2. Un dispositif dépassé à l'heure de nos sociétés « numérisées » et « globalisées »
a) Une harmonisation incomplète des règles faute d'une transposition uniforme dans l'ensemble des États membres
La directive du 24 octobre 1995 a souffert d' un retard de transposition dans une partie des États membres. Ainsi, en janvier 2000, cinq États dont la France, ont fait l'objet de poursuites de la Commission européenne, pour absence de notification des mesures de transposition qui devaient être prises avant le 25 octobre 1998. Le retard français était toutefois peu préjudiciable, dans la mesure où, du fait de son avance en ce domaine, le niveau de protection offert aux citoyens par la législation nationale était globalement supérieur à la moyenne européenne. Néanmoins, pour assurer le respect des obligations communautaires, la loi n° 2004-801 du 6 août 2004 a assuré la transposition de la directive au sein de la loi « Informatique et libertés » de 1978.
En outre, le degré de transposition a varié d'un État membre à l'autre , ne permettant pas une harmonisation satisfaisante des règles applicables dans l'ensemble de l'Union européenne. A titre d'exemple, jusqu'en 2011, l'autorité de contrôle britannique ne disposait pas de pouvoirs de sanction contre les responsables de traitement.
Cette harmonisation inaboutie a été non seulement préjudiciable aux particuliers, mais aussi aux entreprises. En effet, elle a entraîné une distorsion de concurrence entre une entreprise installée dans un État appliquant un système de protection contraignant et une entreprise installée dans un État plus laxiste. Même si cet élément ne joue vraisemblablement qu'à la marge, il peut peser dans le choix du lieu d'implantation d'une entreprise et favoriser le « forum shopping ».
b) L'obsolescence d'un dispositif conçu dans les années 1980-1990, avant l'« ère Internet »
La directive du 24 octobre 1995 a été élaborée à une époque où internet était peu développé . Depuis lors, la révolution des nouvelles technologies est passée par là, avec notamment l'explosion d'internet, l'émergence des réseaux sociaux, l'indexation massive des contenus publiés en ligne et l'intensification des transferts internationaux de données.
Autant d'éléments qui accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de leur consultation ou de leur exploitation à des fins notamment commerciales.
Comme le soulignaient déjà nos collègues M. Yves Détraigne et Mme Anne-Marie Escoffier en 2009, dans leur rapport d'information « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information » 11 ( * ) , la directive du 24 octobre 1995 est devenue « partiellement inadaptée aux enjeux de la globalisation et aux spécificités d'internet ».
En matière commerciale par exemple, sont apparues des pratiques intrusives de traçage anonyme, qui visent à collecter des données qui, sans être nominatives, permettent un « profilage » des individus selon leurs goûts, leurs préférences, leur genre, leur âge... Le développement de cette technique est principalement dû au modèle économique d'internet qui repose sur la gratuité des services proposés à l'usager, et donc sur une rémunération par la publicité, qui se doit d'être la plus optimale possible.
Par ailleurs, le développement des moteurs de recherche , qui cumulent les fonctions de prestataires de services et de fournisseurs de contenus, ne permet pas aux personnes de disposer facilement des informations qui les concernent et notamment de les rectifier ou de les supprimer.
D'un point de vue plus technique ensuite, les incertitudes quant au champ matériel d'application du dispositif pèsent sur son efficacité. Par exemple, se pose la question de l'intégration de l'adresse IP ( Internet Protocol ) 12 ( * ) dans la catégorie des données personnelles à protéger. Cette question fait l'objet de divergences d'interprétations de la part de la jurisprudence, qui nuisent à la protection des citoyens 13 ( * ) .
Enfin, l'intensification des flux transfrontaliers pose avec une nouvelle acuité le problème de l'extraterritorialité. Cette situation s'est renforcée sous le double effet de la circulation des données personnelles au sein de multinationales et de la délocalisation des activités hors de l'Union européenne, à l'image des centres d'appels ou de données.
c) L'insuffisance du niveau de protection, ressentie par le citoyen européen
Du fait de l'explosion d'internet, de plus en plus de personnes rendent accessibles des informations les concernant. Dans le même temps, leur inquiétude quant à la diffusion et l'utilisation des données personnelles s'accroît. 72 % des internautes en Europe sont en effet préoccupés par le fait qu'il leur est demandé de communiquer en ligne de nombreuses données personnelles 14 ( * ) .
Ils ont alors le sentiment de ne pas avoir la maîtrise de leurs données ni de l'usage qui en est fait, de ne pas connaître l'identité de leur destinataire ni la finalité de leur transmission. Souvent, ils ignorent aussi les modalités d'exercice de leurs droits. Les préoccupations liées au respect de la vie privée figurent parmi les raisons les plus fréquemment invoquées par les consommateurs pour expliquer leur réticence à acheter des produits et des services en ligne.
Pour toutes ces raisons, et afin d'apporter aux citoyens européens une protection qui prenne en compte les avancées technologiques, les nouveaux usages et l'hyper-volatilité des données personnelles, une révision de la directive est apparue nécessaire.
* 11 Rapport d'information n° 441 (2008-2009) déposé le 27 mai 2009.
* 12 L'adresse IP est une adresse formée d'une série de chiffres permettant à un ordinateur connecté à internet d'être identifié.
* 13 Face à de fortes disparités parmi les décisions rendues par les juges du fond, la Cour de cassation a, de manière indirecte, conclu que l'adresse IP ne constituait pas une donnée personnelle (Crim. 13 janvier 2009, SACEM et autres c/ Cyrille S. , pourvoi n°08-84.088). Cette position n'est toutefois partagée ni par la CNIL (communiqué du 2 août 2007), ni par le groupe européen dit « G29 » (avis n°4/2007 du 20 juin 2007) et entre frontalement en opposition avec une interprétation jurisprudentielle retenue tant par le juge communautaire (CJCE, 29 janvier 2008, Promusicaec/ Telefonica de España SAU , aff. C-275-/06) que par le juge administratif (CE, 23 mais 2007, SACEM et autres , n° 288149, 288150, 288215, 288449).
* 14 Selon le sondage cité par la commission européenne dans la communication qu'elle a adressée aux institutions européennes le 25 janvier 2012 (COM 2012/9 Final).