N° 457
SÉNAT
SESSION ORDINAIRE DE 2011-2012
|
Enregistré à la Présidence du Sénat le 1 er mars 2012 |
AVIS
FAIT
au nom de la commission des affaires européennes en application de l'article 73 quinquies du Règlement sur la proposition de résolution européenne adoptée par la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055) (n° 446, 2011-2012),
Par M. Simon SUTOUR,
Sénateur
|
(1) Cette commission est composée de : M. Simon Sutour , président ; MM. Michel Billout, Jean Bizet, Mme Bernadette Bourzai, M. Jean-Paul Emorine, Mme Fabienne Keller, M. Philippe Leroy, Mme Catherine Morin-Desailly, MM. Georges Patient, Roland Ries , vice-présidents ; MM. Christophe Béchu, André Gattolin, Richard Yung , secrétaires ; MM. Nicolas Alfonsi, Dominique Bailly, Pierre Bernard-Reymond, Éric Bocquet, Gérard César, Mme Karine Claireaux, MM. Robert del Picchia, Michel Delebarre, Yann Gaillard, Mme Joëlle Garriaud-Maylam, MM. Joël Guerriau, Jean-François Humbert, Mlle Sophie Joissains, MM. Jean-René Lecerf, Jean-Louis Lorrain, Jean-Jacques Lozach, François Marc, Mme Colette Mélot, MM. Aymeri de Montesquiou, Bernard Piras, Alain Richard, Mme Catherine Tasca. (2) Cette commission est composée de : M. Jean-Pierre Sueur , président ; M. Nicolas Alfonsi, Mme Éliane Assassi, Esther Benbassa, MM. Yves Détraigne, Patrice Gélard, Mme Sophie Joissains, MM. Jean-Pierre Michel, François Pillet, M. Bernard Saugey, Mme Catherine Tasca, vice-présidents ; Nicole Bonnefoy, Christian Cointat, Christophe-André Frassa, Virginie Klès , secrétaires ; Jean-Paul Amoudry, Alain Anziani, Philippe Bas, Christophe Béchu, Nicole Borvo Cohen-Seat, Corinne Bouchoux, François-Noël Buffet, Gérard Collomb, Pierre-Yves Collombat, Jean-Patrick Courtois, Michel Delebarre, Félix Desplan, Christian Favier, Louis-Constant Fleming, René Garrec, Gaëtan Gorce, Jacqueline Gourault, Jean-Jacques Hyest, Philippe Kaltenbach, Jean-René Lecerf, Jean-Yves Leconte, Antoine Lefèvre, Roger Madec, Jean Louis Masson, Jacques Mézard, Thani Mohamed Soilihi, Hugues Portelli, André Reichardt, Alain Richard, Simon Sutour, Catherine Troendle, René Vandierendonck, Jean-Pierre Vial, François Zocchetto. |
Voir le(s) numéro(s) :
|
Sénat : |
406 et 446 (2011-2012) |
EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
La commission des lois a adopté, le 29 février, sur le rapport que je lui avais présenté le 22 février, une proposition de résolution européenne sur la proposition de règlement relatif à la protection des données personnelles.
La commission des affaires européennes et la commission des lois ont entendu Mme Viviane Reding, vice-présidente de la Commission européenne, le 21 février ; le Sénat examinera la proposition de résolution en séance publique le 6 mars prochain.
La semaine dernière, le 23 février, la commission des affaires européennes a adopté un projet d'avis motivé sur la subsidiarité, qui a été adopté par la commission des lois également le 29 février.
La commission des lois a souhaité se saisir au fond sur ce texte. Elle a donc fait jouer le droit de priorité que le règlement du Sénat reconnaît aux commissions permanentes pour les projets d'actes soumis au Sénat dans le cadre du premier alinéa de l'article 88-4 de la Constitution. Mais comme le permet le règlement, la commission des affaires européennes a décidé de se saisir pour avis afin que le Sénat puisse également connaître son point de vue.
Je rappelle que la Commission européenne a simultanément présenté deux textes : une proposition de règlement sur les fichiers privés et commerciaux ; une proposition de directive sur les fichiers dits « de souveraineté ». Ces deux textes devront être adoptés selon la procédure législative ordinaire, c'est-à-dire par codécision entre le Parlement européen et le Conseil de l'Union européenne.
La proposition de résolution de la commission des lois ne porte que sur le premier de ces textes, celui relatif aux fichiers privés et commerciaux, qui procède à la refonte de la directive de 1995. Elle laisse volontairement de côté la proposition de directive destinée à remplacer la décision-cadre sur les fichiers de « souveraineté ». En effet, les problématiques de chacun de ces dispositifs sont très différentes . Cette proposition de directive pourra faire l'objet d'un examen ultérieur plus approfondi par la commission des affaires européennes puis la commission des lois.
Il convient de rappeler le contexte dans lequel s'inscrit le texte de la Commission européenne, quelles sont les principales dispositions qu'elle propose et quelles sont les principales difficultés mentionnées dans la proposition de résolution.
1/ Quel est le contexte ?
La directive du 24 octobre 1995 a fixé des principes importants pour la protection des données personnelles. Elle prévoit la création dans chaque Etat membre d'un organisme indépendant (la CNIL en France) chargé de la protection de ces données. Un groupe représentant les « CNIL européennes » a par ailleurs été constitué au niveau européen ( groupe dit de l'article 29 ). La directive ne concerne pas les traitements de données effectués dans le champ de la sécurité publique, la défense ou la sûreté de l'Etat. Ils sont régis par une décision-cadre du 27 novembre 2008.
Cependant, cette directive de 1995 a abouti à un niveau insuffisant d'harmonisation des réglementations applicables dans les États membres. Surtout, elle été adoptée avant l'essor d'internet et le développement des technologies de l'information. Si ses objectifs demeurent valables, ses dispositions n'apparaissent plus adaptées au nouveau contexte du traitement et de l'échange des données. La situation actuelle est, en effet, caractérisée par la rapidité des évolutions technologiques et par la mondialisation , qui modifient la façon dont un volume sans cesse croissant de données personnelles est collecté, consulté, utilisé et transféré. Internet a une place prépondérante. De nouveaux modes de partage de l'information sont apparus via les réseaux sociaux. Nos collègues Yves Détraigne et Anne-Marie Escoffier, dans un rapport d'information de mai 2009 (« Le respect de la vie privée à l'heure des mémoires numériques ») , avaient clairement analysé ces nouveaux défis.
2/ Quelles sont les principales dispositions de la proposition de règlement ?
Le choix d'un règlement, d'applicabilité directe, est motivé par la volonté de réduire la fragmentation juridique et d'apporter une plus grande sécurité juridique, en instaurant un corps harmonisé de règles de base. Mais c'est un choix contraignant pour les Etats membres qui se voient ainsi privés de toute marge d'adaptation.
Cette proposition de règlement permet d'améliorer sensiblement la protection des personnes. Elle prévoit notamment que le consentement de la personne à l'utilisation de ses données personnelles devra être exprès. Elle reconnaît aux internautes un « droit à la portabilité » de leurs données, qui leur permettra de s'affranchir de l'autorité de traitement, sans perdre l'usage de leurs données. Elle réaffirme le droit d'opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité pour les responsables de traitement de soumettre les données qu'ils ont recueillies à un « profilage » informatique. Elle consacre un droit à l'oubli numérique , permettant à chacun d'obtenir l'effacement des données personnelles qui lui portent préjudice.
La proposition de règlement propose de nouvelles règles d'autorisation des fichiers, qui reposent, notamment, pour les fichiers les plus sensibles, sur l'obligation de les soumettre à une étude d'impact. Elle modifie la règlementation relative au transfert de données vers des pays tiers à l'Union européenne.
Parallèlement, le texte fait peser sur les responsables de traitement des obligations nouvelles comme la désignation d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou le renforcement des sanctions contre les entreprises ne respectant pas les règles fixées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant notamment un comité européen de la protection des données, auquel sera associé le Contrôleur européen de la protection des données, qui se substituera à l'actuel groupe de travail réunissant les « CNIL européennes », dit « G29 ».
On ne peut que se féliciter de ces propositions, qui sont positives : certaines, comme l'exigence du consentement exprès, le droit d'opposition ou de rectification ou le statut d'indépendance et les pouvoirs de l'autorité de contrôle, sont d'ores et déjà en vigueur dans notre droit. D'autres consacrent des évolutions attendues. Yves Détraigne et Anne-Marie Escoffier, dans leur rapport d'information, puis dans la proposition de loi issue de leurs travaux, et rapportée par Christian Cointat, avaient présenté certaines des évolutions aujourd'hui consacrées par la proposition de règlement, comme la reconnaissance du droit à l'oubli , ou l'obligation de désignation de délégués à la protection des données ... On ne peut que regretter que cette proposition de loi, adoptée à l'unanimité au Sénat il y a presque deux ans, n'ait jamais examinée par l'Assemblée nationale.
Il serait utile d'aller plus loin sur certains points. C'est ce que suggère la proposition de résolution : sur le droit à l'oubli et les moteurs de recherche, sur le statut juridique de l'adresse IP, sur l'encadrement des transferts internationaux de données ou sur la désignation obligatoire d'un délégué à la protection des données.
3/ Quelles sont les principales difficultés ?
La première difficulté concerne l'impossibilité de conserver des dispositions nationales plus protectrices , dans un domaine touchant aux droits fondamentaux .
Peut-on envisager qu'en élevant le niveau moyen de protection apportée aux citoyens européens, le règlement diminue les garanties dont bénéficient ceux qui résident dans un État membre qui a fait le choix de garanties poussées ? La question est particulièrement sensible pour notre pays qui a été en quelque sorte « pionnier » pour la protection des données.
La proposition de résolution européenne invite donc le Gouvernement français à veiller à ce que l'harmonisation s'effectue sans préjudice de la possibilité pour les États membres de conserver des dispositions plus favorables à la protection des données.
Il y aurait deux solutions envisageables au cours de la négociation du texte :
- soit faire insérer directement dans celui-ci les dispositions plus favorables du droit français ;
- soit, si cela n'était pas possible, prévoir des clauses spécifiques dans le règlement afin de permettre aux États membres de maintenir les dispositions plus protectrices dans leur législation.
Une deuxième difficulté résulte des renvois très fréquents - une cinquantaine de fois - à des actes délégués ou à des actes d'exécution de la Commission européenne pour préciser les modalités d'application du règlement. Ce renvoi massif à de la législation déléguée dans un tel domaine paraît très critiquable.
Au cours de son audition, Mme Reding a indiqué que le Conseil et le Parlement européen auraient leur mot à dire dans la mise en oeuvre des actes délégués. Il convient de souligner qu'il s'agit d'un pouvoir d'opposition , à la majorité qualifiée pour le Conseil et à la majorité absolue pour le Parlement européen. C'est donc bien la Commission européenne « qui a la main » dans ce pouvoir qui lui est délégué.
Il serait préférable que certaines questions soient réglées directement par le législateur européen, les modalités du droit à l'oubli numérique par exemple. Pour les dispositions les plus techniques, les autorités de contrôle nationales regroupées au niveau européen devraient jouer le rôle principal.
Le texte pose une troisième difficulté . C'est celle qui a le plus focalisé l'attention de la CNIL. Il s'agit du dispositif du « guichet unique » proposé par la Commission européenne, qui attribue la compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement.
L'objectif avoué de ce dispositif est de faciliter les démarches administratives des entreprises qui n'auront plus qu'un interlocuteur unique à l'échelle européenne.
Mais le citoyen risque ainsi d'être renvoyé à l'autorité de contrôle d'un autre pays. Paradoxalement, le citoyen serait moins bien traité que le responsable de traitement qui aurait, lui, un interlocuteur unique.
De plus, certaines autorités de contrôle risqueraient d'avoir à traiter un très grand nombre de demandes, ce qui pose la question de leur capacité à y faire face.
Il y aurait également une asymétrie , pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national.
Comme Mme Reding l'a indiqué, la Commission a certes prévu des aménagements au principe du « guichet unique » : elle propose un mécanisme de coordination entre autorités de contrôle, et prévoit que l'autorité nationale se charge de la transmission de la plainte à l'autorité étrangère. Ces expédients sont cependant insuffisants : le citoyen se voit à la fois privé de la possibilité de voir sa demande instruite par l'autorité de contrôle qui lui est la plus proche et la plus accessible, et privé de la possibilité de se voir appliquer le cas échéant les dispositions de droit national plus favorables.
Ce système de « guichet unique » me paraît contraire au souci d'une gestion de proximité , qui permet aussi de mieux enraciner la construction européenne dans l'opinion publique.
Il serait préférable de retenir la compétence de l'autorité de l'État membre où réside le plaignant , comme c'est le cas en droit de la consommation.
Tels sont les principaux motifs qui fondent la proposition de résolution européenne qui a été adoptée par la commission des lois, et dont la commission des affaires européennes s'est saisie pour avis.
POSITION DE LA COMMISSION
Réunie le 1 er mars 2012 pour l'examen de la proposition de résolution européenne issue des travaux de la commission des lois (rapport n° 446), la commission a décidé de donner un avis favorable , à l'unanimité, à l'adoption de la proposition de résolution.