ANNEXE 2 - COMPTE RENDU DE LA RÉUNION DU 22 FÉVRIER 2012
M. Jean-Pierre Sueur , président. - L'audition de Mme Viviane Reding, hier, était peut-être un peu absconse, et la question de la protection des données personnelles est difficile, mais nous allons profiter des lumières de M. Sutour. Nous aurons d'ailleurs l'occasion de reparler des projets de la Commission européenne, qui devraient faire l'objet de négociations assez longues. Notre commission et celle des affaires européennes ont réservé l'inscription d'un débat sur la présente proposition de résolution européenne à l'ordre du jour de la séance publique du 6 mars.
M. Simon Sutour , rapporteur. - Le sujet est particulièrement important. Jusqu'ici, la protection des données personnelles était régie au niveau européen par une directive de 1995 et une décision-cadre de 2008. Les choses ont beaucoup évolué depuis leur entrée en vigueur, avec le développement d'Internet, et il faut modifier la législation. La Commission a choisi de procéder par voie de règlement sur les matières couvertes par la directive de 1995, et par voie de directive sur celles couvertes par la décision-cadre de 2008. Or un règlement est d'application directe, et ne se transpose pas dans la législation nationale : les Parlements nationaux n'auront donc pas à débattre de ce texte après son adoption.
Voilà pourquoi notre commission s'est saisie, dès le 8 février dernier, des deux propositions de textes, sur le fondement de l'article 73 quinquies du Règlement du Sénat. La commission des affaires européennes s'en est saisie pour avis, et les examinera aussi sous l'angle de la subsidiarité. Ces deux textes, présentés par la Commission européenne le 25 janvier, devront être adoptés selon la procédure législative ordinaire, c'est-à-dire par codécision entre le Parlement européen et le Conseil de l'Union européenne - la généralisation de cette procédure représentant un grand progrès. Les négociations, d'après le Secrétariat général aux affaires européennes, devraient durer deux ou trois ans, mais Mme Reding est un peu plus optimiste.
Jusqu'ici, je l'ai dit, le socle du droit européen de la protection des données personnelles était constitué par la directive du 24 octobre 1995, relative aux fichiers civils et commerciaux, et par la décision-cadre du 27 novembre 2008, qui porte sur les fichiers dits « de souveraineté », utilisés notamment dans le cadre de procédures pénales. La proposition de résolution que je vous soumets ne concerne que la proposition de règlement relatif aux fichiers civils ou commerciaux, destinée à se substituer à la directive de 1995, car les problèmes posés par la proposition de directive sont très différents, et il était difficile d'aborder les deux textes de front dans le délai imparti. Le second pourra faire l'objet ultérieurement d'un examen plus approfondi par nos deux commissions.
Très largement inspirée de la législation française, pionnière en la matière, la directive de 1995 a marqué en son temps une avancée décisive. Cependant, de l'avis général, il est aujourd'hui nécessaire de franchir une nouvelle étape. Car cette directive n'a pas permis une harmonisation suffisante de la protection des données personnelles dans les Etats membres : ainsi, jusqu'en 2011, l'autorité de contrôle britannique ne disposait d'aucun pouvoir de sanction contre les responsables de traitements. En outre, la mondialisation a multiplié les transferts de données avec des Etats tiers, et il convient d'unir nos forces pour imposer aux Etats non européens le respect de certaines règles. Enfin, la directive de 1995 est obsolète : la révolution des nouvelles technologies, l'explosion d'Internet, la multiplication et la place toujours plus importante des réseaux sociaux, l'indexation massive des contenus publiés en ligne accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de consultation ou d'exploitation, notamment à des fins commerciales.
La Commission européenne a appelé, dans une communication de novembre 2010, à une approche globale du problème, et la proposition de règlement est l'aboutissement de ses travaux. Ce texte renforce sensiblement la protection des personnes. Il impose leur consentement exprès à l'utilisation des données qui les concernent. Il reconnaît aux internautes un « droit à la portabilité » de leurs données, grâce auquel ils pourront s'affranchir de l'autorité de traitement sans perdre l'usage de leurs données. Il réaffirme le droit d'opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité pour les responsables de traitement de soumettre les données recueillies à un « profilage » informatique. Il consacre un droit à l'oubli numérique, en permettant à chacun d'obtenir l'effacement des données personnelles qui lui portent préjudice.
Les fichiers seraient soumis à de nouvelles règles d'autorisation ; les plus sensibles devraient faire l'objet d'une étude d'impact. La règlementation relative au transfert de données vers des pays tiers serait modifiée.
Les responsables de traitement se verraient imposer des obligations nouvelles, comme la désignation d'un délégué à la protection des données dans les entreprises de plus de 250 salariés, et les sanctions contre les entreprises contrevenantes seraient renforcées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant un comité européen de la protection des données, auquel serait associé le Contrôleur européen de la protection des données, qui se substituerait à l'actuel groupe de travail réunissant les « Cnil » européennes, dit « G 29 ».
On doit se féliciter de ces propositions. Certaines de ces mesures sont déjà en vigueur dans notre droit, comme l'exigence du consentement exprès, le droit d'opposition ou de rectification, ou encore l'indépendance et les pouvoirs de l'autorité de contrôle. Sous d'autres aspects, le texte consacre des évolutions attendues. Je rends hommage à nos collègues Yves Détraigne et Anne-Marie Escoffier qui, dans leur rapport d'information sur la vie privée à l'heure du numérique, puis dans leur proposition de loi rapportée par Christian Cointat, suggéraient déjà de reconnaître le droit à l'oubli et d'imposer la désignation de délégués à la protection des données. Regrettons que cette proposition de loi, adoptée à l'unanimité par le Sénat il y a près de deux ans, n'ait jamais été examinée par l'Assemblée nationale...
Sur d'autres points, il serait possible d'aller plus loin, comme sur le droit à l'oubli et les moteurs de recherche, le statut juridique de l'adresse IP, l'encadrement des transferts internationaux de données, ou encore l'obligation de désigner un délégué à la protection des données personnelles.
Surtout, la proposition de règlement pose deux questions de principe. On se demande d'abord dans quelle mesure le législateur national pourra adopter des dispositions plus protectrices que le droit européen. La Commission a fait le choix d'un règlement plutôt que d'une directive, afin de mieux harmoniser les législations. Mais s'agira-t-il d'un plancher ou d'un plafond ? Peut-on envisager qu'en élevant le niveau moyen de protection apporté aux citoyens européens, le règlement diminue celui dont bénéficient les résidents d'un Etat membre qui a fait le choix de garanties complémentaires ? La question intéresse tout particulièrement les Français, qui bénéficient d'une législation pionnière en la matière.
La protection des données personnelles participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle, mentionnée à l'article 2 de la Déclaration des droits de 1'homme et du citoyen. Cet ancrage constitutionnel justifie que la protection des données prime toutes les autres considérations, notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes. J'ai été un peu choqué d'entendre Mme Reding insister hier sur l'intérêt pour les entreprises d'avoir affaire à un interlocuteur unique, beaucoup plus que sur les droits des citoyens.
M. Pierre-Yves Collombat . - C'est le cadet de ses soucis...
M. Simon Sutour , rapporteur. - La proposition de résolution invite donc le Gouvernement français à veiller à ce que 1'harmonisation s'effectue sans préjudice de la possibilité pour les Etats membres d'adopter des dispositions plus favorables à la protection des données.
D'ailleurs, la proposition de règlement ne définit pas assez précisément le cadre légal qu'elle met en place. Cela se manifeste par le renvoi, plus de cinquante fois dans le texte, à des actes délégués ou d'exécution adoptés par le collège des commissaires, pour préciser les modalités d'application du règlement. Toutes les personnes que j'ai entendues ont critiqué ce renvoi massif à la législation déléguée. La commission des affaires européennes se prononcera sur le respect du principe de subsidiarité, sur le fondement de l'article 88-6 de la Constitution.
Le texte pose une deuxième question de principe, soulevée notamment par la Cnil dont la présidente a alerté notre commission lors de son audition en novembre dernier. Il s'agit du « guichet unique ». La Commission européenne propose d'attribuer la compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement a son « principal établissement ». L'objectif avoué est de faciliter les démarches administratives des entreprises, qui n'auront plus qu'un interlocuteur unique à l'échelle de l'Union ; leurs représentants s'en félicitent. N'est-il pas paradoxal que les citoyens soient moins bien traités que les entreprises, et privés de la possibilité de voir l'ensemble de leur plaintes instruites par l'autorité de contrôle nationale ? Puisqu'il s'agit ici de protéger les citoyens et de leur assurer un droit de recours effectif, il faut - comme en matière de consommation - qu'ils puissent s'adresser à l'autorité la plus proche, auprès de laquelle ils ont l'habitude d'accomplir leurs démarches.
En outre, sans même évoquer le risque de forum shopping dénoncé par la Cnil - c'est-à-dire le danger que le niveau de protection assuré par les différentes autorités nationales n'influe sur les choix d'installation des entreprises -, le « guichet unique » présente de multiples inconvénients. La question se pose d'abord des moyens des autorités de contrôle : en Irlande, où est installé Facebook, l'autorité nationale sera-t-elle en mesure de faire face à l'afflux de contentieux en provenance des autres pays européens ? Rappelons que l'Irlande ne compte que 4,5 millions d'habitants... En outre, ce système crée, pour le plaignant, une asymétrie entre les recours administratifs exercés auprès de l'autorité étrangère, et les recours juridictionnels portés devant le juge national.
La Commission a certes prévu des aménagements : elle propose une coordination entre autorités de contrôle, et prévoit que l'autorité nationale se chargera de la transmission de la plainte à l'autorité étrangère. La Cnil deviendrait une boîte aux lettres... Ces expédients sont insuffisants : le citoyen se voit privé de la possibilité à la fois de voir sa demande instruite par l'autorité la plus proche et la plus accessible, et de se voir appliquer les dispositions de droit national plus favorables.
C'est pourquoi il me semble nécessaire que le Gouvernement veille à ce que le critère du « principal établissement » soit abandonné au profit du principe selon lequel l'autorité de contrôle compétente est celle du pays de résidence de l'intéressé.
Tel est le sens de la proposition de résolution que je vous propose d'adopter, sous réserve d'éventuels amendements. La commission des affaires européennes s'en saisira pour avis, après s'être saisie du projet de la Commission européenne quant au respect du principe de subsidiarité. La discussion en séance aura lieu le 6 mars.
M. Jean-Pierre Sueur , président. - Je me félicite que la commission se soit saisie de ces deux textes fort importants. Je m'interroge en particulier sur deux points. Tout d'abord, s'il faut se réjouir que le projet de la Commission européenne reconnaisse que les données sont la propriété des personnes, exige leur consentement exprès aux utilisations qui en seront faites et impose le droit à l'oubli, on se demande comment ces dispositions seront appliquées. Comment un citoyen pourra-t-il obtenir la suppression de telle ou telle donnée sur l'ensemble de l'Internet ?
Sur le critère du « principal établissement », qui inquiète la présidente de la Cnil, nous n'avons pas obtenu hier de réponse claire. Mme Reding a dit et répété que le droit le plus exigeant s'appliquerait désormais dans toute l'Union, mais lorsque nous l'avons interrogée sur des problèmes concrets, nous sommes restés sur notre faim.
M. Simon Sutour , rapporteur. - Elle a dit plus exactement avoir pris pour base de réflexion la législation en vigueur dans quelques pays parmi les plus avancés. Là où les données personnelles étaient jusqu'à présent très mal protégées, comme au Royaume-Uni, le projet de la Commission européenne représente un progrès considérable. En France, même si notre système est perfectible et les moyens de la Cnil insuffisants, l'harmonisation proposée se traduirait par une baisse du niveau de protection.
M. Gaëtan Gorce . - Je suis moi aussi très satisfait que nos deux commissions se soient saisies de ce sujet très préoccupant, sur lequel le Parlement français doit s'exprimer dès à présent puisque le règlement ne donnera lieu à aucune transposition. Mme Reding a beau s'exprimer dans un français parfait, je ne l'ai pas trouvée parfaitement claire lors de son audition d'hier. Elle a semblé méconnaître certains aspects du droit existant : je ne sais si un étudiant autrichien ayant affaire à Facebook doit déjà s'adresser au régulateur irlandais, mais il est certain qu'un étudiant français peut se tourner vers la Cnil, qui a le pouvoir de sanctionner une entreprise contrevenante et s'est déjà prononcée sur une affaire concernant Google Earth. Mme Reding n'a pas non plus clarifié la notion de « principal établissement », dont l'ambiguïté est matière à contentieux. Son objectif affiché est d'harmoniser le droit européen, mais elle ne prend pas en compte les différences de niveau de protection d'un Etat à l'autre.
Quant à la suppression des formalités préalables demandées aux entreprises, j'en vois bien l'intérêt pour ces dernières, mais il me paraît inadmissible de parler de « paperasserie » : à ce mot, je suis sorti de ma réserve, sans manquer, je crois, à la courtoisie... Ces formalités préalables sont l'occasion d'un contrôle a priori, même sommaire ; à l'avenir, seul pourrait s'exercer un contrôle a posteriori, par voie contentieuse... Ce serait un recul de la protection des citoyens.
M. Pierre-Yves Collombat . - Les débats récents sur la protection de l'identité ont montré que les moyens techniques étaient au moins aussi nécessaires que les moyens juridiques. Pourquoi ne pas exiger que, lorsque deux techniques sont disponibles, la plus protectrice des droits individuels soit choisie ? Cela offrirait un moyen de contester les décisions des responsables de traitements.
M. Jean-Jacques Hyest . - Je comprends de moins en moins la fabrication des normes européennes. Nous avons appris dans notre jeunesse à distinguer les règlements, d'application immédiate, et les directives, qui doivent être transposées en droit interne. Or, selon la proposition de résolution, l'harmonisation européenne ne saurait « priver les Etats membres de la possibilité d'adopter des dispositions nationales plus protectrices ». Mais un règlement, une fois adopté, devient la loi de toute l'Union ! Il en va différemment des directives, que nous avons souvent transposées avec beaucoup de sophistication... Sera-t-il juridiquement possible d'ajouter au règlement d'autres dispositions, nationales celles-ci ? Sans doute faut-il soulever la question de la subsidiarité.
M. Simon Sutour , rapporteur. - La commission des affaires européennes l'a fait.
M. Jean-Jacques Hyest . - La directive de 1995 est devenue obsolète, et le projet de la Commission européenne présente d'incontestables progrès ; il reprend les principes qui fondent déjà la législation de quelques autres pays avancés, dont le nôtre. Mais l'harmonisation se traduirait en France par un recul. En outre, on peut se demander si les recours prévus seront efficaces.
M. Simon Sutour , rapporteur. - Si M. le président le permet, je réponds tout de suite à cette question technique. Il sera permis à un Etat d'adopter des dispositions plus protectrices si le règlement le prévoit explicitement, comme c'est le cas en droit de la consommation.
M. Jean-Jacques Hyest . - Ou en droit des sociétés.
M. Simon Sutour , rapporteur. - Nous parlons d'un texte législatif européen, qui doit être négocié entre 27, bientôt 28 Etats membres : nous sommes au début d'un processus long et complexe, qu'un ancien Premier ministre appelait une partie de pancrace... Le Parlement européen désignera bientôt un rapporteur. Le Sénat doit contribuer à ce débat, et demander à ce que soient préservées les garanties apportées par le droit français.
Mme Virginie Klès . - Je me pose les mêmes questions sur le respect du principe de subsidiarité et la sécurité juridique du dispositif proposé. Quelles seront concrètement les voies de recours ? Je n'ai pas eu de réponse hier sur les contrôles préventifs : la Cnil y est aujourd'hui habilitée, mais le règlement restreint ces possibilités. Enfin, le nivellement par le haut ne sera qu'un voeu pieux si l'on n'y met pas les moyens nécessaires.
M. Alain Richard . - Le choix du règlement par la Commission européenne peut surprendre et gêner ; il ne se comprend que si l'on considère le bilan des directives passées. L'harmonisation des législations nationales par voie de directive s'est grippée. La transposition des textes donne lieu à un concours d'ingéniosité entre Parlements : c'est à qui transposera le moins complètement et le plus tard. Les moyens disponibles pour imposer aux Etats le respect de leurs obligations - action en manquement, astreinte sous le contrôle de la Cour de justice - ne sont pas proportionnés. Ce n'est donc pas par malignité bureaucratique que la Commission a choisi de procéder différemment.
Cependant, la remarque de M. Hyest est tout à fait pertinente. Certes, comme le souligne M. le rapporteur, en droit interne français il n'est jamais interdit d'ajouter à des dispositions protectrices des libertés d'autres dispositions plus protectrices. Mais il faut tenir compte du risque de « discrimination à l'envers » : les entreprises seraient soumises en France à des contraintes supérieures au droit commun européen. Or le principe de la libre prestation de services s'applique. L'obligation asymétrique imposée aux prestataires de services en France pourrait donner lieu à l'invocation d'une discrimination.
Je ne combats pas le choix de la Commission, rendu nécessaire par le fait que certains Etats répugnent à transposer correctement les textes européens, pourtant adoptés régulièrement, en application des traités qu'ils ont signés. Dans ces conditions, il y a fort à parier que le choix du règlement se généralisera.
Mme Catherine Tasca . - Je souscris pour l'essentiel à la proposition de résolution de M. Sutour, et aux remarques qui ont été faites. La prochaine étape sera d'examiner dans quelle mesure le projet de la Commission respecte le principe de subsidiarité. Ce texte suscite de telles inquiétudes que nous devons nous départir des formules habituelles : au lieu d'écrire que le Sénat « se félicite des notables avancées que porte la proposition de règlement », écrivons plus simplement que le Sénat « prend acte des avancées ». Il n'y a pas de raison d'adresser d'emblée un satisfecit à la Commission.
M. Yves Détraigne . - Je salue l'initiative de M. Sutour. Il a rappelé les travaux menés par Mme Escoffier et moi-même. Il faut préserver les protections apportées par le droit français, sans rendre pour autant le système trop contraignant. Il est important d'améliorer les garanties apportées aux citoyens ; Mme Reding a surtout parlé des 2,3 milliards économisés par les entreprises. Le droit à l'oubli est une excellente chose, ainsi que l'obligation de notification des failles de sécurité, mais il faut s'assurer que les citoyens pourront aisément faire valoir leurs droits, en s'adressant au régulateur de leur pays. Prenons garde, toutefois, aux contraintes excessives.
M. Jean-Paul Amoudry . - Je m'inquiète de la réduction des pouvoirs de contrôle des autorités nationales. L'article 53 de la proposition de règlement ne les autorise à procéder à des contrôles dans les locaux des entreprises que « s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire au règlement » : cette condition limitera leur activité et provoquera des contentieux.
Je me réjouis que soit institué un droit à l'oubli, mais la Commission n'est pas allée jusqu'à imposer la désindexation des données par les moteurs de recherche.
On peut aussi se féliciter de la simplification des démarches des entreprises, mais la fin des formalités préalables privera les autorités de contrôle d'un contact permanent avec les responsables de traitement, et ne leur permettra pas d'être au fait des dernières avancées technologiques. En cas de plainte, cette expertise leur fera défaut.
Il faudrait évaluer l'impact de ce projet sur les droits des citoyens. La Cnil sera-t-elle encore en mesure de remplir les missions qui lui ont été confiées par le législateur français ?
Mme Nicole Borvo Cohen-Seat . - Le groupe CRC n'est pas vraiment d'accord avec la proposition de résolution en l'état. Jusqu'à quand pouvons-nous vous faire parvenir nos amendements ?
M. Jean-Pierre Sueur , président. - En application de l'article 73 quinquies du Règlement du Sénat, nous allons adopter aujourd'hui une première fois cette proposition de résolution. Nous examinerons mercredi prochain les éventuels amendements, qui devront être déposés avant lundi midi.
M. Simon Sutour , rapporteur. - Je ne répondrai pas dans le détail à chaque intervention, parce qu'il me manque certains éléments, et parce que nous aurons l'occasion de revenir sur ce texte.
Les autorités nationales conservent un pouvoir de contrôle : l'article 52 de la proposition de règlement les autorise à mener des enquêtes, soit de leur propre initiative, soit à la suite d'une réclamation.
Ce texte est d'une taille imposante, et si nous voulons être audibles, il n'est pas question de le réécrire entièrement. C'est pourquoi j'ai concentré le tir sur deux points. En premier lieu, il faut revoir le critère du « principal établissement », afin qu'un citoyen français n'ait pas à s'adresser à l'autorité de Dublin ; la Cnil a fait ses preuves, et c'est un échelon de proximité. La négociation sera difficile, car nous ne sommes pas nombreux à réclamer une modification de la proposition sur ce point ; peu d'Etats, il est vrai, se sont dotés d'une législation aussi protectrice.
En second lieu, il faut s'assurer que les Etats auront le droit d'adopter des dispositions plus protectrices que la norme européenne ; c'est possible, je le répète, si le règlement le prévoit expressément.
La commission des affaires européennes se prononcera notamment sur le respect du principe de subsidiarité. Elle a mis en place sous ma présidence un groupe de travail à ce sujet, où sont représentés tous les groupes politiques et qui se réunit tous les quinze jours. Il a décidé la semaine dernière de se saisir de ce texte.
M. Jean-Pierre Sueur , président. - Je vous propose d'adopter la proposition de résolution de M. Sutour, en la rectifiant d'ores et déjà pour prendre en compte la remarque de Mme Tasca.
La proposition de résolution, modifiée, est adoptée.