M. André Gattolin. Monsieur le président, monsieur le garde des sceaux, chers collègues, la protection des données personnelles est un droit reconnu au plus haut niveau de la législation communautaire. Elle est consacrée par l’article 16 du traité sur le fonctionnement de l’Union européenne et par l’article 8 de la charte des droits fondamentaux.
Son application concrète repose sur une directive qui date de 1995 et qui paraît, malgré ses dix-sept ans à peine, bien âgée. Il est vrai qu’une révolution technologique est intervenue depuis lors, qui est aussi une révolution sociologique et économique. Les nouvelles technologies de l’information, notamment l’internet et le développement des réseaux sociaux, ont bousculé l’ordre des choses.
Aujourd’hui, les bases de données peuvent être totalement dématérialisées. Elles se créent en permanence, s’échangent en une fraction de seconde, franchissent les frontières très rapidement. Les internautes eux-mêmes nourrissent, souvent sans s’en rendre compte, cette dynamique.
Les premiers utilisateurs d’internet étaient surtout des consommateurs de données ; ils allaient sur internet pour y trouver des informations. Ils accèdent désormais au statut de producteurs de données, car ils passent une bonne partie de leur temps à écrire et à diffuser des informations sur eux-mêmes et sur les autres, à laisser plus ou moins volontairement une multitude de traces qui permettent de dessiner leur portrait et qui font la fortune de certaines entreprises, parfois « à l’insu de leur plein gré ».
Il y a trois ans déjà, une revue française, Le Tigre, s’était amusée à dresser le portrait très détaillé d’un inconnu, Marc L., uniquement à partir des informations que ce dernier avait rendues disponibles sur internet, parfois en connaissance de cause, souvent sans le savoir. Le résultat, comme on le constate à la lecture de cet article, est absolument édifiant, « violemment impudique », comme le dit lui-même l’auteur de l’article qui a compilé les renseignements composant ce portrait. Toute la vie de cette personne a pu être exposée, à l’aide de simples recoupements de données par un tiers.
Aujourd’hui, des logiciels de plus en plus élaborés apparaissent dans l’univers numérique. Je pense ainsi à un logiciel de reconnaissance visuelle qui, en recourant à une base de données, permet de vous identifier avec une assez grande fiabilité à partir d’une photographie diffusée sur internet. Imaginez tout ce que cela peut signifier en termes de nouvelles protections pour que ces usages ne deviennent pas encore plus attentatoires à la vie privée des personnes.
C’est dans ce contexte que la Commission européenne a présenté la proposition de règlement sur laquelle porte la proposition de résolution déposée par notre collègue Simon Sutour.
Cette proposition de résolution, en faveur de laquelle les écologistes voteront – elle fait d’ailleurs l’unanimité au sein de nos commissions –, souligne l’évidente actualisation de la directive de 1995, devenue largement obsolète. Elle pointe également, en dépit des avancées notables que contient le texte de la Commission européenne, les nombreux problèmes qui se posent encore.
Au titre des avancées très positives, figure notamment l’introduction, pour la première fois dans le droit communautaire, du droit à l’oubli numérique. Même s’il est précisé en bien des points, ce droit aurait toutefois mérité d’être mieux défini, plus approfondi, surtout dans la manière dont on peut le faire respecter.
J’en viens aux points qui posent problème.
Comme cela a été souligné par plusieurs orateurs, notamment le rapporteur, le président de la commission des lois et le garde des sceaux, la Commission européenne renvoie de trop nombreuses mesures à la mise en place de futurs actes délégués ou actes d’exécution. Cette procédure est non seulement discutable, mais elle revient également à priver les parlements de l’examen de ces dispositions, alors même qu’un règlement est, par définition, d’application directe dans nos législations nationales.
Le problème du « guichet unique » ayant déjà été évoqué, je n’y reviendrai donc pas. En revanche, un autre point a été peu abordé au cours de nos débats, même si le garde des sceaux en a parlé mais nous différons dans notre approche : il concerne la volonté de la Commission européenne de contraindre les entreprises de plus de 250 salariés à se doter d’un délégué à la protection des données. Celui-ci serait chargé de veiller en interne au respect de la loi et d’assurer l’interface avec les autorités et les consommateurs.
Outre que ce dispositif m’apparaît relativement lourd, le seuil de 250 salariés est aberrant : il ne correspond nullement à la réalité du monde de l’entreprise numérique. Aujourd'hui, les entreprises qui gèrent des fichiers de données personnelles sont souvent loin d’atteindre les 250 salariés. Ce sont des entreprises spécialisées, parfois des start-up, subdivisables à volonté par le biais de la sous-traitance. Il conviendrait donc définir au moins un secteur, celui qui regroupe des entreprises gérant de gros volumes de traitement.
Je rappelle, par exemple, qu’une société mondialement connue comme Twitter, qui compte aujourd'hui des millions d’utilisateurs, n’emploie à l’heure actuelle que 700 salariés et qu’elle fonctionnait il y a un an et demi avec moins de 250 salariés. Twitter pourrait donc être dispensée d’un tel dispositif tandis que certaines PME faisant un usage limité des données se verraient contraintes de le mettre en place.
En conclusion, beaucoup de travail reste à faire. Pour toutes ces raisons et pour d’autres, que le temps imparti ne me permet pas d’évoquer, il nous semble indispensable que la Commission européenne revoie sa copie, apporte des précisions ou procède aux adaptations nécessaires afin d’être plus opérante en matière de protection de la vie privée. (Applaudissements sur les travées du groupe écologiste et du groupe socialiste.)
M. le président. La parole est à M. Yves Détraigne.
M. Yves Détraigne. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, il y a deux ans, en mars 2010, notre assemblée adoptait à l’unanimité la proposition de loi déposée par Anne-Marie Escoffier et moi-même visant à mieux garantir le droit à la vie privée à l’heure du numérique.
Ce texte prévoyait notamment de faire de l’adresse IP une donnée personnelle et de rendre obligatoire la désignation d’un correspondant informatique et libertés dans les entreprises publiques ou privées où plus de 100 personnes ont accès à un fichier informatique ; il était proposé que ce correspondant puisse être mutualisé entre plusieurs entreprises.
Il visait en outre à rendre obligatoire, plus claire et plus accessible l’information sur la durée de conservation des données et à permettre aux personnes concernées d’exercer plus facilement leur droit de suppression et de rectification.
Il avait également pour objet de mieux encadrer la création et l’interconnexion des fichiers de police et de renforcer les pouvoirs d’enquête et de sanction de la CNIL.
Bref, il s’agissait de rendre plus transparentes et plus accessibles aux utilisateurs d’internet et autres traitements numériques les informations les concernant et de donner une réalité au fameux « droit à l’oubli ».
Adoptée à l’unanimité, notamment grâce aux améliorations apportées par son rapporteur Christian Cointat, cette proposition de loi faisait suite à un rapport d’information publié en mai 2009. Dans ce rapport étaient formulées une quinzaine de recommandations visant à mieux garantir le droit à la vie privée à l’heure des nouvelles mémoires numériques et à renforcer ainsi – car c’est bien de cela qu’il s’agit – la confiance des citoyens à l’égard de la société de l’information.
Depuis que le Sénat a débattu de cette question – sans que, malheureusement, l’Assemblée nationale y donne suite –, l’actualité n’a eu de cesse de démontrer l’urgente nécessité de légiférer dans ce domaine. On ne compte plus les exemples de salariés victimes dans leur entreprise de messages électroniques échangés sur le net ou de candidats à l’embauche qui se voient opposer par leur futur employeur des informations d’ordre privé qu’ils croyaient n’avoir transmis qu’à leurs « amis », mais qui étaient, de fait, devenues très rapidement accessibles au plus grand nombre. On pourrait aussi évoquer les systèmes illégaux de croisement de fichiers, qui permettent parfois à une entreprise d’espionner ses salariés, comme la presse s’en est fait l’écho il y a moins d’une semaine.
On ne peut donc que se réjouir de voir la Commission européenne s’emparer de cette question qui touche à nos libertés fondamentales et publier, le 25 janvier dernier, d’une part, une proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que, d’autre part, une proposition de directive, dont nous ne parlons pas en réalité aujourd'hui.
Je ne reprendrai pas toutes les dispositions de la proposition de règlement de la Commission européenne ni de la proposition de résolution de notre collègue Simon Sutour, dont je veux souligner la forte implication et la sagacité sur un sujet qui – il faut bien le dire – concerne tout le monde mais échappe au plus grand nombre. Je ne citerai que quelques exemples du contenu de la proposition de règlement européen, montrant qu’elle va incontestablement dans le bon sens.
Ainsi, elle met en place un corpus commun de règles relatives à la protection des données applicable dans toute l’Union européenne.
Elle impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel, telle l’obligation de notifier à l’autorité de contrôle nationale les violations graves de ces données.
Elle prévoit que, chaque fois que le consentement de l’individu concerné est exigé pour que ses données puissent être traitées, ce consentement ne sera plus présumé mais devra être donné expressément.
Elle facilite l’accès des personnes concernées à leurs propres données.
Elle instaure un droit à l’oubli numérique pouvant permettre aux citoyens d’obtenir la suppression des informations les concernant si aucun motif valable ne justifie leur conservation.
Enfin, elle prévoit que les règles européennes devront aussi s’appliquer pour des traitements réalisés à l’étranger par des entreprises qui sont implantées sur le marché européen.
Certes, la proposition de règlement européen comporte quelques lacunes, et la présentation qui en a été faite par la commissaire européenne, qui met davantage l’accent, à mon sens, sur la nécessité de donner un coup d’accélérateur à l’économie européenne et de réduire les contraintes pesant sur les entreprises que sur la nécessité, pourtant tout aussi importante, de protéger les libertés individuelles, peut nous alerter. Il ne faudrait pas que, en voulant unifier le droit européen dans le domaine de la protection des données personnelles, on en vienne paradoxalement à compliquer les possibilités d’intervention des individus concernés et à affaiblir les autorités de contrôle nationales qui, dans de nombreux pays, dont le nôtre, ont su faire preuve, depuis de longues années, de clairvoyance et d’équilibre. Il est donc important pour notre assemblée d’évoquer explicitement ce point, parmi d’autres sujets, avec cette proposition de résolution.
La commission des lois a adopté les amendements proposés par notre collègue Jean-Paul Amoudry, qui représente notre assemblée au sein de la CNIL et qui connaît particulièrement bien ces questions. Aussi ai-je le sentiment que la proposition de résolution, en tirant les conséquences des interrogations soulevées lors de l’audition de Viviane Reding, lesquelles n’ont pas toutes, il faut bien le dire, reçu de réponse, constitue une feuille de route équilibrée pour les négociations que le Gouvernement va maintenant engager avec nos partenaires européens sur le projet de règlement de la Commission européenne.
Le groupe de l’Union centriste et républicaine approuvera donc la proposition de résolution qui nous est soumise. (Applaudissements sur les travées de l'UCR, de l'UMP, du groupe socialiste, du groupe écologiste et du RDSE.)
11
Nouveau témoignage d'amitié à M. Guy Fischer
M. le président. La parole est à M. le garde des sceaux.
M. Michel Mercier, garde des sceaux, ministre de la justice et des libertés. Je suis très heureux d’apercevoir Guy Fischer parmi nous aujourd'hui. Guy est un ami ancien et fidèle. Un certain nombre de choses nous séparent, mais beaucoup nous rassemblent : nous partageons des valeurs et une action commune.
Cher Guy, ton courage admirable, ta force et ton envie de vivre t’ont soutenu pendant la maladie. Aujourd'hui est un jour de joie pour moi et pour toutes celles et tous ceux qui ont toujours compté sur toi pour les défendre et faire entendre leur voix, eux à qui tu tiens tant.
Le Gouvernement a de la chance d’avoir un adversaire de ta qualité. Poursuis ton combat, mon cher Guy ! C’est toujours avec plaisir que nous te retrouverons ici. (Applaudissements. – M. Guy Fischer se lève et salue l’hémicycle.)
M. le président. La parole est à M. Guy Fischer.
M. Guy Fischer. Cela fait maintenant vingt-six ans que M. Mercier et moi nous nous côtoyons au conseil général du Rhône, lui en tant que président de la collectivité et moi comme représentant de l’opposition communiste au sein du département. Au fil des années, nous avons appris à nous apprécier au-delà de nos différences politiques.
Je profite de l’occasion qui m’est offerte pour remercier les sénatrices et sénateurs de toutes sensibilités politiques qui m’ont témoigné durant cette douloureuse épreuve de leur amitié et qui m’ont fait part de leur souhait de me voir un jour « réapparaître » au Sénat.
Aujourd'hui, c’est une joie de rencontrer des sénatrices et des sénateurs que je ne connaissais pas et de retrouver des visages plus familiers aux côtés desquels j’ai cheminé. Je pense par exemple à Jean-Pierre Sueur ou à vous-même, monsieur le président, que je suis heureux de voir accéder à de nouvelles fonctions. Soyez tous assurés que notre groupe, avec sa présidente Nicole Borvo Cohen-Seat, incarnera toujours, dans certains débats, une forme de résistance. (Sourires.)
Monsieur le président, monsieur le garde des sceaux, mes chers collègues, je vous remercie une fois encore du soutien dont vous m’avez assuré dans cette épreuve, à laquelle nous sommes tous malheureusement confrontés à un moment de notre vie. (Applaudissements.)
M. le président. Au cours de notre vie parlementaire, il est des moments qui comptent. Alors que la France va connaître dans quelques semaines une grande confrontation nationale, je me félicite de cet instant d’émotion, de rassemblement, d’amitié, de solidarité et de fraternité, et je remercie M. le garde des sceaux d’y avoir contribué.
Il est symbolique qu’une personnalité aussi marquante que Guy Fischer soit présente aujourd'hui pour la clôture de la session parlementaire. Aussi, je lui souhaite une nouvelle fois bon vent !
M. Guy Fischer. Merci !
12
Traitement des données à caractère personnel
Suite de la discussion d'une proposition de résolution européenne
M. le président. Nous reprenons la discussion de la proposition de résolution européenne, présentée au nom de la commission des lois en application de l’article 73 quinquies du règlement, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Dans la suite de la discussion générale, la parole est à Mme Virginie Klès.
Mme Virginie Klès. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, je m’associe bien évidemment aux vœux de bienvenue adressés à notre collègue Guy Fischer. Qu’il ne soit pas inquiet, nous continuerons, avec lui, notre travail d’opposition chaque fois que cela sera nécessaire !
Aujourd'hui cependant, la proposition de résolution européenne qui nous est soumise recueille plutôt le consensus. Ce texte, sur lequel M. Sutour a travaillé aussi bien pour la commission des lois que pour la commission des affaires européennes, porte sur l’importante question de la protection des données privées à l’ère du numérique, c'est-à-dire à une époque où, comme cela a déjà été souligné, les technologies vont plus vite que l’esprit humain et peuvent, dans certains cas, mettre en danger le droit à la vie privée et à l’anonymat des individus.
Notre débat porte sur une proposition de règlement européen relatif aux fichiers commerciaux, mais nous savons qu’une proposition de directive européenne portant sur les fichiers dits de souveraineté est également à l’étude. Je le sais bien, en évoquant les premiers, on pense ne pas parler des seconds. Toutefois, j’aimerais appeler l’attention du Gouvernement et de mes collègues sur l’absence de séparation totale entre les fichiers de souveraineté et les fameux fichiers commerciaux qui nous occupent plus particulièrement aujourd'hui. En effet, il me semble nécessaire que le parlement français fasse bloc sur ces sujets afin de peser dans les négociations qui vont se poursuivre avec la Commission et nos partenaires européens.
Comment puis-je affirmer que la distinction entre les deux types de fichiers n’est pas si complète qu’elle devrait l’être ?
Si l’on prend le cas du fichier des cartes grises, qui doit permettre de lutter contre un certain nombre d’infractions, sachez qu’il peut être vendu par l’État à des sociétés commerciales dans des conditions qui, si elles sont encadrées, ne me permettent pas pour autant d’être certaine que chaque citoyen français a bien donné, de manière volontaire, son consentement libre, exprès et éclairé. Ce fichier peut ainsi être vendu à des sociétés sur lesquelles l’État peut, de façon assez discrétionnaire, demander des enquêtes administratives. Au vu du résultat de ces enquêtes, il acceptera ou non – on ne sait pas très bien sur la base de quels critères – de vendre ce fichier.
Il y a donc là, me semble-t-il, un lien fort entre les fichiers de souveraineté et les fichiers commerciaux. À partir du moment où le fichier des cartes grises et les données personnelles y figurant sont vendus à des garages ou à des sociétés automobiles, celui-ci tombe dans le domaine commercial, c'est-à-dire sous le coup du règlement et non plus de la directive.
Je le répète, il existe bel et bien des liens étroits entre les deux types de fichiers. Lorsque nous débattrons de la directive, nous ne devrons pas oublier de nous rappeler combien il est facile que des fichiers de souveraineté tombent rapidement en toute légalité, en tout cas jusqu’à présent, dans le domaine commercial. Ce point est d’autant plus important que, voilà peu de temps, nous avons évoqué ici même – j’espère que nous aurons l’occasion d’en reparler ultérieurement et que le combat n’est pas terminé – le fichier des cartes nationales d’identité biométriques, avec la question du lien fort et du lien faible. Il est donc important de protéger les données !
Si, demain, l’État veut vendre un certain nombre de données de ce fichier centralisé, qui comporte un lien fort entre les données biométriques et les données biographiques de tous les Français, rien ne l’en empêche ! Indépendamment même de la question de la vente, comment ces fichiers pourront-ils être protégés alors que des entreprises récupèrent déjà aujourd'hui, de façon illégale, des données dans le fichier des cartes grises ou dans d’autres fichiers et se les revendent entre elles ?
Mes chers collègues, vous voyez bien qu’il existe entre les fichiers de souveraineté et les fichiers commerciaux un lien parfois légal, parfois illégal, parfois sécurisé, parfois non sécurisé. Il me paraît primordial de garder cet aspect des choses en mémoire chaque fois que nous parlerons de fichiers et de réglementation européenne, qu’il s’agisse d’une proposition de directive ou de règlement.
Parmi les autres points qui ont été abordés par les orateurs précédents, le consentement exprès et éclairé me paraît particulièrement important. Je pense notamment aux notices qui ne doivent pas tourner à un fatras d’informations traduites dans un français si approximatif que personne ne les lit.
Je ne sais pas si beaucoup d’entre vous ont lu jusqu’au bout la licence d’utilisation d’un moteur de recherche américain bien connu. Pourtant, il y est spécifié que les données privées sont conservées dans un pays tiers de confiance… Mais la confiance pour qui, pour quoi et sur la base de quels critères ? Personne n’en sait rien ! Pour moi, il ne s’agit pas là d’un consentement exprès et éclairé. Nous devrons donc rester extrêmement attentifs à ce genre de situation.
Bien évidemment, nous l’avons tous dit aussi, l’objet des textes qui nous sont soumis est d’améliorer le niveau de protection des données et, dans le même temps, de simplifier certaines formalités, notamment pour les entreprises. Personnellement, j’estime que c’est une bonne chose de simplifier les formalités des entreprises, tant qu’elles relèvent de leur gestion interne, de leur permettre de travailler en toute sécurité juridique, de leur signifier précisément ce qu’elles ont le droit de faire et ce qu’elles n’ont pas le droit de faire. Mais, dès l’instant où l’action de l’entreprise a des répercussions sur la vie privée d’un citoyen, il faut appliquer le droit de l’État de résidence de ce dernier et non le droit de l’État du siège de l’entreprise.
À ce sujet, je voudrais faire un parallèle avec le droit du travail. Quand Disney s’installe à Paris, même si l’entreprise applique sa culture américaine à son processus de fonctionnement interne, c’est bien le droit du travail français, et non le droit du travail américain, qui sera appliqué à la gestion des salariés, qu’ils soient citoyens français ou américains. Une compagnie aérienne a récemment été confrontée au même genre de déconvenue.
La proposition, émise notamment par la CNIL et reprise par notre collègue Simon Sutour, d’opérer une distinction entre la résidence du citoyen et la résidence du siège de l’entreprise, selon qu’il est question de l’entreprise ou des individus, me paraît donc extrêmement intéressante. La notion d’État principal se doit d’être nuancée selon le sujet précis dont on parle.
Le droit à l’oubli est sans doute l’omission la plus importante de la proposition de règlement européen. Il faut insister auprès de l’Europe et de nos partenaires sur le déréférencement des données privées.
M. le président. Veuillez conclure, ma chère collègue.
Mme Virginie Klès. Le droit à l’oubli doit être, me semble-t-il, impérativement au cœur de nos préoccupations.
En conclusion, nous voterons bien évidemment la proposition de résolution de notre collègue Simon Sutour, tout en étant bien conscients des améliorations qui peuvent être encore apportées. (Applaudissements sur les travées du groupe socialiste et du groupe écologiste, ainsi que sur certaines travées du RDSE. – M. Yves Détraigne applaudit également.)
M. le président. La parole est à M. Gaëtan Gorce.
M. Gaëtan Gorce. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, la proposition de règlement qui est l’objet de nos discussions arrive au bon moment, même s’il est regrettable qu’elle n’apporte pas plus de bonnes réponses. Comment en effet ne pas se réjouir d’un débat qui se fait l’écho des préoccupations croissantes de nos concitoyens ?
Une prise de conscience, me semble-t-il – nous pouvons tous nous en féliciter –, est en train de s’opérer parmi nos concitoyens, non plus seulement sur les opportunités que représente le net, mais aussi sur les risques qu’il peut faire peser, faute de précautions, sur nos libertés. L’actualité de ces derniers jours nous démontre d’ailleurs une fois de plus que la protection de nos données personnelles est loin d’être garantie, et ce d’autant plus que la quantité et la diversité des informations que l’on recense comme des « données personnelles » ne cessent de s’accroître.
Si je ne devais prendre qu’un exemple, ce serait celui des nouvelles règles de confidentialité que Google a imposées aux utilisateurs français, malgré l’avis défavorable de la Commission nationale de l’informatique et des libertés, qui estime que ces règles ne respectent pas les exigences de la directive européenne en vigueur aujourd'hui. Google peut ainsi, depuis le 1er mars, croiser des informations recueillies par ses différents services concernant un même utilisateur.
Cette prise de conscience est d’autant plus fondamentale qu’elle touche au cœur de l’une des luttes centrales que devront mener nos démocraties dans les prochaines décennies, à savoir comment protéger les individus, tels qu’ils sont définis par le libéralisme politique depuis deux siècles, de la menace que représentent le poids massif, l’opacité, le pouvoir tentaculaire de très nombreuses grandes organisations publiques ou privées. La difficulté est encore accrue par le fait que l’enjeu de la sécurité semble aujourd'hui primer sur la préoccupation de la liberté. Pour assurer son confort ou sa tranquillité à l’égard de menaces potentielles, l’individu et même parfois le législateur – on l’a vu dans le débat sur le fichier biométrique – ne sont-ils pas prêts, pour se prémunir d’une menace virtuelle, à ignorer la menace bien réelle – j’allais dire « orwellienne » et concrète – d’organisations publiques ou privées capables de stocker et d’exploiter toutes les données possibles sur n’importe quelle personne ?
Cette situation doit nous conduire à nous réjouir que la Commission européenne ait décidé de se saisir de ce sujet pour faire progresser certains droits. On peut néanmoins regretter qu’elle soit restée à mi-chemin, comme partagée entre son souci de protéger les personnes contre différentes formes d’intrusion et son obsession de simplifier la tâche des entreprises. Il était donc important que la commission des lois et la commission des affaires européennes se saisissent de la proposition de règlement européen relatif à la protection de ces données, pour faire remarquer non seulement les avancées qu’elle pouvait présenter, mais aussi les points faibles rappelés par les différents intervenants et sur lesquels je n’insisterai pas : l’insuffisance du mode de contrôle, qui s’effectuera a posteriori, un large pouvoir d’exécution confié à la Commission et, naturellement, le critère de l’établissement principal.
Monsieur le garde des sceaux, nous serions plus à l’aise pour défendre votre position si, comme l’a rappelé Virginie Klès à l’instant, le ministère de l’intérieur ne vendait pas les fichiers des cartes grises,…
M. Gaëtan Gorce. … ce que nous a même reproché Mme Reding lors de l’audition à laquelle nous avons procédé, ou si le Gouvernement ne faisait pas voter une loi visant à organiser un fichage généralisé de nos concitoyens, sur la base des informations qui seront recueillies pour lutter contre les risques d’usurpation d’identité,…
M. Gaëtan Gorce. … ce qui est un danger que cette assemblée a bien ressenti, mais que le Gouvernement n’a malheureusement pas voulu retenir.
Le débat va cependant plus loin : sommes-nous encore capables, comme nos prédécesseurs voilà plus de deux siècles, de réaffirmer les droits inaliénables de l’homme face non seulement aux intérêts politiques et sécuritaires, mais aussi aux intérêts économiques et technologiques diffus, dont la nature est de chercher à échapper à tout contrôle ? Le libéralisme économique est sa propre négation s’il oublie que son fondement se trouve dans la sûreté garantie à chaque membre du corps social, que la menace vienne de l’État ou d’intérêts particuliers.
Aussi, si l’on se fait par exemple l’écho des propos du Président Obama, qui en a appelé à une Charte universelle des droits de l’homme sur internet, pourquoi notre Parlement ne prendrait-il pas l’initiative, fidèle à son histoire et à sa tradition, d’organiser un congrès européen ou mondial des parlements en vue de réaffirmer ces droits, de les faire entrer dans la réalité et le concret ? Pourquoi nos assemblées ne prendraient-elles pas l’initiative de soulever une question fondamentale sur l’avenir des droits de l’homme face à des menaces de plus en plus perçues aujourd'hui, mais insuffisamment combattues ?
La proposition de résolution que nous allons adopter aidera, je l’espère, à la prise de conscience à laquelle je faisais allusion. C’est pourquoi je remercie le président de la commission des lois et le président de la commission des affaires européennes d’avoir pris l’initiative de ce débat. (Applaudissements sur les travées du groupe socialiste et du groupe écologiste, ainsi que sur certaines travées du RDSE.)
M. le président. La parole est à M. Claude Jeannerot.
M. Claude Jeannerot. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, alors que Google fait de nouveau l’objet d’une plainte pour avoir contourné les paramètres de confidentialité de deux navigateurs de recherche et récolté ainsi des informations sur leurs utilisateurs, la protection de la vie privée de nos concitoyens doit plus que jamais faire l’objet d’une attention toute particulière. C’est pourquoi je ne peux que saluer, à mon tour, le dépôt de cette proposition de résolution européenne ayant pour objet de poser des garde-fous concernant plusieurs dispositions de la proposition de règlement européen adoptée par la Commission européenne le 25 janvier dernier.
Cette proposition de résolution est incontestablement source de progrès, et je souhaite en souligner trois mesures.
La première est la suppression pure et simple du critère du principal établissement concernant les requêtes des citoyens, critère contre lequel je m’étais élevé dans cette enceinte il y a peu. Sur ce point, j’avais bien noté, monsieur le garde des sceaux, votre position exprimée ici même le 8 février dernier. Vous aviez en effet jugé cette disposition comme n’étant pas « acceptable », prenant ainsi l’engagement que le « gouvernement français sera[it] ferme sur ce point ». Vous venez d’ailleurs de confirmer à l’instant votre position.
La deuxième mesure est la nécessité d’affirmer le maintien de la liberté de contrôle des autorités compétentes. En ce sens, il est évident que le critère du « motif raisonnable » amoindrira considérablement les pouvoirs d’enquête des autorités nationales. En effet, alors que ces autorités ont actuellement la faculté de mener des investigations dès lors qu’elles le jugent opportun, cette possibilité sera dès lors conditionnée à l’existence d’un « motif raisonnable ».
Ce motif devra permettre de présumer qu’une entreprise ne respecte pas la législation en matière de traitement des données personnelles. Ainsi, les programmes annuels de la CNIL, dans lesquels elle se fixe des objectifs de contrôle dans des grands domaines – par exemple, en 2011, la vidéoprotection ou la sécurité des données de santé – ne pourraient plus exister.
L’exigence d’un motif raisonnable préalablement à tout contrôle aura pour effet d’annihiler tout pouvoir d’investigation des autorités nationales compétentes. Combinée avec la suppression quasi totale des formalités préalables, cette disposition augmentera inexorablement les risques de violations de la protection des données personnelles.
Mme Sylvie Goy-Chavent. Évidemment !