compte rendu intégral

Présidence de M. Thierry Foucaud

vice-président

Secrétaires :

Mme Michelle Demessine,

Mme Catherine Procaccia.

M. le président. La séance est ouverte.

(La séance est ouverte à neuf heures trente.)

1

Procès-verbal

M. le président. Le compte rendu analytique de la précédente séance a été distribué.

Il n’y a pas d’observation ?…

Le procès-verbal est adopté sous les réserves d’usage.

2

Débat sur la protection des données personnelles

M. le président. L’ordre du jour appelle le débat sur la protection des données personnelles, organisé à la demande de la commission des lois et de la commission des affaires européennes.

La parole est à M. Yves Détraigne, pour la commission des lois.

M. Yves Détraigne, pour la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Monsieur le président, madame la ministre, mes chers collègues, la commission des lois a souhaité organiser ce débat, conjointement avec la commission des affaires européennes, à la suite d’une communication du président de la commission des affaires européennes, M. Simon Sutour, au sujet de la proposition de directive européenne relative au traitement des données dans le cadre de la coopération policière et judiciaire en matière pénale.

L’actualité européenne relative à la protection des données personnelles, à la suite de la proposition en 2012 de règlement général sur la protection des données, sur laquelle le président de la commission des affaires européennes reviendra, tout comme les discussions en cours sur le projet de directive PNR, ou Passenger Name Record, pour laquelle nous sommes attentifs à préserver l’équilibre entre sécurité et liberté, a incité nos deux commissions à proposer au Sénat de débattre de ces sujets.

Cependant, la question est vaste et ne saurait se cantonner au renouvellement du cadre juridique relatif à cette matière au sein de l’Union européenne.

Si la commission des lois s’est saisie dès le mois de février 2012 des propositions de la Commission européenne, c’est que l’enjeu est de taille pour notre législation. Le règlement, lorsqu’il sera adopté, s’imposera en effet à la France et se substituera à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. C’est pourquoi la commission des lois avait présenté une proposition de résolution européenne que le Sénat a adoptée le 6 mars 2012.

Cette résolution demandait notamment au Gouvernement de veiller à ce que la possibilité pour les États membres d’adopter des mesures plus protectrices des données personnelles soit préservée. Je réitère ici cette demande.

Ce débat est ainsi l’occasion pour nos deux commissions de signifier au Gouvernement qu’elles sont vigilantes dans le suivi des résolutions européennes adoptées par notre assemblée, que ces dernières portent sur le nouveau cadre juridique de l’Union européenne pour la protection des données personnelles, sur les fichiers de passagers de transport aérien, le fichier PNR, ou encore sur l’utilisation à des fins répressives des empreintes digitales des demandeurs d’asile recueillies dans la base Eurodac ou des étrangers entrant dans l’espace Schengen pour un court séjour.

Ce débat est également l’occasion de dresser un bilan des travaux menés par la commission des lois sur les questions posées par la protection des données personnelles et d’ouvrir des perspectives.

Avec notre ancienne collègue, Anne-Marie Escoffier, j’ai été le coauteur du rapport relatif au respect de la vie privée à l’heure des mémoires numériques, présenté en commission des lois en 2009, et de la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont notre excellent collègue Christian Cointat était le rapporteur et qui a été adoptée par notre assemblée le 23 mars 2010. Malheureusement, ce dernier texte est toujours en attente de discussion à l’Assemblée nationale. Malgré les années écoulées, certaines des difficultés que nous avions soulevées à l’époque demeurent, et certaines de nos propositions n’ont malheureusement toujours pas trouvé d’écho.

Le premier constat que nous avions formulé à l’époque était la méconnaissance de nos concitoyens, notamment des plus jeunes, des conséquences que pouvait avoir l’utilisation des nouvelles technologies de l’information sur leur vie privée. Je pense à la divulgation volontaire d’informations personnelles via les réseaux sociaux – Facebook, Google +, Twitter ou autres –, mais également à tous les outils mis en œuvre par les opérateurs pour recueillir des données personnelles à l’insu des utilisateurs : les cookies, ces petits fichiers qui facilitent certes la navigation des internautes mais permettent également de conserver en mémoire un grand nombre d’informations relatives aux habitudes de navigation ; la géolocalisation, qui permet de « tracer » les individus ayant utilisé, par exemple, un GPS ; la biométrie, bien souvent présentée comme un confort pour les individus, mais qui emporte en contrepartie leur « fichage » dans des bases de données ; le « profilage ».

Le rapport se félicitait de la prise de conscience des autorités et des efforts mis en œuvre pour réguler ces pratiques. Toutefois, le contentieux qui oppose aujourd’hui la Commission nationale de l’informatique et des libertés, la CNIL, à Google montre que le chemin est encore long, et qu’il passe en grande partie par l’éducation et par l’information des citoyens.

Ainsi, la première recommandation du rapport portait-elle sur le renforcement de la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires. La deuxième recommandation était relative à la diffusion d’une campagne d’information à grande échelle destinée à sensibiliser les citoyens aux enjeux liés à la vie privée et à la protection des données à l’heure du numérique, ainsi qu’à les informer des droits que leur reconnaît la loi « informatique et libertés ».

Afin de prévenir une défiance excessive des citoyens, il était préconisé parallèlement la mise en place de labels identifiant et valorisant des logiciels, applications et systèmes protecteurs de la vie privée. En 2011, la CNIL a mis en œuvre une procédure de labellisation des produits ou des procédures respectueux de la vie privée des internautes, basée sur le volontariat. C’est une initiative qui mérite d’être saluée et encouragée.

Je ne voudrais pas déflorer, s’agissant des moyens mis à disposition de la CNIL et de leur adéquation à ses missions sans cesse accrues, le prochain avis budgétaire de notre collègue Virginie Klès, qui veille à ces sujets chaque année dans la lignée des travaux de la commission.

En revanche, on peut regretter que la recommandation de rendre obligatoire la désignation de correspondants « informatique et libertés » pour les structures publiques et privées de plus de cinquante salariés n’ait toujours pas été suivie d’effets. Actuellement, cette démarche reste fondée sur le volontariat.

De même, il serait temps de relever le plafond des sanctions pécuniaires susceptibles d’être prononcées par la CNIL. L’article 47 de la loi de 1978 limite en effet la sanction financière à 150 000 euros, ou à 300 000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d’affaires hors taxes du dernier exercice clos. Face à la puissance financière de groupes mondiaux comme Google, on mesure la faiblesse du pouvoir d’intimidation de l’autorité française...

Par ailleurs, il serait grand temps de trancher la controverse juridique et de reconnaître à l’adresse IP le statut de donnée personnelle. Cette adresse numérique utilisée par les ordinateurs pour « communiquer » entre eux sur les réseaux est en effet considérée par le juge et le législateur européens comme une donnée personnelle ; cependant, cet acquis est fragile, comme le montre le projet de règlement européen. En France, la controverse n’est toujours pas définitivement tranchée, l’appréciation du juge dépendant de la faculté offerte ou non par le traitement de données d’identifier une personne physique. Une clarification au niveau national permettrait, à n’en pas douter, une meilleure défense des intérêts des internautes aux niveaux européen et international.

Dans le même ordre d’idée, notre droit mériterait d’être complété d’un droit à l’oubli sur Internet. À cet égard, la proposition de règlement européen pourrait être un complément utile à notre législation nationale dans la mesure où elle consacre le droit de toute personne à obtenir du responsable d’un traitement de données l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données.

La question de l’articulation de ce nouveau droit avec l’exercice de la liberté d’expression se pose néanmoins, ainsi que la commission des lois a pu le constater lors de l’examen, l’hiver dernier, de la proposition de loi relative à la suppression de la discrimination dans les délais de prescription prévus par la loi sur la liberté de la presse du 29 juillet 1881.

Pour perfectible que soit notre législation, la commission des lois se félicite, à raison, du haut niveau de protection garanti aux citoyens par la loi de 1978, qui a inspiré la directive européenne de 1995. Le rapport du groupe de travail appelait donc à soutenir la dynamique en cours tendant à la définition de standards internationaux dans le domaine de la protection des données personnelles. Cette intention était louable, mais, dans la perspective des négociations en cours au niveau de l’Union européenne, on peut craindre que le nivellement des législations en Europe ne se fasse par le bas plutôt que par le haut. Madame la ministre, à chaque fois que vous lutterez pour défendre le maintien d’un haut standard de protection pour nos concitoyens, vous pourrez compter sur le soutien du Sénat.

Je ne peux laisser de côté l’un des sujets de préoccupation majeure de la commission des lois du Sénat : la question des fichiers.

Le rapport précité recommandait de réserver au législateur la compétence exclusive pour créer un fichier de police. Sur ce point, les deux chambres du Parlement étaient unanimes, une mission d’information de la commission des lois de l’Assemblée nationale ayant abouti strictement aux mêmes conclusions que la commission des lois du Sénat. Les articles 25 et 26 de la loi de 1978 n’ont cependant toujours pas été modifiés en ce sens, en dépit du dépôt par nos collègues de l’Assemblée nationale d’une proposition de loi.

Le législateur, lui-même, doit préserver un équilibre vertueux entre sécurité et liberté lorsqu’il s’agit de créer de nouveaux fichiers. Ainsi, la commission des lois du Sénat n’aura de cesse d’appeler à la vigilance lorsqu’il s’agit de constituer des bases de données contenant des données personnelles et d’insister, à ce propos, sur la jurisprudence du Conseil constitutionnel.

Je rappellerai donc que, appelé à se prononcer sur la constitutionnalité de la création d’un fichier central biométrique des cartes nationales d’identité et des passeports, lors de l’examen de la loi relative à la protection de l’identité, le Conseil constitutionnel a censuré cette disposition, considérant que, « eu égard à la nature des données enregistrées » – il s’agissait de données biométriques –« , à l’ampleur de ce traitement » – il concernait potentiellement la quasi-totalité de la population française –« , à ses caractéristiques techniques » – il permettait non seulement l’authentification, mais également l’identification des personnes – « et aux conditions de sa consultation » – la pluralité de ses finalités –« , les dispositions de l’article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ».

À cet égard, je relève que le juge constitutionnel a repris la position défendue par le Sénat sur l’initiative de notre collègue François Pillet, donnant ainsi raison aux arguments avancés par la commission des lois lors des débats parlementaires.

Cette position nous rappelle que la protection des données personnelles, au titre du droit au respect de la vie privée, concerne chacun d’entre nous. L’évolution des technologies ne doit pas nous faire perdre de vue ce principe constitutionnel, non plus que notre responsabilité de législateur pour en assurer la préservation.

Le rapport du groupe de travail de la commission des lois concluait d’ailleurs ses recommandations par la proposition d’inscrire dans notre Constitution la notion de droit au respect de la vie privée, ainsi que cela avait déjà été proposé par le projet de loi constitutionnelle issu des travaux du Comité Vedel, en 1993.

M. Yves Détraigne, pour la commission des lois. Je laisse cela à votre appréciation, mais, en tout état de cause, il est clair que le Sénat se doit d’être, comme il l’a toujours été, le gardien vigilant de nos libertés individuelles, y compris en matière de nouvelles technologies. Ce débat est aussi l’occasion de le rappeler. (Applaudissements.)

M. le président. La parole est à M. le président de la commission des affaires européennes.

M. Simon Sutour, président de la commission des affaires européennes. Monsieur le président, madame la ministre, mes chers collègues, je voudrais tout d’abord remercier le Gouvernement d’avoir accepté ce débat dont mon collègue Jean-Pierre Sueur et moi-même avons souhaité la tenue. Le Sénat est en effet ici dans son rôle, car la protection des données personnelles touche directement aux libertés fondamentales de nos concitoyens.

Chaque jour, nous pouvons constater de nouveaux progrès accomplis par les technologies de l’information et de la communication. Ils présentent bien des avantages. Ils accélèrent la circulation de l’information, la rendent plus rapidement disponible. Ils simplifient beaucoup d’actes de la vie quotidienne. Ils rapprochent les individus par-delà les distances qui les séparent. Ces progrès sont aussi des atouts pour la croissance économique. Ils offrent également de nouveaux instruments pour agir plus efficacement face aux nouvelles menaces que sont le terrorisme ou la criminalité transfrontière.

Mais nos concitoyens sont aussi en droit d’attendre que leurs données personnelles ne soient pas utilisées pour des finalités multiples, sans leur consentement. Les données qu’ils ont transmises un jour ne doivent pas ensuite pouvoir être diffusées très largement à leur insu. Nos concitoyens veulent voir leurs droits protégés face aux risques de nombreux abus. Ils veulent légitimement avoir des garanties. Ils doivent disposer de voies de recours leur permettant d’accéder à leurs données personnelles afin de les faire rectifier ou effacer.

Tout cela montre qu’une grande vigilance s’impose. C’est le devoir du législateur, qu’il soit national ou européen, d’établir des règles sûres pour prévenir les abus. C’est aussi la responsabilité des pouvoirs publics de veiller à ce que les données personnelles de nos concitoyens ne soient pas transférées de façon erratique à d’autres pays.

Le monde a découvert tout récemment avec stupéfaction l’existence du programme américain PRISM. Ce programme a permis aux services de sécurité américains de surveiller les communications des non-Américains transitant par les serveurs de Google, Facebook, Yahoo ! ou encore Microsoft, et d’accéder aux bases de ces entreprises.

Un « groupe d’experts » a été créé pour faire la lumière sur ce scandale. Il réunit les États membres, la Commission européenne et les autorités américaines. Nous voulons être informés des résultats de ces travaux.

Le Parlement européen a lui-même décidé, en juillet dernier, de créer une commission d’enquête. Cette commission devra récolter auprès de sources européennes et américaines tous les faits liés à PRISM. Il en évaluera les conséquences sur les droits des citoyens.

En septembre, des informations de presse ont indiqué que les services américains auraient surveillé l’entreprise Swift. Basée en Belgique, cette société sécurise les transferts bancaires internationaux. Si tel était le cas, ce serait une violation ouverte de l’accord conclu en 2010 entre l’Union européenne et les États-Unis.

Dans une résolution du 21 novembre 2009 – mon collègue Yves Détraigne y a fait référence –, le Sénat avait souligné les garanties qui devraient figurer dans un tel accord : garanties sur le respect des finalités de la transmission de données, sur la durée de leur conservation, sur les limitations de l’accès aux données. De fait, l’accord a prévu certaines garanties, en particulier sur la détention des données Swift dans un environnement sécurisé et avec un stockage séparé des autres données.

Quelle est l’appréciation du Gouvernement, madame la ministre ? Y a-t-il eu selon vous violation de l’accord ?

Au-delà, nous devons nous interroger sur l’efficacité du cadre juridique européen de la protection des données. Il est en cours de révision. J’ai été amené à présenter au Sénat des propositions de résolution au titre de la commission des affaires européennes et de la commission des lois, sur les textes proposés par la Commission européenne.

Le premier texte est une proposition de règlement qui fixera un nouveau cadre général pour la protection des données personnelles. Ce texte sera d’application directe dans tous les États membres. Le Sénat a mené un débat approfondi sur ce dispositif. Il fut d’autant plus approfondi que, durant tout un après-midi, nous avions auditionné la commissaire européenne Mme Viviane Reding, avec laquelle nos échanges furent francs et même parfois un peu vifs. Dans une résolution du 6 mars 2012, nous avions en particulier affirmé la nécessaire compétence de l’autorité de contrôle du pays de résidence. C’est une garantie essentielle pour les citoyens.

Plusieurs options seraient en discussion au Conseil. Au Parlement européen, la commission des libertés civiles, de la justice et des affaires intérieures, dite « commission LIBE », doit se prononcer prochainement. Notre position est claire et unanime : nos concitoyens doivent pouvoir continuer à s’adresser à leur autorité de contrôle, à savoir la CNIL, qui a depuis longtemps fait ses preuves.

Par ailleurs, l’étendue des délégations de pouvoir accordées à la Commission européenne ne nous avait pas paru acceptable. Nous avions aussi dénoncé les dérogations inopportunes aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données. Plus profondément, il nous était apparu essentiel que les États membres gardent la possibilité de garantir un haut niveau de protection des droits des personnes concernées. Nous avons la chance en France – c’est le fruit de notre histoire et d’un certain consensus national – d’avoir une haute protection des données. Nous ne voulons pas qu’une harmonisation au niveau européen aboutisse à une uniformisation par le bas, même si nous savons que nous avons la possibilité, en le demandant, de conserver ce haut niveau.

Madame la ministre, j’aimerais connaître la position du Gouvernement sur ce sujet. Où en est la négociation sur cette question au Conseil ?

Notre pays a joué un rôle moteur dans la protection des données personnelles en Europe. Notre loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, a largement inspiré la directive européenne de 1995. Elle offre à nos concitoyens un cadre de protection efficace et éprouvé. Il faut bien sûr avancer sur la voie de l’harmonisation européenne. Mais, comme je l’ai indiqué précédemment, notre pays ne peut accepter de voir le niveau de protection régresser au motif de cette harmonisation. Il faut donc promouvoir une harmonisation par le haut et préserver le niveau de garanties qu’offre notre législation.

Tout cela nous avait conduits à adopter également un avis motivé sur la subsidiarité au titre de l’article 88-6 de la Constitution. En effet, c’est aussi le devoir du Sénat de veiller à ce que les propositions de la Commission européenne n’excèdent pas ce qui est nécessaire pour atteindre l’objectif.

Pouvez-vous nous dire, madame la ministre, si, en l’état de la négociation, le texte permet de préserver notre niveau élevé de protection des données personnelles ?

La Commission européenne a par ailleurs fait le choix, que nous approuvons, de traiter dans un texte spécifique – une proposition de directive – la question de la protection des données personnelles dans le cadre de la coopération policière et judiciaire pénale.

Nous avons exprimé plusieurs préoccupations dans une résolution du 12 mars 2013. Oui, la sécurité des citoyens est un objectif essentiel. Il faut donc développer la coopération judiciaire et policière. Mais il faut aussi maintenir un niveau élevé de protection des droits fondamentaux, en particulier dès lors que sont en cause les données personnelles.

Là encore, que constatons-nous ? Que notre cadre juridique permet d’avoir un haut niveau de protection. Je rappelle qu’il repose sur un principe fondamental. Les traitements de données nécessaires dans le cadre des activités répressives de l’État doivent être mis en œuvre conformément aux principes généraux de protection des données. Cela n’exclut pas l’existence de dérogations à condition qu’elles soient justifiées et surtout proportionnées aux besoins.

Il faut donc dire clairement que la directive ne fournit qu’un seuil minimal de garanties. Les États membres doivent pouvoir aller au-delà et prévoir des dispositions nationales plus protectrices. Là aussi, je vous interroge sur les intentions du Gouvernement, que vous représentez ici ce matin, madame la ministre.

Nous estimons également que la directive devra être beaucoup plus précise quant aux personnes habilitées à avoir accès aux données.

Nous considérons que l’utilisation de données sensibles doit en principe être interdite. Les dérogations éventuelles à cette règle ne peuvent être tolérées que de manière exceptionnelle. En outre, le traitement des données biométriques devrait faire l’objet d’un encadrement spécifique. La durée de conservation des données est un autre enjeu majeur. Les États membres doivent prévoir un délai de conservation précis. Enfin, nous avons considéré que le dispositif sur les transferts de données aux pays tiers était largement insuffisant.

Où en est, madame la ministre, la négociation de ce texte ? Nos objections sont-elles prises en compte dans les discussions en cours ? Comme mon ami M. Détraigne l’a indiqué, si nous avons souhaité, dans le cadre de cette semaine de contrôle, instituer ce débat, c’est pour avoir un suivi quant à l’« efficacité » de nos propositions de résolution, même si nous ne méconnaissons pas les contraintes qui sont celles du Gouvernement.

L’Union européenne négocie par ailleurs avec les États-Unis un accord-cadre sur la protection des données. Où en est la négociation de cet accord ? Un lien sera-t-il établi avec les accords PNR, ou Passenger Name Record ? Cet accord-cadre respectera-t-il une cohérence avec la révision en cours du cadre juridique européen ?

La Commission européenne a en outre proposé un texte visant à créer un PNR européen. Au sein du Parlement européen, les députés de la commission LIBE ont rejeté ce texte. Ils ont considéré que la protection des données personnelles était insuffisante.

Dans une résolution du 30 mai 2009, le Sénat avait lui-même estimé que le régime de protection des données devait être clarifié. Nous avions souhaité un haut niveau de protection par référence aux standards du Conseil de l’Europe. Là encore, nous avons demandé l’exclusion des données sensibles. Le Sénat avait préconisé une durée de conservation des données de trois ans plutôt que la durée de sept ans initialement proposée. Il avait jugé nécessaires des garanties renforcées pour le transfert de données aux pays tiers.

Où en est-on de ces négociations ? Le Gouvernement a-t-il pris en compte les priorités du Sénat ?

Telles sont, mes chers collègues, les observations que je voulais faire au nom de la commission des affaires européennes sur ce sujet très important. Ce sont les libertés fondamentales qui sont concernées. Dans un contexte en constante évolution, les motifs d’inquiétude ne manquent pas. Le Sénat, madame la ministre, attend des réponses aux priorités qu’il a mises en avant, dans son rôle de vigilance pour la protection des droits fondamentaux. (Applaudissements.)

M. le président. La parole est à M. François Pillet.