Allez au contenu, Allez à la navigation

Séance du 20 mars 2018 (compte rendu intégral des débats)

M. Philippe Bas, président de la commission des lois. C’est vrai !

M. Alain Marc. En effet, sous la menace de sanctions pécuniaires, les collectivités devront assumer seules des coûts importants relatifs, entre autres, au renforcement de la sécurité en cas de données sensibles, à la nomination d’un délégué à la protection des données ou encore à l’adaptation de certains fichiers existants.

Face à cette situation, la commission des lois s’est attachée à dégager de nouveaux moyens financiers pour les aider à se mettre en conformité avec les nouvelles dispositions, en fléchant le produit des amendes et astreintes prononcées par la CNIL à leur intention et en créant une dotation communale et intercommunale pour la protection des données personnelles.

La commission des lois a également facilité la mutualisation des services numériques entre collectivités territoriales.

Afin de réduire l’aléa financier pesant sur ces dernières, elle a supprimé la faculté pour la CNIL de leur imposer des amendes administratives et a reporté de deux ans l’entrée en vigueur de l’action de groupe en réparation de préjudices en matière de données personnelles.

Enfin, la commission des lois a encouragé la diffusion d’informations et l’édiction de normes de droit souple par la CNIL, adaptées aux besoins et aux moyens des collectivités territoriales comme des TPE et PME.

Madame la ministre, mes chers collègues, le sort réservé aux collectivités territoriales nous inquiète tout particulièrement, car le règlement s’imposera à elles aussi dès le mois de mai.

M. Michel Savin. C’est vrai !

M. Alain Marc. Je me réjouis donc que la commission des lois, par l’entremise de son rapporteur, dont je salue ici le travail très efficace, ait dégagé deux pistes très importantes : exonérer les collectivités de certaines sanctions et les aider à financer et à gérer les outils devenus nécessaires.

Aussi, la commission des lois ayant été attentive aux fortes préoccupations des collectivités territoriales et ayant renforcé par ailleurs les garanties en faveur des libertés individuelles, voterai-je, et mon groupe avec moi, pour l’adoption de ce projet de loi. (Applaudissements sur les travées du groupe Les Indépendants – République et Territoires, ainsi que sur des travées du groupe Les Républicains et du groupe Union Centriste.)

M. le président. La parole est à M. Loïc Hervé, pour le groupe Union Centriste.

M. Loïc Hervé. Monsieur le président, madame la ministre, mes chers collègues, contrairement aux apparences, le texte que le Sénat est amené à examiner aujourd’hui n’est pas qu’un texte technique, qui n’intéresserait par définition que ceux d’entre nous qui attachent de l’importance aux questions numériques.

Non ! Si complexe soit-il, ce texte est éminemment politique…

M. Joël Guerriau. Tout à fait !

M. Loïc Hervé. … et je tiens à remercier Mme le rapporteur pour les auditions tous azimuts qu’elle a conduites et surtout pour son travail de pédagogie, particulièrement indispensable là où droit de l’Union européenne et droit français s’entremêlent.

Quarante ans après l’adoption de la loi Informatique et libertés, en 1978, notre pays défend son modèle et réinvente, dans un cadre européen affirmé, la protection des données personnelles en l’adaptant aux temps nouveaux.

Bien que la loi Informatique et libertés ait été maintes fois modifiée, au gré des évolutions techniques et sociétales, ses grands principes sont confortés. Je m’en félicite d’autant plus que j’ai la chance de pouvoir siéger au sein de la CNIL, où je représente le Sénat avec notre collègue Sylvie Robert.

Mes chers collègues, les données personnelles sont le prolongement de notre vie, de notre corps, de nos habitudes, de nos mœurs. En un mot, elles sont le reflet de ce que nous sommes, y compris notre part la plus intime.

Parce qu’elles « appartiennent » à chaque citoyen, parce qu’elles nous caractérisent, parce que, massifiées, reliées, moulinées par un algorithme, elles peuvent avoir un intérêt majeur pour tout un tas d’acteurs, économiques ou autres, ces données méritent une protection législative tout à fait spécifique et la mise en place de garde-fous intangibles.

Quel meilleur exemple pouvions-nous trouver dans l’actualité que celui du scandale autour de la société Cambridge Analytica, qui prend, aux États-Unis d’Amérique, les accents d’une affaire d’État. (Mme le rapporteur applaudit.)

On estime que cette société aurait « aspiré », puis conservé, les données personnelles de dizaines de millions d’électeurs américains dans le but de les cibler au profit de la campagne de Donald Trump. Cette collecte s’est faite, dans la majorité des cas, sans le consentement des utilisateurs du réseau social Facebook.

N’en déplaise, alors, aux Cassandre, aux chantres de la dérégulation à tous crins ou à ceux que notre ancien collègue sénateur et ancien président de la CNIL, Alex Türk, qualifiait de tenants du « rien à cacher, rien à me reprocher », notre législation constitue un véritable bouclier protecteur, que ce texte ne vient que renforcer.

Qu’il s’agisse des libertés publiques, de la sécurité et de la souveraineté, la question des données personnelles constitue bien la nouvelle frontière du monde nouveau.

Le changement de paradigme que vous avez évoqué, madame la ministre, réside dans la responsabilisation des acteurs eux-mêmes, qu’ils soient publics ou privés. La CNIL, comme ses homologues européens, se voit chargée d’un rôle d’accompagnement et, le cas échéant, d’un rôle de sanction largement renforcé.

S’agissant de cette dernière capacité, une question subséquente se pose néanmoins – je remercie notre collègue Esther Benbassa de l’avoir dit aussi clairement – : celle des moyens de cette autorité administrative indépendante.

Tout le monde conviendra que, si le rôle de la CNIL change de nature, celle-ci devra recevoir du budget de l’État les moyens d’accomplir ses missions, au même niveau au moins que dans les grandes nations européennes qui nous entourent.

Le monde qui vient n’est pas un monde anxiogène, pas plus que ne l’était le monde de 1978.

Et c’est dans cet esprit positif que le groupe Union Centriste aborde ce texte, en soutenant les améliorations sur le fond apportées par la commission des lois sur les propositions de Mme le rapporteur et de certains de nos collègues.

À ce titre, je souhaiterais tout particulièrement insister sur la question des entreprises, des collectivités et des associations de petite taille ; l’enjeu est que les annonces que vous avez faites au cours de la discussion générale, madame la ministre, se traduisent concrètement, sur le terrain, par un véritable accompagnement.

Vous avez évoqué tout à l’heure la question de l’accompagnement par les préfets, que vous avez sensibilisés sur cette question lors d’une réunion organisée place Beauvau, chez eux, la semaine dernière. Il faut vraiment veiller concrètement à ce que cet accompagnement des collectivités puisse être mené par des personnels compétents de l’administration de l’État, qui auront reçu à cette fin une formation tout à fait particulière, adaptée, technique.

Il ne s’agit pas de sensibilisation générale – pour cela, en un sens, c’est trop tard. Il s’agit bien, de mon point de vue, d’accompagner les collectivités dans cette mutation très importante qu’elles vont connaître. (Applaudissements sur les travées du groupe Union Centriste, du groupe Les Républicains, du groupe Les Indépendants – République et Territoires et du groupe communiste républicain citoyen et écologiste. – Mme Sylvie Robert applaudit également.)

M. le président. La parole est à M. Jérôme Durain, pour le groupe socialiste et républicain.

M. Jérôme Durain. Monsieur le président, madame la ministre, mes chers collègues, quand le législateur s’intéresse aux questions d’innovation et aux questions numériques, il est confronté à une difficulté majeure : l’évolution de la société qu’il essaie de réguler est-elle achevée ?

Rappelez-vous des premières réactions apparues lorsque certains ont voulu porter le fer contre Airbnb : ils ont été accusés d’aller contre la disruption technologique, le progrès, l’ordre numérique des choses. Puis le berceau même d’Airbnb, la ville de San Francisco, a engagé un mouvement de régulation du site. Aujourd’hui, le mouvement est quasi global : à Londres, à Barcelone, à San Francisco ou à Paris, les pouvoirs publics cherchent à contrôler la plateforme, avec le soutien d’une opinion qui ne percevait pas encore, il y a quelques années, les effets pervers d’Airbnb sur l’environnement urbain et sur l’hôtellerie.

Qu’en est-il des mesures qui nous sont proposées aujourd’hui ? Bien sûr, la vision des enjeux relatifs à la protection des données personnelles contenue dans le projet de loi que nous étudions a déjà quelques années. Elle est directement issue de débats européens que l’on peut situer entre 2014 et 2016. Évidemment, le concept de données personnelles n’a pas énormément évolué depuis cette période. Mais peut-être en va-t-il différemment de notre perception ?

En 2014, je pouvais imaginer que mes données personnelles échappent à mon contrôle total. Le principal enjeu était sans doute le déréférencement de données personnelles traînant sur internet. Les GAFA, à cette époque, étaient perçus comme des champions enviables, qui pouvaient chercher, de temps à autre, à frauder le fisc. Mark Zuckerberg a été élu homme de l’année, en 2010, par le magazine Time.

Aujourd’hui, nous savons que des soldats français voient leur position confidentielle divulguée à cause de leur utilisation d’objets connectés ; nous savons que Donald Trump a utilisé les services d’une société qui a volé les données personnelles de millions d’Américains ; nous savons que des puissances étrangères n’hésitent pas à profiler des millions d’utilisateurs et à créer de faux profils pour influencer des élections dans d’autres pays. Nous savons aussi que le pays de naissance des GAFA commence à envisager de contrôler de manière beaucoup plus forte ses propres licornes numériques, de peur qu’elles ne deviennent incontrôlables.

À l’aune de ces quelques constats, je crois pouvoir affirmer que ce texte va dans le bon sens, même s’il ne règle pas l’ensemble des problématiques fluctuantes liées aux données personnelles.

Le débat, déjà riche à l’Assemblée nationale, a également été très intéressant, ici, en commission des lois, grâce au travail de notre rapporteur Sophie Joissains. Je pense d’abord aux aménagements proposés pour permettre aux collectivités locales – c’est le rôle du Sénat – de se mettre en accord avec les nouvelles dispositions relatives à la protection des données personnelles. Ces dérogations déplairont sans doute aux bons élèves qui ont déjà œuvré pour se mettre en conformité avec leurs obligations en amont des échéances légales. Mais elles permettront au peloton des nombreuses collectivités et des entreprises concernées dans notre pays de suivre le mouvement.

Ces dérogations permettront aussi que se déploie l’offre de services en direction des collectivités locales. Je pense plus particulièrement, ici, aux nécessaires mutualisations proposées aux 90 % de petites collectivités qui sont souvent encore ignorantes de leurs obligations en la matière. Ce rôle pourrait être confié, par exemple, aux centres de gestion de la fonction publique territoriale, dont certains se sont déjà positionnés sur ces services.

Le groupe socialiste et républicain a déposé une vingtaine d’amendements sur ce texte. Leur examen nous permettra, aujourd’hui et demain, de nous attarder sur le secret médical, de réfléchir à la sécurité des données intéressant la sûreté de l’État, d’envisager la suppression de l’agrément de l’autorité administrative auquel est aujourd’hui soumise toute action de groupe en matière de données personnelles, ou encore de limiter plus étroitement le recours aux algorithmes.

Je tiens par ailleurs à exprimer mon soutien aux initiatives visant à garantir que des contrats ne s’opposent plus à ce que les utilisateurs puissent bénéficier de choix de services protégeant mieux les données. Autrement dit, vive le moteur de recherche made in France ! Tel est le sens d’un amendement déposé par notre collègue Claude Raynal, adopté par la commission des lois avec la bienveillance de son président et de sa rapporteur.

Sur ces sujets éminemment modernes, le Sénat discute et le Sénat amende ; le Sénat prouve ainsi son utilité au Gouvernement, comme toujours sur la question très importante des libertés publiques. Vous serez d’accord avec moi, madame la ministre, pour constater qu’un tel travail est utile à l’exécutif. J’espère que le Président de la République en sera lui aussi convaincu, au moment où nous nous apprêtons à entrer en période de révision constitutionnelle. (Applaudissements sur les travées du groupe socialiste et républicain et du groupe Union Centriste. – Mme Catherine Di Folco et M. Jean-Paul Émorine applaudissent également.)

M. Loïc Hervé. Nous l’espérons tous !

M. le président. La parole est à Mme Catherine Morin-Desailly, pour le groupe Union Centriste. (Applaudissements sur les travées du groupe Union Centriste.)

Mme Catherine Morin-Desailly. Monsieur le président, madame la ministre, mes chers collègues, les révélations d’Edward Snowden sur la surveillance de masse en ligne ont précipité la fin du mythe originel de l’Internet, lequel s’est révélé un instrument de puissance échappant à l’Europe, support d’un monde d’hypersurveillance et de vulnérabilité.

Au centre des enjeux de cette nouvelle économie dominée par le cartel monopolistique des GAFAM - Google, Apple, Facebook, Amazon et Microsoft - figurent les données, or noir du numérique, qu’elles soient relatives aux personnes physiques, aux administrations ou aux entreprises. L’homme est devenu un algorithme produisant des milliards d’informations qui disent tout de sa vie privée. Des enjeux de sécurité se posent aussi, pour nos infrastructures les plus stratégiques et pour nos administrations. Pour nos entreprises, ce sont des questions d’intelligence économique qui sont soulevées.

Réjouissons-nous donc de voir enfin aboutir l’adoption du RGPD et sa transposition.

Mais notons qu’il aura fallu six ans, le sujet ayant fait l’objet d’un intense lobbying transatlantique. Certes, la vision de la privacy diffère entre l’Amérique et l’Europe, mais il y va avant tout d’enjeux de pouvoir et de domination économique. Des lobbyistes contestent les mesures prises par la Commission européenne pour lutter contre les abus de position dominante et les pratiques déloyales des plateformes horizontales dont l’intermédiation est quasi incontournable. Mais les traitements des masses de données et les progrès de l’intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés, seule condition de la neutralité. De même faut-il garantir une liberté de choix des fournisseurs de logiciels ou de services nécessaires au fonctionnement de ces derniers.

S’agissant des marchés publics portant sur le traitement des données de nos administrations, nous exigeons un surcroît de rigueur du Gouvernement dans le choix des prestataires, notamment lorsqu’il s’agit des données publiques dites sensibles. Est-il raisonnable, de la part de l’éducation nationale, d’avoir traité – sans appel d’offres, d’ailleurs – avec Google et Microsoft ?

M. Loïc Hervé. Quelle honte !

Mme Catherine Morin-Desailly. Il y a deux ans, avant que le lièvre ne soit levé, la direction générale des finances publiques a bien failli confier l’administration de nos données fiscales à un acteur privé dont les liens avec des agences de renseignement étrangères sont de notoriété publique.

Mme Catherine Morin-Desailly. L’Europe doit donc se doter d’un régime très exigeant de protection des données, incluant les conditions de traitement de ces données, mais aussi, demain, les technologies de protection de la confidentialité, qui représentent les nouveaux instruments de la souveraineté pour l’Europe.

Or, madame la ministre, je ne vois pas de stratégie pour l’internet des objets. Pourtant, les objets connectés envahissent déjà notre quotidien, se développent dans des domaines aussi sensibles que la santé, les transports, l’environnement, l’énergie ; avec eux grandissent les inquiétudes quant aux usages qui peuvent être faits des données recueillies et quant à la sécurité des dispositifs.

Il faut donc une régulation pour renforcer cette sécurité et en même temps promouvoir une politique industrielle dynamique dans ce domaine, assortie, d’ailleurs, d’un droit au « silence des puces », c’est-à-dire à la désactivation. La protection et la sécurité des données personnelles devront aussi s’accompagner d’une obligation de localisation et de traitement des données sur le territoire de l’Union.

Un tout dernier mot : préparant aujourd’hui un rapport sur la formation au numérique, je confirme ce qui a été exprimé, plus tôt, à cette tribune, à savoir l’inquiétude des entreprises et des collectivités, qui se retrouvent du jour au lendemain responsables, en première ligne, de l’application du RGPD, ce qui leur impose un changement de culture, alors qu’elles sont souvent déjà très en retard en termes de digitalisation. Il y a là, madame la ministre, un enjeu extrêmement fort de formation et d’accompagnement et je ne suis pas sûre, en définitive, que le Gouvernement en ait pris toute la mesure. (Applaudissements sur les travées du groupe Union Centriste, du groupe Les Républicains et du groupe communiste républicain citoyen et écologiste.)

M. le président. La parole est à Mme Sylvie Robert, pour le groupe socialiste et républicain.

Mme Sylvie Robert. Monsieur le président, madame la garde des sceaux, mes chers collègues, ce projet de loi ne doit pas seulement être considéré comme la conséquence du règlement européen relatif à la protection et à la libre circulation des données.

C’est un texte très important, pas simplement technique, mais – mon collègue Loïc Hervé l’a dit – très politique. Il recèle en effet de nombreux enjeux contemporains ayant trait au numérique : enjeux juridiques, avec la protection des données personnelles ; enjeux économiques, avec la stimulation et la diffusion de l’innovation ; enjeux scientifiques, avec la profusion de données rendues accessibles, ce qui ouvre de nouveaux champs d’exploration, notamment pour la recherche publique ; enjeux sécuritaires et géopolitiques, avec l’échange de données entre les États pour des motifs de maintien de l’ordre public ; enjeux philosophiques et culturels, enfin, car cette situation nous conduit nécessairement à interroger notre rapport au numérique, aux données, dans un contexte où bon nombre de nos concitoyens ont, à juste titre, des inquiétudes, et parfois l’impression, en la matière, de n’avoir aucune prise.

Ce projet de loi tendant à modifier en profondeur la loi fondatrice de 1978, il est en premier lieu légitime de veiller à ce que les droits et libertés inscrits à l’article 1er de cette grande loi soient toujours effectifs. Car le renversement de paradigme qui est opéré, avec le passage d’une logique de déclaration ou d’autorisation préalable à une logique de responsabilisation, mais aussi de contrôle des acteurs mettant en œuvre des traitements, ne doit bien sûr pas se traduire par un affaiblissement des libertés individuelles et publiques.

Le Sénat, on le sait, a toujours porté une vigilance aiguë au respect de la vie privée et à la protection des données à caractère personnel, droit fondamental désormais inscrit à part entière dans l’ordre juridique européen. Ce fut en particulier le cas lors du débat que nous avons eu sur le projet de loi pour une République numérique.

Le groupe socialiste et républicain s’est bien sûr inscrit naturellement dans cette tradition ; c’est pourquoi nous proposons un certain nombre d’amendements sur les algorithmes ou les données sensibles – nous y reviendrons dans la soirée.

Indépendamment du développement des nouvelles technologies et de l’intelligence artificielle, qui irriguent désormais notre société, il ne faut jamais perdre de vue que la loi de 1978 est intrinsèquement et premièrement une loi protectrice des libertés individuelles et publiques. C’est une « loi socle », équilibrée, riche, reconnue et rassurante, aussi bien pour les acteurs concernés que pour les citoyens. En tant que parlementaires, nous devons nous assurer qu’elle ne soit pas affadie ni dépréciée.

C’est une institution reconnue et rassurante, également, que la CNIL, fortement impactée, elle aussi, par le règlement européen. Son rôle sera amené à évoluer dans deux directions, je l’ai dit : l’accompagnement des opérateurs, des entreprises, mais aussi des collectivités territoriales, en amont, et la consolidation du volet répressif, en aval : plaintes, contrôles et sanctions. Cette mutation substantielle est directement induite par le changement de paradigme que j’ai précédemment mentionné.

D’ailleurs, la CNIL a d’ores et déjà anticipé ces évolutions, en produisant des instruments de droit souple : les « packs de conformité », la valorisation des démarches, les codes de bonne conduite. Néanmoins, il est évident que l’application du RGPD, combinée à la démultiplication de ses missions, représente vraiment un changement d’échelle pour cette autorité administrative indépendante.

Par conséquent, afin que la CNIL puisse mener à bien son action et que, par son intermédiaire, nous continuions à maintenir un haut niveau de protection des données personnelles, conformément aux dispositions européennes, il se révèle essentiel de renforcer les moyens dont elle dispose.

M. Loïc Hervé. Très bien !

Mme Sylvie Robert. Car ce texte est d’une très grande importance. Nous avons tous à cœur, en effet, de préserver la spécificité de la protection des données en France, la CNIL incarnant, en quelque sorte, ce modèle français et européen.

Pour être à la hauteur de cet enjeu, la CNIL a et aura besoin d’être renforcée ; c’est affaire de crédibilité aux yeux de nos concitoyens et des acteurs du secteur, mais c’est aussi affaire de légitimité, si nous voulons porter haut et fort ce modèle auquel nous tenons en dehors des frontières de l’Hexagone. (Applaudissements sur les travées du groupe socialiste et républicain et du groupe Union Centriste, ainsi que sur des travées du groupe Les Républicains. – Mme Christine Prunaud applaudit également.)

M. le président. La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Monsieur le président, mesdames, messieurs les sénateurs, je voudrais tout d’abord remercier Mme la sénatrice Joissains, rapporteur de ce texte, pour ses propos en général, et en particulier pour son évocation du rôle qui doit être tenu par la CNIL à l’égard des collectivités territoriales – ce point a été repris par nombre de vos collègues, madame la sénatrice.

Vous évoquez également l’importance des nouvelles missions de la CNIL. J’avais, je crois, répondu par anticipation à vos observations sur les collectivités territoriales. Quant aux moyens de la CNIL, nous aurons l’occasion d’y revenir au cours de la discussion des amendements. J’en dirai peut-être un mot tout à l’heure, mais sachez que je comprends évidemment vos préoccupations ; je puis vous dire qu’elles sont également les nôtres.

Je répète, en revanche, que je ne partage pas vos propos sur la « grande désinvolture » du Gouvernement…

M. Philippe Bas, président de la commission des lois. Tant mieux !

Mme Nicole Belloubet, garde des sceaux. Vous le savez, tel n’est pas du tout l’état d’esprit dans lequel nous sommes. Au contraire, le souci avec lequel ce texte a été préparé – j’y reviendrai – témoigne du profond respect que nous avons pour le Parlement – je tiens ici à le redire.

Monsieur le sénateur Sutour, j’ai apprécié votre connaissance très fine de l’adaptation des textes européens en droit interne, et l’ensemble de vos propos me semblent tout à fait pertinents. Vous mesurez les singularités et les difficultés qui s’attachent aux transpositions de la directive et à l’application du règlement dans un même texte. Évidemment, tout ceci donne des choses assez complexes, et vous soulignez l’intérêt d’utiliser les marges de manœuvre, pour traiter notamment la question de l’âge du consentement – là encore, j’avais, me semble-t-il, répondu par anticipation, et nous aurons évidemment l’occasion d’y revenir.

Vous faites également mention de la charge nouvelle qui pèse sur les collectivités territoriales ; vous souhaitez – je vous cite – un « accompagnement adapté » et préconisez que la CNIL y soit associée. Je rappelle, en la matière, tous les éléments dont j’ai eu l’occasion de vous faire part tout à l’heure, qu’il s’agisse du guide de la CNIL ou du lien nécessaire avec les associations d’élus, l’ADF, l’Assemblée des départements de France, mais aussi l’AMF, l’Association des maires de France. Je souligne en outre que nous partageons évidemment la volonté, exprimée par le Sénat, qu’aucune sanction ne soit prononcée et qu’un certain nombre de dispositions voient leur entrée en vigueur reportée à 2020.

Monsieur le sénateur Ravier, je ne partage pas tout à fait les propos que vous avez prononcés. Vous avez bien entendu fait allusion à Big Brother, aux GAFA, tous termes destinés à susciter l’effroi. Vous avez, par leur entremise, souligné l’atteinte à notre souveraineté numérique.

Au contraire, en ce domaine complètement immatériel, face aux atteintes potentielles à nos libertés et à nos intérêts, je pense que l’Europe est la seule vraie réponse que nous pouvons apporter.

Au-delà de cette nécessaire prise en compte du problème au niveau européen, notre ambition, dans le cadre de ce texte, est bien de faire respecter nos valeurs telles qu’elles transparaissent dans la loi de 1978. Le rôle que la France a mené dans les négociations européennes a bel et bien consisté à faire partager ces valeurs et cette ambition. Nos préoccupations expriment bien le refus du repli national et du fantasme de l’isolationnisme numérique.

Madame la sénatrice Carrère, vous avez souligné, autour des notions de défi et de changement de paradigme, l’importance d’un meilleur accompagnement par l’État des collectivités territoriales et – je ne me souviens plus si vous les avez mentionnées – des entreprises.

En tout cas, vous avez souligné les coûts de mise en conformité pour les collectivités territoriales. Nous avons déjà répondu, me semble-t-il, par l’exonération des sanctions financières et la mobilisation des préfets, à laquelle j’ai fait allusion. Certes, M. Hervé a souligné qu’il était sans doute insuffisant d’en rester à un tel stade de généralité. Mais je crois que ces mesures sont tout de même importantes.

Nous partageons vos préoccupations sur l’action de groupe. Il s’agit d’une avancée importante. C’est pourquoi nous ne sommes pas revenus sur l’extension faite par l’Assemblée nationale aux actions en réparation, et nous ne souhaitons pas soumettre l’action des associations à un agrément préalable.

Nous avons déjà introduit une garantie en matière d’encadrement du recours aux algorithmes : la maîtrise par le responsable du traitement de l’algorithme et de ses évolutions. Nous reviendrons plus en détail sur le dispositif, par exemple à propos de Parcoursup, lors de l’examen de l’article 14.

Nous ne sommes pas favorables à la création de droits de propriété de l’individu sur ses données ; nous ne voulons pas d’une patrimonialisation de celles-ci. Mais le RGPD renforce évidemment les droits des individus sur leurs données.

Monsieur le sénateur Darnaud, je partage totalement votre point de vue lorsque vous indiquez que l’Union européenne est une chance pour la France, à la fois par l’harmonisation que proposent les textes européens, mais également par les marges de manœuvre ! Ces éléments se rejoignent. Vous avez même souligné que cela répondait à une conception de la démocratie très propre à l’Europe ; je suis en plein accord avec vous sur ce point.

Vous avez insisté sur l’attention que nous devons porter aux collectivités territoriales – je n’en dis pas plus, car nous aurons l’occasion d’en reparler –, en mentionnant les cadastres et les fichiers d’état civil.

En revanche, je suis en désaccord avec vous lorsque vous évoquez la « mise à distance » d’un Parlement qui serait « amputé » de ses prérogatives. Vous évoquiez les ordonnances, mais vous avez lié cette mise à distance au fait que nous n’aurions pas suffisamment répondu aux TPE et aux collectivités territoriales. L’ordonnance que nous proposons n’a rien à voir avec la non-réponse que vous pensez pouvoir relever. Encore une fois, l’ordonnance pour laquelle nous sollicitons l’habilitation du Parlement est exclusivement liée à un problème légistique de réécriture de la loi de 1978, sur la base exclusive du texte que le Parlement votera à l’issue de nos débats.

Monsieur le sénateur de Belenet, vous avez raison de souligner le travail qu’ont accompli les services de la Chancellerie dès le mois d’août. Nous ne sommes pas dans l’impréparation que d’aucuns ont bien voulu relever. Dès l’adoption de la loi sur le rétablissement de la confiance, que j’avais eu l’honneur de vous présenter, nous nous sommes immédiatement mis, avec l’ensemble des services de la Chancellerie, à la transposition du texte dont nous débattons.

Je dois vous remercier de votre soutien. Comme d’autres, vous avez évoqué l’affaire Cambridge Analytica. J’y vois précisément l’illustration de l’intérêt d’un cadre européen. Le projet de loi de transposition prévoit justement des mécanismes permettant à la CNIL de prêter son concours aux autres autorités de protection de données qui vont enquêter sur les violations des règles de protection des données ; ce concours entre autorités de protection me paraît très important.

Je suis en accord avec l’ensemble de vos propos, notamment lorsque vous soulignez la nécessité de maintenir le cadre de la loi de 1978. C’est le choix que nous avons expressément fait. Nous considérons la loi de 1978 à la fois comme un symbole de la représentation des valeurs portées par la France, mais aussi comme un cadre lisible qui nous semble essentiel.

Madame la sénatrice Benbassa, vous avez exprimé vos préoccupations sur la procédure accélérée et sur l’habilitation à légiférer par ordonnance. Je ne reprends pas ce que j’ai déjà répondu à vos collègues.

J’aimerais évoquer brièvement les moyens de la CNIL, au risque de fâcher Mme Robert et M. Hervé…