Allez au contenu, Allez à la navigation



Proposition de résolution sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)

29 février 2012 : Protection des données personnelles ( rapport )

ANNEXES

_______

ANNEXE 1
COMPTE RENDU DE LA RÉUNION DU 21 FÉVRIER 2012

_______

La commission procède à l'audition commune avec la commission des affaires européennes de Mme Viviane Reding, vice-présidente de la Commission européenne chargée de la justice, des droits fondamentaux et de la citoyenneté.

M. Simon Sutour, président de la commission des affaires européennes. - Nous vous souhaitons la bienvenue, madame la commissaire, pour cette audition organisée conjointement par la commission des lois et la commission des affaires européennes. Vous êtes chez vous au Palais du Luxembourg ... compte tenu de votre nationalité, même si les commissaires européens ne défendent que l'intérêt général européen. Vous accomplissez votre troisième mandat à la Commission : votre expérience est donc grande, et nous nous en félicitons car votre portefeuille comprend le dossier sensible des droits fondamentaux des citoyens européens. Vous avez rempli pleinement votre rôle, qu'il s'agisse des Roms ou de l'évolution inquiétante en Hongrie, et je m'en félicite.

Cette audition sera toutefois principalement consacrée à la protection des données personnelles, à laquelle vous savez le Sénat très attentif. Je vous interrogerai en tant que rapporteur du projet de règlement européen à ce sujet, et M. le président de la commission des lois présidera cette réunion.

M. Jean-Pierre Sueur, président de la commission des lois. - Nous sommes très honorés de votre présence parmi nous, madame la commissaire. Parmi les sujets dont vous êtes chargée, beaucoup nous tiennent à coeur. En ce qui concerne d'abord le projet de règlement sur la protection des données personnelles, nous craignons que les autorités nationales compétentes ne soient privées de leurs prérogatives, si l'on laisse à l'autorité du pays où telle entreprise de l'Internet a son principal établissement le soin de statuer. La France est très attachée au respect des libertés publiques et à la protection des données personnelles, et elle s'est dotée d'un instrument efficace, la Commission nationale de l'informatique et des libertés (Cnil). Nous redoutons un dumping qui inciterait les entreprises à s'implanter là où la législation est le moins rigoureuse.

Lors du déplacement de la commission des lois à Bruxelles, où nous avons été chaleureusement accueillis par vos services, nous avons eu l'occasion d'évoquer aussi le projet de directive sur l'accès à un avocat au cours d'une procédure pénale, l'espace Schengen, l'action de groupe, les libertés démocratiques en Hongrie. Peut-être voulez-vous d'abord nous présenter l'ensemble de vos missions ?

Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté. - Nous y serions encore demain, car mon champ de compétences est extrêmement vaste. L'Union européenne n'est compétente en matière judiciaire que depuis le traité de Lisbonne. Le principe de subsidiarité s'applique toujours, et les systèmes judiciaires nationaux subsistent, mais je suis chargée de bâtir des ponts entre eux pour que les citoyens européens profitent pleinement de la libre circulation.

La Commission européenne, en revanche, est pleinement compétente en ce qui concerne le défi numérique et la modernisation de la protection des données. Je m'adresse à des experts, puisque le Sénat a publié à ce sujet plusieurs rapports entre 2009 et 2011. Sur le plan des valeurs et des droits individuels, la directive de 1995 n'a rien d'obsolète, mais à l'époque l'Internet n'existait pas : il faut donc adapter notre législation. Le paquet législatif que j'ai mis sur la table le 25 janvier comporte deux aspects : le renforcement des droits des citoyens, et une plus grande sécurité juridique pour nos entreprises.

Une plus grande sécurité juridique, parce que si le marché intérieur existe en théorie, il a du mal à exister en pratique : les entreprises qui veulent profiter de l'ensemble du marché européen sont confrontées à des règles différentes d'un pays à l'autre. En matière de protection des données, il existe au moins 27 régimes juridiques différents, non coordonnés et parfois contradictoires. A cela s'ajoute l'obligation de notification dans les différents pays, paperasserie inutile. Le coût de ces formalités, estimé à 2,3 milliards d'euros par an, pourrait être utilement économisé en temps de crise. En outre, les entreprises européennes sont pénalisées par une concurrence déloyale, puisque les firmes extra-européennes opèrent souvent dans des pays où elles n'ont pas à se soucier de pareille réglementation.

J'ai donc proposé le principe suivant : un continent, une règle. Je me suis inspirée des législations nationales les plus protectrices : l'harmonisation se fera par le haut. C'est très important pour la crédibilité de l'Union européenne : une législation unique pour 27 pays, plus rigoureuse que sur aucun autre continent, s'imposera au monde comme un modèle, bien loin que l'Europe imite le laxisme de certains pays.

Pour que des règles de haut niveau soient appliquées, il faut quelqu'un qui veille au grain, autrement dit un modèle de gouvernance efficace. Or les autorités nationales chargées de la protection des données se sont constituées au fil des ans, en France il y a plus de trente ans, ailleurs tout récemment. Certaines sont très bien équipées, d'autres non. La plupart ne sont pas en mesure de prononcer des sanctions. En outre, elles travaillent sans guère de coordination. Or les grands dossiers outrepassent les frontières. J'ai donc défini le coeur de métier des autorités et prévu entre elles un mécanisme de coopération et d'assistance mutuelle efficace, afin d'assurer une protection crédible et homogène, et d'obliger les entreprises extra-européennes à se plier à nos règles. Entreprises et individus disposeront d'un point de contact unique là où ils sont établis : c'était une aspiration légitime, et bien loin d'affaiblir les autorités nationales, cela renforcera les capacités des plus modestes.

Les règles étant les mêmes pour tous, cela comblera les vides juridiques dont profitent certaines entreprises. Ces règles sont très protectrices : la directive de 1995 l'était déjà, et depuis lors, le traité de Lisbonne et la Charte des droits fondamentaux ont renforcé les garanties. Toute nouvelle législation doit tenir compte de cette base que l'on peut qualifier de « constitutionnelle ».

Je me suis fondée sur un principe simple : les données personnelles appartiennent à l'individu, non à une entreprise ou une administration ; elles sont sa propriété, son patrimoine. L'individu a donc le droit de confier ou non ces données à une entreprise ; s'il le fait, celle-ci doit l'informer en toute transparence de l'usage qu'elle veut en faire, et l'individu doit donner son accord. Il peut aussi retirer à l'entreprise ces données et les donner à une autre : c'est le principe de portabilité, que j'avais, dans mes précédentes fonctions, introduit à propos du numéro de téléphone.

Les entreprises devront se doter d'un système de sécurité pour protéger les données dont elles ont la garde ; si toutefois un problème survenait, elles devraient le notifier dans les vingt-quatre heures au régulateur national et aux personnes concernées. On en est bien loin : récemment, vous vous en souvenez, des gens ont appris par hasard, plusieurs semaines après les faits, qu'une entreprise avait perdu des données relatives à leurs cartes de crédit... Les pouvoirs des autorités nationales seront homogénéisés ; elles pourront notamment prononcer des sanctions lourdes. J'espère qu'elles n'auront pas à le faire, mais si les policiers ne pouvaient pas dresser de procès-verbaux, le code de la route ne serait pas pris très au sérieux...

Les autorités nationales devront aussi travailler de manière plus cohérente. Vous avez souvent appelé au renforcement de la réunion des autorités de contrôle européennes, le « G 29 ». Je propose d'instituer un comité européen de la protection des données, dont le secrétariat sera assuré par le Contrôleur européen de la protection des données, doté d'un président élu pour cinq ans, ce qui en fera une puissance capable de faire respecter le droit européen partout où il serait bafoué. Vis-à-vis de nos partenaires mondiaux, l'Europe pourra ainsi parler d'une seule voix, faute de quoi elle ne s'imposera jamais. Soit dit en passant, ce projet de directive a donné lieu au lobbying le plus intense de l'histoire de la construction européenne...

J'ai aussi voulu consolider les outils existants pour contrôler les transferts internationaux de données : contrôle de l'adéquation, binding corporate rules et clauses contractuelles types. Il sera possible de commercer avec les pays tiers, à condition que nous déclarions leurs règles satisfaisantes.

Ce projet servira de base aux discussions dans les prochains mois.

M. Simon Sutour, président de la commission des affaires européennes. - Ce texte comporte des avancées considérables, mais suscite également quelques interrogations. Tout d'abord, on peut comprendre que la Commission européenne ait fait le choix d'un règlement plutôt que d'une directive, pour que le niveau de protection soit partout le même. Mais s'agira-t-il d'un plafond ou d'un plancher ? L'harmonisation exclut-elle le maintien de dispositions nationales plus protectrices ?

Ensuite, le projet renvoie très fréquemment à des actes délégués ou d'exécution de la Commission européenne. En la matière, les principes ne devraient-ils pas être énoncés par la législation européenne, et les décisions plus techniques prises par les autorités nationales regroupées au sein du G 29 ?

Enfin, selon le principe du guichet unique, une seule autorité de contrôle sera compétente. Mais les plaignants risquent ainsi d'être renvoyés vers l'autorité d'un autre pays, même si elle assure un contrôle moins rigoureux que l'autorité nationale. L'adage veut pourtant que l'on n'administre bien que de près. En outre, on peut se demander si certaines autorités - par exemple celle de l'Irlande, où est implantée Facebook - seront en mesure de traiter les demandes très nombreuses qui leur seront faites. Ne faudrait-il pas plutôt privilégier une gestion de proximité, plus acceptable par les opinions publiques ? Pourquoi ne pas rendre compétente l'autorité du pays où réside le plaignant, comme dans le droit de la consommation ?

M. Jean-Pierre Sueur, président de la commission des lois. - Je me permets d'insister sur ce point. Il est bon de s'aligner sur les règles nationales les plus protectrices. Mais la règle du principal établissement donnerait à certains pays, dont la réglementation est moins stricte que la nôtre, la faculté de statuer sur l'ensemble du champ. Peut-on accepter que le droit irlandais s'applique à tous les utilisateurs de Facebook ?

M. Simon Sutour, président de la commission des affaires européennes. - J'ajoute que si l'Irlande s'est dotée d'une commission de l'informatique et des libertés, le pays ne compte que 4,6 millions d'habitants. Cette commission aura-t-elle les moyens matériels de traiter les plaintes de 500 millions d'Européens ?

Mme Viviane Reding. - Si nous avons choisi un règlement, c'est que, pour peser face à nos partenaires - je suis en train de négocier un accord bilatéral avec les États-Unis, je n'en dis pas plus -, l'Europe doit être dotée d'une règle forte. Première économie au monde, l'Union, avec ses 500 millions de citoyens, pourra ainsi imposer sa loi aux entreprises des pays tiers.

La question des actes délégués est aussi très débattue au Parlement européen. Mais ce choix découle de celui du règlement : ce dernier est conçu pour durer plusieurs décennies, et il doit être assez neutre technologiquement pour pouvoir s'adapter aux évolutions. En cas de problème technique, la Commission pourra proposer une solution, mais la décision appartiendra au Conseil et au Parlement, selon la procédure de codécision. Ce point fera sans doute l'objet de discussions.

Si le guichet unique interdisait toute gestion de proximité, nous aurions proposé une bien mauvaise législation ... Ce n'est heureusement pas le cas. Prenons l'exemple d'un étudiant autrichien ayant eu à se plaindre de l'entreprise Facebook. Conformément au droit actuel, il a dû s'adresser au régulateur irlandais : l'affaire est encore pendante... C'est David contre Goliath ! Désormais, l'étudiant pourra s'adresser au régulateur autrichien, qui négociera avec le régulateur irlandais sur la base de la même loi, selon la procédure d'assistance mutuelle prévue à l'article 55. Des garde-fous sont prévus : si l'autorité du pays où est implantée l'entreprise n'a rien fait dans un délai d'un mois, l'autorité du pays de résidence du plaignant pourra prendre des mesures directement applicables sur son territoire ; en cas d'échec de la procédure d'assistance mutuelle, la Commission européenne donnera son avis sur l'application du droit, et la Cour de justice pourra aussi se prononcer. En aucun cas les citoyens ne seront renvoyés vers une autorité étrangère qui appliquerait un droit moins rigoureux que le droit national.

M. Gaëtan Gorce. - Je salue le courage et la détermination de la Commission européenne sur ce problème ancien et délicat. Les textes proposés présentent des progrès notables, notamment sur le droit à l'oubli. Mais puisque vous avez évoqué David, vous me permettrez d'être un peu frondeur... En France, nous sommes habitués à jouir d'un haut niveau de protection des données grâce à une législation déjà ancienne et à une autorité indépendante qui s'est acquis au fil des années une solide crédibilité. Nous ne voulons pas d'un droit moins rigoureux ni de procédures plus complexes. Le critère du « principal établissement », qui déterminera l'autorité compétente, n'est pas défini de manière claire ; la notion s'entend de différentes manières d'un pays à l'autre.

Vous avez dit que les autorités nationales ne seraient pas affaiblies, mais on peut craindre le contraire. Dans l'état actuel des choses, un citoyen peut déjà s'adresser à l'autorité de son pays de résidence. Dorénavant, son dossier serait transmis à l'autorité du pays où l'entreprise a son « principal établissement ». Les compétences de l'autorité nationale seraient donc amoindries, la procédure allongée et compliquée : car en cas de désaccord entre les deux autorités nationales, il faudrait attendre la décision de la Cour de justice...

Oui à des règles plus protectrices et mieux partagées, mais nous avons de fortes réserves sur les conséquences de cette réforme pour les citoyens. La protection dont bénéficient les Français, qu'il s'agisse du droit applicable, des mécanismes de recours et des délais de réponse, ne doit pas être affaiblie.

M. François Pillet. - On ne peut que se féliciter que la Commission cherche à renforcer les droits des personnes physiques. Mais aux réserves exprimées par M. Gorce, j'ajouterai que la loi, même en Europe, est volatile. Même si ce règlement demeure, qui dit que personne ne sera en mesure de pénétrer les dossiers de données personnelles ? Voilà pourquoi j'aimerais savoir si la Commission envisage de renforcer les protections technologiques.

Mme Virginie Klès. - J'approuve le souci de simplicité, de cohérence et de sécurité juridique pour les entreprises et les particuliers. Pourtant, je m'interroge. Vous avez dit que les données étaient la propriété de l'individu, mais lequel d'entre nous a lu jusqu'au bout la licence de Google, ou l'alinéa disposant que les données seront confiées à un tiers de confiance dont on ignore la nationalité et quel usage il en fera ?

En ce qui concerne le droit à l'oubli, je regrette que l'on n'aille pas jusqu'à imposer la désindexation des données des moteurs de recherche.

A la suite de la réunion du G 29 qui a eu lieu hier, il semble que les Etats auront le droit d'adopter des normes plus contraignantes que la règle européenne pour certains traitements particuliers. Lesquels ? Comment cela s'articulera-t-il avec le droit de recours ?

Vous dites vouloir contraindre les entreprises implantées dans des pays où il existe des vides juridiques à se plier au droit européen, mais ce sera difficile, faute de moyens pour les conseiller et les contrôler.

Enfin, vous prétendez renforcer les autorités nationales, tout en limitant leur pouvoir de contrôle : elles ne pourront plus procéder à des contrôles préventifs que dans les cas où il existera un motif raisonnable de supposer l'existence d'activités contraires au règlement.

M. Jean Bizet. - Mme Klès m'a devancée. Est-ce l'intense lobbying auquel vous avez fait face qui vous a conduite à ne pas imposer la désindexation des données par les moteurs de recherche ?

Le projet de règlement ne signe-t-il pas la fin du pouvoir de contrôle préventif des autorités nationales ?

M. Yves Détraigne. - Au plan des principes, le projet de règlement va dans le bon sens, mais je m'inquiète des difficultés auxquelles seront confrontés les citoyens européens pour faire valoir leurs droits. Le droit à l'oubli est très important à l'heure des réseaux sociaux. Or, si l'on n'exige pas le déréférencement des données par les moteurs de recherche, elles réapparaîtront un jour ou l'autre. Ne faut-il pas instituer un droit au déréférencement ?

M. Jean-Paul Amoudry. - Le projet de règlement reconnaît les règles d'entreprise contraignantes pour encadrer les transferts internationaux de données, les fameuses binding corporate rules (BCR). Mais il prévoit une dérogation, grâce à laquelle il serait possible de procéder à des transferts hors de tout instrument juridique contraignant. Pour quelles raisons ? Pourquoi ne pas confier au G 29 le pouvoir de définir le référentiel des BCR ?

Les formalités auxquelles sont soumises les entreprises - déclarations, demandes d'autorisation... - seront presque supprimées. En contrepartie, ne faudrait-il pas renforcer les moyens de contrôle des régulateurs ? Certes, la désignation d'un correspondant « informatique et libertés » sera obligatoire, et des audits de sécurité sont prévus. Mais ne pourrait-on charger le G 29 de certains des actes délégués et d'exécution prévus par le règlement ?

M. Christophe-André Frassa. - La Commission a choisi de procéder par voie de règlement sur les matières couvertes par la directive de 1995, par voie de directive sur les questions de police et de justice qui relevaient naguère du « troisième pilier ». Dans ces conditions, ne peut-on craindre que les règles relatives à la police et à la justice soient moins contraignantes que les autres ? Pourquoi ne pas avoir retenu le même instrument juridique ?

Je m'inquiète aussi des conséquences politiques du critère de l'établissement principal. Au lieu de construire une Europe transparente et proche des citoyens, on rend compétentes des autorités parfois installées à des milliers de kilomètres des plaignants, et qui s'expriment dans une autre langue : cela risque de renforcer l'image technocratique de l'Union. Comment les citoyens comprendront-ils qu'une entreprise active dans leur pays soit responsable devant l'autorité d'un autre pays, situé à l'autre extrémité du continent ?

M. Pierre Bernard-Reymond. - M'autorisez-vous, monsieur le président, à poser une question hors sujet et à me faire le porte-parole de Mme Sophie Joissains, rapporteur du texte sur le parquet européen ?

M. Jean-Pierre Sueur, président de la commission des lois. - Je vous en prie.

M. Pierre Bernard-Reymond. - Mme Joissains souhaite savoir ce que pense Mme Reding de la création d'un parquet européen. Quelles initiatives compte-t-elle prendre ? Faute d'unanimité au Conseil, ne faudrait-il pas s'engager sur la voie d'une coopération renforcée ? Outre la protection des intérêts financiers de l'Union, ce parquet européen ne pourrait-il être chargé des infractions transfrontalières les plus graves ?

Mme Viviane Reding. - Je commencerai par répondre à cette dernière question. Créer un parquet européen est une entreprise extrêmement délicate, qui n'aboutira pas d'un jour à l'autre. On ne saurait détruire les parquets nationaux, oeuvres de centaines d'années. Avant toute chose, je veux renforcer cet embryon de parquet européen qu'est Eurojust, qui est chargé de faire collaborer les procureurs des différents pays. Il faut en faire une machine qui fonctionne : on est encore loin du compte... L'objectif est de lutter avec plus de cohérence contre le crime international. Aujourd'hui, les poursuites s'arrêtent trop souvent aux frontières, soit parce que la définition des crimes n'est pas la même dans le pays voisin, soit parce que l'on rechigne à mener des poursuites à l'étranger. Il faut commencer par le commencement, et je dois m'en tenir aux domaines où les traités me rendent compétente : d'où le projet de directive prévoyant une définition commune du crime et des peines minimales en matière de protection des intérêts financiers de l'Union. Lentement mais sûrement, un parquet européen se constituera en cette matière.

Si cela fonctionne, on pourra alors faire le deuxième pas, et viser les infractions transfrontalières graves.

Serais-je favorable à une coopération renforcée, s'il n'y avait pas de cohérence absolue autour d'un tel projet ? Oui, d'autant que je suis à l'origine de la première coopération renforcée, en matière de divorce international.

M. Jean Bizet. - C'est exact.

Mme Viviane Reding. - Pour nous Luxembourgeois, l'Europe est une question de cohérence. J'essaye d'avoir les 27 à bord, mais plutôt qu'un texte au rabais qui rassemble tout le monde, ne vaut-il pas mieux un texte fort, qui protège l'individu ? Je ne doute pas qu'un bon texte, confirmé par la pratique, aura un effet d'entraînement et que les autres nous rejoindront. Dites à votre collègue, monsieur Bernard-Reymond, que la commissaire et son cabinet sont à sa disposition.

M. Pierre Bernard-Reymond, président. - Mme Joissains a d'ailleurs déjà rencontré vos collaborateurs.

Mme Viviane Reding. - Pourquoi une directive sur les questions de sécurité, ancien troisième pilier ? La Charte des droits fondamentaux s'applique : on ne peut avancer en matière de sécurité sans prendre en considération les droits des individus. Il est bon de le rappeler, étant donné certaines politiques françaises...

Nous ne sommes pas des fonctionnaires, mais des politiques, et devons toujours être réalistes, voir ce qui est faisable, donc applicable sur le terrain. L'ancien troisième pilier est tout sauf démocratique. L'accord passé entre les ministres de l'Intérieur n'est plus compatible avec notre droit fondamental, et devra être « lisbonnisé », si je peux utiliser ce terme, comme tous les accords passés entre quatre murs par les ministres. Plutôt que de les transformer automatiquement, je préfère les reprendre et les adapter. Ce texte, je le « lisbonnise » en le développant, d'une part pour y inclure les droits conférés par les traités et par la Charte, d'autre part pour appliquer la règle non seulement aux transfrontaliers mais aussi à l'intérieur des États. Nous allons donc déjà loin, mais il faut aussi laisser aux gouvernements une certaine latitude pour prendre en compte les spécificités qui leur sont propres.

J'en viens au règlement. Je ne discute pas seulement avec les Français, qui ont le meilleur système au monde, mais aussi avec les autres - qui ont chacun le meilleur système au monde... De tous ces meilleurs systèmes au monde, il s'agit de faire un système européen.

M. Gaëtan Gorce. - Pour cela, il faut la meilleure Commission au monde !

Mme Viviane Reding. - Vous l'avez.

J'ai décidé de retenir les éléments les plus protecteurs des meilleurs systèmes, car je veux une harmonisation vers le haut. Je suis sûre que le Parlement européen m'aidera à rester à ce niveau, sinon à le dépasser. Je solliciterai l'aide des parlements nationaux pour qu'ils freinent les gouvernements, qui voudront sûrement, eux, un texte moins fort. Avis aux amateurs... après les législatives ?

Les procédures seront-elles plus drastiques à l'avenir, ou moins ? Cela fait deux ans que je travaille à ce texte. Nous avons mené des consultations publiques, beaucoup discuté avec les parlements nationaux. Aboutir à un système commun sera une vraie avancée.

La définition de l'établissement principal figure dans le considérant 27. Si elle ne vous paraît pas assez forte, qu'on la renforce. J'accueille toutes les bonnes idées, et le Parlement européen a annoncé qu'il collaborerait avec les parlements nationaux. Je ferai d'ailleurs part aux rapporteurs de mes réunions avec les parlements nationaux, car il faut clarifier les choses et apaiser les craintes de ceux qui redoutent de voir leur système affaibli.

Pas assez de simplification, dites-vous ? D'autres trouvent qu'il y en a trop ! Les experts indépendants ont estimé que les simplifications que je mets sur la table représentent 2,3 milliards d'économies pour nos entreprises.

M. Gaëtan Gorce. - Je parlais des citoyens.

Mme Viviane Reding. - Je vous ai cité l'exemple concret de l'étudiant autrichien. Aujourd'hui, pas de sanction, pas de moyen de forcer une entreprise à agir, le marché est morcelé. Les entreprises européennes du Net et des réseaux sociaux - elles existent - peinent à survivre, m'ont-elles dit, car leurs concurrents ne sont pas soumis aux mêmes règles. Cette concurrence déloyale empêche nos entreprises européennes de croître. Le même droit doit s'appliquer à tous ceux qui s'adressent à des citoyens européens sur le marché européen ; pas question que certains continuent d'échapper aux règles.

La loi est volatile, elle peut changer, dites-vous. C'est plutôt l'interprétation de la loi qui est changeante ! J'ai été parlementaire au Luxembourg pendant dix ans, assez longtemps pour voir une loi dont j'étais rapporteur transformée par les juges et les avocats. La loi est plus difficile à changer quand elle couvre tout le territoire européen et doit être appliquée par toutes les autorités nationales, sous le contrôle l'une de l'autre. En cas de problème, la Cour de Justice européenne interprète, dans le sens du droit fondamental et des citoyens. Heureusement que nous l'avons !

Loin de limiter le contrôle exercé par les régulateurs nationaux, le règlement leur donne des dents pour mordre. Les trois niveaux de sanctions prévus vont très loin. Si le régulateur national les applique, cela va faire mal ; on lui donne un pouvoir semblable à celui qui existe en matière de concurrence. Les régulateurs pourront intervenir de leur propre chef. Nous avons éliminé certaines notifications inutiles. Les Luxembourgeois ont les deux pieds sur terre, et n'aiment guère le bavardage et la paperasserie inutile.

M. Gaëtan Gorce. - En tant que parlementaire français, je ne peux laisser suggérer que les Français n'ont d'autre souci que d'accroître la paperasserie et maintenir un système qu'ils considèreraient comme le meilleur au monde ! On peut débattre de ce sujet courtoisement, avec ironie, mais avec le respect dû à une assemblée parlementaire française.

Mme Viviane Reding. - Monsieur le président, je ne me permettrais jamais de manquer de respect aux parlementaires français.

M. Jean-Pierre Sueur, président de la commission des lois. - M. Gorce parle avec sa spontanéité habituelle. Continuons à dialoguer sereinement.

Mme Viviane Reding. - J'ai donc, disais-je, éliminé les notifications qui me paraissaient inutiles, mais renforcé les moyens des autorités. Si le Parlement européen estime qu'il faut rétablir ces notifications, soit : je suis entre les mains des décideurs, c'est-à-dire du Parlement européen et du Conseil des ministres. Je ne fais que des propositions.

J'ai également exempté les PME de beaucoup de règles administratives que je trouve inutiles, en retenant la définition habituelle des textes européens, soit une entreprise de moins de 250 collaborateurs. Aux législateurs de décider s'ils m'accompagnent dans cette voie ou non. Les jeunes inventeurs, les créateurs de start up peinent à se développer en Europe. Sans les exonérer du respect des valeurs, j'essaye de leur éviter la paperasserie.

Le G 29 est fortement renforcé ; désormais doté d'une cohérence, il pourra influencer les autres régulateurs dans un cadre commun. S'il voit un problème émerger, il pourra initier un processus de cohérence pour le clarifier et le résoudre.

Sur le droit au déréférencement, attention : la plupart des grands moteurs de recherche prétendent que le droit à l'oubli ne serait techniquement pas possible. Nos experts pensent que si. Les citoyens doivent savoir que leurs données peuvent circuler, être vendues à des tiers. Dans certains pays, les données relatives au permis de conduire seraient vendues à des sociétés commerciales ! Pour assurer la transparence, point n'est besoin de soixante pages en petits caractères, mais d'une information claire et précise. Si des adultes décident de laisser filer, soit : c'est leur responsabilité. J'ai en revanche prévu des protections accrues pour les enfants, en-deçà de treize ans. J'aimerai connaître l'avis des élus du peuple français sur ce seuil ; ceux qui sont parents auront sans doute une opinion. En 2009, tous les grands réseaux sociaux avaient signé un accord stipulant que les profils des enfants seraient automatiquement secrets. Trois semaines plus tard, Facebook faisait le contraire... Cette fois-ci, il faudra être très contraignant, et faire appliquer la loi sur tout le territoire européen. Cette réglementation vise à faire de nous un Goliath, capable d'affronter d'autres Goliath. C'est pourquoi certains ont voulu la freiner. Elle est désormais sur la table : aux élus des peuples de voir ce qu'ils veulent en faire. La Commission est là pour les accompagner. Je me réjouis de vous voir collaborer avec les rapporteurs du Parlement européen.

M. Jean Bizet. - Je n'ai pas entendu votre réponse sur les contrôles préventifs. Sur le droit à l'oubli, il faut être très coercitif : à Google, rien d'impossible !

M. Jean-Paul Amoudry. - Vous ne m'avez pas répondu sur le G29 et les actes additifs. Je ne doute pas que la règle sera poussée à l'optimum, mais sera-t-il néanmoins possible pour un État de renforcer la protection au-delà de ce que prévoira le dispositif européen ?

Mme Viviane Reding. - Oui, les autorités peuvent intervenir de leur propre chef. J'ai éliminé la paperasserie qui me paraissait inutile. Le G 29 pourra initier un processus de cohérence pour clarifier et résoudre tout problème qui se poserait. Ses moyens d'action seront renforcés, et il sera équipé en conséquence, au lieu de devoir compter sur des éléments détachés par les autorités nationales.

Non, il n'y aura pas de niveaux de protection différents. C'est l'essence même d'un règlement : une loi identique pour tout le territoire de l'Union européenne. J'ai retenu les règles les plus protectrices des systèmes existants. Un règlement ne règle toutefois pas tous les détails, d'où la possibilité d'actes délégués, par exemple pour prendre en compte les évolutions technologiques. Nous verrons où ces actes délégués seront nécessaires pour profiter de la flexibilité, ou si le législateur préférera fixer les choses une fois pour toutes. Je suis entre les mains des parlementaires et des ministres. J'ai proposé une vision, il peut y avoir des évolutions au fil des travaux parlementaires.

M. Jean-Pierre Sueur, président de la commission des lois. - Je remercie Mme la commissaire pour le soin qu'elle a pris de répondre à toutes les questions.

M. Simon Sutour, président de la commission des affaires européennes. - Merci. Vous avez dit être entre nos mains, madame la commissaire. Nous avons plutôt le sentiment d'être entre les vôtres.... Nos interrogations demeurent. L'harmonisation qu'apporte le règlement est bienvenue, comme le sont de nombreux points, notamment sur le droit à l'oubli. Mais une cinquantaine d'actes délégués, c'est beaucoup, et cela prendra du temps... Espérons que le travail en commun avec le Parlement européen et les parlementaires nationaux permettra d'en réduire le nombre.

Sur le guichet unique, nos interrogations demeurent. Sans prétendre que notre système est le meilleur, il n'est pas mauvais, même s'il peut être amélioré. Nous redoutons une harmonisation vers le bas. Si l'arbre est tordu d'un côté, il faut le tordre de l'autre pour le rendre droit, dit un proverbe chinois !

L'élaboration de ce texte va prendre du temps. Nous définirons une première position le 6 mars, en séance publique. Nous souhaitons ensuite continuer à échanger avec vous pour aboutir à une bonne législation. Merci encore d'être venue à Paris. (Applaudissements)