M. Philippe Bas, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale. Non, en effet, « abyssal » serait excessif… (Sourires.)
Mme Nicole Belloubet, garde des sceaux. Notre responsabilité est bien d’accompagner les collectivités pour leur permettre d’entrer dans cette nouvelle ère dans les meilleures conditions possible. Je crois que, en la matière, il faut répondre aux inquiétudes et non pas les exacerber. Je suis certaine que telle est notre préoccupation commune.
Avant même que votre commission des lois n’examine ce texte, le Gouvernement a pris la mesure de cette nécessité. Voilà quelques jours, j’ai ainsi rappelé devant les préfets, réunis place Beauvau, la nécessité d’accompagner dans cet exercice toutes les communes, notamment les plus petites d’entre elles.
De même, je me suis assurée auprès de la CNIL que cette préoccupation serait effectivement prise en considération.
Je tiens aussi à rappeler que les collectivités territoriales sont actuellement soumises, en tant que responsables de traitement de données, à certaines obligations, que ce soit pour assurer la gestion administrative de leur structure – je pense, par exemple, aux fichiers de ressources humaines –, la sécurisation de leurs locaux – contrôles d’accès par badge ou vidéosurveillance – ou la gestion des différents services publics et activités dont elles ont la charge.
J’y insiste, car certains pourraient avoir le sentiment que nous introduisons de nouvelles obligations, alors que la philosophie du règlement européen, et donc du projet de loi, est justement fondée sur un allégement substantiel des formalités préalables, y compris pour les collectivités territoriales.
S’agissant de l’obligation, nouvelle pour les collectivités territoriales comme pour les organismes publics en général, de désigner un délégué à la protection des données, j’ai rappelé au début de mon intervention que le règlement général européen sur la protection des données personnelles – le RGPD – prévoit la possibilité de mutualiser cette nouvelle fonction.
Plusieurs collectivités territoriales, dont certaines avaient déjà désigné un correspondant Informatique et libertés, se sont d’ores et déjà engagées dans cette démarche de mutualisation. Cette possibilité sera expressément rappelée dans le décret d’application sur lequel les services de la Chancellerie travaillent actuellement. Le Gouvernement s’y est engagé auprès du Conseil national d’évaluation des normes et de son président, Alain Lambert.
Je veux également souligner que la CNIL mène de nombreuses actions pour aider les collectivités territoriales à respecter leurs obligations en matière de protection des données et pour les accompagner dans leur mise en conformité avec le RGPD. Elle a, par exemple, conclu avec l’Assemblée des départements de France une convention de partenariat et souhaite faire de même avec l’Assemblée des maires de France, l’AMF.
De plus, la CNIL va remettre à jour le guide très complet à destination des collectivités.
Je suis également parfaitement consciente des appréhensions pouvant exister quant à l’échéance du 25 mai prochain. La CNIL a donné des assurances en ce domaine et saura se montrer pragmatique, comme elle l’a été jusqu’à présent, avec les collectivités.
Le Gouvernement encourage cette démarche compréhensive à l’égard des collectivités tout en insistant sur la nécessité de maintenir un haut niveau de protection des données personnelles.
Comme vous le constaterez, mesdames, messieurs les sénateurs, le Gouvernement ne propose pas de revenir sur certaines avancées adoptées par votre commission des lois. Je pense, en particulier, à l’exonération des sanctions à l’égal de l’État.
Le débat parlementaire – et c’est très heureux – a vocation à mettre en lumière les enjeux. De ce point de vue, le Sénat a marqué une nouvelle fois son attention aux collectivités territoriales. Il est naturel que le Gouvernement y réponde, et c’est bien tout l’intérêt de nos échanges.
Je terminerai sur un désaccord : votre commission des lois a fait le choix de supprimer l’habilitation que le Gouvernement sollicitait. Son rapporteur a estimé qu’il s’agissait de la conséquence d’une impréparation. Là encore, je crois nécessaire de rappeler quelques faits pour mieux expliquer notre démarche, laquelle n’est ni improvisée ni irrespectueuse des prérogatives du Parlement.
Le Gouvernement souhaite effectivement que nous soyons prêts en mai prochain, et nous le serons. C’est pourquoi il a engagé, dès l’été dernier, le travail de transposition qui n’avait pas été mené auparavant en raison, notamment, des échéances électorales du premier semestre 2017.
Après réflexion, le Gouvernement a fait le choix d’un texte resserré qui ne remette pas sur la table l’ensemble de la loi de 1978, ce que le droit européen n’exige nullement.
Il s’agit de répondre à une problématique légistique nouvelle et complexe : tirer les conséquences d’un règlement d’application directe et d’une directive, dont les dispositions doivent être transposées dans la loi, alors que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, intrinsèquement liées. Vous reconnaissez vous-même dans votre rapport, madame Joissains, cette complexité inévitable.
Le Gouvernement a donc déposé un amendement visant à rétablir l’habilitation initialement demandée. Il s’agit, je le répète, de permettre une codification des modifications apportées à notre droit par le projet de loi qui vous est soumis, lequel sera intégré dans la loi fondatrice de 1978, afin d’offrir un cadre juridique lisible, stable, à chaque citoyen et à chaque acteur économique.
Il ne s’agit aucunement de modifier ou de remettre en cause les apports du travail parlementaire. Il s’agit, encore une fois, d’une simple codification de nature légistique : plus qu’un engagement, c’est une responsabilité que porte le Gouvernement au nom de la stabilité de notre droit.
Vous l’avez tous compris en lisant ce texte, l’accessibilité et l’intelligibilité du droit requièrent une réécriture intégrale de la loi de 1978 pour lui faire retrouver son ambition originelle, celle d’être un véritable code de la protection des données personnelles des Français.
C’est le sens de cette habilitation, qui permettra d’adopter un plan clair, le texte comportant un premier titre rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un deuxième titre consacré au champ du RGPD, un troisième titre relatif à la directive et un quatrième titre visant les dispositifs hors du champ de l’Union européenne.
Mes services se tiennent à votre disposition pour vous informer régulièrement de l’avancement du projet d’ordonnance, laquelle sera prise cet automne au plus tard, et de son contenu.
Entre le mois de mai 2018 et la sortie de l’ordonnance, soyez assurés que tous les outils pédagogiques et de communication seront mis en place par la CNIL et par les professionnels au service des citoyens, des entreprises, mais également à l’attention des collectivités territoriales.
Je suis d’ailleurs persuadée que nos débats auront aussi cette vertu pédagogique et qu’ils permettront d’écarter les inquiétudes les plus vives qu’il est normal de ressentir à l’occasion d’un tel changement de paradigme.
Pour conclure, je souhaite que chacun puisse mesurer la portée de cette réforme à l’aune non seulement du projet de loi qui vous est proposé, mais plus largement des textes mis en œuvre par l’Union européenne.
L’exercice de transcription du droit européen présente toujours un caractère un peu contraint. Mais le nouveau cadre adopté par l’Union pour la protection des données personnelles est une magnifique réussite pour l’Europe et pour les citoyens de l’Union européenne. (Applaudissements sur les travées du groupe La République En Marche et du groupe du Rassemblement Démocratique et Social Européen – Mme Nathalie Goulet applaudit également.)
M. le président. La parole est à Mme le rapporteur.
Mme Sophie Joissains, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale. Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, mes chers collègues, la loi Informatique et libertés a franchi le cap des quarante années d’existence.
C’est une grande loi, une loi visionnaire, et si ses dispositions ont dû être adaptées au fil de l’évolution rapide des technologies numériques et du développement de nouveaux modes de traitement des données personnelles, ses principes cardinaux sont restés d’airain : consentement éclairé, loyauté de la collecte des données personnelles, adéquation aux finalités de traitement.
Les traitements de données ont changé d’échelle et se sont mondialisés avec l’apparition de véritables géants numériques américains et, désormais, chinois.
Dans cette course constante que se livrent le droit et la technique, le législateur européen, après de longues et âpres négociations, a adopté un règlement général sur la protection des données largement inspiré de la loi de 1978 et des travaux de la commission des affaires européennes du Sénat, et de son rapporteur, Simon Sutour, notamment sur l’extraterritorialité, l’un des points phares du projet de loi.
Ce règlement entrera en vigueur le 25 mai 2018. Assorti d’une directive relative au traitement de données personnelles en matière policière et pénale, il entend promouvoir l’émergence d’un modèle européen harmonisé et ambitieux de la protection des données à caractère personnel tout en favorisant la compétitivité des entreprises européennes sur la scène internationale.
Nous ne pouvons évidemment que souscrire à cet objectif. Et l’actualité récente nous montre combien il était urgent d’agir.
Laissant un grand nombre de marges de manœuvre aux États membres pour adapter certaines de ses dispositions, voire pour y déroger, le règlement poursuit trois objectifs principaux.
Premièrement, il vise à renforcer les droits des personnes physiques en créant notamment un droit à l’oubli et un droit à la portabilité des données personnelles et en facilitant l’exercice de ces droits – actions par mandataire, actions collectives, droit à réparation du préjudice…
Deuxièmement, il responsabilise tous les acteurs traitant des données en graduant leurs obligations en fonction des risques pour la vie privée, en privilégiant le recours à des outils de droit souple et en mettant fin à l’essentiel des formalités administratives préalables au bénéfice d’une obligation de conformité du traitement dès sa conception, ce qui est un véritable progrès.
Troisièmement, enfin, il s’agit de crédibiliser la régulation à la mesure des enjeux de souveraineté numérique : l’extraterritorialité est consacrée, les autorités européennes sont appelées à coopérer pour contrôler et sanctionner en cas de traitement de données transfrontalier. Ces sanctions sont enfin réellement dissuasives : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, chiffres pouvant même doubler dans certains cas…
Je ne m’attarderai pas sur la directive, qui reprend l’essentiel des principes du règlement et qui est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d’enquêtes, de poursuites ou d’exécution des sanctions pénales. Elle doit être transposée avant le 6 mai 2018.
Le projet de loi qu’il nous revient d’examiner a donc pour but d’adapter la loi de 1978 – choix très symbolique – au règlement général, de tirer parti des marges de manœuvre nationales qu’il autorise et de transposer la directive sectorielle.
À cette fin, les missions de la CNIL sont élargies et ses pouvoirs renforcés.
Le traitement des données dites sensibles reste très encadré et des régimes spécifiques plus protecteurs conservant des formalités préalables restent prévus pour certains traitements, notamment ceux qui visent le numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé.
L’Assemblée nationale a étendu l’objet de l’action de groupe en matière de données personnelles à la réparation des dommages en vue d’obtenir la réparation des préjudices matériels.
Concernant la protection spécifique des données des enfants, les députés ont abaissé de seize à quinze ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles.
Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées.
Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées.
Enfin, le fichier de traitement d’antécédents judiciaires, le TAJ, est sécurisé en réponse à une décision QPC du Conseil constitutionnel.
La commission des lois du Sénat, tout en approuvant les grandes orientations du projet de loi, a voulu réparer – je dois le dire, madame la garde des sceaux – de nombreuses lacunes et rééquilibrer certains éléments du dispositif.
La Commission nationale de l’informatique et des libertés et le Conseil d’État s’accordent à constater l’illisibilité du projet de loi, alors que le contenu du règlement et de la directive était connu depuis avril 2016.
En premier lieu, notre commission a tenu à répondre aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi. Elles sont pourtant, de la plus petite à la plus grande d’entre elles, toutes – absolument toutes – concernées par les dispositions du règlement : fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre… Elles sont responsables de nombreux traitements sur lesquels elles n’ont souvent pas prise, car découlant d’obligations légales.
Sous la menace de sanctions pécuniaires de la CNIL et de recours en justice, elles devront assumer seules des coûts importants : nomination d’un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l’exercice des nouveaux droits des particuliers…
Les discussions à l’Assemblée nationale n’ont – hélas ! – pas permis de corriger les lacunes initiales du texte, car si nos collègues députés sont restés attentifs, à juste titre, au sort des TPE et des PME, les collectivités territoriales ont été totalement absentes des débats.
Face à cette situation inédite, le Sénat, chambre des libertés et des collectivités territoriales, s’est ému. Sa commission des lois s’est attachée à prévoir que la CNIL adapte les normes qu’elle édicte et les informations qu’elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d’entre elles, à dégager de nouveaux moyens pour aider celles-ci à se conformer à leurs nouvelles obligations et à faciliter la mutualisation des services numériques entre collectivités, à réduire l’aléa financier qui pèse sur elles, en supprimant la faculté offerte à la CNIL de leur imposer des amendes administratives.
Elle a également voulu rééquilibrer la procédure d’action de groupe en réparation des dommages. Sans la remettre en cause, car elle est importante pour les droits des citoyens, il nous faut entendre l’inquiétude des petits opérateurs : chacun s’accorde à dire qu’ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 – en sont responsables l’impréparation et le manque d’information imputable aux gouvernements successifs…
Ces opérateurs risqueraient aujourd’hui d’être mis à terre par une condamnation trop lourde, sans compter les risques d’abus de droit, de quérulence ou d’extorsion.
L’Association des départements de France a été la première à nous alerter, relayée par l’AMF. Seulement 10 % des collectivités sont prêtes aujourd’hui, alors que le règlement est d’application immédiate le 25 mai prochain. Près de 85 % d’entre elles ne sont pas même au courant de son existence.
Dans le but d’apporter des solutions concrètes à ces problèmes spécifiques, la commission des lois a proposé de différer de deux ans l’entrée en vigueur de l’action de groupe en réparation des dommages et d’imposer, de même qu’en droit de la consommation ou de l’environnement, un agrément préalable des associations de protection de la vie privée pour introduire une action de groupe.
Concernant l’âge minimal à partir duquel un mineur peut consentir lui-même au traitement de ses données personnelles, sujet éminemment délicat, comme vous l’avez souligné, madame la garde des sceaux, la commission des lois a décidé de le maintenir à seize ans, conformément au droit commun européen et dans l’attente de travaux plus approfondis de nature à dégager de véritables critères d’évaluation, ainsi qu’un régime d’accompagnement adapté. La présidente de la commission de la culture, Catherine Morin-Desailly, y travaille assidûment.
La commission a également veillé à encadrer strictement l’usage des algorithmes par l’administration dans la prise de décisions individuelles. Elle a tenu à renforcer les garanties de transparence en la matière, notamment pour les inscriptions à l’université qui ne doivent pas constituer une exception au droit à l’information dû à tout un chacun.
La commission a rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté. Elle a précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice en open data, et ce afin de prévenir tout risque d’atteinte à la vie privée des personnes, mais aussi de préserver l’indépendance et la liberté d’appréciation de la justice.
Souhaitant porter le débat en séance et innover en la matière, elle a adopté un amendement visant à s’assurer que les utilisateurs de terminaux électroniques ne soient pas victimes d’un choix par défaut et qu’ils aient la possibilité d’installer sur leur terminal d’autres moteurs de recherche que celui qui est imposé par le fabriquant, et notamment des moteurs de recherche respectueux de la vie privée.
Enfin, la commission des lois a supprimé l’habilitation demandée par le Gouvernement pour procéder par ordonnance aux corrections des très nombreuses incohérences subsistant entre le droit français et le droit européen.
Regrettant le manque d’anticipation du Gouvernement, qui a témoigné, je dois le dire, d’une grande désinvolture vis-à-vis du Parlement et d’une ignorance difficilement compréhensible des collectivités, la commission a souhaité qu’il explique au Sénat les raisons de cette impréparation majeure – vous avez commencé cette explication, madame la garde des sceaux –, qu’il précise les contours du futur texte résultant de cette ordonnance et qu’il garantisse au Parlement que ses apports seront intégralement conservés.
Si nous partageons pleinement l’esprit et les objectifs des textes européens et la volonté de maintien de la loi de 1978 dans le projet de loi, je ne saurais conclure sans insister sur l’importance des nouvelles missions attribuées à la CNIL. C’est sur cette dernière que reposent tout le nouvel édifice de protection des droits et la responsabilité d’accompagner les acteurs économiques et les élus locaux.
Je souhaite vous interroger solennellement, madame la garde des sceaux, sur le grave problème que va poser l’insuffisance des moyens à sa disposition. L’autorité, déjà très sollicitée, n’a pas, en l’état, les capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures que nous avons proposées pour faciliter son organisation interne n’y suffiront pas.
Que pouvez-vous nous dire, à ce stade, des engagements budgétaires et humains qui devront nécessairement être pris par le Gouvernement ? Il y va de la réussite même de cette ambitieuse réforme de la protection des données. (Applaudissements sur les travées du groupe Union Centriste, du groupe Les Républicains et du groupe du Rassemblement Démocratique et Social Européen – Mme Sylvie Robert applaudit également)
M. le président. La parole est à M. Simon Sutour, au nom de la commission des affaires européennes.
M. Simon Sutour, au nom de la commission des affaires européennes. Monsieur le président, madame la garde des sceaux, mes chers collègues, le 21 février dernier, la conférence des présidents a décidé de confier à la commission des affaires européennes, à titre expérimental, une mission de veille sur l’intégration des normes européennes en droit interne.
C’est dans cette optique que la commission des affaires européennes a examiné le présent projet de loi et formulé un ensemble d’observations.
Le règlement européen sur la protection des données personnelles s’appliquera de plein droit à compter du 25 mai prochain. Or les entreprises françaises n’ont pas finalisé leur mise en conformité. Les collectivités territoriales, quant à elles, comme vient de le souligner Mme la rapporteur, surtout celles dont les moyens techniques et financiers sont limités, c’est-à-dire les plus petites d’entre elles, ne seront de toute évidence pas en mesure d’y procéder à bonne date.
Cette situation illustre, si besoin est, la nécessité d’une participation active du Parlement, et singulièrement du Sénat, représentant constitutionnel des collectivités locales, à l’élaboration des textes européens. Il nous faut, en particulier, pouvoir anticiper et attirer l’attention du Gouvernement sur les conséquences concrètes de ceux-ci.
La discussion du règlement général sur la protection des données personnelles a fait l’objet d’un suivi attentif de la commission des affaires européennes. J’ai notamment déposé et rapporté, en son nom et au nom de la commission des lois, deux propositions de résolution européenne et produit un avis motivé.
Les résolutions du Sénat demandaient que des dispositions nationales plus protectrices puissent être conservées et que toute personne résidant en France soit en droit de saisir la CNIL, même si le siège de l’entreprise traitant ses données est situé dans un autre État membre.
Première observation : le règlement général sur la protection des données reprend les deux éléments que le Sénat avait mis en avant. L’autorité de contrôle compétente est bien celle de la résidence du demandeur.
Par ailleurs, et bien qu’il s’agisse d’un règlement, une cinquantaine de marges de manœuvre – vous les avez évoquées, madame la garde des sceaux – sont ouvertes aux États membres pour leur permettre, notamment, de conserver des dispositions nationales plus protectrices pour les données sensibles et de limiter les droits des personnes pour des motifs stricts de sécurité publique.
Le projet de loi exploite certaines de ces marges de manœuvre, en particulier pour maintenir, tout en les révisant, des régimes spéciaux et des règles renforcées de protection des données les plus sensibles.
Deuxième observation : la directive fixe à seize ans l’âge du consentement des enfants, tout en permettant de l’abaisser à treize. La commission des affaires européennes estime que cette question doit faire l’objet d’une approche mesurée. Le texte adopté par la commission des lois va tout à fait dans ce sens.
Troisième observation : l’extension de l’action de groupe à la réparation pécuniaire, introduite par l’Assemblée nationale, n’est pas prévue par le règlement général, mais il s’agit d’une faculté ouverte par le droit européen pour d’autres actions de groupe, raison pour laquelle la commission des affaires européennes recommande qu’elle soit envisagée à l’échelon européen et assortie de règles renforcées d’enregistrement des associations. Il s’agit, là encore, d’une approche partagée par la commission des lois.
Quatrième observation : la nécessité de s’assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Dans son premier rapport d’application de l’accord sur le bouclier de protection conclu entre l’Union européenne et les États-Unis, la Commission européenne estime que la mise en œuvre de cet accord doit être améliorée, en particulier la vérification de la conformité des entreprises qui se sont autocertifiées. Il conviendra donc de suivre attentivement cette question.
Je veux enfin revenir à mon observation initiale relative à la charge que représente l’obligation de mise en conformité, à très brève échéance, pour les collectivités territoriales.
Madame la ministre, vous avez évoqué l’appui qu’apporteront les préfets et l’administration, ce qui me semble tout à fait normal. Pour autant, la mise en cause de leur responsabilité peut entraîner des conséquences très importantes pour les collectivités locales, notamment pour les petites communes.
Le règlement ne comporte pas de délai en la matière. Il est donc à tout le moins indispensable d’organiser un accompagnement adapté, voire très adapté, comme le prévoit la commission des lois, et d’y associer pleinement la CNIL, dont les moyens, notamment techniques, doivent être rapidement renforcés.
Le Sénat et sa commission des affaires européennes entendent être vigilants quant au suivi de l’élaboration et de la mise en œuvre des textes européens. Souhaitons qu’ils soient écoutés, et entendus. (Applaudissements sur les travées du groupe socialiste et républicain – Mme le rapporteur applaudit également.)
M. le président. La parole est à M. Stéphane Ravier, pour la réunion administrative des sénateurs ne figurant sur la liste d’aucun groupe.
M. Stéphane Ravier. Monsieur le président, madame la ministre, mes chers collègues, depuis plusieurs décennies, l’insécurité numérique s’est développée à une vitesse folle, faute de contre-pouvoir souverain et protecteur.
Nous assistons, impuissants, au pillage de nos données personnelles par les géants américains de l’Internet, les Vador du numérique, les fameux GAFA – Google, Apple, Facebook et Amazon, publicité non rémunérée… (Sourires.)
Pillage des données personnelles des individus, mais aussi de nos entreprises et même de nos États. Ces grandes firmes se les approprient, les stockent, les utilisent gratuitement et les monétisent. Toute notre vie est observée puis orientée.
Le Big Brother du roman 1984 de George Orwell est devenu réalité : souriez, vous êtes scannés. Détendez-vous, on pense pour vous. Vos goûts, vos désirs, vos opinions sont épiés, disséqués, analysés pour être influencés. L’œil du cyclone ne vous laissera pas faire un pas seul. Et son immense puissance, c’est de vous faire croire que vous êtes libre.
Quels que soient nos choix, nos achats, notre géolocalisation, le croisement des données réalisé par l’intelligence artificielle permet aux grosses firmes de nous connaître intimement et d’utiliser nos données, sans notre accord, pour générer des milliards et encore des milliards de profits. Dans cette guerre du numérique, ces utilisations à des fins commerciales portent atteinte à la liberté des individus, mais c’est encore plus grave quand il s’agit des données de nos entreprises stratégiques ou de nos administrations, livrées à ces multinationales.
Au-delà du texte que nous examinons, je relaie une réflexion déjà formulée par notre collègue députée Marine Le Pen : dans cette guerre du numérique, alors même qu’il est question d’une atteinte à notre souveraineté numérique, pourquoi n’existe-t-il pas un Google français ou européen ? Pourquoi sommes-nous contraints d’être dépendants de logiciels américains et bientôt chinois, qui espionnent ainsi nos activités économiques et personnelles ?
Il est grand temps de nous saisir de ce dossier, en prenant immédiatement les mesures qui s’imposent : mieux informer les utilisateurs français sur la récupération de leurs données personnelles, dès lors qu’ils valident les conditions générales d’utilisation ; harmoniser au niveau national le droit numérique par la création d’un code incluant à la fois la législation européenne, la législation nationale et les normes existantes ; instaurer l’obligation de stocker les données personnelles dans des serveurs en France, avec interdiction de les transférer ; développer les solutions de logiciels libres, notamment dans les administrations, les universités et les écoles, tout en encourageant leur utilisation par le grand public ; ouvrir, à l’échelon européen, avec tous les pays qui le souhaitent, un projet de coopération en matière de numérique visant à préserver la sécurité et la souveraineté de nos États et la liberté de nos citoyens.
Nous avons besoin d’une agence européenne, qui développerait, comme Airbus pour l’aéronautique, des champions français et européens du numérique, de la robotique et de l’intelligence artificielle.
Je salue l’avancée permise par ce texte, qui permettra une meilleure protection des Français. Il est un levier pour la mise en place de bonnes pratiques dans les entreprises, notamment sur les questions de sécurité.
La commission des lois a porté un regard attentif aux petites entreprises et aux collectivités territoriales, ce qui est louable.
Ne l’oublions pas, dans le domaine numérique comme dans tous les autres, ce qui prévaut, c’est avant tout notre souveraineté.