Question de M. CHAIZE Patrick (Ain - Les Républicains) publiée le 27/04/2023
M. Patrick Chaize appelle l'attention de M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur la mise en oeuvre du règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018.
Alors que les usages et services numériques continuent de se multiplier, des textes européens ont été adoptés ou sont actuellement discutés, pour définir les contours du cadre réglementaire de la transformation numérique de notre société et de l'innovation par la donnée. Le principal texte applicable à la protection des données personnelles est le RGPD, ayant vocation notamment à assurer que « le traitement des données à caractère personnel [soit] conçu pour servir l'humanité ». Sa mise en oeuvre en France est contrôlée par la commission nationale de l'informatique et des libertés (CNIL), qui a pour mission d'accompagner les acteurs concernés dans leurs mises en conformité au texte, et peut prononcer des sanctions en cas d'infraction aux règles du RGPD. L'écosystème numérique est confronté à un paradoxe croissant entre, d'un côté, une ferme volonté des pouvoirs publics de développer l'économie de la donnée et l'innovation grâce à l'ouverture ou le partage de données et, de l'autre côté, une approche et une interprétation de la réglementation en matière de protection des données qui s'y montrent réticentes. Ce conflit d'objectifs est un frein majeur pour l'innovation par la donnée. Ce constat trouve une illustration en matière de santé publique, avec les réserves de la CNIL sur le développement de l'application « StopCovid » en 2020. Un autre exemple concerne la recommandation de la CNIL en matière de cookies, qui a fait l'objet d'une contestation devant le Conseil d'État par les acteurs français de l'Internet. La recommandation finale a eu un impact majeur sur le modèle de financement des éditeurs en ligne, basé sur l'accès gratuit à l'information en contrepartie de l'affichage de publicités ciblées. Et cette recommandation a été partiellement censurée par le Conseil d'État dans un arrêt du 19 juin 2020, en particulier sur ses aspects les plus politiques et structurants pour l'écosystème de l'édition en ligne. Plus récemment, on pourrait citer le cas d'une grande entreprise française du numérique, menacée d'une amende dont le montant peut paraître disproportionné au regard de la nature de ses activités et de son résultat. Dans un contexte de forte concurrence internationale et au regard, d'une part, de la volonté affichée des pouvoirs publics de construire une souveraineté numérique européenne et nationale et, d'autre part, de l'objectif gouvernemental en matière de développement de licornes et start-ups françaises, il convient de s'assurer que le cadre réglementaire et son application servent efficacement ces objectifs et volonté. Cette nécessité prend tout son relief dans le contexte d'un projet de loi de « mise en conformité du droit français avec les règles du DSA et du DMA » afin de faire de la France un leader de la transition numérique. Enfin, le Conseil d'État, dans une étude récente intitulée « intelligence artificielle et action publique : construire la confiance, servir la performance », a proposé de construire une gouvernance adaptée « tournée vers l'innovation et la confiance » et suggère d'investir une CNIL « transformée » de cette mission. Compte tenu des enjeux de ces défis numériques pour notre pays et pour l'Europe, et au vu de la mise en oeuvre à court terme des nombreux règlements européens en matière de numérique et d'intelligence artificielle dans notre droit national, il lui demande s'il envisage d'engager une évaluation globale, d'une part, de la mise en oeuvre du RGPD au niveau national et de son interprétation par la CNIL et, d'autre part, des nécessaires transformations du cadre légal national, dans l'objectif de parvenir à une meilleure conciliation entre innovation et protection des données.
- page 2771
Réponse du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique publiée le 14/12/2023
Adopté en 2016, le règlement général sur la protection des données (RGPD) constitue une pierre angulaire de la protection des données à caractère personnel en France et dans l'Union européenne, autour des principes de transparence et de responsabilisation des acteurs, pour une protection optimale des droits fondamentaux des citoyens européens. Cet objectif de protection des droits fondamentaux doit naturellement s'articuler au mieux avec l'objectif de développement économique et technologique du secteur numérique, garant in fine de notre souveraineté. Cet équilibre à trouver est parfois complexe compte tenu des besoins issus du développement rapide de technologies innovantes telles que l'intelligence artificielle. La Commission européenne présentera d'ailleurs en 2024 au Parlement européen et au Conseil le deuxième rapport d'évaluation sur l'évaluation et le réexamen du RGPD depuis son entrée en application en 2018, conformément à l'article 97 du RGPD. En amont de ce rapport, le Conseil de l'Union européenne est en train d'élaborer une position à ce sujet, qui devrait être prochainement rendue publique. Des négociations sont également en cours sur la proposition de règlement présentée par la Commission européenne en juillet 2023 et établissant des règles procédurales additionnelles s'agissant de la coopération entre les autorités compétentes en matière de protection des données personnelles dans les situations transfrontalières. Dans ce contexte, la France a particulièrement oeuvré afin que des leçons objectives sur la mise en oeuvre du RGPD dans les États membres soient tirées, en particulier s'agissant des difficultés rencontrées par les PME-TPE, mais aussi en termes d'harmonisation des interprétations par les autorités nationales de protection des données, ou encore, eu égard à la nécessité pour ces autorités de mieux prendre en compte la stratégie de développement du numérique de l'Union, via des interprétations du RGPD compatibles avec la réalité de nos entreprises européennes et des technologies innovantes qui se développent très rapidement. Parallèlement, un amendement introduisant un réseau national de coordination de la régulation des services numériques a été adopté lors de la lecture à l'Assemblée nationale du projet de loi « sécuriser et réguler l'espace numérique », porter pour le compte du Gouvernement et qui devrait être étudié en commission mixte paritaire prochainement. Cet ajout est justement le résultat des fructueuses discussions avec les parlementaires sur la nécessité d'assurer une meilleure coordination dans l'application des différents textes qui vont prochainement entrer dans notre droit et faciliter ainsi un meilleur dialogue entre les autorités. La commission nationale de l'informatique et des libertés (CNIL) aura bien entendu toute sa place dans ce réseau, qui aura vocation à permettre aux autorités concernées d'échanger en confiance, en vue d'atteindre une prise en compte aussi parfaite que possible de l'ensemble des enjeux du numérique lors de la mise en oeuvre par chacune d'elle de leurs attributions. Le Gouvernement reste donc très attentif et très impliqué sur le sujet, car il est essentiel d'assurer aux citoyens français et européens une protection optimale de leurs données personnelles, sans toutefois oublier les besoins et contraintes de nos entreprises pour qu'elles puissent renforcer leur compétitivité sur la scène européenne et internationale.
- page 6906
Page mise à jour le