Allez au contenu, Allez à la navigation

Justice et affaires intérieures

Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
COM (2012) 11 final  du 25/01/2012

Contrôle de subsidiarité (article 88-6 de la Constitution)

Examen par la commission des affaires européennes le 23/02/2012
Réponse de la Commission européenne

Ce texte a fait l'objet de la proposition de résolution : n° 424 (2011-2012) : voir le dossier legislatif

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 01/02/2012
La commission des lois s'est saisie de ce texte le 08/02/2012
 et a adopté la proposition de résolution n° 406 (2011-2012): voir le dossier législatif

Justice et affaires intérieures

Texte E 7055

Rapport pour avis de M. Simon Sutour sur la proposition de résolution relative à la protection des données personnelles

COM (2012) 11 final

(Réunion du jeudi 1er mars 2012)

M. Simon Sutour, président. - Le premier thème à notre ordre du jour concerne une résolution sur la proposition de règlement européen relatif à la protection des données personnelles. Nous examinerons ce sujet en appliquant pour la première fois la disposition de notre Règlement qui nous permet, en cas d'examen d'une proposition de résolution en séance publique, de nous saisir pour avis. La commission des lois et la nôtre ont en effet demandé conjointement qu'un débat en séance publique confère une plus grande solennité à cette résolution européenne, dont je serai rapporteur au titre de la commission des lois et rapporteur pour avis au titre de la commission des affaires européennes.

La commission des lois a adopté hier une proposition de résolution européenne portant sur le projet de règlement relatif à la protection des données personnelles.

Nous avons entendu Mme Viviane Reding le 21 février ; le débat en séance publique au Sénat se déroulera le 6 mars. Je rappelle que nous avons formulé le 23 février un avis motivé sur la subsidiarité.

À propos de la protection des données personnelles, la commission des lois a fait jouer la priorité dont disposent les commissions permanentes, mais nous nous sommes saisis pour avis et vous m'avez désigné pour exprimer le point de vue de notre commission.

La Commission de Bruxelles a présenté deux textes : une proposition de règlement portant sur les fichiers privés commerciaux et une proposition de directive sur les fichiers de souveraineté. Dans les deux cas, la procédure ordinaire de codécision associant le Conseil et le Parlement européen sera mise en oeuvre.

La proposition de résolution que nous examinons aujourd'hui porte exclusivement sur le règlement sur les fichiers privés commerciaux : nous examinerons ultérieurement la directive sur les fichiers de souveraineté.

Actuellement en vigueur, la directive du 24 octobre 1995 a fixé des principes importants pour la protection des données personnelles, largement inspirés par la loi « informatique et liberté » du 6 janvier 1978.

Le G 29, ou « groupe de l'article 29 » créé en application de l'article 29 de cette directive, regroupe les CNIL des États membres.

Il reste que cette directive a été adoptée avant l'essor d'Internet. Ses objectifs demeurent valables, mais ses dispositions ne sont adaptées ni à la rapidité de l'évolution technique, ni à la mondialisation. Internet, notamment les réseaux sociaux, jouent aujourd'hui un rôle prépondérant dans la collecte de données individuelles.

Je tiens à souligner que nos collègues Mme Escoffier et M. Détraigne avait clairement analysé ces nouveaux défis dans le rapport présenté le 27 mai 2009 au nom de la commission des lois, intitulé « La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information ».

Le nouveau projet de règlement tend à réduire la fragmentation juridique par la création d'un corps harmonisé des règles de base, puisqu'un règlement est d'application directe dans les États membres. La commission des lois s'en est saisie au fond à juste titre, puisque, par nature, le règlement ne donne lieu à aucune transposition. Au demeurant, les directives sont de plus en plus souvent transposées hors du champ parlementaire, ce que nous pouvons tous déplorer...

Sur le fond, la proposition de règlement améliore considérablement la protection des personnes. Je citerai notamment l'accord exprès de l'intéressé pour le recueil des informations personnelles, le droit d'opposition reconnu à chacun au traitement des données le concernant, l'interdiction du profilage informatique et la consécration d'un droit à l'oubli numérique. Ce texte comporte aussi des dispositions spécifiques à la gestion des fichiers, qui devront faire l'objet d'une étude d'impact et dont le transfert hors Union européenne sera réglementé. J'ajoute que les entreprises employant plus de 250 salariés devront respecter de nouvelles obligations. Dans le même esprit, je relève la création d'un comité européen pour la protection des données.

Ces propositions sont positives. Certaines sont déjà en vigueur dans notre droit national ; d'autres correspondent à des évolutions attendues, comme celles inscrites dans la proposition de loi présentée par M. Détraigne après son rapport et votée à l'unanimité par le Sénat, mais jamais discutée à l'Assemblée nationale.

Cependant, la proposition de résolution demande que l'on aille plus loin sur certains points, comme le droit à l'oubli numérique ou le régime des moteurs de recherche.

Surtout, la proposition de règlement comporte trois difficultés. La première concerne la marge laissée aux États membres dont les dispositions actuelles sont plus protectrices. Sur ce point, Mme Reding a été explicitement négative. Mais pouvons-nous accepter qu'en élevant la protection moyenne apportée aux citoyens européens, le règlement porte atteinte au régime dont bénéficient les citoyens actuellement les plus protégés ? L'interrogation est particulièrement sensible en France, pays pionnier pour la protection des données. Pour cette raison, la proposition de résolution demande que le règlement soit appliqué sans préjudice pour les États membres de la faculté de conserver des dispositions plus protectrices. En effet, le règlement peut disposer dès sa publication que les standards accrus sont maintenus. Par la suite, il sera trop tard. Concrètement, la première solution envisageable consisterait à instituer une harmonisation « par le haut », mais cela imposerait à certains pays une évolution particulièrement rapide. L'autre moyen juridique consiste à introduire dans le règlement une clause spécifique autorisant les États membres à conserver les dispositions plus protectrices de leur législation.

La deuxième difficulté tient au renvoi extrêmement fréquent à des actes de la Commission de Bruxelles, qui serait donc investie d'un vaste pouvoir de législation déléguée. Vis-à-vis des actes délégués, le Conseil ne dispose que d'un droit d'opposition à la majorité qualifiée, le Parlement européen pouvant de son côté s'opposer à la majorité absolue de ses membres. Ainsi, quoi qu'en disent Mme Reding, la Commission européenne disposerait en pratique d'un pouvoir considérable.

La troisième difficulté est celle qui a le plus focalisé l'attention de la Cnil, qui a fourni un grand travail pour informer les parlementaires : c'est le guichet unique, confiant le traitement de toutes les réclamations au pays où se trouve le principal établissement de l'entreprise visée par une plainte. L'exemple le plus extrême est celui de Facebook, installé en Irlande : ce pays ne compte que 4,6 millions d'habitants, mais sa Cnil devrait traiter un contentieux qui pourrait potentiellement concerner des centaines de millions d'habitants ! Notre Cnil serait réduite au statut de boîtes aux lettres. L'objectif avoué de ce dispositif est de faciliter les démarches des entreprises. Cet objectif ne me gêne pas, mais je veux faciliter surtout la vie de nos concitoyens, qu'il serait paradoxal de traiter moins bien que les entreprises. Avec ce règlement, les citoyens seraient privés du droit de voir leurs requêtes traitées par l'autorité la plus proche, celle-ci ne pouvant appliquer le droit le plus protecteur.

Nous ne faisons que réclamer l'application des règles de compétence qui ont été retenues pour le droit de la consommation. Je propose que notre commission approuve ce texte élaboré par la commission des lois, à l'unanimité moins une abstention. Notre résolution sur la subsidiarité a d'ailleurs été elle aussi adoptée à l'unanimité moins une voix par la commission des lois.

M. Alain Richard. - J'approuve le projet de résolution. Il faut explicitement autoriser dans le règlement les États membres à conserver des protections supplémentaires. À défaut, la charge différenciée induite par la spécificité du droit national pourrait motiver des actions fondées en discrimination. J'observe par ailleurs que le critère des 250 salariés n'est pas pertinent pour imposer la création d'un délégué à la protection des données, car une entreprise peut être très active dans ce domaine du traitement des données avec une dizaine de salariés, dès lors qu'elle intervient comme sous-traitant. Il vaudrait donc mieux se fonder sur le chiffre d'affaires procuré par la commercialisation des données.

M. Éric Bocquet. - Le rôle des Cnil nationales est marqué par une très grande hétérogénéité. L'Union européenne a-t-elle formulé des recommandations minimum ?

M. Simon Sutour, président. - Ce sujet est abordé par la proposition de règlement, qui organise un regroupement des autorités de contrôle déjà d'ailleurs largement réalisé en pratique. Elle sera ensuite débattue par le Parlement européen, la version finale résultant d'une codécision avec le Conseil de l'Union européenne. Selon le secrétariat général aux affaires européennes, le processus pourrait prendre deux ou trois ans, alors que Mme Reding pense à quelques mois ou un an. Une chose est certaine : le débat ne sera pas conclu demain. Ce n'est donc sans doute pas la dernière fois que nous abordons cette question. En tout état de cause, nous devrons encore nous prononcer sur la proposition de directive concernant les fichiers de souveraineté. Au demeurant, le texte du règlement va évoluer au cours du débat au Parlement européen. Malheureusement, la France est isolée, car ses dispositions actuelles sont en pointe. L'harmonisation européenne est une bonne chose en son principe, mais elle peut aussi tirer vers le bas... Enfin, je rappelle que le but de notre proposition n'est pas de réécrire le projet de règlement. Il va évoluer beaucoup dans les négociations. Nous devons affirmer des principes.

M. Alain Richard. - Certes, mais le pouvoir de recommandation reconnu aux parlements nationaux les autorise à mettre en avant certains sujets.

M. Simon Sutour, président. - S'agissant de votre suggestion relative aux entreprises concernées, le point 18 de la résolution vous donne en partie satisfaction.

M. Alain Richard. - Il serait plus cohérent de s'en tenir au volume des données traitées.

M. Éric Bocquet. - Les entreprises concernées ont-elles demandé le guichet unique ?

M. Simon Sutour, président. - Le directeur des affaires juridiques de Microsoft m'a dit qu'il lui serait plus simple d'avoir, à l'avenir, un seul interlocuteur au lieu des 27 Cnil actuelles.

Mlle Sophie Joissains. - D'autant que la Cnil irlandaise n'est probablement pas équipée pour ce faire !

M. Alain Richard. - Ce projet de règlement lui imposerait une charge disproportionnée.

*

La commission émet un avis favorable à la proposition de résolution européenne suivante, issue des travaux de la commission des lois (rapport n° 446).

Proposition de résolution européenne

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu l'article 2 de la Déclaration des droits de l'Homme et du citoyen,

Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 16,

Vu la charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel,

Vu la proposition de loi de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 81, 2009-2010) visant à mieux garantir le droit à la vie privée à l'heure du numérique, adoptée par le Sénat le 23 mars 2010,

Vu le rapport d'information de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 441, 2008-2009) au nom de la commission des lois du Sénat sur « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information »,

Vu la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (COM (2012) 11 final/n° E 7055) en date du 27 janvier 2012,

Approuve l'objectif poursuivi par la Commission européenne, en ce qu'elle souhaite promouvoir une approche globale de la protection des données personnelles, qui repose sur une harmonisation des règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers ;

Prend acte des avancées que porte la proposition de règlement s'agissant, entre autres, de la promotion du droit à l'oubli numérique, de la consécration du principe du consentement exprès à l'utilisation des données personnelles, de l'obligation de portabilité des données personnelles, qui permettra à une personne de s'affranchir d'un responsable de traitement sans perdre l'usage de ses données, des limitations apportées aux possibilités de profilage à partir de ses données personnelles, de la présence obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou de l'encadrement, notamment par des règles d'entreprise contraignantes, des transferts internationaux de données ;

Estime, toutefois, que ces garanties doivent être renforcées ;

En particulier :

Appelle, s'agissant du droit à l'oubli, à ce que les obligations pesant sur les moteurs de recherche soient renforcées afin, d'une part, de prévoir l'effacement automatique des contenus indexés au bout d'un délai maximum, et, d'autre part, de permettre à l'intéressé d'obtenir la désindexation de ceux qui lui portent préjudice ;

Juge nécessaire qu'une solution équilibrée soit proposée pour obtenir, sur demande de l'intéressé, l'effacement des données personnelles publiées par un tiers, dans le respect de la liberté d'expression ;

Souligne la nécessité que l'adresse IP (Internet Protocol) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier la personne concernée ;

Estime inopportunes les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données, s'agissant notamment des transferts ni fréquents ni massifs ;

Considère que l'obligation de désignation d'un délégué à la protection des données pourrait être étendue aux entreprises dont la principale activité est celle du traitement de données personnelles ;

Estime en outre, de manière générale, que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable et compte tenu de l'inégalité de moyens entre le responsable de traitement et l'intéressé qui lui a confié ses données personnelles, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes ; qu'elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices ;

Conteste par ailleurs le nombre important d'actes délégués et d'actes d'exécution que la proposition de règlement attribue à la compétence de la Commission européenne, alors qu'un certain nombre pourraient relever soit de dispositions législatives européennes ou nationales, soit, compte tenu de leur complexité technique, d'une procédure qui associe plus fortement les autorités de contrôle nationales, regroupées au niveau européen ;

Juge l'encadrement des pouvoirs d'investigation des autorités de contrôle nationales trop restrictif, notamment l'exigence, pour engager une enquête, d'un « motif raisonnable » de supposer qu'un responsable de traitement exerce une activité contraire aux dispositions du règlement. En effet, les formalités préalables pesant sur les responsables de traitement étant supprimées, ces investigations constituent, dans le dispositif proposé, la principale source d'information de ces autorités sur la mise en oeuvre des traitements ;

S'oppose, enfin, au dispositif du « guichet unique » proposé par la Commission européenne, en ce qu'il attribue compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement ;

Considère en effet, qu'il est paradoxal que le citoyen soit moins bien traité que l'entreprise responsable du traitement, en étant privé de la possibilité de voir l'ensemble de ses plaintes instruites par l'autorité de contrôle de son propre pays ;

Rappelle, à cet égard, que, lorsqu'il s'agit d'assurer la meilleure protection du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l'intéressé de s'adresser à l'autorité la plus proche de lui et auprès de laquelle il a l'habitude d'accomplir ses démarches ;

Constate que le dispositif proposé présente, en dehors de cette question de principe, de multiples inconvénients pratiques :

- risque de disproportion entre les moyens alloués à l'autorité de contrôle en considération des contentieux relatifs à ses ressortissants et l'ampleur du contentieux international qu'elle pourrait être appelée à traiter ;

- asymétrie, pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ;

Relève que ni les mécanismes de cohérence ou de coordination entre les autorités, ni la possibilité offerte au plaignant d'adresser sa plainte à son autorité nationale, à charge pour celle-ci de la transmettre à l'autorité compétente, ne compensent les inconvénients du dispositif, ni le désavantage pour l'intéressé de ne pouvoir faire instruire sa demande par l'autorité de contrôle nationale ;

Demande, par conséquent, au Gouvernement de veiller, d'une part, à ce que la possibilité pour les États membres d'adopter des mesures plus protectrices des données personnelles soit préservée, et, d'autre part, à ce que le principe de la compétence de l'autorité de contrôle du pays où le responsable de traitement a son principal établissement soit abandonné au profit du maintien de la compétence de l'autorité de contrôle du pays de résidence de l'intéressé.