Marche.)

M. le président. La parole est à Mme Esther Benbassa, pour le groupe communiste républicain citoyen et écologiste.

Mme Esther Benbassa. Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, madame la rapporteur, mes chers collègues, le projet de loi qui nous est soumis aujourd’hui a pour objet de mettre la loi de 1978 en conformité avec le droit de l’Union européenne. Il transpose le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Avant de traiter du fond, permettez-moi, mes chers collègues, quelques remarques liminaires sur la forme.

Ces deux instruments juridiques européens ont été adoptés en 2016, leur entrée en vigueur étant fixée au mois de mai 2018. Cette date était connue de tous, tout comme les modifications de notre droit qu’ils rendaient nécessaires.

Aussi regrettons-nous que, sur un sujet d’une telle importance, le Gouvernement ait tant tardé à déposer ce projet de loi et qu’il ait, une fois de plus, déclenché la procédure accélérée. Il propose en outre, par le biais de l’article 20, prétendument pour respecter les délais, de réformer la loi de 1978 par voie d’ordonnance. Ce qui tend à devenir une habitude ne semble pas très sérieux et ne permet pas un travail parlementaire approfondi.

Au regard des annonces faites dans le cadre de la réforme des institutions, ne s’agit-il pas plutôt d’une illustration supplémentaire du profond mépris du Gouvernement à l’endroit du Parlement ?

M. Philippe Bas, président de la commission des lois. Exactement !

Mme Esther Benbassa. Cela dit, venons-en, mes chers collègues, au fond du texte qui nous réunit aujourd’hui. Il contient des avancées fondamentales pour la protection des données personnelles de nos concitoyens.

Le temps qui m’est imparti ne me permettant pas de commenter chacune des dispositions de ce projet de loi dense et technique, je ne prendrai que deux exemples.

Premièrement, j’évoquerai l’aménagement et le renforcement des pouvoirs et des compétences de la CNIL, qui se voit désigner autorité nationale de contrôle chargée de veiller à l’application du règlement et de la directive. Le projet de loi prévoit la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques et le passage d’un système de contrôle a priori à un système de contrôle a posteriori, plus adapté aux évolutions technologiques. En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanction renforcés, avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.

Nous nous félicitons, bien sûr, de ces évolutions, mais nous partageons l’inquiétude de la CNIL, qui alerte, depuis plusieurs mois, sur un défaut de moyens matériels et humains qui ne lui permettra pas d’exercer efficacement ses nouvelles missions.

M. Loïc Hervé. Exactement !

Mme Esther Benbassa. C’est bien d’être approuvée ! Cela ne m’arrive pas souvent ! (Sourires.)

Deuxièmement, je rappellerai le renforcement, en matière pénale, des droits des personnes, puisque le texte crée un droit à l’information et prévoit l’exercice direct de droits tels que les droits d’accès, de rectification et d’effacement des données, donc le droit à l’oubli.

Le groupe communiste républicain citoyen et écologiste se réjouit de l’adoption de ces mesures plus protectrices.

Finalement, ce n’est pas tant ce que le présent projet de loi contient qui appelle, de la part du groupe CRCE, des commentaires, que ce qu’il ne contient pas.

Nous considérons en effet que les prérogatives accordées aux services de renseignement français par la loi Renseignement de 2015 devraient également être mises en conformité avec les dispositions de la directive, et donc introduites dans le texte dont nous débattons aujourd’hui. Tel n’est toutefois pas le cas. Ce projet de loi, porté par un gouvernement qui ne souhaite en aucun cas rouvrir le débat sur ce sujet, ne contient aucune disposition de nature à mettre le droit français en conformité avec le droit de l’Union européenne en la matière et à respecter, enfin, les droits fondamentaux de nos concitoyens, bafoués sur nombre de points par la loi Renseignement, votée sous le gouvernement précédent, je le précise.

Rappelons que cette même loi Renseignement a déjà été censurée trois fois par le Conseil constitutionnel, et que d’autres recours et questions prioritaires de constitutionnalité sont en cours d’examen.

C’est donc avec le sentiment d’une occasion manquée que le groupe CRCE s’abstiendra sur ce texte qui, s’il constitue, sans aucun doute, un pas de plus dans la construction du droit commun européen, aurait pu être plus ambitieux et garantir à l’ensemble de nos concitoyens le respect effectif de leurs libertés individuelles. (Applaudissements sur les travées du groupe communiste républicain citoyen et écologiste. – Mme le rapporteur et M. Loïc Hervé applaudissent également.)

M. le président. La parole est à M. Alain Marc, pour le groupe Les Indépendants – République et Territoires. (M. Daniel Chasseing applaudit.)

M. Alain Marc. Monsieur le président, madame la ministre, mes chers collègues, l’objet du projet de loi relatif à la protection des données personnelles est d’adapter notre droit au « paquet européen de protection des données personnelles », qui se compose d’un règlement général sur cette protection et d’une directive spécifique aux traitements mis en œuvre en matière policière et judiciaire. Les délais sont très limités : nous devons avoir transposé la directive avant le 6 mai prochain, et le règlement doit être directement applicable à partir du 25 mai !

Concernant en premier lieu le règlement européen, celui-ci doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivité des entreprises européennes. L’uniformité de son application est atténuée par l’existence de 56 marges de manœuvre, qui sont autant d’options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.

Les rédacteurs de ce règlement poursuivent principalement trois objectifs.

Il s’agit, premier objectif, de renforcer les droits des personnes dont les données sont utilisées : le règlement réaffirme les droits des personnes, introduit de nouveaux droits mieux adaptés à l’évolution des technologies numériques et facilite l’exercice de ces droits par des actions par mandataire, voire par des actions collectives, tout en promouvant le droit à réparation du préjudice subi.

Le deuxième objectif du règlement est de mieux graduer les obligations des acteurs en fonction des risques pour la vie privée.

Le troisième objectif est de doter les régulateurs de pouvoirs à la mesure des enjeux de souveraineté numérique. Le champ d’application territorial et matériel du droit européen est considérablement élargi : le règlement doit non seulement être appliqué lorsque le responsable de traitement est établi sur le territoire de l’Union européenne, mais il a également vocation à s’appliquer hors de l’Union, dès lors qu’un résident européen est visé par un traitement de données. Les règles de transfert des données personnelles hors de l’Union européenne sont précisées et la coopération entre régulateurs en cas de transferts transfrontaliers est considérablement renforcée.

Le règlement instaure, en cas de manquement, des amendes désormais dissuasives, jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

En second lieu, concernant la directive, celle-ci reprend l’essentiel des principes du règlement et est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d’enquêtes, de poursuites ou d’exécution de sanctions pénales.

Lors de l’examen du texte en commission des lois, un certain nombre d’améliorations ont été apportées.

Ainsi, dans le domaine de la justice, la commission a rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice, afin de prévenir tout risque d’atteinte tant à la vie privée des personnes qu’à l’indépendance de la justice.

La commission des lois a aussi strictement encadré l’usage des algorithmes par l’administration lorsque cette dernière prend des décisions individuelles. Elle a en outre renforcé les garanties de transparence en la matière, par exemple pour les inscriptions à l’université.

Je voudrais saluer ici le travail accompli par la rapporteur de la commission des lois, qui a répondu aux attentes et aux vives inquiétudes des collectivités territoriales.