L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne

B. UN RÉGIME EXIGEANT ET RÉALISTE DE PROTECTION DES DONNÉES À L'ÈRE DU CLOUD ET DU BIG DATA

À en croire certains, et notamment nos partenaires américains, le régime européen de protection des données personnelles serait devenu totalement obsolète car fondé sur les principes de finalité et de proportionnalité, incompatibles avec le big data . Ce dernier défierait en effet le principe de proportionnalité dans la mesure où il consiste en une « accumulation sans cesse croissante de données afin d'augmenter toujours les potentialités d'exploitation et de faciliter l'apparition d'usages imprévus lors de la collecte », ainsi que l'expliquait à votre mission d'information M. Laurent Cytermann, rapporteur général adjoint du Conseil d'État. Aussi mettrait-il à mal le principe de finalité « dès lors que la valorisation des données passe par leur réutilisation à des fins autres que celles pour lesquelles elles ont été collectées mais qu'on ne connaît pas à l'avance », rendant « absurde » un dispositif reposant sur le principe du consentement préalable, pour reprendre les mots de M. Viktor Mayer-Schönberger, professeur à l' Oxford Internet Institute .

Par ailleurs, le cloud computing et l'hébergement de nos données sur des serveurs distants détenus par des sociétés le plus souvent de droit américain, feraient échapper nos propres données, y compris personnelles, à la législation européenne ou, plus précisément, les soumettraient à un droit américain moins protecteur et devenu extraterritorial avec l'adoption du Patriot Act ^{185 ( * )} .

1. Soutenir la validité de l'approche européenne fondée sur l'affirmation d'un droit fondamental à la protection des données personnelles

Bien qu'en partie fondée, la critique consistant à dénoncer l'obsolescence du cadre juridique européen à l'heure du big data repose en fait sur la prétendue opposition voire incompatibilité entre le droit et l'innovation. Les détracteurs du droit préconisent ainsi de renoncer à la régulation au profit de l'autorégulation, la technique étant seule capable de répondre à la technique .

Tel est notamment le cas des voix qui s'élèvent, en particulier outre-Rhin, depuis les révélations de l'affaire Snowden pour appeler à un renforcement de nos capacités de chiffrement et à une diffusion de cette pratique. Toutefois, comme on l'a vu précédemment, le programme Bullrun de la NSA démontre précisément l'inutilité des efforts en la matière puisque l'agence de renseignement américaine avait tout mis en oeuvre pour affaiblir les logiciels et même les normes de chiffrement pour se ménager des « portes dérobées ». Au surplus, répondre par la technique à un problème posé par la technique ne résout pas de manière définitive les difficultés car une nouvelle technique permettra toujours de contourner les sécurités instaurées par la précédente technique . Si le passage des clés de chiffrement de 1 024 bits à 2 048 bits rend a priori le chiffrement plus difficile à casser, ce n'est probablement qu'une question de temps avant le développement de l'ordinateur quantique auquel la NSA travaillerait activement selon Edward Snowden. Le chiffrement ne fait que renchérir la surveillance en ligne sans l'empêcher.

Dans le même ordre d'idées, les procédés d'anonymisation connaissent eux aussi des limites. Comme le rappelaient certaines des personnes entendues par votre mission d'information, dans le big data , peu de données personnelles sont en jeu et, lorsque de telles données sont collectées et utilisées, leur intérêt ne réside pas tant en ce qu'elles dévoilent d'un individu mais en ce qu'agrégées, elles « disent » de populations entières ( cf . supra les méthodes probabilistes mises en oeuvre pour exploiter le big data ). C'est pourquoi, les techniques d'anonymisation sont souvent présentées comme la solution pour protéger les personnes physiques à l'égard du traitement de leurs données personnelles. Cependant, les facultés de réidentification vont s'accroissant ^{186 ( * )} , ce qui a conduit le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, dit « Groupe de l'article 29 » ou « G 29 », qui rassemble les autorités de protection des États membres de l'Union européenne, à émettre une recommandation le 10 avril dernier invitant les responsables de traitement ayant anonymisé des données à effectuer une veille régulière afin de s'assurer du maintien dans le temps du caractère anonyme de celles-ci.

Pour autant, tourner le dos à la technique reviendrait à se priver d'outils à même de contribuer à l'efficience du droit . C'est tout l'intérêt de l'approche en termes de « privacy by design » ou « confidentialité des données dès la conception », c'est-à-dire la technique intégrant les contraintes juridiques dès l'origine. Lors de son audition, M. Bernard Benhamou citait l'exemple des puces RFID ^{187 ( * )} : « de nouvelles actions sont possibles et doivent faire l'objet de négociations internationales, pour une régulation des technologies de l'Internet. Je pense, par exemple, au « droit au silence des puces», c'est-à-dire au fait que les objets connectés qui seront présents dans notre environnement puissent être désactivés : il faut le prévoir en amont, dès la conception des matériels, et non en aval lorsque ces objets seront massivement présents dans l'environnement des citoyens . »

De même, faire de la protection des données le critère par défaut dans le réglage des paramètres d'un appareil ou d'une application permet de s'assurer du consentement de la personne pour activer des fonctionnalités potentiellement attentatoires à sa vie privée comme la géolocalisation. Cette « privacy by default » ou « confidentialité des données par défaut » devrait ainsi être la norme par exemple sur les réseaux sociaux.

Depuis la loi du 6 août 2004 qui a modifié la loi « Informatique et libertés », la Commission nationale de l'informatique et des libertés (CNIL) peut délivrer des labels « à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la [...] loi [Informatique et libertés] » ^{188 ( * )} . D'autres pays européens, en particulier l'Allemagne, se sont engagés dans semblables démarches de labellisation ou de certification, si bien que la Commission européenne a décidé d'expérimenter la mise en place d'un label européen. Conduite avec succès de 2007 à 2009 sous l'égide de l'autorité de protection des données du Land de Schleswig-Holstein, cette expérimentation a été pérennisée. Le projet « EuroPriSe » (pour European Privacy Seal , « Label européen de protection de la vie privée ») est actuellement géré par un consortium réunissant les autorités de protection des données ou organismes privés de certification de huit États membres : l'Allemagne, l'Autriche, l'Espagne, la France, les Pays-Bas, le Royaume-Uni, la Slovaquie et la Suède. La proposition de règlement européen sur la protection des données personnelles en cours de discussion intègre d'ailleurs cette dimension puisque son considérant 77 encourage « la création de mécanismes de certification, ainsi que de labels et de marques normalisées en matière de protection des données ». Il appelle également à la création au niveau européen d'un « label européen de protection des données » « afin de générer un climat de confiance chez les personnes concernées et une sécurité juridique pour les responsables du traitement et, dans le même temps, exporter les normes européennes de protection des données en permettant aux entreprises non européennes d'entrer sur les marchés européens en obtenant cette certification ».

L'étape suivante serait donc de parvenir à l'élaboration de labels au niveau international.

Si les labels sont tellement plébiscités, au premier chef par les acteurs économiques, c'est qu'ils sont perçus comme susceptibles de procurer un avantage concurrentiel dès lors qu'ils permettent d'attester aux yeux des consommateurs de la qualité d'un produit ou d'un service, tout en participant de la diffusion de la « culture Informatique et libertés ».

Ainsi, loin de constituer un frein à l'innovation, le droit peut inciter l'industrie à être plus innovante . Lors de l'examen au Sénat d'une proposition de loi visant à encadrer l'usage des techniques biométriques, ce point a été souligné à de multiples reprises ^{189 ( * )} . Bien que la France soit l'un des seuls pays au monde, si ce n'est le seul, à encadrer l'usage de la biométrie par un contrôle préalable de la CNIL, l'industrie française dans ce secteur a développé une expertise mondialement reconnue. De l'avis de tous, le travail mené entre les acteurs économiques et la CNIL a de fait permis une émulation de l'industrie française qui a dû développer des solutions pour sécuriser au mieux la mise en oeuvre de traitements biométriques, afin de répondre aux exigences de la législation sur la protection des données personnelles. Cet exemple de la biométrie illustre donc l'affirmation de Mme Isabelle Falque-Pierrotin devant votre mission d'information, selon laquelle « le domaine de la protection des données personnelles est un facteur de l'identité européenne suffisamment consensuel pour constituer un atout pour son industrie ».

Inversement, comme l'indiquait M. Viktor Mayer-Schönberger, « il y a là une opportunité pour nous autres Européens de développer de nouveaux services et à travers notre puissance économique, démontrer notre volonté d'une meilleure protection de notre vie privée. » S'appuyant sur l'exemple de Microsoft qui annonçait il y a peu qu'il envisageait la possibilité de ne stocker les données des internautes européens que sur le sol européen, ce professeur invitait les Européens à une « approche pragmatique » : « quel rôle pour l'Union européenne face à la prédominance des États-Unis ? La réponse est somme toute assez simple : les entreprises de l'Internet américaines font de 30 à 40 % de leurs bénéfices en Europe, où elles doivent se conformer au droit européen. » Parce que l'Europe représente un marché si important pour les entreprises du monde entier, elle est en mesure d'imposer sur son territoire ses propres règles du jeu .

Dès lors, quelles règles mettre en place ?

Les tenants d'un droit à la propriété de ses données personnelles mettent en avant la faculté qu'auraient les individus à tirer profit eux-mêmes de leurs données tout en gardant la maîtrise de leur identité numérique . Ainsi, la richesse produite par l'exploitation des données personnelles reviendrait au véritable propriétaire, non aux entreprises qui prospèrent grâce aux données d'autrui. M. Pierre Bellanger, fondateur et PDG de la radio Skyrock, déclarait devant votre mission d'information : « première action à entreprendre : établir la propriété des données. Aujourd'hui, elles sont res nullius : leur usage est réglementé, mais elles ne sont la propriété de personne. Nous avons le droit d'auteur, mais pas celui de nos données, qui sont pourtant la trace de ce que nous sommes les auteurs de notre vie ! [...] Ce statut de propriété privée des données changerait d'un coup toute l'économie numérique aujourd'hui fondé sur le pillage des données personnelles. »

Cependant, ainsi que le remarquaient nos collègues Mme Anne-Marie Escoffier et M. Yves Détraigne dans leur rapport de 2009 sur la vie privée à l'heure des mémoires numériques ^{190 ( * )} , la patrimonialisation des données personnelles soulève de nouvelles difficultés car la propriété implique la cessibilité. En cas de cession, l'individu perdrait tout droit sur ses données personnelles. Accorder un droit de propriété de chacun sur ses données personnelles emporterait par ailleurs un risque de marchandisation de celles-ci. Cela reviendrait à renvoyer la responsabilité de la protection de ses données à l'individu alors même que l'on connaît la forte inégalité du rapport de force qui oppose le consommateur aux entreprises. Au demeurant, comme l'expliquait Mme Valérie Peugeot, un tel droit de propriété ne pourrait qu'aboutir au « renforcement des inégalités entre citoyens numériques, entre ceux en capacité de gérer leurs données, de les protéger, les monétiser, et ceux qui par manque de littératie, de temps, ou toute autre raison, laisseraient faire par défaut le marché » ^{191 ( * )} .

Une solution pourrait dès lors être de créer un droit de propriété spécifique prévoyant l'incessibilité des données personnelles mais autorisant seulement un droit d'usage des données, une forme de location. Cependant les données pouvant être facilement dupliquées, cela reviendrait in fine à faire échapper les données à leur propriétaire. D'où l'idée développée par certains, par analogie avec le droit d'auteur, de soumettre les données personnelles à un régime de propriété intellectuelle instaurant un droit exclusif d'usage pour les individus. Cependant, il est constant que de simples informations ne constituent pas en tant que telles des oeuvres de l'esprit, de sorte qu'elles ne peuvent bénéficier de la protection d'un droit de propriété intellectuelle impliquant création et originalité. L'une ou l'autre solution nécessiterait au surplus l'élaboration d'un nouveau régime dérogatoire alors même que les données personnelles bénéficient déjà, dans le droit en vigueur, d'un statut spécifique.

Par ailleurs, ces propositions et l'idée de monétisation des données personnelles qui les sous-tend vont à l'encontre de la conception européenne de la vie privée qui place sa protection sur le terrain des droits et libertés fondamentaux . Ainsi, l'article 8 de la Charte des droits fondamentaux de l'Union européenne proclame le droit de toute personne à la protection des données à caractère personnel la concernant. Conformément à ce même article, il découle de ce droit celui de consentir au traitement loyal des données à des fins déterminées, à moins qu'une loi n'autorise à passer outre ce consentement, ainsi que le droit de toute personne « d'accéder aux données collectées la concernant et d'en obtenir la rectification ».

Comme le rappelait Mme Isabelle Falque-Pierrotin lors de son audition par votre mission d'information, la protection ainsi assurée aux données personnelles est plus forte que celle qu'un droit de propriété sur ses données personnelles garantirait à l'individu . Cette approche en termes de droit fondamental permet à l'individu de conserver des droits sur ses données personnelles même lorsque quelqu'un d'autre en fait usage. Cette affirmation est confortée par l'arrêt Google Spain rendu par la Cour de justice de l'Union européenne le 13 mai dernier, par lequel la juridiction a jugé que les droits fondamentaux énoncés aux articles 7 ^{192 ( * )} et 8 de la Charte « prévalent, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt [du] public à accéder à [une] information lors d'une recherche portant sur le nom [d'une] personne . » Le juge a également souligné que le demandeur n'avait pas à faire la démonstration d'un quelconque préjudice. ^{193 ( * )}

2. Conforter en le modernisant le cadre juridique européen de protection des données

S'adossant à l'article 8 de la Charte des droits fondamentaux de l'Union européenne, le régime juridique européen de protection des données personnelles repose sur quatre principes cardinaux :

- le principe de finalité qui précise que les données personnelles ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités ;

- le principe de proportionnalité , connexe au précédent, qui dispose non seulement que les données personnelles collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, mais encore qu'elles ne peuvent être conservées que pendant une durée n'excédant pas la durée nécessaire aux finalités ;

- le principe de sécurité des données personnelles, un responsable de traitement devant prendre toutes les précautions utiles pour préserver les données de toute déformation, endommagement ou fuite ;

- les droits de l'individu relativement à ses données personnelles, de consentir ou de s'opposer à leur collecte, d'y accéder et d'en obtenir rectification.

Ces principes, posés en France dès la loi « Informatique et libertés » du 6 janvier 1978 et repris dans la directive européenne de 1995 ^{194 ( * )} , ont permis jusqu'à aujourd'hui de protéger les citoyens européens à l'égard du traitement de leurs données personnelles malgré les évolutions technologiques. Mme Isabelle Falque-Pierrotin déclarait devant votre mission d'information que « l'espace juridique européen a donc apporté la preuve qu'il était suffisamment robuste pour intégrer l'innovation, même lorsque sont remises en cause les approches traditionnelles comme c'est par exemple le cas avec le big data . » Et de renchérir en indiquant que « l'idée du projet de règlement est donc de convaincre les Américains, mais aussi et surtout les Européens, que le cadre juridique de l'Union européenne est suffisamment souple pour intégrer l'innovation tout en offrant des garanties pour les consommateurs. Au regard de la gouvernance juridique des données, l'Union européenne peut donc se prévaloir d'outils robustes à la fois offensifs et défensifs . »

Présentée par la Commission européenne le 25 février 2012 ^{195 ( * )} , cette proposition de règlement vise à remplacer la directive de 1995 pour harmoniser les règles de protection des données personnelles sur le territoire de l'Union européenne. Elle ne représente pas tant une remise à plat de ces règles qu'un changement de valeur juridique dans la mesure où un règlement est d'application directe et immédiate, contrairement à une directive. Cette transformation est cependant l'occasion d'actualiser ce régime juridique en y apportant des améliorations, dont certaines sont susceptibles de fournir des solutions aux difficultés évoquées précédemment. Après deux ans de négociation, leur finalisation n'est toujours pas parvenue à son terme.

a) Redéfinir le principe de proportionnalité

En réponse au défi lancé par le big data aux principes de finalité et de proportionnalité, il est envisagé de procéder à l'examen de l'adéquation entre les moyens mis en oeuvre et les objectifs poursuivis non au stade de l'utilisation des données mais dès leur collecte . Tel est le sens du principe de « minimisation » retenu par le Parlement européen à l'initiative de la commission LIBE. L'article 5 de la résolution législative du 12 mars 2014 impose ainsi que les données à caractère personnel collectées sont « adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées ; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel ».

La même solution semble être privilégiée par la Cour de justice de l'Union européenne dans son arrêt Digital Rights Ireland Ltd/Kärntner Landesregierung du 8 avril 2014. Par cette décision, la Cour a invalidé la directive dite « data retention » ^{196 ( * )} pour défaut d'adéquation stricte entre l'objectif de lutte contre les infractions graves et une conservation indifférenciée des données de connexion, sans limitation ni temporelle, ni géographique, ni circonscrite à des personnes susceptibles d'être associées à une infraction grave.

b) Réaffirmer l'applicabilité des normes européennes sur le territoire européen

La prédominance des acteurs américains du numérique sur le marché européen pose de manière récurrente la question de l'applicabilité des normes européennes sur le territoire même de l'Union européenne.

L'arrêt Google Spain de la Cour de justice de l'Union européenne précité en est une illustration. La Cour était interrogée par la justice espagnole sur l'interprétation de l'article 4 de la directive de 1995 qui prévoit notamment que celle-ci s'applique dès lors que le traitement de données personnelles est effectué « dans le cadre des activités » d'un établissement sur ce territoire, non « par » un établissement situé sur ce territoire. La Cour a d'abord rappelé que l'objectif de la directive est d'assurer une garantie efficace et complète des droits fondamentaux des personnes, du droit à la vie privée et de la protection des données à caractère personnel. Puis, elle a noté que « les activités de l'exploitant du moteur de recherche et celles de son établissement situé dans l'État membre concerné sont indissociablement liées dès lors que les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l'accomplissement de ces activités. » . En conséquence, la Cour conclut qu' « un traitement de données à caractère personnel est effectué dans le cadre des activités d'un établissement du responsable de ce traitement sur le territoire d'un État membre [...], lorsque l'exploitant d'un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l'activité vise les habitants de cet État membre . »

Cet arrêt témoigne de la nécessité de réaffirmer de manière forte l'applicabilité du droit européen sur le territoire de l'Union européenne. C'est pourquoi la proposition de règlement intègre en son article 3 le critère de l'activité dirigée afin de rendre de manière indiscutable le règlement applicable aux responsables de traitement établis hors de l'Union européenne s'ils traitent de données de résidents de l'Union européenne dans le cadre de l'offre de biens ou de services à ces résidents, ou dans le cadre de l'observation de leur comportement ^{198 ( * )} .

À l'initiative du Parlement européen, ce même article 3, en son paragraphe 1, prévoit également que le règlement « s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou pas dans l'Union », afin d'inclure l'hypothèse du cloud computing .

c) Renforcer les droits des internautes : recours collectif et alternative au « guichet unique »

Participe par ailleurs du renforcement des droits des internautes européens la création, par la proposition de règlement européen, d'une action de groupe en matière de protection des données personnelles . Le paragraphe 2 de son article 73 dispose ainsi que « tout organisme, organisation ou association qui agit dans l'intérêt public et qui a été valablement constitué conformément au droit d'un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d'une ou de plusieurs personnes concernées, s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel ».

En revanche, un point de la proposition de règlement a fortement cristallisé les débats : le « guichet unique ». Afin de simplifier les formalités pour les entreprises, la Commission européenne avait proposé que dans le cas où un responsable de traitement est établi dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable de traitement soit désignée comme chef de file. Comme le soulignait notre collègue Simon Sutour, si le critère de l'établissement principal ne pose pas de difficulté pour les contrôles préventifs et formalités préalables, il n'en va pas de même en cas de litige, « l'application de ce critère [pouvant] conduire à ce qu'un citoyen voit sa réclamation traitée par une autre autorité que son autorité de contrôle nationale, parce que l'entreprise responsable du traitement est sise dans un autre État membre que celui où il réside. Ainsi, un Français formant une requête contre Facebook devrait l'adresser à l'autorité de contrôle irlandaise. » ^{202 ( * )} Cette analyse a d'ailleurs été confirmée par le service juridique du Conseil qui a fait connaître, lors de la réunion du Conseil Justice et affaires intérieures (JAI) des 5 et 6 décembre 2013, que le « guichet unique » était non conforme avec la Charte des droits fondamentaux de l'Union européenne du fait de l'éloignement de l'autorité chef de file par rapport aux personnes concernées. C'est pourquoi, une proposition alternative a été formulée, notamment par la France, consistant en la mise en place d'un mécanisme de codécision entre autorités de contrôle concernées, sous l'égide du Comité européen de protection des données.

La proposition de règlement a été adoptée à la quasi-unanimité par le Parlement européen lors de sa séance du 12 mars 2014. Cependant, certains désaccords persistent entre les États membres . À l'issue du Conseil Justice et Affaires intérieures des 5 et 6 juin, des progrès ont certes été enregistrés, les États membres s'accordant notamment sur le champ territorial d'application du nouveau règlement ; d'autres points, en particulier le « guichet unique », restent cependant problématiques. Enfin, le Royaume-Uni demeure opposé au choix d'un règlement, en substitution de l'actuelle directive.

Votre mission estime quant à elle que cette proposition de règlement comporte des éléments de réponse aux difficultés constatées dans l'application de la directive de 1995. Elle appelle donc à une adoption rapide de ce texte.

Si cette proposition de règlement européen contient des avancées importantes, les auditions menées par votre mission d'information ont fait apparaître que d'autres améliorations pourraient être apportées au régime européen de protection des données personnelles.

d) Mieux protéger certaines données

Abondant dans le sens du président Gorce, Mme Isabelle Falque-Pierrotin a, lors de son audition par votre mission d'information, acquiescé à l'idée que « certaines données doivent faire l'objet d'une attention particulière : les données biométriques, les données de santé... » .

Pour reprendre ce premier exemple, les données biométriques font effectivement l'objet d'une vigilance croissante, comme en témoigne la proposition de loi précitée visant à limiter l'usage des techniques biométriques. Ainsi que le notait M. François Pillet, rapporteur pour la commission des lois du Sénat de cette proposition de loi, cet intérêt du Parlement français coïncide avec les préoccupations exprimées au niveau européen ^{203 ( * )} . En effet, à l'occasion de la révision de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe, dite « Convention 108 », il a été proposé, en décembre 2012, d'intégrer au sein des données sensibles les données biométriques. L'article 6 de la convention, dans le projet final, stipule donc que « le traitement de données biométriques identifiant un individu de façon unique [...] n'est autorisé qu'à la condition que la loi applicable prévoit des garanties appropriées, venant compléter celles de la présente convention ». Ce même article précise en outre que « les garanties appropriées doivent être de nature à prévenir les risques que le traitement de données sensibles peut présenter pour les intérêts, droits et libertés fondamentales de la personne concernée, notamment un risque de discrimination ».

De la même façon, à l'issue de l'examen par le Parlement européen en première lecture, de la proposition de règlement sur les données personnelles, les données biométriques ont été intégrées parmi les catégories particulières de données. L'article 9 de la résolution législative du Parlement européen du 12 mars 2014 pose le principe de l'interdiction du traitement de données biométriques ^{204 ( * )} , principe néanmoins tempéré par une série d'exceptions parmi lesquelles le consentement de la personne concernée, à moins qu'une disposition nationale y fasse obstacle.

Ces données particulièrement sensibles doivent faire l'objet d'une protection renforcée, protection qui devrait passer, comme l'indiquait Mme Isabelle Falque-Pierrotin, « par des garanties procédurales spécifiques : exigence d'étude d'impact, d'un consentement renforcé... »

À l'inverse, aussi bien la CNIL que son homologue belge, selon les informations recueillies par votre mission auprès de notre ambassade dans ce pays, appellent l'attention sur la notion de « données pseudonymes », introduite au Parlement européen, craignant qu'une distinction opérée au sein des données personnelles ne conduise à un affaiblissement du régime de protection de ces dernières.

e) Instaurer un régime de responsabilité du responsable de traitement de données

Au-delà de ces données sensibles, l'évolution des technologies invite à repenser la définition des données personnelles afin d'en assurer une meilleure protection .

À l'heure du big data et du profilage des individus par online tracking , le régime juridique conçu pour les « informations nominatives » des années 1970 ne paraît plus tout à fait adapté. Tel est le constat opéré par Mme Jessica Eynard, docteur en droit ^{205 ( * )} , qui rappelle que le régime de protection actuel est centré sur la personne, considérée comme la meilleure « gardienne » de ses propres données. Ainsi, le droit premier garanti est celui de l'information préalable, condition de mise en oeuvre des autres droits que sont les droits a priori , à savoir le droit à consentir à un traitement ou, à l'inverse, le droit de s'y opposer, ainsi que les droits a posteriori - droit d'accès, droit de rectification, « droit à l'oubli » sous la forme d'un droit à la désindexation ou à l'effacement des données à l'issue d'un certain délai ou à la demande, et droit à la portabilité des données, comme la proposition de règlement européen se propose d'en créer un. La mise en oeuvre de tous ces droits implique donc la connaissance par la personne concernée d'un traitement de ses données personnelles.

Désormais cependant, les données personnelles peuvent être recueillies et utilisées à l'insu de la personne ou sans que celle-ci soit capable d'apprécier la violation de sa vie privée que cela emporte. Dès lors, faire reposer le régime de protection sur la personne concernée ne permet plus de garantir effectivement cette protection. C'est pourquoi, Mme Jessica Eynard propose d'instituer pour ce nouveau type de données personnelles, définies comme « toute information saisissant l'essence physique ou psychique de la personne physique identifiée ou identifiable qu'elle concerne et échappant intellectuellement et juridiquement à cette dernière », un nouveau régime de protection sur le modèle de ce qui existe en droit de la consommation. Concrètement, cela passerait par l'instauration d'un régime de responsabilité du responsable de traitement qui se verrait imposer une obligation d'information de la personne concernée en cas d'irrégularité dans le traitement de ses données , obligation à laquelle l'autorité de protection des données pourrait contraindre le responsable de traitement dans la mesure où en cas de refus de celui-ci, elle pourrait se substituer à lui à ses frais.

Un régime de responsabilité du responsable de traitement est également préconisé par M. Viktor Mayer-Schönberger qui constatait que dans le contexte du big data , « on ne peut plus laisser les particuliers seuls face aux fournisseurs d'accès. C'est David contre Goliath sauf qu'à la différence de David, les individus n'ont pas les moyens pour exercer leurs droits. » Lors de son audition par votre mission d'information, il a ainsi formulé la proposition suivante : « rendre les entreprises directement responsables en les contraignant à réaliser des évaluations préalables à toute réutilisation de données, afin de prendre les mesures nécessaires pour réduire les risques et effets néfastes identifiés pour les usagers. Il faudrait qu'en cas d'infraction, la responsabilité tant civile que pénale des entreprises soit engagée. Cela permettrait aux enjeux de protection des données personnelles d'être ramenés au premier plan et de ne plus être considérés uniquement à l'aune de sanctions de quelques centaines de milliers d'euros. En retour, les entreprises pourraient réutiliser les données sans avoir à revenir auprès de l'internaute pour recueillir son consentement à chaque nouvelle réutilisation. Cela faciliterait d'ailleurs leur tâche. » Selon lui, « un tel système pourrait permettre de recueillir tout le bénéfice du big data tout en préservant les libertés individuelles ».

f) Explorer de nouvelles pistes pour réaffirmer la maîtrise par les individus de leurs données personnelles

Lors de son audition par votre mission d'information, M. Vinton Cerf, vice-président de Google, est revenu sur son affirmation souvent critiquée selon laquelle la vie privée serait une anomalie. Il a ainsi expliqué : « lorsque j'ai employé ce terme, j'avais en tête l'absence de vie privée que j'ai connue il y a cinquante ans dans mon petit village. Aucun des 3 000 habitants n'ayant le téléphone, le chef du bureau de poste, qui composait les numéros avant de vous passer la communication savait qui téléphonait à qui, comme il savait qui écrivait à qui. Chacun savait ce que les autres faisaient : je n'avais pas le sentiment d'avoir vraiment une vie privée. Dans une grande ville, l'environnement plus anonyme rend possible la notion de vie privée. Or cet anonymat est mis à mal par l'Internet et ses multiples interconnexions. La notion de vie privée, à laquelle j'espère que nous ne renoncerons pas, est sans doute à redéfinir au regard de ce nouveau contexte. »

De fait, nombre de personnes entendues ont mis en avant le fait que la notion de vie privée tendait à disparaître sur l'Internet, soit pour contester le principe même d'un régime juridique de protection des données personnelles, soit au contraire pour inviter le législateur à défendre les personnes contre elles-mêmes. Le dévoilement de leur intimité par les individus sur les réseaux sociaux serait le signe de ce désintérêt pour la notion même de vie privée. Lors de son audition, M. Laurent Cytermann a fortement nuancé cette affirmation et renvoyé votre mission d'information aux travaux du sociologue Antonio Casilli.

Analysant les comportements sur les réseaux sociaux, tout particulièrement Facebook, M. Antonio Casilli conclut que « trop souvent les analystes et les commentateurs ont pris pour une renonciation intégrale à la privacy ce qui en réalité n'est que l'actuation de formes de dévoilement stratégique d'informations personnelles à des fins de gestion du capital social en ligne ». Il démontre ainsi au fil de son étude que « le dévoilement de soi apparaît de plus en plus lié à la création de lien social en ligne, s'intégrant dans de véritables stratégies d'usage finalisées à la capacitation personnelle, professionnelle, culturelle ou politique ». S'inscrivant en faux avec la dichotomie tranchée opposant intime et « extime », il constate au contraire que « les acteurs optimisent le dévoilement d'informations personnelles en se positionnant le long d'un continuum dont « ouverture » et « fermeture » sont les extrêmes », opérant en quelques sortes des allers retours le long de ce continuum en fonction des réactions : « dans la mesure où les données ne sont pas sensibles par leur nature , mais selon leur pertinence par rapport à un milieu social de choix, le respect de la vie privée revient principalement à vérifier l'adaptation entre l'information dévoilée, l'intention stratégique de son locuteur et le contexte de son dévoilement ». Constatant donc que « le dévoilement va de pair avec l'adaptation progressive aux signaux venant de l'environnement social », M. Casilli en déduit le concept de « privacy négociée ». ^{206 ( * )}

Ce n'est donc pas à la « fin de la vie privée » à laquelle on assiste, mais à une évolution de celle-ci, passée du « droit à être laissé en paix » selon l'expression du juge à la Cour suprême américaine Louis Brandeis, au droit pour l'individu de « décider en principe lui-même quand et dans quelles limites les éléments de sa vie privée sont dévoilés », conformément à la jurisprudence de la Cour constitutionnelle de Karlsruhe qui élaborait de la sorte un « droit à l'autodétermination informationnelle » . Il en découle une évolution non tant des principes du droit que de sa mise en oeuvre afin que chacun retrouve la maîtrise de ses données personnelles . Selon quelles modalités ?

On a vu précédemment que la propriété de ses données personnelles ne répondait pas véritablement aux enjeux à l'oeuvre ici. Mme Valérie Peugeot propose quant à elle de décourager l'usage des données pratiqué par les grandes plateformes de l'Internet sous couvert d'une fausse gratuité, au profit du rétablissement d'une économie « servicielle », dans laquelle l'utilisateur conserve le contrôle sur les données qu'il a coproduites . Elle a ainsi exposé à votre mission d'information le projet vendor relationship management sur lequel elle travaille avec la Fondation Internet nouvelle génération (Fing) et un ensemble d'entreprises : « les données de 300 clients volontaires sont stockées sur un cloud personnel, chacun d'entre eux en ayant la maîtrise. Chaque individu peut ainsi renseigner son profil beaucoup plus précisément, et c'est lui qui choisit les entreprises qui y auront accès. Le jour où il recherche une machine à laver, au lieu que sa requête lui renvoie des myriades de publicités, il ne reçoit que des offres adaptées . »

M. Viktor Mayer-Schönberger nous invitait également à « changer notre approche de la vie privée, passer d'une logique de protection à une logique de participation. La question n'est pas tant de participer ou non à Internet, mais comment y participer. Certains utilisateurs savent exercer leur droit à la vie privée eux-mêmes, mais pour la plupart d'entre eux, c'est trop compliqué. Regardez donc les paramètres de protection de la vie privée sur Facebook ! Comme dans d'autres domaines comme la sécurité alimentaire ou routière, le rôle des pouvoirs publics est de prendre des mesures pour obliger à simplifier ces paramétrages. »

L'une comme l'autre de ces propositions mettent ainsi en avant l'importance de l'éducation au numérique des utilisateurs de l'Internet ( cf. infra ).

Ces propositions qui visent à rendre à l'internaute la maîtrise de ses données ramènent également au premier plan la question récurrente du « droit à l'oubli » . Selon M. Viktor Mayer-Schönberger, le « droit à l'oubli » n'a rien de nouveau, la proposition de règlement européen ne faisant que rebaptiser ce droit ; toutefois son effectivité passerait probablement davantage par sa mise en oeuvre par les juges que par de nouvelles normes . L'arrêt de la Cour de justice de l'Union européenne Google Spain du 13 mai 2014 lui donne raison. Par cet arrêt, la Cour a en effet jugé que « même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ». Il s'ensuit que toute personne a le droit d'obtenir rectification, effacement ou verrouillage des données dont le traitement n'est pas conforme à la directive. Cette affaire a par ailleurs fait la démonstration que davantage qu'un droit à la suppression d'informations même exactes et licites, le « droit à l'oubli » prend la forme d'un droit à la désindexation ou au déréférencement de l'information par les moteurs de recherche : si la Cour européenne, répondant à une question préjudicielle, a jugé que le moteur de recherche avait une obligation de déréférencement, l'autorité de protection des données personnelles espagnole, l'AEPD, avait au préalable écarté les griefs du requérant à l'encontre du journal La Vanguardia, estimant que « la publication par cette dernière des informations en cause était légalement justifiée étant donné qu'elle avait eu lieu sur ordre du ministère du Travail et des Affaires sociales et avait eu pour but de conférer une publicité maximale à la vente publique afin de réunir le plus grand nombre d'enchérisseurs » Cela confirme le nécessaire arbitrage, sous le contrôle du juge, entre droit à la vie privée d'une part, et droit à la mémoire et liberté d'expression et de communication d'autre part .

Si à l'issue de ces développements, tant la nécessité d'une protection des données personnelles que la validité de l'approche juridique européenne en la matière ne sont plus à démontrer, reste à évoquer les conditions d'efficacité et d'effectivité de la norme de droit.

Comme la Cour de justice de l'Union européenne l'a rappelé dans sa décision du 8 avril 2014 invalidant la directive « data retention », l'exigence de précision de la norme est d'autant plus impérative quand la norme touche aux données personnelles .

Par ailleurs, le temps du politique et du droit n'étant pas celui de la technologie et de l'innovation, il importe que le droit s'en tienne à l'énonciation de principes sans entrer dans le détail technique au risque de l'obsolescence de la norme juridique . Tel est le sens de la mise en garde formulée par Mme Céline Castets-Renard, professeur à l'université Toulouse I Capitole, co-directrice du master 2 « droit et informatique », à votre mission d'information : « oui, apporter une réponse juridique est essentiel, mais il faudra veiller à ne pas trop l'ancrer dans la technique, qui évolue très vite. Ne reproduisons pas l'erreur de la loi Hadopi, qui s'est trop focalisée, en matière de contrefaçon, sur un type de technologie. »

Si la proposition de règlement européen n'apporte pas toutes les réponses au défi lancé au régime juridique européen par les derniers développements de l'Internet, certaines de ses dispositions constituent assurément des avancées. C'est pourquoi votre mission d'information appelle à une adoption rapide de ce texte, condition sine qua non d'une promotion de l'approche européenne de la protection des données personnelles à l'international.

3. Promouvoir cette approche à l'international

« Sur le plan juridique, le temps est aux grandes manoeuvres. On assiste à une concurrence entre les grandes régions juridiques ; la question se pose de savoir laquelle offrira l'espace le plus adapté à l'économie de demain, fondée sur le numérique et les données. »

C'est ainsi que Mme Isabelle Falque-Pierrotin brossait devant votre mission d'information le tableau de la guerre juridique que se livrent actuellement les différentes puissances au niveau international. Pour elle, « sous l'angle de l'innovation technologique et industrielle, l'Europe dispose, à travers la proposition de règlement, d'une arme juridique utile vis-à-vis des grands acteurs internationaux, ouvrant ainsi la faculté d'orienter la gouvernance juridique de la donnée selon notre propre schéma, sans avoir à subir celui des autres puissances ».

Ces enjeux sont d'autant plus perceptibles que l'on se penche sur la question des transferts de données personnelles en dehors de l'Union européenne. En effet, si, on l'a vu, le respect du droit européen en la matière sur le territoire même de l'Europe est bravé, les données personnelles des Européens sont d'autant plus exposées et les risques d'atteinte à leur vie privée d'autant plus grands lorsque ces données quittent le territoire de l'Union. C'est pourquoi la directive de 1995 et, à l'avenir, le règlement posent le principe de la soumission de tout transfert de données à caractère personnel vers un pays tiers à la condition que ce dernier offre un niveau de protection des données personnelles adéquat . La reconnaissance d'un « niveau de protection adéquat » relève de la Commission européenne. À ce jour, elle a reconnu comme assurant un niveau de protection adéquat l'Andorre, l'Argentine, l'Australie, le Canada, les Îles Féroé, Guernesey, Israël, Jersey, l'Île de Man, la Nouvelle-Zélande, la Suisse, l'Uruguay. Toutefois, étant donné l'importance des échanges commerciaux avec les États-Unis, et bien que ceux-ci ne puissent offrir un niveau de protection adéquat du fait de l'absence de législation nationale de protection des données personnelles, la Commission européenne a également reconnu comme adéquate la protection assurée par les États-Unis dans le cadre du Safe Harbor , également appelé « Sphère de sécurité », par une décision sectorielle.

a) La protection des données personnelles des citoyens de l'Union européenne dans les relations transatlantiques

La question de la protection des données personnelles est en effet l'un des points les plus épineux des relations entre l'Union européenne et son partenaire américain. Bien que, contrairement aux idées reçues, la notion de vie privée ne soit pas étrangère au monde anglo-saxon, il demeure que la manière de concevoir la protection de celle-ci diffère de part et d'autre de l'Atlantique. À ces considérations s'ajoute la défiance des Européens envers leurs alliés à la suite des révélations de l'affaire Prism et des doutes émis par les institutions européennes sur le sérieux avec lequel le partenaire américain a rempli ses engagements dans le cadre du Safe Harbor .

Le Safe Harbor a fait l'objet de deux rapports d'évaluation par la Commission européenne en date des 13 février 2002 et 20 octobre 2004. Cependant, à la suite de la révélation de l'ampleur de la surveillance opérée par les services de renseignement américains, la pertinence de la décision de la Commission de 2000 a été fortement remise en question. Ce questionnement est d'autant plus important que les citoyens de l'Union européenne ne bénéficient pas des mêmes droits ni des mêmes garanties procédurales que les Américains dans le cadre des programmes de surveillance américains (cf. supra) .

Par deux communications du 27 novembre 2013 ^{208 ( * )} , la Commission européenne a pris acte des lacunes constatées du Safe Harbor et du fait que certaines autorités de protection des données nationales, à l'instar d'autorités allemandes, considéraient d'ores et déjà l'opportunité de suspendre certains flux de transferts de données. Écartant les options de maintien du statu quo et de suspension/abrogation de sa décision, la Commission européenne a proposé de renforcer le Safe Harbor selon trois axes :

- en améliorant la transparence des politiques de ces entreprises en matière de protection de la vie privée ;

- en invitant les autorités américaines à mieux contrôler et surveiller le respect par les entreprises des principes auxquels elles ont déclaré adhérer ;

- en garantissant aux citoyens de l'Union européenne l'accès à des mécanismes de règlement des litiges.

Sur ce dernier point, la Commission a en effet pu constater le faible nombre de recours. À titre d'illustration, le panel de l'Union européenne sur la protection des données n'a été jusqu'à présent saisi que de quatre plaintes. La Commission fédérale du commerce n'a poursuivi que dix entreprises pour violation du Safe Harbor ; elle n'a en outre jamais été saisie par un organisme de règlement extrajudiciaire de litiges.

Pour sa part, le Parlement européen a réagi par l'adoption, le 12 mars 2014, d'une résolution ^{209 ( * )} par laquelle il invite la Commission à présenter des mesures prévoyant la suspension immédiate de sa décision de 2000 et les États-Unis à présenter une proposition de nouveau cadre juridique. Il y invite également les autorités nationales de protection des données à faire usage de leur faculté de suspendre tout flux de données vers des organisations ayant adhéré au Safe Harbor et n'offrant d'autres garanties. Il convient de se souvenir qu'au moment de l'adoption de la décision de 2000, le Parlement européen déplorait déjà que le Safe Harbor ne reconnaisse pas le « droit de tout individu à introduire une plainte devant un organisme public indépendant chargé d'examiner les recours relatifs à toute violation présumée des principes » ^{210 ( * )} .

Lors de sa dernière réunion plénière des 9 et 10 avril 2014, le « G 29 » a quant à lui estimé que, « si le processus de révision en cours entre la Commission et les autorités américaines ne conna[issai]t pas une issue positive, l'accord Safe Harbor devra[it] être suspendu » ^{211 ( * )} . Cela rejoint la position indiquée par Mme Isabelle Falque-Pierrotin, par ailleurs présidente du « G 29 », lors de son audition par votre mission d'information : « la menace de suspendre le Safe Harbor serait une arme de dissuasion extrêmement puissante si elle était brandie par l'Europe ».

Certaines des treize recommandations faites par la Commission européenne ne semblent pas poser de difficultés aux États-Unis, telles celle préconisant que les entreprises certifiées offrent aux consommateurs un lien Internet vers leur politique de confidentialité ou celle demandant au gouvernement américain de consacrer davantage de ressources à l'évaluation des demandes de mises en conformité. D'autres paraissent en revanche plus délicats, en particulier l'obligation de publier les conditions de protection de la vie privée figurant dans tout contrat conclu entre les entreprises auto-certifiées et leurs sous-traitants, par exemple pour les services d'informatique en nuage, dont les États-Unis estiment qu'il s'agit d'une exigence lourde qui ne bénéficierait pas aux consommateurs. ^{212 ( * )} Surtout, les autorités américaines ne semblent pas disposées à donner satisfaction aux Européens quant aux possibilités pour ces derniers de déposer un recours et d'obtenir réparation en cas de mauvaise utilisation de leurs données, selon la commissaire Viviane Reding.

Le 18 juin 2014, la Cour suprême irlandaise a renvoyé à la Cour de justice de l'Union européenne la question de la légalité du transfert de données personnelles opéré dans le cadre du Safe Harbor au regard du droit européen. Cette question préjudicielle s'inscrit dans le cadre d'un litige opposant un citoyen autrichien à Facebook : après avoir demandé l'accès à ses données personnelles auprès de la société américaine et obtenu communication d'un DVD contenant plus de 1 200 pages d'informations sur son compte, M. Max Schrems a saisi l'autorité de protection des données personnelles irlandaise d'une vingtaine de plaintes. C'est la première fois que la question de la conformité du Safe Harbor au droit de l'Union est ainsi posée.

Dans l'attente de la décision de la Cour de justice de l'Union européenne, votre mission d'information estime pour sa part indispensable de renégocier le Safe Harbor et se rallie à l'opinion du « G 29 » selon laquelle il serait nécessaire de le suspendre dans l'hypothèse où les autorités européennes ne seraient pas entendues. Peut-être une suspension des flux de données personnelles vers certaines entreprises dont il est avéré qu'elles n'ont pas respecté leurs engagements pourrait-elle renforcer la position européenne dans les négociations. Une piste de réflexion pourrait être de s'assurer de la mise en oeuvre effective du Safe Harbor en en confiant le contrôle aux autorités européennes plutôt qu'aux autorités américaines, en une sorte de Safe Harbor « inversé ». En tout état de cause, votre mission d'information considère que la question des données personnelles doit être traitée indépendamment des négociations sur le Partenariat transatlantique de commerce et d'investissement, communément désigné « TTIP » (pour Transatlantic Trade and Investment Partnership ) : touchant à la garantie de droits fondamentaux, elle ne saurait être regardée comme simple monnaie d'échange dans une négociation commerciale ^{213 ( * )} .

En outre, votre mission d'information note avec satisfaction que, si la proposition de règlement entérine la faculté de la Commission européenne d'apprécier le niveau de protection assuré par un territoire ou un secteur de traitement des données à l'intérieur d'un pays tiers
- validant ainsi a posteriori le principe des décisions sectorielles adoptées par la Commission à l'instar de la décision portant sur le Safe Harbor -, cette compétence est encadrée et les critères à prendre en compte par la Commission, précisés . Y figure en particulier « l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées ». À l'initiative de la Commission LIBE du Parlement européen, les décisions de la Commission européenne prendraient la forme d'actes délégués - non d'actes d'exécution - afin de ménager un droit d'opposition et de révocation au Parlement européen et au Conseil ; ces décisions seraient en outre prises après avis du Comité européen de la protection des données sur le caractère suffisant du niveau de protection.

Votre mission d'information soutient également l'introduction, à l'initiative de la Commission LIBE, de l'article 43 bis qui encadre le transfert ou la divulgation de données à caractère personnel à la demande des autorités administratives ou juridictionnelles de pays tiers en les soumettant à l'accord de l'autorité de protection européenne compétente . Cette « clause anti-FISA » participe de l'instauration du « bouclier juridique » appelé de ses voeux par Mme Isabelle Falque-Pierrotin, qui expliquait lors de son audition l'importance qu'une telle disposition aurait dans la conduite des négociations transatlantiques : « dans notre cadre juridique européen, l'article additionnel introduit par le Parlement européen permettant de résister à la demande d'accès aux données de citoyens européens par des États étrangers permet de faire avancer l'idée d'accords intergouvernementaux sur la coopération en matière de renseignements et donnerait une architecture juridique donnant un cadre aux échanges d'informations. Ensuite, la question de savoir si ce cadre sera respecté est de nature politique. Mais nous aurions au moins établi une architecture symbolique pour sécuriser les échanges de nos grandes entreprises européennes face aux pressions de la législation américaine. Il faut rehausser l'exigence juridique européenne pour rétablir l'équilibre. À partir du moment où nous aurons provoqué un conflit de loi, nous pourrons alors entamer une discussion plus équilibrée avec les Américains . »

L'adoption de cet article 43 bis renforcerait donc la position de l'Union européenne dans ses négociations avec les États-Unis, lui permettant de revenir sur l'absence de droit au recours des citoyens de l'Union européenne devant les juridictions américaines. À cet égard, votre mission d'information a pris connaissance avec intérêt de certaines des recommandations faites au Président Obama par le groupe de travail sur le renseignement et les technologies de communication ^{214 ( * )} . La mise en oeuvre en particulier de la recommandation n° 14, qui préconise d'appliquer sans distinction le Privacy Act de 1974, donnant accès à tous les individus aux informations les concernant avec droit de rectification, serait un signal attendu et positif du gouvernement des États-Unis à l'adresse de ses alliés européens.

b) La Convention 108, outil le plus efficace de promotion de l'approche européenne en matière de protection des données personnelles

Si la négociation d'accords bilatéraux avec nos partenaires américains peut fortement contribuer à sécuriser les données personnelles des citoyens européens lors de leurs transferts vers les États-Unis, une approche plus globale de promotion du modèle européen de protection des données personnelles serait probablement plus profitable à long terme. Cela permettrait en effet non seulement de faire l'économie de tels accords bilatéraux, mais également de diffuser la « culture Informatique et libertés » de manière à en faire bénéficier davantage de populations .

Pour ce faire, ainsi que l'indiquait Mme Céline Castets-Renard, la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite « Convention 108 », pourrait s'avérer l'outil le plus pertinent . Cette convention est en effet à ce jour le seul instrument international juridiquement contraignant adopté dans le domaine de la protection des données personnelles . Par son article 4, elle impose en effet à chaque État partie à la convention de prendre, « dans son droit interne, les mesures nécessaires pour donner effet aux principes de base pour la protection des données énoncés [par la convention] ».

En outre, la convention couvre un champ d'application territorial plus large que le seul continent européen dans la mesure où son adhésion est ouverte à des États non membres du Conseil de l'Europe par son article 23. Ainsi, l'Uruguay a ratifié la convention, portant le nombre des parties à quarante-six États, dont tous les États membres du Conseil de l'Europe à l'exception de Saint-Marin et de la Turquie, qui l'a signée mais non encore ratifiée. Le Maroc a par ailleurs demandé son adhésion. En revanche, seuls trente États ont ratifié le protocole additionnel de 2001 concernant les autorités de contrôle et les flux transfrontaliers de données, qui impose aux parties contractantes la mise en place d'autorités de contrôle indépendantes.

Ouverte à la signature le 28 janvier 1981 et entrée en vigueur le 1 ^er octobre 1985, la convention puise à la même source d'inspiration que le droit de l'Union européenne et repose sur les mêmes principes de finalité, de proportionnalité, de sécurité et de droit d'accès et de rectification ; elle s'applique au secteur privé comme au secteur public. Depuis 2010, le Conseil de l'Europe a engagé un processus de révision de la convention afin de l'adapter aux changements technologiques et de renforcer le dispositif de suivi. Les travaux de révision ont été conduits en partenariat avec l'Union européenne, représentée par la Commission, puisque celle-ci commençait à la même période les travaux préparatoires à la révision du cadre juridique de l'Union européenne en matière de protection des données. Cela explique la très grande proximité entre le texte de la convention révisée, adopté par le Conseil de l'Europe lors de sa séance plénière des 27 et 29 novembre 2013, et la proposition de règlement européen.

Si tous les États membres de l'Union européenne sont parties à la Convention 108, tel n'est pas le cas de l'Union européenne elle-même qui ne bénéficie que d'un statut d'observateur . L'adhésion de l'Union européenne à la convention est en effet en discussion depuis la fin des années 1990, mais celle-ci achoppe sur le refus de certains États parties d'accepter les amendements permettant l'adhésion de l'Union, en raison en particulier des exigences européennes relatives aux transferts de données internationaux. À ce jour, seuls trente-trois États parties ont accepté lesdits amendements.

Cette situation n'a cependant pas empêché l'Union européenne, à la suite des révélations d'Edward Snowden, de demander aux États-Unis d'adhérer à la convention. Cela permettrait en effet d'envisager la reconnaissance des États-Unis comme pays offrant un niveau de protection adéquat, rendant en particulier inutile la renégociation du Safe Harbor . Il va de soi toutefois que la promotion par l'Union européenne de la Convention 108 aurait d'autant plus de poids que celle-ci serait elle-même partie à la convention.

c) Le droit privé en soutien à la promotion des valeurs européennes en matière de protection des données personnelles

À côté de ces outils de droit international public, l'Union européenne a développé d'autres instruments pour permettre d'assouplir le principe de l'interdiction de transfert de données à caractère personnel vers des pays tiers n'assurant pas un « niveau de protection adéquat », en s'appuyant sur le droit international privé.

La directive de 1995 prévoit ainsi que peut être autorisé un transfert ou un ensemble de transferts vers un pays tiers n'assurant pas un niveau de protection adéquat « lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées ». Les « clauses contractuelles types » sont des modèles de contrat de transfert de données personnelles entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant. Elles précisent en particulier la responsabilité de chacun des cocontractants (solidarité ou responsabilité renforcée de l'exportateur des données), les modalités de règlement des litiges, celles d'exercice de leurs droits d'accès par les personnes concernées et la coopération avec les autorités de protection des données. Si le règlement conserve le principe des clauses contractuelles types, le Parlement européen a supprimé la possibilité pour la Commission européenne d'adopter ces clauses types, réservant cette faculté aux autorités de contrôle.

Face à la demande des entreprises multinationales de simplification des démarches pour procéder à des transferts internationaux de données personnelles entre leurs différentes entités, les autorités de protection des données ont avalisé l'élaboration de codes de conduite internes, désignés sous l'appellation « règles d'entreprise contraignantes » ou « Binding Corporate Rules » ( BCR ). Ces règles portant sur les transferts internationaux de données sont adoptées par la maison mère et doivent être obligatoirement appliquées par toutes les filiales et tous les employés du groupe. Cela implique non seulement l'insertion de clauses dans les contrats de travail et conventions collectives, et de sanctions disciplinaires en cas d'infraction, mais également la mise en place de formations internes et de mécanismes de contrôle pour s'assurer du respect du code de conduite - audit interne, cellule de gestion des plaintes.

Concrètement, l'élaboration de ces BCR s'établit sous le contrôle d'une autorité européenne de protection des données personnelles « chef de file » qui s'assure de la conformité à la directive des règles mises en place et prend en charge la procédure de coopération avec les autres autorités européennes auprès desquelles seront déposées les demandes d'autorisation de transfert. Afin d'accélérer ce processus, certaines autorités de protection des données de l'Espace économique européen (EEE) se sont engagées à mettre en oeuvre une procédure de « reconnaissance mutuelle » : lorsqu'une autorité en reconnaissance mutuelle considère que des BCR apportent un niveau de protection suffisant, les autres autorités en reconnaissance mutuelle approuvent les BCR automatiquement. Au 9 août 2012, vingt et une autorités de protection avaient accepté cette procédure de « reconnaissance mutuelle » ^{215 ( * )} . La proposition de règlement intègre dans le droit positif la pratique des « règles d'entreprise contraignantes » en les encadrant. Les ministres des États membres ont validé cette disposition lors du dernier Conseil JAI.

Par ailleurs, la proposition de règlement confie à la Commission européenne et aux autorités de contrôle mandat pour élaborer des mécanismes de coopération internationaux destinés à faciliter l'application de la législation relative à la protection des données à caractère personnel, et à améliorer l'assistance mutuelle avec les autorités des pays tiers. Cette nouvelle disposition vient légitimer les actions entreprises jusqu'à présent par les autorités européennes pour ouvrir des « chemins d'interopérabilité » entre les différents systèmes juridiques et promouvoir ainsi l'approche européenne en matière de protection des données personnelles.

Tant les « clauses contractuelles types » que les BCR peuvent ainsi permettre de remédier aux insuffisances du Safe Harbor dans la mesure où le contrôle des mesures mises en place par les entreprises est assuré par les autorités européennes, non par les autorités américaines. C'est pourquoi, dans l'hypothèse où la renégociation du Safe Harbor n'aboutirait pas, les autorités européennes pourraient proposer aux entreprises américaines qui le souhaitent de les aider à se doter de tels instruments.

---

* ¹⁸⁵ Cf. supra

* ¹⁸⁶ Cf . les développements consacrés à ce sujet dans La protection des données personnelles dans l'open data : une exigence et une opportunité, rapport d'information de MM. Gaëtan Gorce et François Pillet, fait au nom de la commission des lois (n° 469, 2013-2014) (disponible à l'adresse suivante : http://www.senat.fr/notice-rapport/2013/r13-469-notice.html ).

* ¹⁸⁷ Pour Radio Frequency Identification , permettant d'identifier et de localiser sans contact des objets ou des personnes grâce à une puce (également dénommée étiquette ou tag) qui dialogue par ondes radio avec un lecteur, sur des distances pouvant aller de quelques centimètres à une dizaine de mètres.

* ¹⁸⁸ Cf . le c du 3° de l'article 11 de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ¹⁸⁹ Proposition de loi visant à limiter l'usage des techniques biométriques, présentée par M. Gaëtan Gorce et les membres du groupe socialiste (n° 361, 2013-2014). Lors de l'examen en séance publique, Mme Axelle Lemaire, secrétaire d'État chargée du numérique, a ainsi indiqué : « Notre pays compte des sociétés innovantes qui ont développé des technologies en lien avec la confiance numérique. Ce secteur, en plein essor, est une source d'attractivité économique pour la France, qui dispose d'une législation protectrice en matière d'utilisation des données : nos sociétés ont dû s'adapter au cadre législatif et réglementaire et développer des technologies qui sont aujourd'hui recherchées à l'étranger. » ( http://www.senat.fr/seances/s201405/s20140527/s20140527010.html )

* ¹⁹⁰ La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information , rapport d'information de M. Yves Détraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois (n° 441, 2008-2009) (disponible à l'adresse suivante : http://www.senat.fr/notice-rapport/2008/r08-441-notice.html ).

* ¹⁹¹ Cf. Mme Valérie Peugeot, Données personnelles, sortir des injonctions contradictoires (disponible à l'adresse suivante : http://vecam.org/article1289.html.)

* ¹⁹² L'article 7 de la Charte dispose que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications . »

* ¹⁹³ Cf. le considérant 99 de l'arrêt CJUE, gr. ch., 13 mai 2014, aff. C-131/12 : « dans le cadre de l'appréciation des conditions d'application de ces dispositions [les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46], il convient notamment d'examiner si la personne concernée a un droit à ce que l'information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d'une recherche effectuée à partir de son nom, sans pour autant que la constatation d'un tel droit présuppose que l'inclusion de l'information en question dans cette liste cause un préjudice à cette personne . »

* ¹⁹⁴ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données.

* ¹⁹⁵ Cf . la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)11) et la résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)11 - C7-0025/2012 - 2012/0011(COD)).

* ¹⁹⁶ Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.

* ¹⁹⁷ CJUE, gr. ch., 8 avril 2014, aff. C-293/12.

* ¹⁹⁸ Art. 3, paragraphe 2, de la résolution législative du Parlement européen du 12 mars 2014 :

« 2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées :

« a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées ; ou

« b) à l'observation de ces personnes concernées. »

* ¹⁹⁹ Règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale, dit « Bruxelles I ». Ce règlement a fait l'objet d'une refonte qui étend aux États tiers l'application du critère de l'activité dirigée (règlement (UE) n° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale (refonte)).

* ²⁰⁰ Règlement (CE) n° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles, dit « Rome I ».

* ²⁰¹ CJUE, 7 déc. 2010, aff. C-585/08, P. Pammer c/ Reederei Karl Schlüter GmbH & Co KG et aff. C-144/09, Hotel Alpenhof GesmbH c/ O. Heller, considérant n° 93.

* ²⁰² Cf . le rapport de M. Simon Sutour, fait au nom de la commission des lois, sur la proposition de résolution sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055) (n° 446, 2011-2012) (disponible à l'adresse suivante : http://www.senat.fr/dossier-legislatif/ppr11-406.html )

* ²⁰³ Cf . le rapport n° 465 (2013-2014) disponible à l'adresse suivante : http://www.senat.fr/dossier-legislatif/ppl13-361.html .

* ²⁰⁴ « 1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions, à des condamnations, ou encore à des mesures de sûreté connexes sont interdits . »

* ²⁰⁵ Mme Jessica Eynard est l'auteur de : Les Données personnelles - quelle définition pour un régime de protection efficace ? , Michalon, Paris, 2013.

* ²⁰⁶ Antonio A. Casilli, Contre l'hypothèse de la « fin de la vie privée », La négociation de la privacy dans les médias sociaux , Revue française des sciences de l'information et de la communication, 2013.

* ²⁰⁷ Cf . la communication de la Commission au Parlement européen et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l'Union et des entreprises établies sur son territoire, COM(2013)847 final, du 27 novembre 2013.

* ²⁰⁸ Cf. la communication de la Commission au Parlement européen et au Conseil : « Rétablir la confiance dans les flux de données entre l'union européenne et les États-Unis d'Amérique » (COM(2013)846 final) et la communication de la Commission au Parlement européen et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l'Union et des entreprises établies sur son territoire (COM(2013)847 final), du 27 novembre 2013.

* ²⁰⁹ Résolution sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures (2013/2188(INI)).

* ²¹⁰ Cf . la résolution A5-0177/2000 du Parlement européen sur le projet de décision de la Commission relative à la pertinence des niveaux de protection fournis par les principes de la sphère de sécurité et les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis, C5-0280/2000 / 2000/2144(COS).

* ²¹¹ Cf . le site Internet de la Commission nationale de l'informatique et des libertés.

* ²¹² Cf . Brian Beary, « UE/États-Unis : l'accord « Safe Harbour » remis à plat », Europolitics , 14 mai 2004.

* ²¹³ Cf. infra .

* ²¹⁴ Cf. Liberty and Security in a Changing World, Report and Recommendations of the President's Review Group on Intelligence and Communications Technologies , 12 décembre 2013.

* ²¹⁵ Selon le site Internet de la CNIL, ces autorités sont celles des pays suivants : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Espagne, Estonie, France, Grande-Bretagne, Irlande, Islande, Italie, Lettonie, Liechtenstein, Luxembourg, Malte, Norvège, Pays-Bas, République tchèque, Slovaquie, Slovénie.