Protection des données personnelles : le projet de loi examiné
Monsieur le Président,
Madame la Ministre
Cher-e-s Collègues,
Le projet de loi dont nous commençons la discussion est attendu depuis longtemps. Il est le fruit d’un travail commun des CNIL européennes dans le cadre du G29, travail commun qui a largement inspiré les institutions de l’UE lorsqu’elles ont élaboré le Règlement et la directive que nous avons à présent à transposer dans notre droit national.
Ce « paquet européen de protection des données » est globalement consensuel. Pour l’essentiel, il permettra à la CNIL d’exercer ses missions de contrôle de manière plus ciblée et - espérons le – plus efficace.
L’article 1er du projet est emblématique du changement qu’emporte la nouvelle architecture de la protection des données personnelles en Europe. En effet à la déclaration préalable et / ou autorisation du traitement automatisé de données personnelles auprès de la CNIL, se substitue une sécurisation par l’organisation qui les récupère et les exploite en suivant des standards et des référentiels établis par cette même autorité administrative.
Cet article confère ainsi à la CNIL un pouvoir nouveau : il s’agit pour elle d’énoncer un cadre de référence, d’exercer un soft power pour emmener les organisations vers une sécurisation croissante. A ce titre elle exercera un pouvoir d’agrément des organismes certificateurs. Elle pourra en outre certifier des personnes, des produits, des systèmes et des procédures.
Passer d’un système de déclaration et d’autorisation à un système d’exercice responsable - au sens où on répond de ce qu’on fait - constitue un véritable pari. Et ce pari mérite d’autant plus d’être fait que les pouvoirs de contrôle de la CNIL sont sérieusement accrus et les sanctions qu’elle pourra prononcer en cas de manquement notablement alourdies. En effet, les amendes qu’elle inflige pourront demain aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial de l’entreprise concernée. La dissuasion devrait être au rendez-vous.Que ce texte soit globalement consensuel ne signifie pas pour autant qu’il est exempt de toute critique.
Nous souhaitons en premier lieu souligner une erreur factuelle dans l’exposé des motifs : non, ce texte ne créé nullement le droit à l’oubli pas plus que le droit à la portabilité des données… puisque ces droits ont été consacrés par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Cela méritait d’être rappelé.
En second lieu, et comme souvent, c’est par ses lacunes que pèche ce texte. A cet égard, la CNIL avait souligné dans son avis du 30 novembre 2017 son regret « que d’autres propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives… ».
En effet, bien qu'à l'initiative de la rapporteure, la commission des lois a renforcé les obligations d'information de l'administration en prévoyant que l'explication du fonctionnement de l'algorithme doit être intelligible, ces éléments d'information ne seront communiqués qu'aux personnes qui en formulent la demande. L'ensemble de ce dispositif repose sur une fiction impossible : celle d'administrés qui disposent du temps et de l’énergie pour formuler de telles demandes d'explication à l'administration. Soyons réalistes ! La plupart des administrés subissent ces décisions avec résignation et ne perdent pas leur temps à solliciter une explication quant au fonctionnement de l’algorithme qui a conduit à une décision les concernant.
Alors que les algorithmes tendent à devenir incontournables comme dispositifs d’aide à la prise de décision administrative, il importe avant tout que nos concitoyens soient informés quant à leur fonctionnement. Or, ne nous racontons pas d’histoire : seule une information systématique rendra effective la possibilité de comprendre comment a été prise la décision et in fine de la de contester. Tel est le sens de l’amendement déposé par le Groupe Nouvelle Gauche.
Notre groupe, en responsabilité, votera ce projet de loi. Gageons que la majorité de cette assemblée sa ralliera à notre amendement… en responsabilité.
