II. LA PROPOSITION DE LOI : DES ADAPTATIONS NÉCESSAIRES AU DROIT ACTUEL
La proposition de loi vise à adapter le cadre juridique ainsi décrit, d'une part, à l'évolution des pratiques , en particulier l'utilisation croissante d'Internet et la multiplication des traitements informatiques, et, d'autre part, aux nouvelles attentes de notre société en matière de respect de la vie privée.
Le texte entend également tirer les conséquences, sur deux points importants, de l'évolution du droit communautaire .
A. FAIRE DU CITOYEN UN « HOMO NUMERICUS » RESPONSABLE, PROTECTEUR DE SES PROPRES DONNÉES
1. Confier à l'Education nationale une mission d'information sur la protection des données personnelles
Face à la triple évolution décrite plus haut, la proposition de loi considère que la première réponse réside dans l'implication pleine et entière des individus dans leur propre protection . Elle reprend en cela la première recommandation du rapport d'information sur « la vie privée à l'heure des mémoires numériques », relative au « renforcement de la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires ».
A cette fin, l'article premier du texte complète l'article L. 312-9 du code de l'éducation afin que l'initiation des élèves à l'usage d'Internet intègre autant les questions liées au téléchargement illégal que celles, tout aussi essentielles, de la protection des données personnelles et, plus généralement, de la vie privée. Le rapport d'information précité souligne en effet que, s'il incombe aux parents de transmettre à leurs enfants les valeurs de tolérance et de respect ainsi que les notions de pudeur, d'intimité et de droit à l'image, principes qui s'appliquent autant à la « vie réelle » qu'à la vie numérique, il n'en demeure pas moins qu'ils sont souvent dépassés et démunis face aux nouvelles technologies et aux nouveaux usages qui en résultent.
La pratique des « sextos » en est une dramatique illustration : elle consiste en la transmission de photos dénudées entre mineurs par messageries instantanées ou par téléphones portables, souvent sans le consentement des personnes, afin de leur nuire ou d'accomplir une vengeance. On notera, à cet égard, qu'interrogée récemment par notre collègue Anne-Marie Escoffier sur cette pratique inquiétante, Mme Michèle Alliot-Marie, ministre d'Etat, garde des sceaux, ministre de la justice et des libertés, a répondu que l'arsenal juridique était aujourd'hui satisfaisant mais a reconnu que l'éducation des jeunes était un enjeu essentiel 5 ( * ) .
La proposition de loi considère qu'il appartient donc à l'Education nationale d'informer les élèves sur les risques liés aux usages d'Internet au regard du droit à la vie privée, le brevet « informatique et Internet » semblant, aujourd'hui, insuffisant pour répondre à ce défi majeur.
2. Adapter le régime juridique des « cookies »
L'article 6 de la proposition de loi comporte deux modifications importantes du régime juridique des « cookies » , petits fichiers qui constituent des « mouchards » électroniques introduits sur le disque dur de l'internaute à des fins techniques ou publicitaires.
D'une part, il renforce l'obligation d'information incombant au responsable du traitement : l'utilisateur devra donc recevoir une information spécifique, claire, accessible et permanente sur les finalités des cookies comportementaux, c'est-à-dire ceux qui visent à délivrer une publicité ciblée.
D'autre part, il impose le consentement de l'utilisateur avant tout stockage de cookies sur son ordinateur : la proposition de loi entend ainsi se conformer au nouvel article 5-3 de la directive 2002/58/CE « Vie privée et Communications Electroniques » du 12 juillet 2002, tel que modifié récemment par la directive 2009/136/CE du 18 décembre 2009 adoptée dans le cadre du « Paquet Télécom » 6 ( * ) .
3. Garantir une meilleure traçabilité des transferts de données
Deux mesures de la proposition de loi garantissent une meilleure traçabilité des transferts de données et permettent de mieux lutter contre leur dissémination :
- l'information spécifique, claire et accessible donnée aux personnes, avant tout traitement mais également de manière permanente, sur le site Internet du responsable du traitement, des « destinataires ou catégories de destinataires des données » (article 6) ;
- la possibilité de connaître, au titre du droit d'accès, l'origine de la donnée personnelle, alors que n'est actuellement prévue que la communication des informations disponibles quant à cette origine (article 9).
B. DONNER UNE PLUS GRANDE EFFECTIVITÉ AU DROIT À L'OUBLI NUMÉRIQUE
La proposition de loi propose également de donner une plus grande effectivité au droit à l'oubli numérique, à travers plusieurs mesures :
- l'obligation pour la CNIL de préciser, pour chacun des traitements qu'elle met à la disposition du public, la durée de conservation des données (article 5) ;
- l'obligation de fournir aux internautes une information claire, accessible et spécifique sur la durée de conservation de leurs données personnelles (article 6) ;
- l'exercice plus facile du droit à la suppression des données dans la mesure où la proposition de loi permet d'exercer ce droit non seulement gratuitement mais également, après identification, par voie électronique , alors que les responsables de traitement prévoient aujourd'hui généralement la seule transmission par courrier postal, qui paraît de nature à décourager les personnes concernées (articles 6 et 8) ;
- la possibilité de saisir plus facilement et plus efficacement qu'aujourd'hui les juridictions civiles, notamment en cas d'impossibilité pour les personnes d'exercer leur droit à la suppression des données. Elles pourraient désormais saisir la juridiction la plus proche de leur domicile et même appuyer leur requête d'une observation écrite de la CNIL, qui ne serait pas tenue d'envoyer un de ses représentants à l'audience pour développer son point de vue (article 13).
C. PROMOUVOIR LA DIFFUSION D'UNE CULTURE « INFORMATIQUE ET LIBERTÉS »
1. Diffuser une culture « informatique et libertés » dans les entreprises et les administrations
L'article 3 de la proposition de loi rend obligatoires les correspondants « informatique et libertés » lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre. Le bilan de l'action de ces correspondants, qui ont vu le jour en 2005-2006, apparaît en effet pleinement satisfaisant tant ils ont permis la diffusion de la culture « informatique et libertés » dans les structures dans lesquelles ils ont été désignés.
2. Conforter le statut et les pouvoirs de la CNIL
Quatre articles de la proposition de loi visent à conforter le statut et les pouvoirs de la CNIL.
L'article 10 rend publiques les audiences de la formation restreinte de la CNIL afin de tirer les conséquences d'une ordonnance du Conseil d'État du 19 février 2008 qui reconnaît le caractère juridictionnel de cette formation.
L'article 11 rend plus aisée la publicité des sanctions les plus graves prononcées par la CNIL, publicité aujourd'hui conditionnée à la « mauvaise foi du responsable du traitement ». L'article supprime cette condition.
L'article 12 renforce les pouvoirs de sanction de la CNIL en lui permettant de prononcer des sanctions financières d'un montant plus important. Les auteurs de la proposition de loi estiment que ce relèvement du plafond légal incitera la CNIL à faire preuve d'une plus grande fermeté , à l'image de l'agence espagnole qui, sur la seule année 2008, a infligé des sanctions d'un montant total de 22,6 millions d'euros alors que la formation restreinte de la CNIL, depuis sa création en 2005, a, pour sa part, prononcé des sanctions dont le montant cumulé ne s'élève qu'à 520 400 euros.
L'article 13 renforce les possibilités d'actions juridictionnelles de la CNIL en cas de méconnaissance, par un responsable du traitement, des dispositions de la loi « informatique et libertés » : la CNIL pourrait présenter des observations devant les juridictions, d'office ou à la demande des parties. En outre, sur le modèle de ce qui existe désormais en droit de la consommation, toute personne s'estimant lésée par la non-application de la loi « informatique et libertés » pourrait faire valoir ses droits devant la juridiction civile du lieu où elle demeure.
3. Rendre obligatoires les notifications des failles de sécurité
L'article 7 de la proposition de loi tend à rendre obligatoire, pour les responsables de traitements de données à caractère personnel, l'information de la CNIL en cas de violation de l'intégrité ou de la confidentialité de ces traitements, afin de les inciter à mettre en oeuvre les mesures de protection adéquates . La CNIL pourra ensuite, en cas d'atteinte portée aux données d'une ou plusieurs personnes physiques, exiger des responsables de traitement qu'ils avertissent ces personnes. Cet article transpose ainsi une disposition de la directive « Vie privée et Communications Électroniques » du 25 novembre 2009 précitée.
D. DES CLARIFICATIONS JURIDIQUES SOUHAITABLES
1. Clarifier le statut de l'adresse IP
L'article 2 de la proposition de loi vise à clarifier le statut de l'adresse IP . En effet, alors que cette adresse constitue, pour le rapport d'information précité, un moyen indiscutable d'identification, fût-elle indirecte, d'un internaute, au même titre qu'une adresse postale ou un numéro de téléphone, certaines juridictions ont récemment contesté le caractère de donnée personnelle de l'adresse IP. La clarification opérée par l'article 2 permet ainsi d'apporter aux données de connexion des internautes la protection de la loi « informatique et libertés ».
2. Réserver au législateur la compétence exclusive pour créer les catégories de fichiers nationaux de police
L'article 4 de la proposition de loi réserve au législateur la compétence exclusive pour autoriser les catégories de fichiers nationaux de police (également appelés « fichiers de souveraineté ») et pour définir les principales caractéristiques de ces catégories (services responsables, finalités et durée de conservation des informations traitées), alors que les fichiers de police peuvent actuellement, en vertu de l'article 26 de la loi « Informatique et libertés », être autorisés par arrêté ou, s'ils comportent des données sensibles, par décret en Conseil d'Etat. Les auteurs de la proposition de loi estiment en effet que l'encadrement des fichiers de police relève de l'article 34 de la Constitution qui prévoit notamment que « la loi fixe les règles concernant les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ».
* 5 Question orale sans débat n° 0745S de Mme Anne-Marie Escoffier publiée dans le JO Sénat du 17/12/2009 - page 2909 ; réponse de la garde des sceaux publiée dans le JO Sénat du 03/02/2010 - page 756 ; la question et la réponse sont disponibles sur Internet : http://www.senat.fr/questions/base/2009/qSEQ09120745S.html
* 6 Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs.