Allez au contenu, Allez à la navigation



Proposition de résolution sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)

29 février 2012 : Protection des données personnelles ( rapport )

Rapport n° 446 (2011-2012) de M. Simon SUTOUR, fait au nom de la commission des lois, déposé le 29 février 2012

Disponible au format PDF (363 Koctets)

Tableau comparatif au format PDF (111 Koctets)


N° 446

SÉNAT

SESSION ORDINAIRE DE 2011-2012

Enregistré à la Présidence du Sénat le 29 février 2012

RAPPORT

FAIT

au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur la proposition de résolution européenne de M. Simon SUTOUR, présentée au nom de la commission des lois, en application de l'article 73 quinquies du Règlement, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055),

Par M. Simon SUTOUR,

Sénateur

et TEXTE DE LA COMMISSION

(1) Cette commission est composée de : M. Jean-Pierre Sueur, président ; MM. Jean-Pierre Michel, Patrice Gélard, Mme Catherine Tasca, M. Bernard Saugey, Mme Esther Benbassa, MM. François Pillet, Yves Détraigne, Mme Éliane Assassi, M. Nicolas Alfonsi, Mlle Sophie Joissains, vice-présidents ; Mme Nicole Bonnefoy, MM. Christian Cointat, Christophe-André Frassa, Mme Virginie Klès, secrétaires ; MM. Jean-Paul Amoudry, Alain Anziani, Philippe Bas, Christophe Béchu, Mmes Nicole Borvo Cohen-Seat, Corinne Bouchoux, MM. François-Noël Buffet, Gérard Collomb, Pierre-Yves Collombat, Jean-Patrick Courtois, Michel Delebarre, Félix Desplan, Christian Favier, Louis-Constant Fleming, René Garrec, Gaëtan Gorce, Mme Jacqueline Gourault, MM. Jean-Jacques Hyest, Philippe Kaltenbach, Jean-René Lecerf, Jean-Yves Leconte, Antoine Lefèvre, Roger Madec, Jean Louis Masson, Jacques Mézard, Thani Mohamed Soilihi, Hugues Portelli, André Reichardt, Alain Richard, Simon Sutour, Mme Catherine Troendle, MM. René Vandierendonck, Jean-Pierre Vial, François Zocchetto.

Voir le(s) numéro(s) :

Sénat :

406 (2011-2012)

LES CONCLUSIONS DE LA COMMISSION DES LOIS

Réunie mercredi 29 février 2012,  sous la présidence de M. Jean-Pierre Sueur, président, la commission des lois a examiné, sur le rapport de M. Simon Sutour, la proposition de résolution européenne déposée en son nom, par ce dernier, le mercredi 22 février 2012 (n° 406, 2011-2012).

Après avoir rappelé que le cadre européen de la protection des données personnelles, mis en place par une directive datant de 1995, était aujourd'hui devenu obsolète, du fait des évolutions technologiques et de l'émergence de nouveaux usages, M. Simon Sutour, rapporteur, a indiqué qu'en déposant la proposition de règlement qui faisait l'objet de la présente proposition de résolution européenne, la Commission européenne a eu l'ambition de développer une approche globale pour la protection des données personnelles en Europe, qui aboutisse à une harmonisation du droit applicable sur le modèle des droits les plus avancés en la matière.

Il a considéré qu'il convenait de prendre acte des avancées que recèle la proposition de règlement européen sur la protection des données personnelles, même si des améliorations peuvent y être apportées.

Toutefois, M. Simon Sutour, rapporteur, a estimé que le dispositif proposé posait deux questions de principe, sur lesquels il était important d'attirer l'attention du Gouvernement.

Rappelant que la Commission européenne défendait le principe d'une harmonisation complète, sans possibilité de dérogations plus favorables, il a souligné que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes. Elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices.

Il a par ailleurs jugé nécessaire de s'opposer à tout dispositif qui, comme celui du « guichet unique », promu par la Commission européenne, aboutirait à moins bien traiter le citoyen que l'entreprise responsable du traitement, en le privant de la possibilité de voir l'ensemble de ses plaintes instruites par son autorité de contrôle nationale.

Un amendement adopté à l'initiative de M. Jean-Paul Amoudry et plusieurs de ses collègues, souligne le caractère trop restrictif de l'encadrement des pouvoirs d'investigation des autorités de contrôle, d'autant plus préjudiciable que, du fait de la suppression des formalités préalables, les enquêtes constitueraient la principale source d'information des autorités de contrôle.

Au bénéfice de l'ensemble de ces observations, votre commission a adopté la proposition de résolution ainsi rédigée.

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

La France a toujours été pionnière en matière de protection des données à caractère personnel, comme en témoigne l'adoption dès 1978, de la loi « informatique et liberté »1(*), loi qui a fortement inspiré la directive du 24 octobre 1995 fondement de la politique européenne en la matière.

Ce corpus, élaboré dans les années 1980-1990, à une époque où « la révolution internet » n'avait pas encore eu lieu, est aujourd'hui obsolète. À l'heure de nos sociétés « numérisées» et « globalisées » l'adoption de nouvelles règles adaptées doit être envisagée.

L'attention de notre commission sur l'importance de ces problématiques avait été attirée, dès 2009, par nos collègues Yves Détraigne et Anne-Marie Escoffier2(*), puis par Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés, lors de son audition du mercredi 14 décembre 20113(*).

C'est donc logiquement que votre commission des lois s'est saisie le 8 février dernier4(*) de ce sujet, sur le fondement de l'article 73 quinquies de notre Règlement, consécutivement au dépôt par la Commission européenne, le 25 janvier 2012, d'une proposition de règlement concernant les fichiers commerciaux ou tenus par des personnes privées5(*) et d'une proposition de directive relative à certains fichiers mis en place par les autorités publiques6(*).

La proposition de résolution qui fait l'objet du présent rapport ne porte que sur le premier de ces deux textes, relatif aux fichiers civils et commerciaux.

Elle laisse volontairement de côté la proposition de directive destinée à remplacer la décision-cadre sur les fichiers dits de « souveraineté ». En effet, les problématiques de ces deux dispositifs sont très différentes, et il n'était pas possible, dans les brefs délais impartis, d'examiner les deux textes de front.

Ceux-ci étant appelés à être adoptés selon la procédure législative ordinaire, c'est-à-dire par co-décision entre le Parlement européen et le Conseil de l'Union européenne, le processus de négociation entamé devrait durer plusieurs mois, voire plusieurs années. Votre commission et celle des affaires européennes auront ainsi l'occasion d'approfondir leur examen des deux textes, en particulier la proposition de directive non traitée par le présent rapport.

Alors que s'engagent les négociations entre les États membres en vue de l'adoption de ce règlement, il est important, sur un sujet qui touche aux droits fondamentaux de la personne, que la représentation nationale fasse valoir, dès à présent, non seulement le soutien qu'elle entend ou non apporter à l'objectif poursuivi par la Commission européenne, d'une amélioration notable de la protection des données personnelles en Europe, mais aussi les éventuelles réserves que certains choix opérés peuvent lui inspirer.

L'Assemblée nationale, par une résolution européenne du 7 février 2012, a pris position sur ce sujet7(*).

De son côté, la commission des affaires européennes, a d'ores et déjà adopté, le 23 février 2012, une résolution européenne portant avis motivé sur la conformité au principe de subsidiarité de cette proposition de règlement8(*).

À son tour, votre commission des lois vous propose d'appeler l'attention du Gouvernement sur les préoccupations qui sont les siennes à la lecture du texte proposé. La proposition de résolution qu'elle vous présente, et dont la commission des affaires européennes s'est saisie pour avis, devrait être examinée en séance publique le mardi 6 mars 2012.

I. UN CADRE COMMUNAUTAIRE DE PROTECTION DES DONNÉES PERSONNELLES DÉPASSÉ, QUI APPELLE UNE REFONTE

Comme Viviane Reding, vice-présidente de la Commission européenne l'a indiqué au cours de son audition commune par votre commission et celle des affaires européennes9(*), « sur le plan des valeurs et des droits individuels, la directive de 1995 n'a rien d'obsolète, mais à l'époque, internet n'existait pas ». Ce simple constat justifie la refonte du dispositif communautaire actuel de protection des données personnelles.

A. UNE DIRECTIVE FONDATRICE, AUJOURD'HUI DÉPASSÉE

1. Une première étape essentielle pour la protection des données à caractère personnel au niveau communautaire

La directive n° 95/46/CE du 24 octobre 1995 du Parlement et du Conseil10(*) est actuellement le socle de la politique européenne en matière de protection des données personnelles. Ce dispositif vise à concilier deux enjeux majeurs de l'intégration européenne: la protection des libertés et droits fondamentaux des personnes et la réalisation du marché intérieur, en l'occurrence, la libre circulation des données.

Le texte communautaire est très largement inspiré du dispositif législatif performant dont s'était dotée la France dès 1978, avec la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui créait notamment une autorité de contrôle indépendante : la commission nationale de l'informatique et des libertés (CNIL). Aussi, la directive consacre-t-elle en particulier les principes de légitimité de la collecte de données, de proportionnalité des mesures ou encore la nécessité du consentement des personnes dont les données sont collectées.

La directive de 1995 a été fondatrice, car elle a doté les États membres d'un corpus de principes directeurs communs. Si ses objectifs demeurent valables, le cadre juridique qu'elle pose est aujourd'hui doublement insuffisant : faute d'une transposition uniforme, l'harmonisation juridique est encore incomplète ; élaboré dans les années 1980-1990, le dispositif est aujourd'hui obsolète.

2. Un dispositif dépassé à l'heure de nos sociétés « numérisées » et « globalisées »
a) Une harmonisation incomplète des règles faute d'une transposition uniforme dans l'ensemble des États membres

La directive du 24 octobre 1995 a souffert d'un retard de transposition dans une partie des États membres. Ainsi, en janvier 2000, cinq États dont la France, ont fait l'objet de poursuites de la Commission européenne, pour absence de notification des mesures de transposition qui devaient être prises avant le 25 octobre 1998. Le retard français était toutefois peu préjudiciable, dans la mesure où, du fait de son avance en ce domaine, le niveau de protection offert aux citoyens par la législation nationale était globalement supérieur à la moyenne européenne. Néanmoins, pour assurer le respect des obligations communautaires, la loi n° 2004-801 du 6 août 2004 a assuré la transposition de la directive au sein de la loi « Informatique et libertés » de 1978.

En outre, le degré de transposition a varié d'un État membre à l'autre, ne permettant pas une harmonisation satisfaisante des règles applicables dans l'ensemble de l'Union européenne. A titre d'exemple, jusqu'en 2011, l'autorité de contrôle britannique ne disposait pas de pouvoirs de sanction contre les responsables de traitement.

Cette harmonisation inaboutie a été non seulement préjudiciable aux particuliers, mais aussi aux entreprises. En effet, elle a entraîné une distorsion de concurrence entre une entreprise installée dans un État appliquant un système de protection contraignant et une entreprise installée dans un État plus laxiste. Même si cet élément ne joue vraisemblablement qu'à la marge, il peut peser dans le choix du lieu d'implantation d'une entreprise et favoriser le « forum shopping ».

b) L'obsolescence d'un dispositif conçu dans les années 1980-1990, avant l'« ère Internet »

La directive du 24 octobre 1995 a été élaborée à une époque où internet était peu développé. Depuis lors, la révolution des nouvelles technologies est passée par là, avec notamment l'explosion d'internet, l'émergence des réseaux sociaux, l'indexation massive des contenus publiés en ligne et l'intensification des transferts internationaux de données.

Autant d'éléments qui accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de leur consultation ou de leur exploitation à des fins notamment commerciales.

Comme le soulignaient déjà nos collègues M. Yves Détraigne et Mme Anne-Marie Escoffier en 2009, dans leur rapport d'information « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information »11(*), la directive du 24 octobre 1995 est devenue « partiellement inadaptée aux enjeux de la globalisation et aux spécificités d'internet ».

En matière commerciale par exemple, sont apparues des pratiques intrusives de traçage anonyme, qui visent à collecter des données qui, sans être nominatives, permettent un « profilage » des individus selon leurs goûts, leurs préférences, leur genre, leur âge... Le développement de cette technique est principalement dû au modèle économique d'internet qui repose sur la gratuité des services proposés à l'usager, et donc sur une rémunération par la publicité, qui se doit d'être la plus optimale possible.

Par ailleurs, le développement des moteurs de recherche, qui cumulent les fonctions de prestataires de services et de fournisseurs de contenus, ne permet pas aux personnes de disposer facilement des informations qui les concernent et notamment de les rectifier ou de les supprimer.

D'un point de vue plus technique ensuite, les incertitudes quant au champ matériel d'application du dispositif pèsent sur son efficacité. Par exemple, se pose la question de l'intégration de l'adresse IP (Internet Protocol)12(*) dans la catégorie des données personnelles à protéger. Cette question fait l'objet de divergences d'interprétations de la part de la jurisprudence, qui nuisent à la protection des citoyens13(*).

Enfin, l'intensification des flux transfrontaliers pose avec une nouvelle acuité le problème de l'extraterritorialité. Cette situation s'est renforcée sous le double effet de la circulation des données personnelles au sein de multinationales et de la délocalisation des activités hors de l'Union européenne, à l'image des centres d'appels ou de données.

c) L'insuffisance du niveau de protection, ressentie par le citoyen européen

Du fait de l'explosion d'internet, de plus en plus de personnes rendent accessibles des informations les concernant. Dans le même temps, leur inquiétude quant à la diffusion et l'utilisation des données personnelles s'accroît. 72 % des internautes en Europe sont en effet préoccupés par le fait qu'il leur est demandé de communiquer en ligne de nombreuses données personnelles14(*).

Ils ont alors le sentiment de ne pas avoir la maîtrise de leurs données ni de l'usage qui en est fait, de ne pas connaître l'identité de leur destinataire ni la finalité de leur transmission. Souvent, ils ignorent aussi les modalités d'exercice de leurs droits. Les préoccupations liées au respect de la vie privée figurent parmi les raisons les plus fréquemment invoquées par les consommateurs pour expliquer leur réticence à acheter des produits et des services en ligne.

Pour toutes ces raisons, et afin d'apporter aux citoyens européens une protection qui prenne en compte les avancées technologiques, les nouveaux usages et l'hyper-volatilité des données personnelles, une révision de la directive est apparue nécessaire.

B. LA NÉCESSITÉ D'UNE REFONTE GLOBALE ET EUROPÉENNE DU DISPOSITIF DE PROTECTION DES DONNÉES PERSONNELLES

1. Une réflexion engagée depuis longtemps par le Sénat

Dès 2009, le Sénat s'est saisi de cette problématique. D'importants travaux ont été menés par nos collègues M. Yves Détraigne et Mme Anne-Marie Escoffier, qui ont donné lieu à la publication du rapport d'information précité15(*) et à l'adoption, à l'unanimité par le Sénat, le 23 mars 2010, de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique16(*), rapportée par notre collègue Christian Cointat. On ne peut que regretter que ce texte, précurseur sur de nombreux points, n'ait jamais été inscrit à l'ordre du jour de l'Assemblée nationale.

Ces travaux avaient mis l'accent sur la nécessité de faire du citoyen un « homo numericus » libre et éclairé, protecteur de ses propres données, et de compléter à cette fin le cadre juridique actuel. Le rapport préconisait notamment de renforcer les moyens de la CNIL, sa légitimité et sa crédibilité. Il proposait aussi de nouveaux outils de protection comme la reconnaissance d'un droit à l'oubli. Nos collègues avaient cependant appelé à la prudence quant à l'éventualité d'une révision de la directive de 1995.

Face au renforcement des enjeux numériques, c'est pourtant la voie de la révision de la directive qui a été choisie par la Commission européenne.

2. L'attente d'une réponse communautaire

Tirant toutes les conséquences de l'internationalisation de la diffusion des données personnelles et de son importance économique, le traité de Lisbonne a renforcé la compétence de l'Union européenne en matière de protection des données personnelles17(*). La Commission européenne a engagé ses travaux sur cette base, afin de forger un dispositif européen applicable non seulement entre États membres mais aussi dans leurs échanges avec les États tiers.

Elle a ainsi lancé dès 2009, une consultation publique de l'ensemble des acteurs du secteur, qui a donné lieu à la publication le 4 novembre 2010 d'une communication intitulée « Une approche globale de la protection des données à caractère personnel dans l'Union européenne »18(*).

Au terme de ce processus de consultation, la Commission a présenté, le 25 janvier 2012, deux instruments juridiques différents, concernant, l'un, les fichiers commerciaux ou tenus par des personnes privées, l'autre, certains fichiers mis en place par les autorités publiques :

- pour remplacer la directive de 1995, une proposition de règlement, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui fait l'objet de la présente proposition de résolution européenne ;

- pour remplacer la décision-cadre 2008/977/JAI19(*), une proposition de directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données20(*).

Pour les raisons évoquées en introduction, seul le premier de ces deux textes fait l'objet de la présente proposition de résolution.

II. UN TEXTE QUI PRÔNE UNE APPROCHE GLOBALE DE LA PROTECTION DES DONNÉES PERSONNELLES QUI SOULÈVE CEPENDANT DE NOMBREUSES RÉSERVES

A. UNE APPROCHE QUI SE VEUT GLOBALE ET PROTECTRICE DES INTÉRETS EN PRÉSENCE

1. La mise en oeuvre du principe affirmé par la Commission : « un continent, une règle »

Lors de son audition par votre commission des lois et celle des affaires européennes, le mardi 21 février 2012, Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté a justifié la proposition de règlement en soulignant qu'« en matière de protection des données, il existe au moins 27 régimes juridiques différents, non coordonnés et parfois contradictoires  [...] j'ai donc proposé le principe suivant : un continent, une règle ».

Deux objectifs indissociables l'un de l'autre sont assignés à ce texte : l'harmonisation des règles de protection applicables sur le territoire de l'Union européenne et l'allégement des procédures applicables aux opérateurs de traitement de données à caractère personnel.

La Commission a justifié le choix d'un règlement, d'application directe et immédiate, par la volonté de « réduire la fragmentation juridique et d'apporter une plus grande sécurité juridique, en instaurant un corps harmonisé de règles de base, en améliorant la protection des droits fondamentaux des personnes physiques et en contribuant au bon fonctionnement du marché intérieur »21(*).

Le règlement est contraignant pour les États membres et entraîne une harmonisation effective du droit, plus rapide que ne le permet une directive. Il s'agit donc de mettre en place un corpus de règles communautaires, qui se substituera aux législations nationales existantes.

Si la Commission propose au législateur européen de fixer dans le règlement les lignes directrices applicables en matière de protection des données personnelles, elle réserve largement sa compétence, en prévoyant, plus d'une cinquantaine de fois, que les précisions requises soient apportées par voie d'actes délégués22(*) ou d'actes d'exécution23(*).

2. Le double objectif de la proposition de règlement : renforcer les droits des citoyens et assurer la sécurité juridique pour les entreprises

Lors de son audition du 21 février 2012, Mme Viviane Reding a affirmé que la proposition de règlement de la commission était « inspirée des législations nationales les plus protectrices » et donc que l'harmonisation des règles se ferait « par le haut ».

a) Une protection accrue des personnes
(1) La libre disposition par la personne concernée de ses données à caractère personnel
(a) L'obligation pour le responsable de traitement d'obtenir le consentement exprès de la personne concernée

Le règlement réaffirme une véritable liberté de choix pour la personne en excluant tout consentement tacite ou passif. Le consentement au traitement des données à caractère personnel doit être exprès (article 7). La charge de la preuve du consentement incombe au responsable du traitement. Pour les enfants de moins de 13 ans, le consentement est donné par un parent (article 8). Il peut être retiré à tout moment. Corrélativement, la proposition de règlement réaffirme le droit d'opposition de chacun au traitement de ses données personnelles (article 19).

(b) Le renforcement de l'obligation d'information pesant sur le responsable de traitement

La proposition de règlement renforce ensuite l'obligation d'information pesant sur le responsable de traitement. La directive de 1995 prévoyait ce type d'obligations pour l'identité et les coordonnées du responsable de traitement ou la finalité du traitement des données. Les articles 14 et 15 de la proposition de règlement élargissent le champ d'application de l'obligation en y intégrant les informations relatives à la durée de conservation des données, au droit d'introduire une réclamation auprès de l'autorité de contrôle, à la possibilité de demander la rectification ou l'effacement de données et à l'intention du responsable de traitement d'effectuer des transferts internationaux des données.

(c) Le « droit à l'oubli numérique » et le « droit à la portabilité des données »

Outre le fait qu'elle réaffirme le droit pour la personne de demander la rectification de ses données (article 16), la proposition de règlement, dans son article 17, précise le droit à l'effacement qui existait déjà dans la directive de 1995 et consacre le « droit à l'oubli » numérique.

Cet article prévoit que « la personne concernée a le droit d'obtenir du responsable de traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données en particulier en ce qui concerne [celles qu'elle] avait rendues disponibles lorsqu'elle était enfant ».

Parallèlement, l'article 18 confère à la personne concernée un nouveau droit, le « droit à la portabilité des données », c'est-à-dire celui de transmettre des données d'un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse y faire obstacle.

(d) L'encadrement de la pratique du « profilage »

L'article 20 encadre quant à lui, plus strictement, la possibilité de « profilage » d'une personne à partir de ses données personnelles. Cette pratique consiste, en matière commerciale notamment, à collecter des données qui, sans être nominatives, permettent de cibler les individus à partir de leurs goûts, leurs préférences, leur genre, leur âge...

(2) Les différents recours contentieux à la disposition des personnes

En cas de violation de données à caractère personnel, toute personne ou tout organisme habilité concerné, peut déposer une réclamation auprès d'une autorité de contrôle (article 73), dont la compétence est déterminée par l'application du critère du « principal établissement » (cf. infra).

La proposition de règlement prévoit aussi la possibilité de former un recours juridictionnel contre l'autorité de contrôle elle-même, en particulier pour la contraindre à donner suite à une réclamation. La juridiction compétente est alors celle de l'État membre où l'autorité de contrôle est établie (article 74).

Quant au recours de la personne concernée contre le responsable de traitement, il doit être déposé devant la juridiction de l'État membre où le défendeur est établi ou de l'État membre de résidence de la personne concernée (article 75).

b) Un changement de logique : la suppression des contraintes a priori pesant sur l'entreprise responsable du traitement contre le renforcement a posteriori de sa responsabilité

Pour alléger les procédures pesant sur le responsable de traitement, l'obligation de notification préalable des traitements aux autorités de contrôle, qui pesait sur lui en vertu de la directive de 1995, est supprimée.

En contrepartie, a posteriori, les responsabilités des personnes traitant les données seront renforcées. Une responsabilité globale du responsable du traitement est instaurée (articles 22 et suivants). Le responsable de traitement doit « mettre en oeuvre des mesures appropriées pour garantir [...] que le traitement des données à caractère personnel est effectué dans le respect du présent règlement ».

Elle emporte notamment l'obligation de prévoir la protection des données dès la conception du traitement et de mettre en oeuvre des mesures appropriées pour assurer la sécurité du traitement.

(1) Les obligations particulières pesant sur le responsable de traitement

Il s'agit notamment de :

- l'obligation de notification d'une violation des données personnelles par l'information de l'autorité de contrôle et l'avertissement des personnes physiques concernées afin de leur permettre de prendre les mesures qui s'imposent (articles 31 et 32) ;

- l'obligation de réaliser une étude d'impact pour déterminer si le traitement de données personnelles qu'il va mettre en place peut présenter des risques pour les droits et libertés des personnes (article 33) ;

- l'obligation de désigner un délégué à la protection des données pour le secteur public et, dans le secteur privé, pour les entreprises de plus de 250 salariés, ou lorsque les activités de base du responsable du traitement consistent en des traitements qui exigent un suivi régulier et systématique (articles 35 et suivants). La directive de 1995 ouvrait cette possibilité aux États membres à la place de l'obligation de notification générale.

(2) L'encadrement des transferts de données vers des pays tiers à l'Union européenne

Les transferts de données vers les pays tiers ne peuvent avoir lieu que s'ils respectent les obligations prévues à cet effet dans le règlement (article 40). Ainsi, ils ne sont possibles que si la Commission a constaté que le pays destinataire assure un niveau de protection « adéquat » aux données personnelles concernées.

Le niveau « adéquat » de protection  s'apprécie en fonction de la législation en vigueur, de l'existence et du fonctionnement effectif d'autorités de contrôle, de l'existence d'un droit de recours judiciaire et des engagements internationaux souscrits par le pays tiers concerné (article 41). Si la commission décide que le pays tiers n'assure pas un niveau de protection « adéquat », le transfert de données est interdit.

Lorsque la commission n'a pas adopté de décision constatant un niveau de protection adéquat du pays, le transfert de données à caractère personnel n'est possible que si le responsable de traitement offre, dans un instrument juridique contraignant, des « garanties appropriées » à savoir, des règles d'entreprise contraignantes24(*), des clauses types de protection des données adoptées par la commission ou par une autorité de contrôle25(*) et des clauses contractuelles approuvées par une autorité de contrôle. À défaut, le responsable de traitement doit demander une autorisation préalable de transfert à l'autorité de contrôle (article 42 et suivants).

Par dérogation, les transferts sont autorisés lorsque que la personne concernée y a consenti, qu'ils sont nécessaires à l'exécution du contrat, justifiés par des « motifs importants d'intérêt général », ou conformes aux « intérêts légitimes » poursuivis par le responsable de traitement.

3. Le renforcement du rôle des autorités de contrôle
a) La réaffirmation de l'indépendance des autorités de contrôle nationales par l'octroi de moyens supplémentaires

Le texte pose le principe général de l'indépendance des autorités de contrôle nationales et prévoit un renforcement de leurs moyens matériels (article 47), ainsi que de leurs moyens d'action (articles 51 et suivants).

Ainsi, chaque État membre devra veiller à ce que son autorité dispose de ressources humaines, techniques, et financières appropriées.

Les autorités de contrôle se voient reconnaître le pouvoir de mener des enquêtes, d'arrêter des décisions contraignantes et d'infliger des sanctions administratives.

b) Le renforcement de la coopération entre autorités de contrôle, pour assurer une application cohérente des règles de protection des données à caractère personnel sur tout le territoire
(1) Le guichet unique, un allégement des procédures pour les opérateurs de traitement de données

La proposition de règlement prévoit de mettre en place un système de « guichet unique », qui permet, lorsque le responsable de traitement est établi dans plusieurs États membres, de retenir la compétence de l'autorité de contrôle de « l'État membre où se situe l'établissement principal du responsable de traitement » (article 51).

L'application de ce critère peut conduire à ce qu'un citoyen voit sa réclamation traitée par une autre autorité que son autorité de contrôle nationale, parce que l'entreprise responsable du traitement est sise dans un autre État membre que celui où il réside. Ainsi, un Français formant une requête contre Facebook devrait l'adresser à l'autorité de contrôle irlandaise.

(2) L'obligation d'assistance mutuelle et de reconnaissance mutuelle des décisions des autorités de contrôle

La coopération est renforcée par l'obligation pour les autorités de se prêter assistance (article 55) et par la reconnaissance mutuelle des décisions qu'elles prennent (articles 45). En effet, chaque autorité a l'obligation de prendre toutes les mesures appropriées (enquêtes, inspections...) pour répondre à la demande d'une autre autorité de contrôle, au plus tard un mois après la réception de la demande (article 55). Une autorité de contrôle ne peut refuser de répondre à une demande d'assistance sauf si elle n'est pas compétente pour la traiter.

(3) La création du comité européen de la protection des données

Au centre de ce système de contrôle de cohérence se trouve le comité européen de la protection des données, créé par la proposition de règlement (article 64). Ce comité se compose des directeurs des autorités de contrôle de tous les États membres et du contrôleur européen à la protection des données, qui en est vice-président permanent, sauf s'il a été élu président (article 69) et qui en assure le secrétariat (article 71). Le comité a vocation à se substituer à l'actuel groupe de travail réunissant les « CNIL européennes », dit « G29 ».

Sa mission principale consiste à veiller à l'application cohérente du règlement. Toutefois ses attributions restent essentiellement consultatives : assistance de la commission sur toute interrogation sur la protection des données, examen des questions relatives à l'application du règlement, avis sur les projets de décision des autorités de contrôle (article 66).

(4) Le mécanisme de contrôle de la cohérence

Avant d'adopter une mesure destinée à produire des effets juridiques en matière de traitement des données, toute autorité de contrôle nationale communique le projet de mesure au comité européen de la protection des données et à la commission (articles 58 et suivants).

Ces deux autorités peuvent émettre un avis sur la mesure et, si la commission a des doutes sérieux sur la compatibilité de la mesure envisagée avec l'application du règlement, elle peut adopter une décision motivée enjoignant à l'autorité de contrôle concernée de suspendre le projet d'adoption (la durée de suspension ne peut excéder 12 mois) dans le but de rapprocher les positions si cela est possible, d'adopter un acte d'exécution.

B. UNE LARGE ADHÉSION À L'OBJECTIF POURSUIVI, MAIS DE NOMBREUSES RÉSERVES SUR LES MODALITÉS RETENUES

1. Un texte attendu, une approche globale approuvée, mais des choix discutés

Les auditions conduites par votre rapporteur confirment le soutien apporté par l'ensemble des parties intéressées par l'exploitation et la protection des données personnelles à l'initiative de la Commission européenne, ainsi qu'à l'approche globale qu'elle a retenue et qui vise à mettre en place une régulation harmonisée à l'échelle européenne.

Chacun salue l'apport de la directive de 1995 mais constate, dans le même temps, son obsolescence et la nécessité de lui substituer aujourd'hui un dispositif plus global, en phase avec les technologies récentes et les nouveaux usages de l'Internet.

Pour autant, force est de constater que cette unanimité autour de l'objectif général et certains apports de la proposition de règlement, comme la reconnaissance des droits à l'oubli ou la portabilité des données personnelles, ou celle de l'indépendance et des pouvoirs de sanction des autorités de contrôle, cède dès qu'est abordée la discussion sur les modalités et les règles retenues par la Commission européenne.

Ainsi les représentants de la CNIL se sont inquiétés de ce qu'en supprimant les formalités préalables à la mise en place de traitements de données personnelles, on prive les autorités de contrôle à la fois, d'informations pertinentes sur la pratique de l'entreprise en matière de protection des données personnelles et l'émergence de nouveaux usages ou l'utilisation de nouvelles technologies, et d'un point de dialogue utile avec les entreprises concernées.

Le recours massif à des actes délégués et des actes d'exécution, adoptés par la Commission européenne, pour préciser les règles applicables a été unanimement contesté, pour deux raisons : d'une part, la Commission européenne est apparue moins bien armée que les législateurs ou les autorités de contrôles nationaux pour statuer sur ces questions techniques, d'autre part, le renvoi à de la législation déléguée rend compte du caractère lacunaire des règles inscrites dans la proposition de règlement et entretient une certaine insécurité juridique dans un domaine où il conviendrait pourtant, pour les entreprises comme pour les particuliers, que la loi soit claire et précise.

Enfin, plusieurs des personnes entendues par votre rapporteur, ont regretté que la proposition de règlement se soit souvent arrêtée à mi-chemin.

Plusieurs intervenants, dont la présidente de la CNIL, Mme Isabelle Falque-Pierrotin, celle de l'association « Imaginons un réseau internet solidaire » (IRIS), Mme Meryem Marzouki, et nos collègues Mme Anne-Marie Escoffier et M. Yves Détraigne, ont ainsi observé que le texte consacrait souvent un droit, sans doter les personnes ou les autorités de contrôle des moyens de le faire respecter, comme pour le droit à l'oubli, auquel les moteurs de recherche échappent largement.

Ils ont été rejoints dans cette analyse par la Chancellerie qui a estimé, prenant l'exemple des dérogations prévues en matière de transferts internationaux de données personnelles que, trop souvent, le texte posait un principe, qu'il affaiblissait par de trop nombreuses exceptions.

2. Un point de cristallisation du débat : la compétence, pour tous les contentieux, de l'autorité de contrôle du pays où le responsable de traitement a son « principal établissement »

La disposition la plus discutée est incontestablement celle du guichet unique et, plus particulièrement, l'attribution de la compétence pour instruire les contentieux à l'autorité de contrôle du pays où le responsable de traitement a son principal établissement.

Les représentants des entreprises entendus par votre rapporteur ont défendu ce système, à la condition qu'il s'accompagne d'une harmonisation complète du droit. Ils ont notamment souligné qu'une telle mesure faciliterait les démarches des entreprises, qui profiteraient d'un interlocuteur unique pour toutes les questions liées à l'utilisation des données personnelles qu'elles détiennent.

En revanche, la présidente de la CNIL, Mme Isabelle Falque-Pierrotin, rejointe en cela par les représentants du ministère de la justice, a dénoncé les risques qu'un tel dispositif présenterait pour la protection des données personnelles. Si le guichet unique se justifie pour le contrôle préventif et les formalités préalables, il soulève de sérieuses difficultés s'agissant du traitement des litiges.

Il risquerait en effet de susciter des comportements de « forum shopping », les entreprises décidant leur installation en fonction de la sévérité du régulateur national. Plutôt que de favoriser une certaine proximité entre les citoyens et l'autorité qui les protège, il créerait une distance artificielle entre eux, l'autorité nationale, celle qui leur est le plus proche, ne jouant plus que le rôle d'une « boîte aux lettres ». Enfin, compte tenu de cette distance, de la lourdeur et de la lenteur prévisible de cette procédure, il fragiliserait le droit des citoyens à un recours effectif, et rendrait plus difficile l'exercice des droits de la défense.

Mme Meryem Marzouki, présidente de l'association IRIS, a jugé que, compte tenu de l'harmonisation opérée, ces craintes étaient peu fondées, et a estimé que l'autorité de contrôle du pays de principal établissement pourrait, mieux qu'une autre, imposer le respect effectif des règles communautaires à l'entreprise en cause. Elle a appelé, pour dissiper ces craintes, au renforcement des moyens et des mécanismes de coordination des autorités de contrôle.

Partageant l'analyse de la CNIL, les représentants de l'association française des correspondants pour la protection des données à caractère personnel ont, quant à eux, estimé qu'il était fréquent qu'un litige de données personnelles soit lié à un premier litige portant sur un autre domaine du droit (droit de la consommation, droit du travail, droit de la famille...), ce qui risquerait de poser des difficultés à l'autorité de contrôle étrangère, sommée d'interpréter des règles de droit étranger. Soulignant par ailleurs l'incertitude qui affecte la notion de « principal établissement », ils se sont interrogés sur l'articulation de contentieux connexes, engageant, pour un même consommateur et un même achat, trois traitements différents, l'un de service commercial, l'autre de production, et le dernier de service après-vente, dans trois pays différents.

Les représentants de l'UFC-Que choisir ont, pour leur part, posé la question des moyens dont disposerait l'autorité de contrôle étrangère, appelée à traiter un contentieux massif, hors de proportion avec son marché national et se sont inquiétés de la lourdeur de la procédure.

III. LA POSITION DE VOTRE COMMISSION

Votre commission considère qu'il convient de prendre acte des avancées que recèle la proposition de règlement européen sur la protection des données personnelles, même si des améliorations peuvent y être apportées (C).

Mais surtout, ce texte pose deux questions de principe, qui ont partie liée, l'une sur la marge conservée au législateur national pour adopter des mesures plus protectrices que le règlement européen (A), et l'autre sur l'autorité de contrôle compétente pour assurer le respect des droits des ressortissants d'un État membre (B).

A. CONSERVER AU LÉGISLATEUR NATIONAL LA POSSIBILITÉ D'ADOPTER DES DISPOSITIONS PLUS PROTECTRICES

En déposant une proposition de règlement plutôt qu'une proposition de directive se substituant à la précédente directive du 24 octobre 1995, la Commission européenne a fait le choix d'une harmonisation complète des règles applicables en Europe.

Mme Viviane Reding, vice-présidente de la Commission européenne chargée de la justice, des droits fondamentaux et de la citoyenneté l'a d'ailleurs confirmé lors de son audition conjointe par votre commission et la commission des affaires européennes : « Non, il n'y aura pas de niveaux de protection différents. C'est l'essence même d'un règlement : une loi identique pour tout le territoire de l'Union européenne. J'ai retenu les règles les plus protectrices des systèmes existants »26(*).

Cette affirmation mérite cependant d'être discutée.

La protection des données personnelles relève du champ des droits fondamentaux. Elle participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle, mentionnée à l'article 2 de la déclaration des droits de l'homme et du citoyen27(*). Cet ancrage constitutionnel de la protection des données personnelles justifie qu'elle prime les autres considérations, notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes.

En outre, elle s'applique à un échange inégal où l'une des parties, l'individu, cède - volontairement ou non - à une autre, le responsable de traitement, l'usage et la possession de données qui lui sont propres, parfois intimes, et qui lui appartiennent.

Elle se distingue en cela de la régulation des relations civiles ou commerciales où s'opposent deux intérêts équivalents ou deux droits d'égale portée.

Or, si, lorsque sont seuls en cause des intérêts économiques, on peut comprendre qu'un règlement arase toutes les législations nationales afin d'offrir au marché intérieur et au bénéfice des agents économiques, une unique loi, tel n'est plus le cas lorsqu'entrent en conflit les droits fondamentaux des personnes avec les intérêts économiques des entreprises et que les premières se trouvent démunies face à la puissance commerciale et financière des secondes.

Votre commission considère que, dans ce dernier cas, on peut attendre de la législation européenne non seulement qu'elle soit conçue sur le modèle des législations nationales les plus protectrices, mais encore qu'elle n'exclue pas la possibilité pour les États membres qui le souhaiteraient, d'adopter des dispositions nationales plus protectrices des droits fondamentaux ou plus favorables aux personnes.

En effet, pour ce qui touche aux droits les plus fondamentaux de la personne, ou à la protection du faible contre le fort, la construction européenne n'a de sens que si elle élève la protection commune, sans interdire les progrès promus par certains États membres, avant que tous les rejoignent plus tard.

Votre commission observe, d'ailleurs, qu'une telle conception a cours dans d'autres champs du droit européen, pourtant soumis eux aussi à des règlements communautaires, comme, par exemple, en droit de la consommation.

Or, force est de constater, qu'aussi poussée que soit la protection des données personnelles prévues par la proposition de règlement européen, la législation « Informatique et libertés » actuellement en vigueur en France est, sur plusieurs points, plus favorable aux individus.

Ainsi, le champ des fichiers dits « sensibles », soumis à un régime d'autorisation plus restrictif, est plus large en droit français, puisqu'il inclut notamment les fichiers interconnectés, lorsque leurs finalités sont différentes. En outre, le régime retenu est, dans tous les cas, celui de l'autorisation préalable28(*), alors que la proposition de règlement ne soumet à autorisation préalable que les fichiers pour lesquels l'étude d'impact réalisée par le responsable de traitement lui-même a révélé une difficulté29(*).

De la même manière, alors que la proposition de règlement est muette sur la question, la loi française prévoit qu'une personne peut exiger d'avoir communication des « informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à [son] égard »30(*), ce qui lui permet alors, de contester utilement les motifs de la décision qui lui porte préjudice.

Une autre raison justifie de conserver au législateur national une marge d'appréciation suffisante : le droit, en matière de nouvelles technologies, doit être suffisamment réactif pour suivre les nouveaux usages émergents ou les innovations technologiques et prévoir des garanties adaptées. Il n'est pas possible de s'en remettre uniquement aux lenteurs de la législation communautaire pour tenter de suivre les évolutions très rapides des technologies de l'information et de la communication.

Pour toutes ces raisons, votre commission considère que si l'on peut se satisfaire d'une protection équivalente à celle que l'on connaît, on ne saurait se résoudre à diminuer la protection offerte au citoyen français par la loi « Informatique et libertés ».

Elle souligne toutefois que, pour être valables au regard du droit communautaire, les possibilités, pour les législations nationales, de déroger à un règlement européen doivent être prévues dès l'origine, soit sous la forme d'une clause générale, soit sous la forme de clauses ponctuelles, pour chaque question où l'on souhaite préserver la compétence du législateur national.

C'est pourquoi, votre commission vous propose d'appeler le Gouvernement à veiller, dans la négociation qui s'engage, à ce que l'harmonisation proposée ne s'effectue que dans le sens d'une meilleure protection des personnes et qu'elle ne prive pas les États membres de la possibilité d'adopter des dispositions nationales plus protectrices des droits individuels.

Elle observe, d'ailleurs, que la proposition de règlement renvoie près d'une cinquantaine de fois à des actes délégués ou des actes d'exécution, adoptés par la Commission européenne pour compléter la législation européenne en la matière. Le nombre et l'importance de ces renvois, qui ont été unanimement critiqués par les personnes entendues par votre rapporteur, manifestent l'incomplétude du dispositif proposé et la nécessité d'y apporter des précisions, voire des garanties nouvelles.

Pour cette raison, elle juge utile de rappeler, dans la proposition de résolution européenne, que de telles décisions ne peuvent échoir exclusivement à la Commission européenne et qu'elles doivent être débattues, selon le cas, par les législateurs européens ou nationaux ou les autorités de contrôle nationales, regroupées au niveau européen.

B. REPOUSSER LE CRITÈRE DU « PRINCIPAL ÉTABLISSEMENT » ET RETENIR LA COMPÉTENCE DE L'AUTORITÉ DE CONTRÔLE DU PAYS OÙ RÉSIDE LE PLAIGNANT

La proposition de règlement attribue la compétence pour instruire l'ensemble des plaintes dirigées contre un responsable de traitement à la seule autorité de contrôle du pays où un responsable de traitement a son principal établissement, où que réside le plaignant.

Votre commission considère qu'une telle disposition pose, comme la précédente, une question de principe.

En effet, ce dispositif aboutit paradoxalement, dans un texte dont l'objet principal est d'élever le niveau de protection des données personnelles, à traiter plus favorablement le responsable de traitement que le citoyen, puisque le premier bénéficie d'un interlocuteur unique, appliquant le droit du pays où l'entreprise a son principal établissement, alors que le second doit s'adresser à une autorité différente de celle dont il est le plus proche, et qui applique le droit dont il relève.

Il présente en outre de nombreux inconvénients pratiques : il imposerait, lorsqu'une question de protection des données est étroitement liée à une question relevant d'un autre champ du droit, comme celui de la famille ou du travail, à l'autorité de contrôle compétente d'interpréter des dispositions de droit étranger.

Il poserait aussi la question des moyens financiers et humains alloués à l'autorité de contrôle, afin qu'elle puisse prendre en charge un contentieux international qui pourrait être d'une ampleur bien supérieure à celle du contentieux relatif à ses propres ressortissants.

À titre d'illustration, le budget de l'autorité de contrôle irlandaise (Data protection commissioner), qui serait compétente au regard de la présente proposition de règlement européen pour instruire notamment toutes les réclamations des citoyens européens contre le réseau social « Facebook », était, en 2009, de 2,931 millions d'euros, pour un pays de 4,6 millions d'habitants31(*).

Enfin, le dispositif proposé créerait une asymétrie entre les recours administratifs auprès de l'autorité de contrôle et les recours juridictionnels contre les responsables de traitement : les premiers seraient portés devant les autorités ou les juridictions du pays étranger, les seconds devant les juridictions nationales de l'intéressé.

Les quelques aménagements prévus par le texte, pour améliorer la coordination entre les autorités de contrôle et permettre que le plaignant s'adresse à son autorité nationale aux fins de transmission de sa plainte à l'autorité étrangère ne remédient pas à l'affaiblissement, par ce dispositif, du droit du citoyen européen à un recours effectif, exercé auprès de l'autorité qui lui est la plus accessible.

Votre commission juge nécessaire, pour l'ensemble de ces raisons, d'appeler la vigilance du Gouvernement sur cette question, afin qu'il défende l'abandon de ce critère d'attribution de compétence au profit de celui, déjà connu en droit de la consommation, de la compétence de l'autorité de l'État membre où réside le plaignant.

C. VEILLER À L'EFFECTIVITÉ DE LA PROTECTION DES DONNÉES PERSONNELLES MISE EN PLACE

1. S'assurer que les autorités de contrôle disposeront des pouvoirs nécessaires à leurs missions

Sur proposition de notre collègue M. Jean-Paul Amoudry, votre commission a souligné le caractère trop restrictif des pouvoirs d'investigation des autorités de contrôle dans le dispositif proposé par la Commission européenne.

En effet, l'article 53, 2e alinéa, b) du texte ne permet à ces dernières d'avoir accès aux locaux ou aux fichiers des responsables de traitement que « s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire au présent règlement », ce qui leur imposera de recueillir en amont suffisamment d'informations concordantes pour soupçonner une pratique illégale.

Or, dans le même temps, en supprimant la plupart des formalités préalables de déclaration pour la création d'un fichier, la proposition de règlement supprime la principale source d'information des autorités de contrôle sur la mise en oeuvre du traitement.

Le risque est grand, alors que les autorités de contrôle ne pourront plus obtenir d'informations qu'en procédant à des enquêtes, qu'elles ne puissent ouvrir ces enquêtes, faute de disposer préalablement d'informations suffisantes pour fonder le « motif raisonnable » leur permettant de supposer qu'une activité contraire à la protection des données s'exerce au sein de l'entreprise.

2. Compléter le régime de protection des données personnelles

La proposition de règlement comporte un certain nombre d'avancées. Toutefois, certaines doivent être améliorées pour assurer une protection effective des données personnelles.

Ainsi, en dépit de sa consécration par le texte, mais faute d'obligations spécifiques pesant sur les moteurs de recherche, le droit à l'oubli se trouve largement privé de toute effectivité : si l'intéressé se voit reconnaître la possibilité d'obtenir la rectification d'un contenu qui lui est préjudiciable, il n'a pas de moyen de contraindre les moteurs de recherche qui ont référencé l'ensemble des sites internet ayant reproduit ses données personnelles à supprimer cette indexation.

Votre commission juge pour cette raison opportun de prévoir une procédure de déréférencement, à la demande de l'intéressé, ou, de manière automatique, passé un certain délai.

De la même manière, il serait nécessaire de réfléchir à une solution équilibrée pour autoriser, sur demande de l'intéressé, l'effacement des données publiées par un tiers qui lui portent préjudice, dans le respect de la liberté d'expression.

Reprenant une proposition formulée par nos collègues M. Yves Détraigne et Mme Anne-Marie Escoffier dans leur rapport d'information précité sur « la vie privée à l'heure des mémoires numériques », votre commission propose que l'adresse IP (Internet Protocol) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier l'individu concerné.

Il conviendrait en outre que les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données soient mieux encadrées. En effet, en l'état, le point h de l'article 44 de la proposition de règlement exonère de toute obligation les responsables de traitement procédant à des transferts « ni fréquents ni massifs », sans que ces conditions soient précisément et strictement définies, ce qui pourrait autoriser certains abus.

La désignation obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés - seuil qui correspond à celui des grandes entreprises en droit européen32(*) - est un progrès, car un tel référent favorise la diffusion, au sein de l'entreprise de bonnes pratiques. Il semble toutefois à votre commission, comme l'ont recommandé au cours de leur audition les représentants de l'association française des correspondants à la protection des données à caractère personnel, qu'une telle obligation de désignation pourrait utilement être étendue, même pour des effectifs inférieurs à ce dernier seuil, aux entreprises dont la principale activité est celle du traitement de données personnelles.

*

* *

Au bénéfice de l'ensemble de ces observations, votre commission a adopté la proposition de résolution dont le texte suit.

PROPOSITION DE RÉSOLUTION EUROPÉENNE

_______

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu l'article 2 de la Déclaration des droits de l'homme et du citoyen,

Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 16,

Vu la charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel,

Vu la proposition de loi de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER (n° 81, 2009-2010) visant à mieux garantir le droit à la vie privée à l'heure du numérique, adoptée par le Sénat le 23 mars 2010,

Vu le rapport d'information de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER (n° 441, 2008-2009) au nom de la commission des lois du Sénat sur « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information »,

Vu la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (COM [2012] 11 final/n° E 7055) en date du 27 janvier 2012,

Approuve l'objectif poursuivi par la Commission européenne, en ce qu'elle souhaite promouvoir une approche globale de la protection des données personnelles, qui repose sur une harmonisation des règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers ;

Prend acte des avancées que porte la proposition de règlement s'agissant, entre autres, de la promotion du droit à l'oubli numérique, de la consécration du principe du consentement exprès à l'utilisation des données personnelles, de l'obligation de portabilité des données personnelles, qui permettra à une personne de s'affranchir d'un responsable de traitement sans perdre l'usage de ses données, des limitations apportées aux possibilités de profilage à partir de ses données personnelles, de la présence obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou de l'encadrement, notamment par des règles d'entreprise contraignantes, des transferts internationaux de données ;

Estime, toutefois, que ces garanties doivent être renforcées ;

En particulier ;

Appelle, s'agissant du droit à l'oubli, à ce que les obligations pesant sur les moteurs de recherche soient renforcées afin d'une part de prévoir l'effacement automatique des contenus indexés au bout d'un délai maximum, et, d'autre part, de permettre à l'intéressé d'obtenir la désindexation de ceux qui lui portent préjudice ;

Juge nécessaire qu'une solution équilibrée soit proposée pour obtenir, sur demande de l'intéressé, l'effacement des données personnelles publiées par un tiers, dans le respect de la liberté d'expression ;

Souligne la nécessité que l'adresse IP (Internet Protocol) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier la personne concernée ;

Estime inopportunes les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données, s'agissant notamment des transferts ni fréquents ni massifs ;

Considère que l'obligation de désignation d'un délégué à la protection des données pourrait être étendue aux entreprises dont la principale activité est celle du traitement de données personnelles ;

Estime en outre, de manière générale, que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable et compte tenu de l'inégalité de moyens entre le responsable de traitement et l'intéressé qui lui a confié ses données personnelles, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes ; qu'elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices ;

Conteste par ailleurs le nombre important d'actes délégués et d'actes d'exécution que la proposition de règlement attribue à la compétence de la Commission européenne, alors qu'un certain nombre pourraient relever soit de dispositions législatives européennes ou nationales, soit, compte tenu de leur complexité technique, d'une procédure qui associe plus fortement les autorités de contrôle nationales, regroupées au niveau européen ;

Juge l'encadrement des pouvoirs d'investigation des autorités de contrôle nationales trop restrictif, notamment l'exigence, pour engager une enquête, d'un « motif raisonnable » de supposer qu'un responsable de traitement exerce une activité contraire aux dispositions du règlement. En effet, les formalités préalables pesant sur les responsables de traitement étant supprimées, ces investigations constituent, dans le dispositif proposé, la principale source d'information de ces autorités sur la mise en oeuvre des traitements ;

S'oppose, enfin, au dispositif du « guichet unique » proposé par la Commission européenne, en ce qu'il attribue compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement ;

Considère en effet, qu'il est paradoxal que le citoyen soit moins bien traité que l'entreprise responsable du traitement, en étant privé de la possibilité de voir l'ensemble de ses plaintes instruites par l'autorité de contrôle de son propre pays ;

Rappelle, à cet égard, que, lorsqu'il s'agit d'assurer la meilleure protection du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l'intéressé de s'adresser à l'autorité la plus proche de lui et auprès de laquelle il a l'habitude d'accomplir ses démarches ;

Constate que le dispositif proposé présente, en dehors de cette question de principe, de multiples inconvénients pratiques :

- risque de disproportion entre les moyens alloués à l'autorité de contrôle en considération des contentieux relatifs à ses ressortissants et l'ampleur du contentieux international qu'elle pourrait être appelée à traiter ;

- asymétrie, pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ;

Relève que ni les mécanismes de cohérence ou de coordination entre les autorités, ni la possibilité offerte au plaignant d'adresser sa plainte à son autorité nationale, à charge pour celle-ci de la transmettre à l'autorité compétente, ne compensent les inconvénients du dispositif, ni le désavantage pour l'intéressé de ne pouvoir faire instruire sa demande par l'autorité de contrôle nationale ;

Demande, par conséquent, au Gouvernement de veiller, d'une part, à ce que la possibilité pour les États membres d'adopter des mesures plus protectrices des données personnelles soit préservée, et, d'autre part, à ce que le principe de la compétence de l'autorité de contrôle du pays où le responsable de traitement a son principal établissement soit abandonné au profit du maintien de la compétence de l'autorité de contrôle du pays de résidence de l'intéressé.

EXAMEN EN COMMISSION

(Mercredi 29 février 2011)

_______

M. Jean-Pierre Sueur, président. - Nous allons examiner, en application de l'article 73 quinquies du Règlement du Sénat, le rapport de M. Simon Sutour sur la proposition de résolution européenne n° 406 sur la proposition de règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, un sujet qu'a éclairé l'audition de la commissaire européenne Viviane Reding. Nous verrons plus tard la résolution complémentaire sur la subsidiarité adoptée par la commission des affaires européennes.

M. Simon Sutour, rapporteur. - Notre commission a en effet examiné la semaine dernière une proposition de résolution européenne ; jeudi, la commission européenne a adopté une autre proposition de résolution, dans le cadre de la subsidiarité.

Avant de passer à l'examen des amendements, rappelons les grands principes qui ont guidé notre réflexion. Sur le même sujet, il y a une proposition de règlement et une proposition de directive. Nous nous sommes intéressés à la première, parce qu'elle intéresse directement les citoyens de l'Union, plutôt qu'au second. Elle comporte 91 articles. Notre propos n'est pas d'adopter une position sur chacun. La proposition fait l'objet d'une procédure de codécision entre Conseil des ministres et Parlement européen, qui va durer plusieurs mois : il s'agit de peser dans le débat, en tant que Parlement national auprès du Gouvernement pour défendre au mieux nos concitoyens. Pour cela, il convient de préserver la lisibilité du texte. Ensuite, ne limitons pas l'analyse aux seules autorités de contrôle, même si nous avons à coeur, comme toujours, d'amplifier leurs capacités d'action.

Alinéa additionnel après l'alinéa 5

M. Yves Détraigne. - Par l'amendement n° COM-2, il s'agit de rappeler, en tête de la proposition, l'importance de la loi du 6 janvier 1978. Un visa supplémentaire, donc.

L'amendement n° COM-2, accepté par le rapporteur, est adopté.

Alinéa 16

L'amendement rédactionnel n° COM-3, accepté par le rapporteur, est adopté.

Alinéa additionnel après l'alinéa 18

M. Pierre-Yves Collombat. - L'amendement n° COM-1 conforte la position du Sénat sur le texte relatif à la protection de l'identité : lorsqu'il y a le choix entre différentes technologies, il faut retenir la plus protectrice des droits des personnes. Cet élément tangible donnera du poids à cette proposition de résolution. Sans quoi, nous nous limiterons à énoncer des droits dont personne ne sait qui les fera respecter.

M. Simon Sutour, rapporteur. - Cet amendement ne renvoie ni à une disposition de la proposition de règlement, ni à un élément de droit national dont nous demanderions le maintien, ce qui est gênant. Retrait ?

M. Jean-Jacques Hyest. - Oui !

M. Pierre-Yves Collombat. - J'avoue ma totale incompréhension. Si cet amendement passe à la trappe, l'exercice est totalement vain !

M. Jean-René Lecerf. - La « technologie la plus protectrice des droits des personnes » ? Autrement dit, la moins protectrice de la sécurité des personnes, c'est inacceptable. Je ne suis pas favorable à cet amendement.

Mme Virginie Klès. - Pas du tout d'accord ! Assurer la sécurité, c'est protéger le droits des personnes d'aller et venir en toute liberté et en tout anonymat.

M. Jean-Jacques Hyest. - La question de la technologie ne relève pas de ce projet de règlement européen, c'est un autre débat.

M. Jean-Pierre Sueur, président. - Il n'y pas d'hostilité manifestée à l'égard de la proposition de M. Collombat...

M. Pierre-Yves Collombat. - Les intentions européennes sont magnifiques, les résultats sont calamiteux : casuistique imparable !

M. Jean-Pierre Sueur, président. - Mme Klès lui apporte son ardent soutien...

Mme Éliane Assassi. - Moi aussi !

M. Simon Sutour, président. - Cet amendement concerne davantage la proposition de directive, qui traite des fichiers de souveraineté et de recherche criminelle, que le projet de règlement qui se limite aux fichiers commerciaux.

M. Jean-Pierre Sueur, président. - L'intention de M. Collombat pourra donc se manifester à l'occasion du projet de directive.

M. Simon Sutour, rapporteur. - Bien sûr, on y reviendra.

M. Jean-René Lecerf. - L'objet de l'amendement n'est pas exact. Si nous suivions la logique de notre excellent collègue, il faudrait choisir systématiquement la technologie la plus protectrice des droits, soit celle sans fichier central qu'il n'a jamais souhaitée, contrairement à moi.

L'amendement n° COM-1 n'est pas adopté.

Alinéa 21

L'amendement rédactionnel n° COM-4, accepté par le rapporteur, est adopté.

Alinéa additionnel après l'alinéa 22

M. Yves Détraigne. - La proposition de règlement conditionne la possibilité, pour les autorités de protection, de mener des investigations à l'existence d'un « motif raisonnable » de suspicion, une restriction que le Sénat ne peut pas accepter. D'où l'amendement n° COM-5.

M. Simon Sutour, rapporteur. - En accord avec M. Amoudry, avec qui j'ai travaillé ce matin, je suggère de modifier la rédaction de l'amendement et de l'insérer plutôt après l'alinéa 19. Sous réserve de cette rectification de fond et de forme, avis favorable.

M. Yves Détraigne. - La rectification est acceptée.

L'amendement n° COM-5 rectifié est adopté.

M. Yves Détraigne. - Durant l'audition de la commissaire européenne Mme Viviane Reding, nous avons largement regretté les pouvoirs que la proposition de règlement confère à la Commission européenne. Elle seule déterminera et précisera les conditions de mise en oeuvre des dispositions et des droits nouveaux. D'après la Commission, l'application totale de ce règlement prendra une dizaine d'années. Nous entendons, par l'amendement n° COM-6, nous opposer à cette atteinte au principe de subsidiarité.

M. Simon Sutour, rapporteur. - Nous partageons votre préoccupation, nous l'avons tous dit lors de l'audition de Viviane Reding. Il est tout à fait anormal que le projet de règlement renvoie à une trentaine d'actes délégués et à une vingtaine d'actes d'exécution. D'où la proposition de résolution portant avis motivé sur la subsidiarité que je vous présenterai dans un instant.

L'amendement n° COM-6 est retiré.

La proposition de résolution européenne est adoptée dans la rédaction issue des travaux de la commission.

Le sort des amendements examinés par la commission est retracé dans le tableau suivant :

PROPOSITION DE RÉSOLUTION EUROPÉENNE

Auteur

Objet

Sort de l'amendement

M. AMOUDRY

2

Rédactionnel

Adopté

M. AMOUDRY

3

Rédactionnel

Adopté

M. COLLOMBAT

1

Utilisation de la technologie
la plus protectrice des données personnelles

Rejeté

M. AMOUDRY

4

Rédactionnel

Adopté

M. AMOUDRY

5

Pouvoirs d'investigation
de l'autorité de contrôle

Adopté avec modification

M. AMOUDRY

6

Limitation de la législation
déléguée à la Commission européenne

Retiré

ANNEXES

_______

ANNEXE 1
COMPTE RENDU DE LA RÉUNION DU 21 FÉVRIER 2012

_______

La commission procède à l'audition commune avec la commission des affaires européennes de Mme Viviane Reding, vice-présidente de la Commission européenne chargée de la justice, des droits fondamentaux et de la citoyenneté.

M. Simon Sutour, président de la commission des affaires européennes. - Nous vous souhaitons la bienvenue, madame la commissaire, pour cette audition organisée conjointement par la commission des lois et la commission des affaires européennes. Vous êtes chez vous au Palais du Luxembourg ... compte tenu de votre nationalité, même si les commissaires européens ne défendent que l'intérêt général européen. Vous accomplissez votre troisième mandat à la Commission : votre expérience est donc grande, et nous nous en félicitons car votre portefeuille comprend le dossier sensible des droits fondamentaux des citoyens européens. Vous avez rempli pleinement votre rôle, qu'il s'agisse des Roms ou de l'évolution inquiétante en Hongrie, et je m'en félicite.

Cette audition sera toutefois principalement consacrée à la protection des données personnelles, à laquelle vous savez le Sénat très attentif. Je vous interrogerai en tant que rapporteur du projet de règlement européen à ce sujet, et M. le président de la commission des lois présidera cette réunion.

M. Jean-Pierre Sueur, président de la commission des lois. - Nous sommes très honorés de votre présence parmi nous, madame la commissaire. Parmi les sujets dont vous êtes chargée, beaucoup nous tiennent à coeur. En ce qui concerne d'abord le projet de règlement sur la protection des données personnelles, nous craignons que les autorités nationales compétentes ne soient privées de leurs prérogatives, si l'on laisse à l'autorité du pays où telle entreprise de l'Internet a son principal établissement le soin de statuer. La France est très attachée au respect des libertés publiques et à la protection des données personnelles, et elle s'est dotée d'un instrument efficace, la Commission nationale de l'informatique et des libertés (Cnil). Nous redoutons un dumping qui inciterait les entreprises à s'implanter là où la législation est le moins rigoureuse.

Lors du déplacement de la commission des lois à Bruxelles, où nous avons été chaleureusement accueillis par vos services, nous avons eu l'occasion d'évoquer aussi le projet de directive sur l'accès à un avocat au cours d'une procédure pénale, l'espace Schengen, l'action de groupe, les libertés démocratiques en Hongrie. Peut-être voulez-vous d'abord nous présenter l'ensemble de vos missions ?

Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté. - Nous y serions encore demain, car mon champ de compétences est extrêmement vaste. L'Union européenne n'est compétente en matière judiciaire que depuis le traité de Lisbonne. Le principe de subsidiarité s'applique toujours, et les systèmes judiciaires nationaux subsistent, mais je suis chargée de bâtir des ponts entre eux pour que les citoyens européens profitent pleinement de la libre circulation.

La Commission européenne, en revanche, est pleinement compétente en ce qui concerne le défi numérique et la modernisation de la protection des données. Je m'adresse à des experts, puisque le Sénat a publié à ce sujet plusieurs rapports entre 2009 et 2011. Sur le plan des valeurs et des droits individuels, la directive de 1995 n'a rien d'obsolète, mais à l'époque l'Internet n'existait pas : il faut donc adapter notre législation. Le paquet législatif que j'ai mis sur la table le 25 janvier comporte deux aspects : le renforcement des droits des citoyens, et une plus grande sécurité juridique pour nos entreprises.

Une plus grande sécurité juridique, parce que si le marché intérieur existe en théorie, il a du mal à exister en pratique : les entreprises qui veulent profiter de l'ensemble du marché européen sont confrontées à des règles différentes d'un pays à l'autre. En matière de protection des données, il existe au moins 27 régimes juridiques différents, non coordonnés et parfois contradictoires. A cela s'ajoute l'obligation de notification dans les différents pays, paperasserie inutile. Le coût de ces formalités, estimé à 2,3 milliards d'euros par an, pourrait être utilement économisé en temps de crise. En outre, les entreprises européennes sont pénalisées par une concurrence déloyale, puisque les firmes extra-européennes opèrent souvent dans des pays où elles n'ont pas à se soucier de pareille réglementation.

J'ai donc proposé le principe suivant : un continent, une règle. Je me suis inspirée des législations nationales les plus protectrices : l'harmonisation se fera par le haut. C'est très important pour la crédibilité de l'Union européenne : une législation unique pour 27 pays, plus rigoureuse que sur aucun autre continent, s'imposera au monde comme un modèle, bien loin que l'Europe imite le laxisme de certains pays.

Pour que des règles de haut niveau soient appliquées, il faut quelqu'un qui veille au grain, autrement dit un modèle de gouvernance efficace. Or les autorités nationales chargées de la protection des données se sont constituées au fil des ans, en France il y a plus de trente ans, ailleurs tout récemment. Certaines sont très bien équipées, d'autres non. La plupart ne sont pas en mesure de prononcer des sanctions. En outre, elles travaillent sans guère de coordination. Or les grands dossiers outrepassent les frontières. J'ai donc défini le coeur de métier des autorités et prévu entre elles un mécanisme de coopération et d'assistance mutuelle efficace, afin d'assurer une protection crédible et homogène, et d'obliger les entreprises extra-européennes à se plier à nos règles. Entreprises et individus disposeront d'un point de contact unique là où ils sont établis : c'était une aspiration légitime, et bien loin d'affaiblir les autorités nationales, cela renforcera les capacités des plus modestes.

Les règles étant les mêmes pour tous, cela comblera les vides juridiques dont profitent certaines entreprises. Ces règles sont très protectrices : la directive de 1995 l'était déjà, et depuis lors, le traité de Lisbonne et la Charte des droits fondamentaux ont renforcé les garanties. Toute nouvelle législation doit tenir compte de cette base que l'on peut qualifier de « constitutionnelle ».

Je me suis fondée sur un principe simple : les données personnelles appartiennent à l'individu, non à une entreprise ou une administration ; elles sont sa propriété, son patrimoine. L'individu a donc le droit de confier ou non ces données à une entreprise ; s'il le fait, celle-ci doit l'informer en toute transparence de l'usage qu'elle veut en faire, et l'individu doit donner son accord. Il peut aussi retirer à l'entreprise ces données et les donner à une autre : c'est le principe de portabilité, que j'avais, dans mes précédentes fonctions, introduit à propos du numéro de téléphone.

Les entreprises devront se doter d'un système de sécurité pour protéger les données dont elles ont la garde ; si toutefois un problème survenait, elles devraient le notifier dans les vingt-quatre heures au régulateur national et aux personnes concernées. On en est bien loin : récemment, vous vous en souvenez, des gens ont appris par hasard, plusieurs semaines après les faits, qu'une entreprise avait perdu des données relatives à leurs cartes de crédit... Les pouvoirs des autorités nationales seront homogénéisés ; elles pourront notamment prononcer des sanctions lourdes. J'espère qu'elles n'auront pas à le faire, mais si les policiers ne pouvaient pas dresser de procès-verbaux, le code de la route ne serait pas pris très au sérieux...

Les autorités nationales devront aussi travailler de manière plus cohérente. Vous avez souvent appelé au renforcement de la réunion des autorités de contrôle européennes, le « G 29 ». Je propose d'instituer un comité européen de la protection des données, dont le secrétariat sera assuré par le Contrôleur européen de la protection des données, doté d'un président élu pour cinq ans, ce qui en fera une puissance capable de faire respecter le droit européen partout où il serait bafoué. Vis-à-vis de nos partenaires mondiaux, l'Europe pourra ainsi parler d'une seule voix, faute de quoi elle ne s'imposera jamais. Soit dit en passant, ce projet de directive a donné lieu au lobbying le plus intense de l'histoire de la construction européenne...

J'ai aussi voulu consolider les outils existants pour contrôler les transferts internationaux de données : contrôle de l'adéquation, binding corporate rules et clauses contractuelles types. Il sera possible de commercer avec les pays tiers, à condition que nous déclarions leurs règles satisfaisantes.

Ce projet servira de base aux discussions dans les prochains mois.

M. Simon Sutour, président de la commission des affaires européennes. - Ce texte comporte des avancées considérables, mais suscite également quelques interrogations. Tout d'abord, on peut comprendre que la Commission européenne ait fait le choix d'un règlement plutôt que d'une directive, pour que le niveau de protection soit partout le même. Mais s'agira-t-il d'un plafond ou d'un plancher ? L'harmonisation exclut-elle le maintien de dispositions nationales plus protectrices ?

Ensuite, le projet renvoie très fréquemment à des actes délégués ou d'exécution de la Commission européenne. En la matière, les principes ne devraient-ils pas être énoncés par la législation européenne, et les décisions plus techniques prises par les autorités nationales regroupées au sein du G 29 ?

Enfin, selon le principe du guichet unique, une seule autorité de contrôle sera compétente. Mais les plaignants risquent ainsi d'être renvoyés vers l'autorité d'un autre pays, même si elle assure un contrôle moins rigoureux que l'autorité nationale. L'adage veut pourtant que l'on n'administre bien que de près. En outre, on peut se demander si certaines autorités - par exemple celle de l'Irlande, où est implantée Facebook - seront en mesure de traiter les demandes très nombreuses qui leur seront faites. Ne faudrait-il pas plutôt privilégier une gestion de proximité, plus acceptable par les opinions publiques ? Pourquoi ne pas rendre compétente l'autorité du pays où réside le plaignant, comme dans le droit de la consommation ?

M. Jean-Pierre Sueur, président de la commission des lois. - Je me permets d'insister sur ce point. Il est bon de s'aligner sur les règles nationales les plus protectrices. Mais la règle du principal établissement donnerait à certains pays, dont la réglementation est moins stricte que la nôtre, la faculté de statuer sur l'ensemble du champ. Peut-on accepter que le droit irlandais s'applique à tous les utilisateurs de Facebook ?

M. Simon Sutour, président de la commission des affaires européennes. - J'ajoute que si l'Irlande s'est dotée d'une commission de l'informatique et des libertés, le pays ne compte que 4,6 millions d'habitants. Cette commission aura-t-elle les moyens matériels de traiter les plaintes de 500 millions d'Européens ?

Mme Viviane Reding. - Si nous avons choisi un règlement, c'est que, pour peser face à nos partenaires - je suis en train de négocier un accord bilatéral avec les États-Unis, je n'en dis pas plus -, l'Europe doit être dotée d'une règle forte. Première économie au monde, l'Union, avec ses 500 millions de citoyens, pourra ainsi imposer sa loi aux entreprises des pays tiers.

La question des actes délégués est aussi très débattue au Parlement européen. Mais ce choix découle de celui du règlement : ce dernier est conçu pour durer plusieurs décennies, et il doit être assez neutre technologiquement pour pouvoir s'adapter aux évolutions. En cas de problème technique, la Commission pourra proposer une solution, mais la décision appartiendra au Conseil et au Parlement, selon la procédure de codécision. Ce point fera sans doute l'objet de discussions.

Si le guichet unique interdisait toute gestion de proximité, nous aurions proposé une bien mauvaise législation ... Ce n'est heureusement pas le cas. Prenons l'exemple d'un étudiant autrichien ayant eu à se plaindre de l'entreprise Facebook. Conformément au droit actuel, il a dû s'adresser au régulateur irlandais : l'affaire est encore pendante... C'est David contre Goliath ! Désormais, l'étudiant pourra s'adresser au régulateur autrichien, qui négociera avec le régulateur irlandais sur la base de la même loi, selon la procédure d'assistance mutuelle prévue à l'article 55. Des garde-fous sont prévus : si l'autorité du pays où est implantée l'entreprise n'a rien fait dans un délai d'un mois, l'autorité du pays de résidence du plaignant pourra prendre des mesures directement applicables sur son territoire ; en cas d'échec de la procédure d'assistance mutuelle, la Commission européenne donnera son avis sur l'application du droit, et la Cour de justice pourra aussi se prononcer. En aucun cas les citoyens ne seront renvoyés vers une autorité étrangère qui appliquerait un droit moins rigoureux que le droit national.

M. Gaëtan Gorce. - Je salue le courage et la détermination de la Commission européenne sur ce problème ancien et délicat. Les textes proposés présentent des progrès notables, notamment sur le droit à l'oubli. Mais puisque vous avez évoqué David, vous me permettrez d'être un peu frondeur... En France, nous sommes habitués à jouir d'un haut niveau de protection des données grâce à une législation déjà ancienne et à une autorité indépendante qui s'est acquis au fil des années une solide crédibilité. Nous ne voulons pas d'un droit moins rigoureux ni de procédures plus complexes. Le critère du « principal établissement », qui déterminera l'autorité compétente, n'est pas défini de manière claire ; la notion s'entend de différentes manières d'un pays à l'autre.

Vous avez dit que les autorités nationales ne seraient pas affaiblies, mais on peut craindre le contraire. Dans l'état actuel des choses, un citoyen peut déjà s'adresser à l'autorité de son pays de résidence. Dorénavant, son dossier serait transmis à l'autorité du pays où l'entreprise a son « principal établissement ». Les compétences de l'autorité nationale seraient donc amoindries, la procédure allongée et compliquée : car en cas de désaccord entre les deux autorités nationales, il faudrait attendre la décision de la Cour de justice...

Oui à des règles plus protectrices et mieux partagées, mais nous avons de fortes réserves sur les conséquences de cette réforme pour les citoyens. La protection dont bénéficient les Français, qu'il s'agisse du droit applicable, des mécanismes de recours et des délais de réponse, ne doit pas être affaiblie.

M. François Pillet. - On ne peut que se féliciter que la Commission cherche à renforcer les droits des personnes physiques. Mais aux réserves exprimées par M. Gorce, j'ajouterai que la loi, même en Europe, est volatile. Même si ce règlement demeure, qui dit que personne ne sera en mesure de pénétrer les dossiers de données personnelles ? Voilà pourquoi j'aimerais savoir si la Commission envisage de renforcer les protections technologiques.

Mme Virginie Klès. - J'approuve le souci de simplicité, de cohérence et de sécurité juridique pour les entreprises et les particuliers. Pourtant, je m'interroge. Vous avez dit que les données étaient la propriété de l'individu, mais lequel d'entre nous a lu jusqu'au bout la licence de Google, ou l'alinéa disposant que les données seront confiées à un tiers de confiance dont on ignore la nationalité et quel usage il en fera ?

En ce qui concerne le droit à l'oubli, je regrette que l'on n'aille pas jusqu'à imposer la désindexation des données des moteurs de recherche.

A la suite de la réunion du G 29 qui a eu lieu hier, il semble que les Etats auront le droit d'adopter des normes plus contraignantes que la règle européenne pour certains traitements particuliers. Lesquels ? Comment cela s'articulera-t-il avec le droit de recours ?

Vous dites vouloir contraindre les entreprises implantées dans des pays où il existe des vides juridiques à se plier au droit européen, mais ce sera difficile, faute de moyens pour les conseiller et les contrôler.

Enfin, vous prétendez renforcer les autorités nationales, tout en limitant leur pouvoir de contrôle : elles ne pourront plus procéder à des contrôles préventifs que dans les cas où il existera un motif raisonnable de supposer l'existence d'activités contraires au règlement.

M. Jean Bizet. - Mme Klès m'a devancée. Est-ce l'intense lobbying auquel vous avez fait face qui vous a conduite à ne pas imposer la désindexation des données par les moteurs de recherche ?

Le projet de règlement ne signe-t-il pas la fin du pouvoir de contrôle préventif des autorités nationales ?

M. Yves Détraigne. - Au plan des principes, le projet de règlement va dans le bon sens, mais je m'inquiète des difficultés auxquelles seront confrontés les citoyens européens pour faire valoir leurs droits. Le droit à l'oubli est très important à l'heure des réseaux sociaux. Or, si l'on n'exige pas le déréférencement des données par les moteurs de recherche, elles réapparaîtront un jour ou l'autre. Ne faut-il pas instituer un droit au déréférencement ?

M. Jean-Paul Amoudry. - Le projet de règlement reconnaît les règles d'entreprise contraignantes pour encadrer les transferts internationaux de données, les fameuses binding corporate rules (BCR). Mais il prévoit une dérogation, grâce à laquelle il serait possible de procéder à des transferts hors de tout instrument juridique contraignant. Pour quelles raisons ? Pourquoi ne pas confier au G 29 le pouvoir de définir le référentiel des BCR ?

Les formalités auxquelles sont soumises les entreprises - déclarations, demandes d'autorisation... - seront presque supprimées. En contrepartie, ne faudrait-il pas renforcer les moyens de contrôle des régulateurs ? Certes, la désignation d'un correspondant « informatique et libertés » sera obligatoire, et des audits de sécurité sont prévus. Mais ne pourrait-on charger le G 29 de certains des actes délégués et d'exécution prévus par le règlement ?

M. Christophe-André Frassa. - La Commission a choisi de procéder par voie de règlement sur les matières couvertes par la directive de 1995, par voie de directive sur les questions de police et de justice qui relevaient naguère du « troisième pilier ». Dans ces conditions, ne peut-on craindre que les règles relatives à la police et à la justice soient moins contraignantes que les autres ? Pourquoi ne pas avoir retenu le même instrument juridique ?

Je m'inquiète aussi des conséquences politiques du critère de l'établissement principal. Au lieu de construire une Europe transparente et proche des citoyens, on rend compétentes des autorités parfois installées à des milliers de kilomètres des plaignants, et qui s'expriment dans une autre langue : cela risque de renforcer l'image technocratique de l'Union. Comment les citoyens comprendront-ils qu'une entreprise active dans leur pays soit responsable devant l'autorité d'un autre pays, situé à l'autre extrémité du continent ?

M. Pierre Bernard-Reymond. - M'autorisez-vous, monsieur le président, à poser une question hors sujet et à me faire le porte-parole de Mme Sophie Joissains, rapporteur du texte sur le parquet européen ?

M. Jean-Pierre Sueur, président de la commission des lois. - Je vous en prie.

M. Pierre Bernard-Reymond. - Mme Joissains souhaite savoir ce que pense Mme Reding de la création d'un parquet européen. Quelles initiatives compte-t-elle prendre ? Faute d'unanimité au Conseil, ne faudrait-il pas s'engager sur la voie d'une coopération renforcée ? Outre la protection des intérêts financiers de l'Union, ce parquet européen ne pourrait-il être chargé des infractions transfrontalières les plus graves ?

Mme Viviane Reding. - Je commencerai par répondre à cette dernière question. Créer un parquet européen est une entreprise extrêmement délicate, qui n'aboutira pas d'un jour à l'autre. On ne saurait détruire les parquets nationaux, oeuvres de centaines d'années. Avant toute chose, je veux renforcer cet embryon de parquet européen qu'est Eurojust, qui est chargé de faire collaborer les procureurs des différents pays. Il faut en faire une machine qui fonctionne : on est encore loin du compte... L'objectif est de lutter avec plus de cohérence contre le crime international. Aujourd'hui, les poursuites s'arrêtent trop souvent aux frontières, soit parce que la définition des crimes n'est pas la même dans le pays voisin, soit parce que l'on rechigne à mener des poursuites à l'étranger. Il faut commencer par le commencement, et je dois m'en tenir aux domaines où les traités me rendent compétente : d'où le projet de directive prévoyant une définition commune du crime et des peines minimales en matière de protection des intérêts financiers de l'Union. Lentement mais sûrement, un parquet européen se constituera en cette matière.

Si cela fonctionne, on pourra alors faire le deuxième pas, et viser les infractions transfrontalières graves.

Serais-je favorable à une coopération renforcée, s'il n'y avait pas de cohérence absolue autour d'un tel projet ? Oui, d'autant que je suis à l'origine de la première coopération renforcée, en matière de divorce international.

M. Jean Bizet. - C'est exact.

Mme Viviane Reding. - Pour nous Luxembourgeois, l'Europe est une question de cohérence. J'essaye d'avoir les 27 à bord, mais plutôt qu'un texte au rabais qui rassemble tout le monde, ne vaut-il pas mieux un texte fort, qui protège l'individu ? Je ne doute pas qu'un bon texte, confirmé par la pratique, aura un effet d'entraînement et que les autres nous rejoindront. Dites à votre collègue, monsieur Bernard-Reymond, que la commissaire et son cabinet sont à sa disposition.

M. Pierre Bernard-Reymond, président. - Mme Joissains a d'ailleurs déjà rencontré vos collaborateurs.

Mme Viviane Reding. - Pourquoi une directive sur les questions de sécurité, ancien troisième pilier ? La Charte des droits fondamentaux s'applique : on ne peut avancer en matière de sécurité sans prendre en considération les droits des individus. Il est bon de le rappeler, étant donné certaines politiques françaises...

Nous ne sommes pas des fonctionnaires, mais des politiques, et devons toujours être réalistes, voir ce qui est faisable, donc applicable sur le terrain. L'ancien troisième pilier est tout sauf démocratique. L'accord passé entre les ministres de l'Intérieur n'est plus compatible avec notre droit fondamental, et devra être « lisbonnisé », si je peux utiliser ce terme, comme tous les accords passés entre quatre murs par les ministres. Plutôt que de les transformer automatiquement, je préfère les reprendre et les adapter. Ce texte, je le « lisbonnise » en le développant, d'une part pour y inclure les droits conférés par les traités et par la Charte, d'autre part pour appliquer la règle non seulement aux transfrontaliers mais aussi à l'intérieur des États. Nous allons donc déjà loin, mais il faut aussi laisser aux gouvernements une certaine latitude pour prendre en compte les spécificités qui leur sont propres.

J'en viens au règlement. Je ne discute pas seulement avec les Français, qui ont le meilleur système au monde, mais aussi avec les autres - qui ont chacun le meilleur système au monde... De tous ces meilleurs systèmes au monde, il s'agit de faire un système européen.

M. Gaëtan Gorce. - Pour cela, il faut la meilleure Commission au monde !

Mme Viviane Reding. - Vous l'avez.

J'ai décidé de retenir les éléments les plus protecteurs des meilleurs systèmes, car je veux une harmonisation vers le haut. Je suis sûre que le Parlement européen m'aidera à rester à ce niveau, sinon à le dépasser. Je solliciterai l'aide des parlements nationaux pour qu'ils freinent les gouvernements, qui voudront sûrement, eux, un texte moins fort. Avis aux amateurs... après les législatives ?

Les procédures seront-elles plus drastiques à l'avenir, ou moins ? Cela fait deux ans que je travaille à ce texte. Nous avons mené des consultations publiques, beaucoup discuté avec les parlements nationaux. Aboutir à un système commun sera une vraie avancée.

La définition de l'établissement principal figure dans le considérant 27. Si elle ne vous paraît pas assez forte, qu'on la renforce. J'accueille toutes les bonnes idées, et le Parlement européen a annoncé qu'il collaborerait avec les parlements nationaux. Je ferai d'ailleurs part aux rapporteurs de mes réunions avec les parlements nationaux, car il faut clarifier les choses et apaiser les craintes de ceux qui redoutent de voir leur système affaibli.

Pas assez de simplification, dites-vous ? D'autres trouvent qu'il y en a trop ! Les experts indépendants ont estimé que les simplifications que je mets sur la table représentent 2,3 milliards d'économies pour nos entreprises.

M. Gaëtan Gorce. - Je parlais des citoyens.

Mme Viviane Reding. - Je vous ai cité l'exemple concret de l'étudiant autrichien. Aujourd'hui, pas de sanction, pas de moyen de forcer une entreprise à agir, le marché est morcelé. Les entreprises européennes du Net et des réseaux sociaux - elles existent - peinent à survivre, m'ont-elles dit, car leurs concurrents ne sont pas soumis aux mêmes règles. Cette concurrence déloyale empêche nos entreprises européennes de croître. Le même droit doit s'appliquer à tous ceux qui s'adressent à des citoyens européens sur le marché européen ; pas question que certains continuent d'échapper aux règles.

La loi est volatile, elle peut changer, dites-vous. C'est plutôt l'interprétation de la loi qui est changeante ! J'ai été parlementaire au Luxembourg pendant dix ans, assez longtemps pour voir une loi dont j'étais rapporteur transformée par les juges et les avocats. La loi est plus difficile à changer quand elle couvre tout le territoire européen et doit être appliquée par toutes les autorités nationales, sous le contrôle l'une de l'autre. En cas de problème, la Cour de Justice européenne interprète, dans le sens du droit fondamental et des citoyens. Heureusement que nous l'avons !

Loin de limiter le contrôle exercé par les régulateurs nationaux, le règlement leur donne des dents pour mordre. Les trois niveaux de sanctions prévus vont très loin. Si le régulateur national les applique, cela va faire mal ; on lui donne un pouvoir semblable à celui qui existe en matière de concurrence. Les régulateurs pourront intervenir de leur propre chef. Nous avons éliminé certaines notifications inutiles. Les Luxembourgeois ont les deux pieds sur terre, et n'aiment guère le bavardage et la paperasserie inutile.

M. Gaëtan Gorce. - En tant que parlementaire français, je ne peux laisser suggérer que les Français n'ont d'autre souci que d'accroître la paperasserie et maintenir un système qu'ils considèreraient comme le meilleur au monde ! On peut débattre de ce sujet courtoisement, avec ironie, mais avec le respect dû à une assemblée parlementaire française.

Mme Viviane Reding. - Monsieur le président, je ne me permettrais jamais de manquer de respect aux parlementaires français.

M. Jean-Pierre Sueur, président de la commission des lois. - M. Gorce parle avec sa spontanéité habituelle. Continuons à dialoguer sereinement.

Mme Viviane Reding. - J'ai donc, disais-je, éliminé les notifications qui me paraissaient inutiles, mais renforcé les moyens des autorités. Si le Parlement européen estime qu'il faut rétablir ces notifications, soit : je suis entre les mains des décideurs, c'est-à-dire du Parlement européen et du Conseil des ministres. Je ne fais que des propositions.

J'ai également exempté les PME de beaucoup de règles administratives que je trouve inutiles, en retenant la définition habituelle des textes européens, soit une entreprise de moins de 250 collaborateurs. Aux législateurs de décider s'ils m'accompagnent dans cette voie ou non. Les jeunes inventeurs, les créateurs de start up peinent à se développer en Europe. Sans les exonérer du respect des valeurs, j'essaye de leur éviter la paperasserie.

Le G 29 est fortement renforcé ; désormais doté d'une cohérence, il pourra influencer les autres régulateurs dans un cadre commun. S'il voit un problème émerger, il pourra initier un processus de cohérence pour le clarifier et le résoudre.

Sur le droit au déréférencement, attention : la plupart des grands moteurs de recherche prétendent que le droit à l'oubli ne serait techniquement pas possible. Nos experts pensent que si. Les citoyens doivent savoir que leurs données peuvent circuler, être vendues à des tiers. Dans certains pays, les données relatives au permis de conduire seraient vendues à des sociétés commerciales ! Pour assurer la transparence, point n'est besoin de soixante pages en petits caractères, mais d'une information claire et précise. Si des adultes décident de laisser filer, soit : c'est leur responsabilité. J'ai en revanche prévu des protections accrues pour les enfants, en-deçà de treize ans. J'aimerai connaître l'avis des élus du peuple français sur ce seuil ; ceux qui sont parents auront sans doute une opinion. En 2009, tous les grands réseaux sociaux avaient signé un accord stipulant que les profils des enfants seraient automatiquement secrets. Trois semaines plus tard, Facebook faisait le contraire... Cette fois-ci, il faudra être très contraignant, et faire appliquer la loi sur tout le territoire européen. Cette réglementation vise à faire de nous un Goliath, capable d'affronter d'autres Goliath. C'est pourquoi certains ont voulu la freiner. Elle est désormais sur la table : aux élus des peuples de voir ce qu'ils veulent en faire. La Commission est là pour les accompagner. Je me réjouis de vous voir collaborer avec les rapporteurs du Parlement européen.

M. Jean Bizet. - Je n'ai pas entendu votre réponse sur les contrôles préventifs. Sur le droit à l'oubli, il faut être très coercitif : à Google, rien d'impossible !

M. Jean-Paul Amoudry. - Vous ne m'avez pas répondu sur le G29 et les actes additifs. Je ne doute pas que la règle sera poussée à l'optimum, mais sera-t-il néanmoins possible pour un État de renforcer la protection au-delà de ce que prévoira le dispositif européen ?

Mme Viviane Reding. - Oui, les autorités peuvent intervenir de leur propre chef. J'ai éliminé la paperasserie qui me paraissait inutile. Le G 29 pourra initier un processus de cohérence pour clarifier et résoudre tout problème qui se poserait. Ses moyens d'action seront renforcés, et il sera équipé en conséquence, au lieu de devoir compter sur des éléments détachés par les autorités nationales.

Non, il n'y aura pas de niveaux de protection différents. C'est l'essence même d'un règlement : une loi identique pour tout le territoire de l'Union européenne. J'ai retenu les règles les plus protectrices des systèmes existants. Un règlement ne règle toutefois pas tous les détails, d'où la possibilité d'actes délégués, par exemple pour prendre en compte les évolutions technologiques. Nous verrons où ces actes délégués seront nécessaires pour profiter de la flexibilité, ou si le législateur préférera fixer les choses une fois pour toutes. Je suis entre les mains des parlementaires et des ministres. J'ai proposé une vision, il peut y avoir des évolutions au fil des travaux parlementaires.

M. Jean-Pierre Sueur, président de la commission des lois. - Je remercie Mme la commissaire pour le soin qu'elle a pris de répondre à toutes les questions.

M. Simon Sutour, président de la commission des affaires européennes. - Merci. Vous avez dit être entre nos mains, madame la commissaire. Nous avons plutôt le sentiment d'être entre les vôtres.... Nos interrogations demeurent. L'harmonisation qu'apporte le règlement est bienvenue, comme le sont de nombreux points, notamment sur le droit à l'oubli. Mais une cinquantaine d'actes délégués, c'est beaucoup, et cela prendra du temps... Espérons que le travail en commun avec le Parlement européen et les parlementaires nationaux permettra d'en réduire le nombre.

Sur le guichet unique, nos interrogations demeurent. Sans prétendre que notre système est le meilleur, il n'est pas mauvais, même s'il peut être amélioré. Nous redoutons une harmonisation vers le bas. Si l'arbre est tordu d'un côté, il faut le tordre de l'autre pour le rendre droit, dit un proverbe chinois !

L'élaboration de ce texte va prendre du temps. Nous définirons une première position le 6 mars, en séance publique. Nous souhaitons ensuite continuer à échanger avec vous pour aboutir à une bonne législation. Merci encore d'être venue à Paris. (Applaudissements)

ANNEXE 2 - COMPTE RENDU DE LA RÉUNION DU 22 FÉVRIER 2012

_______

M. Jean-Pierre Sueur, président. - L'audition de Mme Viviane Reding, hier, était peut-être un peu absconse, et la question de la protection des données personnelles est difficile, mais nous allons profiter des lumières de M. Sutour. Nous aurons d'ailleurs l'occasion de reparler des projets de la Commission européenne, qui devraient faire l'objet de négociations assez longues. Notre commission et celle des affaires européennes ont réservé l'inscription d'un débat sur la présente proposition de résolution européenne à l'ordre du jour de la séance publique du 6 mars.

M. Simon Sutour, rapporteur. - Le sujet est particulièrement important. Jusqu'ici, la protection des données personnelles était régie au niveau européen par une directive de 1995 et une décision-cadre de 2008. Les choses ont beaucoup évolué depuis leur entrée en vigueur, avec le développement d'Internet, et il faut modifier la législation. La Commission a choisi de procéder par voie de règlement sur les matières couvertes par la directive de 1995, et par voie de directive sur celles couvertes par la décision-cadre de 2008. Or un règlement est d'application directe, et ne se transpose pas dans la législation nationale : les Parlements nationaux n'auront donc pas à débattre de ce texte après son adoption.

Voilà pourquoi notre commission s'est saisie, dès le 8 février dernier, des deux propositions de textes, sur le fondement de l'article 73 quinquies du Règlement du Sénat. La commission des affaires européennes s'en est saisie pour avis, et les examinera aussi sous l'angle de la subsidiarité. Ces deux textes, présentés par la Commission européenne le 25 janvier, devront être adoptés selon la procédure législative ordinaire, c'est-à-dire par codécision entre le Parlement européen et le Conseil de l'Union européenne - la généralisation de cette procédure représentant un grand progrès. Les négociations, d'après le Secrétariat général aux affaires européennes, devraient durer deux ou trois ans, mais Mme Reding est un peu plus optimiste.

Jusqu'ici, je l'ai dit, le socle du droit européen de la protection des données personnelles était constitué par la directive du 24 octobre 1995, relative aux fichiers civils et commerciaux, et par la décision-cadre du 27 novembre 2008, qui porte sur les fichiers dits « de souveraineté », utilisés notamment dans le cadre de procédures pénales. La proposition de résolution que je vous soumets ne concerne que la proposition de règlement relatif aux fichiers civils ou commerciaux, destinée à se substituer à la directive de 1995, car les problèmes posés par la proposition de directive sont très différents, et il était difficile d'aborder les deux textes de front dans le délai imparti. Le second pourra faire l'objet ultérieurement d'un examen plus approfondi par nos deux commissions.

Très largement inspirée de la législation française, pionnière en la matière, la directive de 1995 a marqué en son temps une avancée décisive. Cependant, de l'avis général, il est aujourd'hui nécessaire de franchir une nouvelle étape. Car cette directive n'a pas permis une harmonisation suffisante de la protection des données personnelles dans les Etats membres : ainsi, jusqu'en 2011, l'autorité de contrôle britannique ne disposait d'aucun pouvoir de sanction contre les responsables de traitements. En outre, la mondialisation a multiplié les transferts de données avec des Etats tiers, et il convient d'unir nos forces pour imposer aux Etats non européens le respect de certaines règles. Enfin, la directive de 1995 est obsolète : la révolution des nouvelles technologies, l'explosion d'Internet, la multiplication et la place toujours plus importante des réseaux sociaux, l'indexation massive des contenus publiés en ligne accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de consultation ou d'exploitation, notamment à des fins commerciales.

La Commission européenne a appelé, dans une communication de novembre 2010, à une approche globale du problème, et la proposition de règlement est l'aboutissement de ses travaux. Ce texte renforce sensiblement la protection des personnes. Il impose leur consentement exprès à l'utilisation des données qui les concernent. Il reconnaît aux internautes un « droit à la portabilité » de leurs données, grâce auquel ils pourront s'affranchir de l'autorité de traitement sans perdre l'usage de leurs données. Il réaffirme le droit d'opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité pour les responsables de traitement de soumettre les données recueillies à un « profilage » informatique. Il consacre un droit à l'oubli numérique, en permettant à chacun d'obtenir l'effacement des données personnelles qui lui portent préjudice.

Les fichiers seraient soumis à de nouvelles règles d'autorisation ; les plus sensibles devraient faire l'objet d'une étude d'impact. La règlementation relative au transfert de données vers des pays tiers serait modifiée.

Les responsables de traitement se verraient imposer des obligations nouvelles, comme la désignation d'un délégué à la protection des données dans les entreprises de plus de 250 salariés, et les sanctions contre les entreprises contrevenantes seraient renforcées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant un comité européen de la protection des données, auquel serait associé le Contrôleur européen de la protection des données, qui se substituerait à l'actuel groupe de travail réunissant les « Cnil » européennes, dit « G 29 ».

On doit se féliciter de ces propositions. Certaines de ces mesures sont déjà en vigueur dans notre droit, comme l'exigence du consentement exprès, le droit d'opposition ou de rectification, ou encore l'indépendance et les pouvoirs de l'autorité de contrôle. Sous d'autres aspects, le texte consacre des évolutions attendues. Je rends hommage à nos collègues Yves Détraigne et Anne-Marie Escoffier qui, dans leur rapport d'information sur la vie privée à l'heure du numérique, puis dans leur proposition de loi rapportée par Christian Cointat, suggéraient déjà de reconnaître le droit à l'oubli et d'imposer la désignation de délégués à la protection des données. Regrettons que cette proposition de loi, adoptée à l'unanimité par le Sénat il y a près de deux ans, n'ait jamais été examinée par l'Assemblée nationale...

Sur d'autres points, il serait possible d'aller plus loin, comme sur le droit à l'oubli et les moteurs de recherche, le statut juridique de l'adresse IP, l'encadrement des transferts internationaux de données, ou encore l'obligation de désigner un délégué à la protection des données personnelles.

Surtout, la proposition de règlement pose deux questions de principe. On se demande d'abord dans quelle mesure le législateur national pourra adopter des dispositions plus protectrices que le droit européen. La Commission a fait le choix d'un règlement plutôt que d'une directive, afin de mieux harmoniser les législations. Mais s'agira-t-il d'un plancher ou d'un plafond ? Peut-on envisager qu'en élevant le niveau moyen de protection apporté aux citoyens européens, le règlement diminue celui dont bénéficient les résidents d'un Etat membre qui a fait le choix de garanties complémentaires ? La question intéresse tout particulièrement les Français, qui bénéficient d'une législation pionnière en la matière.

La protection des données personnelles participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle, mentionnée à l'article 2 de la Déclaration des droits de 1'homme et du citoyen. Cet ancrage constitutionnel justifie que la protection des données prime toutes les autres considérations, notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes. J'ai été un peu choqué d'entendre Mme Reding insister hier sur l'intérêt pour les entreprises d'avoir affaire à un interlocuteur unique, beaucoup plus que sur les droits des citoyens.

M. Pierre-Yves Collombat. - C'est le cadet de ses soucis...

M. Simon Sutour, rapporteur. - La proposition de résolution invite donc le Gouvernement français à veiller à ce que 1'harmonisation s'effectue sans préjudice de la possibilité pour les Etats membres d'adopter des dispositions plus favorables à la protection des données.

D'ailleurs, la proposition de règlement ne définit pas assez précisément le cadre légal qu'elle met en place. Cela se manifeste par le renvoi, plus de cinquante fois dans le texte, à des actes délégués ou d'exécution adoptés par le collège des commissaires, pour préciser les modalités d'application du règlement. Toutes les personnes que j'ai entendues ont critiqué ce renvoi massif à la législation déléguée. La commission des affaires européennes se prononcera sur le respect du principe de subsidiarité, sur le fondement de l'article 88-6 de la Constitution.

Le texte pose une deuxième question de principe, soulevée notamment par la Cnil dont la présidente a alerté notre commission lors de son audition en novembre dernier. Il s'agit du « guichet unique ». La Commission européenne propose d'attribuer la compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement a son « principal établissement ». L'objectif avoué est de faciliter les démarches administratives des entreprises, qui n'auront plus qu'un interlocuteur unique à l'échelle de l'Union ; leurs représentants s'en félicitent. N'est-il pas paradoxal que les citoyens soient moins bien traités que les entreprises, et privés de la possibilité de voir l'ensemble de leur plaintes instruites par l'autorité de contrôle nationale ? Puisqu'il s'agit ici de protéger les citoyens et de leur assurer un droit de recours effectif, il faut - comme en matière de consommation - qu'ils puissent s'adresser à l'autorité la plus proche, auprès de laquelle ils ont l'habitude d'accomplir leurs démarches.

En outre, sans même évoquer le risque de forum shopping dénoncé par la Cnil - c'est-à-dire le danger que le niveau de protection assuré par les différentes autorités nationales n'influe sur les choix d'installation des entreprises -, le « guichet unique » présente de multiples inconvénients. La question se pose d'abord des moyens des autorités de contrôle : en Irlande, où est installé Facebook, l'autorité nationale sera-t-elle en mesure de faire face à l'afflux de contentieux en provenance des autres pays européens ? Rappelons que l'Irlande ne compte que 4,5 millions d'habitants... En outre, ce système crée, pour le plaignant, une asymétrie entre les recours administratifs exercés auprès de l'autorité étrangère, et les recours juridictionnels portés devant le juge national.

La Commission a certes prévu des aménagements : elle propose une coordination entre autorités de contrôle, et prévoit que l'autorité nationale se chargera de la transmission de la plainte à l'autorité étrangère. La Cnil deviendrait une boîte aux lettres... Ces expédients sont insuffisants : le citoyen se voit privé de la possibilité à la fois de voir sa demande instruite par l'autorité la plus proche et la plus accessible, et de se voir appliquer les dispositions de droit national plus favorables.

C'est pourquoi il me semble nécessaire que le Gouvernement veille à ce que le critère du « principal établissement » soit abandonné au profit du principe selon lequel l'autorité de contrôle compétente est celle du pays de résidence de l'intéressé.

Tel est le sens de la proposition de résolution que je vous propose d'adopter, sous réserve d'éventuels amendements. La commission des affaires européennes s'en saisira pour avis, après s'être saisie du projet de la Commission européenne quant au respect du principe de subsidiarité. La discussion en séance aura lieu le 6 mars.

M. Jean-Pierre Sueur, président. - Je me félicite que la commission se soit saisie de ces deux textes fort importants. Je m'interroge en particulier sur deux points. Tout d'abord, s'il faut se réjouir que le projet de la Commission européenne reconnaisse que les données sont la propriété des personnes, exige leur consentement exprès aux utilisations qui en seront faites et impose le droit à l'oubli, on se demande comment ces dispositions seront appliquées. Comment un citoyen pourra-t-il obtenir la suppression de telle ou telle donnée sur l'ensemble de l'Internet ?

Sur le critère du « principal établissement », qui inquiète la présidente de la Cnil, nous n'avons pas obtenu hier de réponse claire. Mme Reding a dit et répété que le droit le plus exigeant s'appliquerait désormais dans toute l'Union, mais lorsque nous l'avons interrogée sur des problèmes concrets, nous sommes restés sur notre faim.

M. Simon Sutour, rapporteur. - Elle a dit plus exactement avoir pris pour base de réflexion la législation en vigueur dans quelques pays parmi les plus avancés. Là où les données personnelles étaient jusqu'à présent très mal protégées, comme au Royaume-Uni, le projet de la Commission européenne représente un progrès considérable. En France, même si notre système est perfectible et les moyens de la Cnil insuffisants, l'harmonisation proposée se traduirait par une baisse du niveau de protection.

M. Gaëtan Gorce. - Je suis moi aussi très satisfait que nos deux commissions se soient saisies de ce sujet très préoccupant, sur lequel le Parlement français doit s'exprimer dès à présent puisque le règlement ne donnera lieu à aucune transposition. Mme Reding a beau s'exprimer dans un français parfait, je ne l'ai pas trouvée parfaitement claire lors de son audition d'hier. Elle a semblé méconnaître certains aspects du droit existant : je ne sais si un étudiant autrichien ayant affaire à Facebook doit déjà s'adresser au régulateur irlandais, mais il est certain qu'un étudiant français peut se tourner vers la Cnil, qui a le pouvoir de sanctionner une entreprise contrevenante et s'est déjà prononcée sur une affaire concernant Google Earth. Mme Reding n'a pas non plus clarifié la notion de « principal établissement », dont l'ambiguïté est matière à contentieux. Son objectif affiché est d'harmoniser le droit européen, mais elle ne prend pas en compte les différences de niveau de protection d'un Etat à l'autre.

Quant à la suppression des formalités préalables demandées aux entreprises, j'en vois bien l'intérêt pour ces dernières, mais il me paraît inadmissible de parler de « paperasserie » : à ce mot, je suis sorti de ma réserve, sans manquer, je crois, à la courtoisie... Ces formalités préalables sont l'occasion d'un contrôle a priori, même sommaire ; à l'avenir, seul pourrait s'exercer un contrôle a posteriori, par voie contentieuse... Ce serait un recul de la protection des citoyens.

M. Pierre-Yves Collombat. - Les débats récents sur la protection de l'identité ont montré que les moyens techniques étaient au moins aussi nécessaires que les moyens juridiques. Pourquoi ne pas exiger que, lorsque deux techniques sont disponibles, la plus protectrice des droits individuels soit choisie ? Cela offrirait un moyen de contester les décisions des responsables de traitements.

M. Jean-Jacques Hyest. - Je comprends de moins en moins la fabrication des normes européennes. Nous avons appris dans notre jeunesse à distinguer les règlements, d'application immédiate, et les directives, qui doivent être transposées en droit interne. Or, selon la proposition de résolution, l'harmonisation européenne ne saurait « priver les Etats membres de la possibilité d'adopter des dispositions nationales plus protectrices ». Mais un règlement, une fois adopté, devient la loi de toute l'Union ! Il en va différemment des directives, que nous avons souvent transposées avec beaucoup de sophistication... Sera-t-il juridiquement possible d'ajouter au règlement d'autres dispositions, nationales celles-ci ? Sans doute faut-il soulever la question de la subsidiarité.

M. Simon Sutour, rapporteur. - La commission des affaires européennes l'a fait.

M. Jean-Jacques Hyest. - La directive de 1995 est devenue obsolète, et le projet de la Commission européenne présente d'incontestables progrès ; il reprend les principes qui fondent déjà la législation de quelques autres pays avancés, dont le nôtre. Mais l'harmonisation se traduirait en France par un recul. En outre, on peut se demander si les recours prévus seront efficaces.

M. Simon Sutour, rapporteur. - Si M. le président le permet, je réponds tout de suite à cette question technique. Il sera permis à un Etat d'adopter des dispositions plus protectrices si le règlement le prévoit explicitement, comme c'est le cas en droit de la consommation.

M. Jean-Jacques Hyest. - Ou en droit des sociétés.

M. Simon Sutour, rapporteur. - Nous parlons d'un texte législatif européen, qui doit être négocié entre 27, bientôt 28 Etats membres : nous sommes au début d'un processus long et complexe, qu'un ancien Premier ministre appelait une partie de pancrace... Le Parlement européen désignera bientôt un rapporteur. Le Sénat doit contribuer à ce débat, et demander à ce que soient préservées les garanties apportées par le droit français.

Mme Virginie Klès. - Je me pose les mêmes questions sur le respect du principe de subsidiarité et la sécurité juridique du dispositif proposé. Quelles seront concrètement les voies de recours ? Je n'ai pas eu de réponse hier sur les contrôles préventifs : la Cnil y est aujourd'hui habilitée, mais le règlement restreint ces possibilités. Enfin, le nivellement par le haut ne sera qu'un voeu pieux si l'on n'y met pas les moyens nécessaires.

M. Alain Richard. - Le choix du règlement par la Commission européenne peut surprendre et gêner ; il ne se comprend que si l'on considère le bilan des directives passées. L'harmonisation des législations nationales par voie de directive s'est grippée. La transposition des textes donne lieu à un concours d'ingéniosité entre Parlements : c'est à qui transposera le moins complètement et le plus tard. Les moyens disponibles pour imposer aux Etats le respect de leurs obligations - action en manquement, astreinte sous le contrôle de la Cour de justice - ne sont pas proportionnés. Ce n'est donc pas par malignité bureaucratique que la Commission a choisi de procéder différemment.

Cependant, la remarque de M. Hyest est tout à fait pertinente. Certes, comme le souligne M. le rapporteur, en droit interne français il n'est jamais interdit d'ajouter à des dispositions protectrices des libertés d'autres dispositions plus protectrices. Mais il faut tenir compte du risque de « discrimination à l'envers » : les entreprises seraient soumises en France à des contraintes supérieures au droit commun européen. Or le principe de la libre prestation de services s'applique. L'obligation asymétrique imposée aux prestataires de services en France pourrait donner lieu à l'invocation d'une discrimination.

Je ne combats pas le choix de la Commission, rendu nécessaire par le fait que certains Etats répugnent à transposer correctement les textes européens, pourtant adoptés régulièrement, en application des traités qu'ils ont signés. Dans ces conditions, il y a fort à parier que le choix du règlement se généralisera.

Mme Catherine Tasca. - Je souscris pour l'essentiel à la proposition de résolution de M. Sutour, et aux remarques qui ont été faites. La prochaine étape sera d'examiner dans quelle mesure le projet de la Commission respecte le principe de subsidiarité. Ce texte suscite de telles inquiétudes que nous devons nous départir des formules habituelles : au lieu d'écrire que le Sénat « se félicite des notables avancées que porte la proposition de règlement », écrivons plus simplement que le Sénat « prend acte des avancées ». Il n'y a pas de raison d'adresser d'emblée un satisfecit à la Commission.

M. Yves Détraigne. - Je salue l'initiative de M. Sutour. Il a rappelé les travaux menés par Mme Escoffier et moi-même. Il faut préserver les protections apportées par le droit français, sans rendre pour autant le système trop contraignant. Il est important d'améliorer les garanties apportées aux citoyens ; Mme Reding a surtout parlé des 2,3 milliards économisés par les entreprises. Le droit à l'oubli est une excellente chose, ainsi que l'obligation de notification des failles de sécurité, mais il faut s'assurer que les citoyens pourront aisément faire valoir leurs droits, en s'adressant au régulateur de leur pays. Prenons garde, toutefois, aux contraintes excessives.

M. Jean-Paul Amoudry. - Je m'inquiète de la réduction des pouvoirs de contrôle des autorités nationales. L'article 53 de la proposition de règlement ne les autorise à procéder à des contrôles dans les locaux des entreprises que « s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire au règlement » : cette condition limitera leur activité et provoquera des contentieux.

Je me réjouis que soit institué un droit à l'oubli, mais la Commission n'est pas allée jusqu'à imposer la désindexation des données par les moteurs de recherche.

On peut aussi se féliciter de la simplification des démarches des entreprises, mais la fin des formalités préalables privera les autorités de contrôle d'un contact permanent avec les responsables de traitement, et ne leur permettra pas d'être au fait des dernières avancées technologiques. En cas de plainte, cette expertise leur fera défaut.

Il faudrait évaluer l'impact de ce projet sur les droits des citoyens. La Cnil sera-t-elle encore en mesure de remplir les missions qui lui ont été confiées par le législateur français ?

Mme Nicole Borvo Cohen-Seat. - Le groupe CRC n'est pas vraiment d'accord avec la proposition de résolution en l'état. Jusqu'à quand pouvons-nous vous faire parvenir nos amendements ?

M. Jean-Pierre Sueur, président. - En application de l'article 73 quinquies du Règlement du Sénat, nous allons adopter aujourd'hui une première fois cette proposition de résolution. Nous examinerons mercredi prochain les éventuels amendements, qui devront être déposés avant lundi midi.

M. Simon Sutour, rapporteur. - Je ne répondrai pas dans le détail à chaque intervention, parce qu'il me manque certains éléments, et parce que nous aurons l'occasion de revenir sur ce texte.

Les autorités nationales conservent un pouvoir de contrôle : l'article 52 de la proposition de règlement les autorise à mener des enquêtes, soit de leur propre initiative, soit à la suite d'une réclamation.

Ce texte est d'une taille imposante, et si nous voulons être audibles, il n'est pas question de le réécrire entièrement. C'est pourquoi j'ai concentré le tir sur deux points. En premier lieu, il faut revoir le critère du « principal établissement », afin qu'un citoyen français n'ait pas à s'adresser à l'autorité de Dublin ; la Cnil a fait ses preuves, et c'est un échelon de proximité. La négociation sera difficile, car nous ne sommes pas nombreux à réclamer une modification de la proposition sur ce point ; peu d'Etats, il est vrai, se sont dotés d'une législation aussi protectrice.

En second lieu, il faut s'assurer que les Etats auront le droit d'adopter des dispositions plus protectrices que la norme européenne ; c'est possible, je le répète, si le règlement le prévoit expressément.

La commission des affaires européennes se prononcera notamment sur le respect du principe de subsidiarité. Elle a mis en place sous ma présidence un groupe de travail à ce sujet, où sont représentés tous les groupes politiques et qui se réunit tous les quinze jours. Il a décidé la semaine dernière de se saisir de ce texte.

M. Jean-Pierre Sueur, président. - Je vous propose d'adopter la proposition de résolution de M. Sutour, en la rectifiant d'ores et déjà pour prendre en compte la remarque de Mme Tasca.

La proposition de résolution, modifiée, est adoptée.

ANNEXE 3 - LISTE DES PERSONNES ENTENDUES

_______

- Mme Anne-Marie Escoffier, sénateur

- M. Yves Détraigne, sénateur

Ministère de la justice et des libertés

- M. Emmanuel Meyer, conseiller « juridictions administratives et questions constitutionnelles »

- M. Vincent Droulle, premier conseiller des tribunaux administratifs et cours administratives d'appel

- Mme Marjorie Bruneau

Secrétariat général des affaires européennes

- M. Emmanuel Barbe, secrétaire général adjoint

- M. Laurent Huet, chef de secteur « Espace judiciaire européen »

- Melle Emilie Brunet, adjointe chef de secteur

- M. Michaël Chaussard, adjoint auprès du conseiller juridique

Commission nationale informatique et liberté

- Mme Isabelle Falque-Pierrotin, présidente

- M. Edouard Geffray, directeur des affaires juridiques, internationales et de l'expertise

- M. Geoffroy Sigrist, attaché parlementaire

Imaginons un reseau internet solidaire

- Mme Meryem Marzouki, présidente

UFC Que choisir

- M. Edouard Barreiro, directeur adjoint du département des études

- Mme Karine de Crescenzo, chargée de mission Europe

Mouvement des entreprises de France (MEDEF)

- M. Marc Lolivier, délégué général de la Fédération du e.commerce et de la vente à distance

- Mme Joëlle Simon, directrice des affaires juridiques

- Mme Emilie Dumérain, chargée de mission

- Mme Ophélie Dujarric, chargée de mission

Fédération française des Télécoms

- Mme Natalie Jouen Arzur, directrice générale adjointe

- M. Philippe Tatoud, directeur juridique à France Télécom

Association française des correspondants à la protection des données à caractère personnel

- M. Paul-Olivier Gibert, président

- Mme Pascale Gelly, administrateur

Microsoft France

- M. Marc Mossé, directeur des affaires publiques et juridiques


* 1 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 2 Rapport d'information « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information » n° 441 (2008-2009) ( http://www.senat.fr/notice-rapport/2008/r08-441-notice.html) et Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique n° 93 (2009-2010), devenue le texte n° 81 (2009-2010) après adoption par le Sénat ( http://www.senat.fr/dossier-legislatif/ppl09-093.html).

* 3 Disponible à l'adresse : http://intranet.senat.fr/compte-rendu-commissions/20111212/lois.html.

* 4 Le compte-rendu de cette réunion est disponible à l'adresse suivante :

http://intranet.senat.fr/compte-rendu-commissions/20120206/lois.html.

* 5 Proposition de règlement du Parlement européen et du Conseil [COM (2012) 11 final] relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (E7055).

* 6 Proposition de directive du Parlement européen et du Conseil [COM (2012) 10 final] relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (E7054).

* 7 Proposition de résolution européenne de M. Philippe GOSSELIN sur la proposition de règlement, n° 4227 - XIIIe Législature, déposée le 27 janvier 2012.

* 8 En application de l'article 73 octies du règlement du Sénat. Ce texte est disponible à l'adresse suivante : http://www.senat.fr/dossier-legislatif/ppr11-424.html.

* 9 Audition de Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté par la commission des lois et la commission des affaires européennes, le mardi 21 février 2012, publiée en annexe au présent rapport.

* 10 Directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* 11 Rapport d'information n° 441 (2008-2009) déposé le 27 mai 2009.

* 12 L'adresse IP est une adresse formée d'une série de chiffres permettant à un ordinateur connecté à internet d'être identifié.

* 13 Face à de fortes disparités parmi les décisions rendues par les juges du fond, la Cour de cassation a, de manière indirecte, conclu que l'adresse IP ne constituait pas une donnée personnelle (Crim. 13 janvier 2009, SACEM et autres c/ Cyrille S., pourvoi n°08-84.088). Cette position n'est toutefois partagée ni par la CNIL (communiqué du 2 août 2007), ni par le groupe européen dit « G29 » (avis n°4/2007 du 20 juin 2007) et entre frontalement en opposition avec une interprétation jurisprudentielle retenue tant par le juge communautaire (CJCE, 29 janvier 2008, Promusicaec/ Telefonica de España SAU, aff. C-275-/06) que par le juge administratif (CE, 23 mais 2007, SACEM et autres, n° 288149, 288150, 288215, 288449).

* 14 Selon le sondage cité par la commission européenne dans la communication qu'elle a adressée aux institutions européennes le 25 janvier 2012 (COM 2012/9 Final).

* 15 Rapport d'information « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information » n° 441 (2008-2009).

* 16 Proposition de loi n° 93 (2009-2010), devenu le texte n° 81 (2009-2010) après adoption par le Sénat.

* 17 L'article 16 du Traité sur le fonctionnement de l'Union européenne dispose ainsi que « Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données ». L'article 8 de la Charte des droits fondamentaux de l'Union européenne dispose, quant à lui que « toute personne a droit à la protection des données personnelles la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données la concernant et d'en obtenir la rectification. Le respect de ces règles est soumis au contrôle d'une autorité indépendante ».

* 18 COM(2010) 609 final.

* 19 Décision-cadre 2008/977/JAI du conseil du 27 novembre 2008 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

* 20 Proposition de directive du Parlement européen et du Conseil [COM (2012) 10 final] relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (E7054).

* 21 Exposé des motifs de la proposition de règlement du Parlement européen et du Conseil [COM (2012) 11 final] relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (E7055).

* 22 Habilitations données à la Commission par le Parlement européen et le Conseil, pour l'adoption d'actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l'acte législatif (article 290 TFUE).

* 23 Actes pris par la Commission pour l'application d'un règlement (Article 291 TFUE).

* 24 Ces règles n'étaient jusque là pas mentionnées dans le texte.

* 25 Lorsque la commission a constaté leur applicabilité générale.

* 26 Cf. le compte rendu de cette audition, reproduit en annexe au présent rapport.

* 27 CC, n° 2004-504 DC du 12 août 2004, Loi relative à l'assurance maladie, Rec. p. 153, cons. 5.

* 28 Article 25 de la loi n° 78-17 précitée.

* 29 Articles 33 et 34 de la proposition de règlement COM 2012/11 final précitée.

* 30 Article 39 de la loi n° 78-17 précitée.

* 31À titre de comparaison le budget de la CNIL est de 17,3 millions d'euros pour un peu plus de 65 millions d'habitants.

* 32 En effet, la recommandation 2003/361/CE de la Commission, du 6 mai 2003, concernant la définition des micro, petites et moyennes entreprises, dispose qu'à moins de 10 salariés, il s'agit d'une micro-entreprise, à moins de 50, une petite entreprise, à moins de 250, une moyenne entreprise.