Droit à la vie privée à l'heure du numérique
Mme la présidente. - L'ordre du jour appelle l'examen de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique, présentée par M. Yves Détraigne et Mme Anne-Marie Escoffier.
Discussion générale
M. Yves Détraigne, coauteur de la proposition de loi. - Si l'objet de cette proposition de loi peut paraître ésotérique, il n'en est pas moins d'une réelle actualité. Le développement exponentiel des nouvelles technologies numériques, notamment au travers d'internet et des réseaux sociaux tels que Facebook ou MySpace, mais aussi des puces RFID (Radio Frequency Identification) qui permettent le développement d'applications telles que le télépéage ou le pass Navigo nous concerne tous, souvent même à notre insu. Même si vous n'utilisez pas personnellement internet, faites taper votre nom et votre prénom sur un moteur de recherche, et vous verrez que vous êtes présent sur la toile. Peut-être même redécouvrirez-vous certaines actions passées oubliées...
Certes, le développement du numérique constitue d'abord un progrès. L'apparition du GPS évite quelques scènes de ménage en voiture ; le télépéage nous permet de gagner du temps sur l'autoroute ; le pass Navigo assure une meilleure fluidité dans le métro ; internet nous permet de tout connaître sur tout et nous rend service dans notre travail de parlementaire -Twitter nous a permis de suivre en direct les manifestations en Iran, en dépit de la censure. Et combien d'entre nous ont délaissé leur téléphone portable traditionnel au profit du Blackberry ou de l'lphone. Bref, nul ne résiste à l'attrait des nouvelles technologies...
Mais elles ont pour corollaire le développement parallèle des mémoires numériques et de la « traçabilité » des moindres faits et gestes de chacun, au-delà même d'internet : un GPS permet de savoir où vous êtes et dans quelle direction vous allez... Il ne s'agit pas de dramatiser et de passer pour rétrogrades mais, dans la continuité de nos prédécesseurs, qui il y a une trentaine d'années ont pressenti les développements futurs de l'informatique et voté la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 dont la règlementation européenne s'est par la suite inspirée, de compléter le cadre juridique existant pour mettre nos concitoyens en mesure de protéger leur vie privée et leurs données personnelles.
Car si les nouvelles technologies facilitent la vie, elles peuvent également nuire durablement à des personnes qui n'ont rien à se reprocher. L'enquête menée l'an dernier auprès de recruteurs américains en a fourni un exemple éloquent en confirmant que 45 % d'entre eux cherchaient sur internet les informations concernant les candidats qu'ils allaient recevoir et que 35 % avaient rejeté des candidatures au vu de photos ou d'informations privées sur les candidats, glanées sur internet, mais sans rapport direct avec le profil et les qualités exigés pour le poste à pourvoir... Lorsque l'on sait que 75 % des collégiens utilisent les messageries instantanées, les mails et les chats, que 40 % possèdent un blog et que 30 % y diffusent des photos d'amis, on comprend vite la nécessité d'être vigilants.
Ce texte vise donc à mettre en place des mesures permettant aux utilisateurs de technologie numérique de garder la maîtrise de leurs données personnelles. Il y va d'un certain équilibre de la démocratie. Je remercie le rapporteur, M. Cointat, et la rapporteur pour avis, Mme Morin-Dessailly, qui ont mené un travail de qualité tout en en respectant l'esprit de ce texte.
J'insiste sur la nécessaire sensibilisation des jeunes, notamment en milieu scolaire, aux questions liées à la protection des données personnelles et plus généralement à la vie privée, sachant que les parents ne disposent pas nécessairement des connaissances requises pour transmettre à leurs enfants les informations et mises en gardes utiles. J'insiste également sur les dispositions qui facilitent la mise en oeuvre par les utilisateurs des technologies numériques des droits que leur reconnaît la loi Informatique et libertés, notamment celui d'être informé de la durée de conservation des données les concernant, et de pouvoir exercer plus facilement leur droit de suppression ou de rectification.
J'insiste, enfin, sur la nécessité de diffuser une véritable culture « Informatique et libertés » au sein des entreprises et des administrations qui gèrent des traitements de données à caractère personnel lorsque plus de 50 personnes y ont accès, notamment en y généralisant la fonction de correspondant informatique et libertés. Je sais que ce point reste discuté, mais songeons qu'il ne s'agit que de protéger ces structures contre l'utilisation non contrôlée de certaines données.
L'irruption du numérique dans notre quotidien transforme la société dans laquelle nous vivons. Quand, il y a quelques années encore, une information publiée en un temps t n'était accessible qu'aux individus destinataires de son support et disparaissait au bout de quelques jours, une information publiée aujourd'hui sur internet devient indéfiniment accessible à tous.
Nous ne sommes ni rétrogrades, ni obscurantistes : nous n'aspirons qu'à aider à un développement d'un monde numérique qui ne nuise pas à ceux qui n'ont rien à se reprocher. (Applaudissements au centre, à droite et au et au banc des commissions)
Mme Anne-Marie Escoffier, coauteur de la proposition de loi. - Cette proposition de loi est pour moi source de satisfaction, d'étonnement et d'admiration.
Satisfaction, d'abord, au vu du travail de mon collègue et ami Yves Détraigne, sur un sujet à défricher, et qui m'a permis de faire l'apprentissage du développement d'un monde technologique dont je ne mesurais pas toutes les conséquences.
Étonnement, ensuite, face aux réactions nombreuses, passionnées et parfois contradictoires, que suscitait le sujet et qui justifient largement le dépôt d'un texte visant à responsabiliser les utilisateurs et à mieux encadrer une pratique saisie par les enjeux commerciaux. C'est ainsi que nous fûmes tantôt considérés comme des sages, tantôt comme des rétrogrades, pris, toujours, dans la tourmente qui emporte notre modèle de société.
Admiration, enfin, pour le travail de M. Cointat, qui a su, je le reconnais humblement, enrichir et ordonner un ensemble qui n'était pas exempt de défauts. Le texte issu des conclusions de la commission respecte nos intentions premières, qui allaient à responsabiliser les internautes en les informant, en leur offrant des garanties renforcées, en confortant le rôle de la Cnil, formidable instrument d'expertise et de régulation, tout en évitant les risques d'obsolescence rapide, dans un texte qui, loin de diaboliser l'outil numérique, le magnifie en le mettant au service de l'homme.
Je remercie tous ceux qui ont soulevé chez moi ces sentiments et suscité ma pleine adhésion à ce texte.
L'article premier porte engagement de l'État à accompagner et responsabiliser les jeunes utilisateurs. Il confie à l'éducation nationale une compétence renforcée, en sanctuarisant le droit à la vie privée. Cela était nécessaire, au vu des comportements des plus jeunes, qui distinguent mal entre jeu et information partagée sur les réseaux sociaux. Déjà, des associations se sont créées qui font circuler l'information, en soulignant les avantages et les risques d'internet, et qui sont de plus en plus sollicitées par les établissements.
Cette modification du code de l'éducation sera l'occasion d'améliorer les synergies et d'assurer l'information auprès du grand public, à l'instar de ce qu'ont fait certains de nos voisins européens, comme l'Espagne, au travers de larges campagnes.
Le texte précise les conditions dans lesquelles peuvent être renforcées les garanties dont bénéficient tant les internautes que les opérateurs. Le statut de l'adresse IP est ainsi clarifié. Notre rapporteur propose une rédaction qui concilie les observations du Gouvernement et les remarques techniques des fournisseurs d'accès à internet. L'adresse IP n'est pas une donnée personnelle mais elle est un des éléments d'un faisceau d'indices qui permet d'identifier l'internaute.
De même sont clarifiées les conditions dans lesquelles un internaute peut bénéficier d'un droit au remords pour des raisons légitimes. La nouvelle rédaction concilie le respect du droit à la vie privée et le principe de non-atteinte à une liberté garantie par la loi. Le texte initial avait fait l'objet de remarques de la part de la presse, qui s'inquiétait d'éventuelles demandes abusives de suppression d'une information mettant en cause son indépendance et sa neutralité. La rédaction actuelle permet de clarifier l'exercice du droit de suppression tant pour l'utilisateur que pour le responsable du traitement. La protection des données personnelles s'accompagne du renforcement du rôle de la Cnil, organe de contrôle, d'expertise et de conseil. La désignation obligatoire de correspondants « informatique et libertés » dans le public et le privé est une condition indispensable pour traiter les données à caractère personnel. Or, aujourd'hui, cette fonction est insuffisamment développée, notamment dans les administrations. Désormais, un seuil de 50 personnes ayant directement accès aux données serait appliqué, mais ce seuil pourra être révisé. En outre, la fonction de correspondant pourra être mutualisée entre différents responsables de traitement. L'Association des professionnels internet des collectivités locales est particulièrement intéressée par ce dispositif qui renforcerait la fonction de direction des ressources humaines. La Cnil aura donc de nouveaux moyens d'agir : information sur les failles de sécurité, publicité des avis rendus, sanctions pécuniaires aggravées à l'encontre de ceux qui enfreindraient la loi.
Enfin, l'article 4 de ce texte imposait aux nouveaux fichiers de police de passer par la loi afin de mieux encadrer leur création et d'éviter certains problèmes, comme ceux que nous avons par exemple connus lors de la mise en place du fichier Edwige. Notre rapporteur a choisi une voie médiane en prévoyant l'autorisation pour chaque catégorie de fichiers de police et en assortissant cette autorisation d'une instruction spécifique de la Cnil.
Cette proposition de loi n'a donc pas l'ambition d'embrasser un domaine au champ immense et en pleine mutation. Elle ne prévoit que les adaptations nécessaires en raison des évolutions technologiques et culturelles aujourd'hui perceptibles. Elle tente de concilier les différents intérêts en présence : ceux des internautes, ceux des responsables des traitements de données et aussi ceux des opérateurs, en veillant à l'harmonie entre protection de la vie privée et liberté des systèmes d'information. Elle ne néglige pas l'obligation qui sera faite à la loi française de se conformer aux dispositions de la directive de 1995 dont la révision est engagée pour s'adapter aux effets de la mondialisation. C'est pourquoi je porte avec Yves Détraigne et notre rapporteur cette proposition de loi qui fondera, je l'espère, le socle d'une réglementation adaptée à notre nouvel environnement numérique. (Applaudissements au centre et sur divers bancs à droite)
M. Christian Cointat, rapporteur de la commission des lois. - Nous vivons dans une atmosphère de plus en plus envahie par les vapeurs électroniques, des vapeurs parfois inquiétantes. La pollution de l'air nous alarme, et c'est normal, mais les risques liés à la prolifération de réseaux palpitants et chatoyants qui s'immiscent de plus en plus dans notre intimité nous laissent de marbre comme si nous étions hypnotisés par la lumière et le sentiment de puissance qu'ils dégagent. C'est assez étonnant. Prendre la planète tout entière dans ses bras sans sortir de chez soi est effectivement grisant. Accéder à la connaissance ou au jeu par un simple clic dépoussière le passé. S'évader vers un monde virtuel, modelé selon ses rêves, ouvre le chemin de l'infini. On se trouve ainsi face à un univers merveilleux, sans autre limite que son appétit de découverte. Mais voilà, toute médaille, aussi belle soit-elle, a un revers. Si les toiles d'araignées sont de magnifiques oeuvres d'art de la nature, elles sont aussi un piège mortel. Oui, le web, la toile, autrement dit internet, est une fantastique invention, un extraordinaire outil de connaissance, de communication et de partage dont les mérites sont immenses. Les sénateurs des Français établis hors de France en savent quelque chose : internet nous a changé la vie en mettant le monde à notre portée comme s'il était presque devenu, par analogie avec nos collègues « territoriaux », un département français. Territoire, certes virtuel, mais collectivité française bien réelle !
Mais internet comporte aussi, surtout pour les jeunes, des dangers non négligeables contre lesquels il faut se prémunir. La loi informatique et libertés de 1978 a été adoptée, puis modifiée, dans cet esprit, mais il ne faut pas se laisser dépasser, ni surtout distancer, par l'évolution des technologies. Aussi, qu'on le veuille ou non, un aménagement des textes normatifs est encore nécessaire, ne serait-ce que pour suivre, et pourquoi pas précéder, la marche en avant de l'Europe au sein de la mondialisation. Tel est l'esprit de cette proposition de loi qui constitue la suite logique d'une mission d'information effectuée par M. Détraigne et Mme Escoffier au nom de votre commission des lois. En préambule de leur rapport d'information, ils posaient la question essentielle à laquelle il nous importe de répondre : « La société reconnaît à l'individu le droit de disposer d'un espace privé, distinct de la vie collective de la communauté. Comment, dès lors, concilier les nouveaux pouvoirs que font peser sur chaque individu les nouvelles technologies avec ce droit à la vie privée ? » Comment éviter « d'être pris au piège des mémoires numériques qui jouent le même rôle que notre propre mémoire ? » Si le sujet est complexe, la réponse est simple : « Il nous revient d'être ces veilleurs vigilants face aux grands enjeux informatique et liberté pour que le respect de la personne humaine, de sa vie privée et de sa dignité reste toujours un principe absolu ». Comme tout « veilleur vigilant » se transforme tôt ou tard en acteur, ce rapport d'information prend les devants et présente quinze propositions. La plupart d'entre elles se retrouvent dans la proposition de loi et celles-ci, pour l'essentiel, constituent l'ossature du rapport que j'ai l'honneur de vous présenter. Les deux auteurs de la proposition de loi et du rapport d'information que je viens d'évoquer sont mieux que moi à même de vous faire partager leur cheminement intellectuel. Je me limiterai donc aux seuls points saillants pour vous expliquer pourquoi votre commission s'est délibérément placée dans leur approche tout en apportant quelques correctifs afin de trouver un équilibre aussi satisfaisant que possible entre des éléments parfois opposés.
Tout d'abord, nous constatons que le monde bouge et bouge vite. La globalisation est en marche. La technologie connaît une évolution galopante. Internet est de plus en plus présent : sa toile ne cesse de s'étendre et sa maitrise devient, ô combien, difficile. La complexité est telle que beaucoup d'éléments échappent à la plupart des utilisateurs. De nouveaux comportements s'imposent donc pour éviter que le progrès ne se transforme en menace pour les libertés. Comme chacun sait, « la liberté s'achève là où commence celle des autres » et les intérêts sont parfois divergents. Par exemple, les professionnels du commerce électronique souhaitent plus de liberté pour entreprendre alors que les consommateurs demandent davantage de garanties pour leurs droits. Les consommateurs, à l'inverse, réclament plus de liberté d'accès alors que les professionnels veulent davantage de garanties sur le respect de la propriété intellectuelle à cause du risque de téléchargement illégal. C'est toute la problématique des cookies et des verrouillages. La proposition de loi touche ainsi à de nombreux sujets sensibles qui, de surcroît, posent des problèmes de société, autant de questions qui méritent des réponses rapides dans un environnement évolutif. Certes, la France n'est pas seule dans un monde de plus en plus global et sa législation ne peut donc pas tout régler. Mais, elle pèse en Europe qui, elle-même, pèse sur la scène internationale. Aussi, ce texte aura un effet d'entraînement salutaire. Pour ces raisons, votre commission, tout en faisant siens l'approche et les objectifs de ce texte, en a, toutefois, modifié quelques aspects pour obtenir une meilleure concordance entre liberté et protection, convivialité et garantie, information et simplicité.
Les principaux aménagements apportés sont les suivants : l'article premier prévoit la sensibilisation des jeunes dans les établissements d'enseignement aux risques que peut faire courir internet. Votre commission reconnaît l'importance de cette disposition mais elle a estimé qu'il fallait également l'étendre aux côtés aspects du web. Elle a ainsi retenu une nouvelle formulation proposée par la commission de la culture et son rapporteur, Mme Morin-Desailly, qui place cette initiation dans les cours d'instruction civique, et non pas dans les cours d'informatique.
L'article 2 soulève une question en apparence anodine mais qui a son intérêt, à savoir l'adresse IP des ordinateurs : il s'agit de la plaque d'immatriculation de votre ordinateur et de votre connexion sur le web. Tout le monde sait qu'une plaque d'immatriculation d'un véhicule automobile est une donnée personnelle, puisqu'elle permet l'identification du propriétaire. Il doit en être de même pour le véhicule qui permet à chacun de se déplacer sur le réseau électronique. Votre commission a cependant modifié la rédaction pour qu'il ne puisse y avoir aucune confusion avec d'autres numéros attachés au matériel. II s'agit du seul numéro identifiant le titulaire d'un accès en ligne. Ce faisant, le Parlement mettra un terme à des conflits de jurisprudence qui constituent autant de risques d'insécurité juridique pour l'ensemble des acteurs d'internet. Les articles 3 et 7 concernent le « correspondant informatique et libertés ». Votre commission a quelque peu adapté la rédaction de ces deux articles pour tenir compte des observations présentées par les professionnels lors de ses auditions, afin de bien montrer que ce correspondant, ce CIL, n'était ni un espion, ni un inquisiteur, mais un conseiller et un protecteur. Pour les entreprises et les administrations qui gèrent des fichiers importants, le correspondant informatique et libertés doit être considéré comme une forme d'assurance. Il devra être un « facilitateur » qui veillera à ce que tout se passe bien. La question du caractère obligatoire de ce correspondant au-dessus du seuil de 50 personnes traitant des fichiers a fait débat. Votre commission s'est rangée à l'avis des auteurs de la proposition de loi, tout en restant ouverte à une éventuelle adaptation.
Pour la quantité des informations traitées, la commission a prévu un dispositif clair et précis. En revanche, sur le seuil à prendre en compte, le débat peut s'ouvrir. Le caractère obligatoire du correspondant informatique et libertés quand est dépassé le seuil de 50 personnes traitant des fichiers a fait débat et la commission s'est rangée à l'avis des auteurs de la proposition de loi, tout en restant ouverte à une éventuelle adaptation. Ce caractère obligatoire donne sens à cette nouvelle culture de protection des données qu'il importe de développer. Il s'agit de créer par ce biais un véritable réseau interactif entre la Cnil et les opérateurs, non pas pour renforcer les contrôles, mais pour améliorer la connaissance et la compréhension : d'un côté, les entreprises et les administrations seront plus au fait de la pratique de la Cnil ; de l'autre, cette dernière sera davantage consciente des difficultés pratiques du terrain. Ce texte tend à combler le gouffre existant entre la théorie et la pratique. Quant au seuil lui-même, il concerne uniquement le nombre de personnes traitant des fichiers. Si des PME le trouvent trop bas, rien ne les empêche de rationaliser leur organisation et de limiter les autorisations de gestion des fichiers. Tout le monde y gagnera. Cette réforme doit se faire dans la majorité des cas à coût constant ; il s'agit simplement de charger une personne qualifiée de cette fonction, ce qui se fait déjà fréquemment. Enfin, la possibilité de mutualisation de ce correspondant devrait également faciliter sa mise en place.
L'article 4 traite d'un sujet sensible, les fichiers de police. Comme les auteurs de la proposition de loi, votre commission estime qu'en vertu de l'article 34 de la Constitution tout ce qui touche aux libertés publiques relève de la loi. Mais elle considère qu'il n'appartient pas à la loi de le rappeler, mais de l'appliquer. Aussi s'est-elle attachée à fixer les règles très strictes qu'il convient de suivre pour créer et traiter des fichiers de police ou intéressant la sécurité de l'État et la défense nationale. Pour ce faire, elle a repris une série d'articles votés par l'Assemblée nationale, avec l'accord du Gouvernement, dans le cadre de la simplification du droit, car ils trouvent mieux leur place dans cette proposition de loi, puisqu'ils modifient la loi informatique et liberté.
Les articles 5 et 6 concernent essentiellement la bonne information des internautes. Ils ont le droit de savoir ce qui se passe et ce qui se fait avec leurs données. Les responsables des sites ont le devoir d'y donner suite. Le texte proposé réécrit en partie la proposition de loi pour trouver un point d'équilibre entre les arguments des représentants des professionnels et ceux des usagers. S'il ne faut pas pénaliser le commerce en ligne dans notre pays -et favoriser ainsi sa délocalisation- il faut aussi protéger et informer les consommateurs. Notre texte, s'efforçant de trouver une juste mesure entre des approches contradictoires, permet à l'utilisateur d'un service en ligne d'être parfaitement informé et de pouvoir clairement faire connaître ses choix, notamment en matière de cookies -fichiers déposés par un site dans l'ordinateur qui le visite- en particulier par le paramétrage du navigateur. Mais, par ailleurs, il n'alourdit pas la tâche des gestionnaires de site tout en maintenant la fluidité de la navigation sur internet.
L'article 8 est au coeur de la proposition de loi, puisqu'il s'agit du « droit à l'oubli ». Il facilite le droit d'opposition à l'utilisation de données personnelle, déjà prévu par la loi Informatique et libertés, en levant quelques ambiguïtés rédactionnelles. La notion de « motifs légitimes », sur laquelle se fonde ce droit, étant peu précise, votre commission l'a encadrée davantage en indiquant les cas où elle ne pourrait pas s'appliquer. Tel est le cas, par exemple, de la liberté de la presse.
Je me félicite de la proposition des deux auteurs de la proposition de loi d'aligner le droit relatif aux litiges civils sur celui du code de la consommation, pour que les plaignants ne se voient plus opposer à terme une compétence territoriale dissuasive. Cela facilitera la tâche de nos concitoyens qui s'estiment lésés par un manquement à la loi Informatique et libertés.
Cette proposition de loi amendée par votre commission a pour objectifs essentiels de sensibiliser les jeunes aux avantages et inconvénients d'internet et de moderniser la loi informatique et libertés. Son approche est déterminée, mais prudente, souple, équilibrée et soucieuse d'équité. En d'autres termes, elle se fonde sur la recherche du bon sens. Éric Orsenna a écrit une très belle phrase : « Le droit est à une société ce que la grammaire est à une langue ». La grammaire est en perdition. Faisons au moins en sorte que le droit nous sauve ! (Applaudissements à droite et au centre)
Mme Catherine Morin-Desailly, rapporteur pour avis de la commission de la culture. - La conjonction de l'ordinateur et de l'internet, en favorisant la circulation planétaire des informations est une révolution anthropologique qui n'a rien à voir avec les révolutions industrielles précédentes. Elle affecte directement et profondément nos manières de travailler, d'apprendre, de nous cultiver, de communiquer et de vivre ensemble. Internet offre de nouveaux espaces de liberté, d'expression, de communication et d'information qui contribuent à l'exercice de la citoyenneté, voire au renforcement du lien social.
Cependant, malgré ces opportunités sans précédent, il peut menacer les droits fondamentaux et les libertés publiques, notamment le respect de la vie privée et la protection des données personnelles. La tendance, notamment chez les jeunes, à l'exposition de soi et d'autrui sur internet, favorise l'apparition de mémoires numériques, voire de casiers numériques, disséminées sur la toile, facilement consultables, et qui peuvent se retourner contre les internautes, par exemple lorsqu'ils sont candidats à une embauche.
Cette proposition de loi vise précisément à renforcer la protection des libertés fondamentales et à créer les conditions d'un droit à l'oubli afin qu'internet ne se transforme pas en espace de surveillances. C'est un important premier pas qu'il faut saluer.
Demeure le problème épineux de la territorialité des dispositifs de régulation. Ainsi que me l'ont rappelé les représentants de Facebook, leur société est installée aux États-Unis où les données personnelles sont rapatriées et traitées. Le droit international privé donne donc compétence à la loi américaine, au juge et au régulateur américains pour connaître de toute mesure et de tout litige. Des négociations internationales seront, à l'évidence, nécessaires pour résoudre cette difficulté.
La commission de la culture s'est saisie pour avis du premier article de la proposition de loi qui modifie le code de l'éducation pour prévoir une sensibilisation des élèves aux risques et aux dangers d'internet au regard de la protection de la vie privée. Au titre de sa compétence en matière de communications électroniques, et en préparation de la transposition prochaine de directives communautaires dans le domaine des télécommunications, elle a également examiné les dispositions relatives au statut de l'adresse IP (Internet Protocol), au droit de refus des témoins de connexion appelés cookies et la conciliation entre le respect de la vie privée et la liberté d'information. Sur ces trois derniers points, nos échanges avec le rapporteur de la commission des lois ont permis de constater la convergence de nos analyses.
La commission des lois a intégré au texte issu de ses travaux un amendement de réécriture globale de l'article premier que nous lui avions soumis. L'éducation nationale a un rôle crucial à jouer dans la formation des jeunes à la maîtrise de leur image publique et au respect de la vie privée, comme l'avait déjà souligné le rapport sur l'impact des nouveaux médias sur la jeunesse de notre collègue Assouline, au nom de la commission de la culture. L'article premier s'appuyait initialement sur un dispositif de la loi Hadopi I, qui a prévu que l'enseignement de technologie et d'informatique doit comporter un volet consacré au droit de la propriété intellectuelle et aux dangers du téléchargement illégal d'oeuvres protégées. Sur le même modèle, l'article premier prévoyait que les élèves fussent informés des dangers de l'exposition de soi et d'autrui sur internet, ainsi que des droits d'accès, d'opposition, de rectification et de suppression des données personnelles.
La commission de la culture a souhaité que cette information fasse partie de l'enseignement d'éducation civique plutôt que de technologie et d'informatique. De plus, elle a élargi la finalité de ce nouveau module de formation à l'acquisition d'une attitude critique envers l'information et d'une attitude de responsabilité dans l'utilisation des outils interactifs. L'enseignement d'éducation civique paraît en effet le lieu le plus approprié pour sensibiliser les élèves au respect de la vie privée et à la protection des données personnelles. Plutôt que de leur inculquer des compétences techniques, il s'agit de développer leur esprit critique et de les responsabiliser dans l'utilisation d'internet, objectif qui fait d'ailleurs partie du socle commun de connaissances et de compétences exigé de chaque élève à l'issue de sa scolarité obligatoire.
La commission de la culture s'est enfin interrogée sur la formation des enseignants eux-mêmes, bien souvent moins familiers des réseaux sociaux sur internet que leurs élèves. En outre, les enseignants ne disposent pas toujours de connaissances suffisantes et de matériels pédagogiques adéquats sur la protection des données personnelles. Le ministère de l'éducation nationale nous a donné l'assurance que l'ensemble des nouveaux enseignants, dans le cadre de la mastérisation du recrutement, devrait valider un certificat « informatique et internet ». Ce C2i comprendra un volet sur le droit à la vie privée et la protection des données personnelles. L'expertise de la Cnil devrait être sollicitée.
Par ailleurs, dans le cadre de la réforme du lycée, un référent culturel doit être mis en place dans chaque établissement. Il serait également judicieux de désigner des référents internet, qui joueraient le rôle de pôles d'information et de sensibilisation, non seulement pour les jeunes, mais aussi pour les enseignants. Les acquis de formation initiale et continue des professeurs seraient renforcés grâce à des groupes informels d'enseignants autour des référents internet visant au partage d'expériences et à l'échange de bonnes pratiques.
Tous les cours pourraient d'ailleurs être l'occasion d'une analyse critique des médias et des sources d'information.
La commission de la culture a donné un avis favorable au texte de son homologue des lois et salue les travaux de son rapporteur. (Applaudissements au centre et à droite)
M. Jean-Marie Bockel, secrétaire d'État à la justice. - Les orateurs qui m'ont précédé ont excellemment rappelé le rôle que joue internet dans notre vie quotidienne. Les moteurs de recherche sont devenus des outils extrêmement puissants, tandis que tous les médias sont présents sur la toile et que tout un chacun peut y publier des informations sur lui-même et ses activités. Avec le développement des blogs et des réseaux sociaux, des millions d'informations à caractère personnel circulent, qui peuvent être non désirées et non contrôlées. Les incidents se multiplient, au point que certains pays, tel le Canada, ont décidé de réagir. Des sociétés proposent aujourd'hui la reconstitution de la vie privée et professionnelle à partir des données disponibles sur le web, dont les résultats sont stupéfiants.
Les travaux des auteurs de la proposition de loi, que salue le Gouvernement, ont mis en évidence les risques provoqués par ces évolutions pour le respect de la vie privée. Comment s'assurer que les progrès technologiques ne se traduisent pas par une régression des libertés ? Telle est la question à laquelle le Sénat entend répondre. Cette démarche s'inscrit dans un contexte plus large, celui de la transposition prochaine du texte européen modifiant la directive de 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée. Le travail interministériel de transposition est en cours, sur lequel il n'est pas opportun d'anticiper. J'ajoute qu'une réflexion est en cours au niveau européen pour étudier les évolutions éventuelles de la directive.
Le Gouvernement salue les améliorations au droit existant qu'apporte le texte de la commission des lois ; il relève cependant que celui-ci, sur plusieurs points, s'écarte des équilibres trouvés par la loi de 1978, que le droit communautaire invite à préserver.
L'article premier est une novation intéressante ; il est essentiel d'éduquer les jeunes citoyens à une utilisation responsable d'internet, qu'ils maîtrisent d'ailleurs mieux que leurs aînés, et de les informer des dangers de l'exposition de soi sur la toile. L'article additionnel après l'article 2, qui supprime le récépissé de la Cnil est une mesure de bon sens. L'article 5 complète utilement l'article 31 de la loi de 1978 et s'inscrit dans la continuité de la proposition de loi de simplification du droit défendue par M. Warsmann. Les articles 11 et 12 renforcent les pouvoirs de la Cnil, de même que la garantie qui lui est donnée de procéder à des contrôles inopinés ; ces dispositions amélioreront l'efficacité de son action. Le Gouvernement se félicite également que la commission des lois ait souhaité inscrire dans la loi le principe d'une représentation pluraliste des partis parmi les membres de la Cnil désignés par le Parlement.
Plusieurs points remettent cependant en cause les équilibres de la loi de 1978. La France a été le premier État au monde à se doter d'une loi protectrice des données personnelles, une loi, au large champ d'application, qui a peu vieilli en dépit des évolutions technologiques.
Le Gouvernement souhaite la suppression de l'article 2, qui confère aux données de connexion, notamment à l'adresse IP, la protection de la loi de 1978. L'adresse IP ne constitue une donnée à caractère personnel que dans certains cas ; elle n'indique pas la personne utilisatrice de l'ordinateur, dont l'identité ne peut être recherchée que par les autorités judiciaires. En outre, lorsqu'une personne se connecte sur un moteur de recherche, l'adresse IP ne sert qu'à établir un profilage marketing sans lien avec son identité. Il existe enfin des IP aléatoires. L'établissement d'une liste des données compliquerait d'autre part le travail futur du législateur, eu égard au rythme croissant de l'apparition de nouvelles technologies. La définition donnée par la loi de 1978 est suffisamment souple pour englober les situations nouvelles.
La proposition de loi attribue ensuite à la Cnil des prérogatives que le Gouvernement juge inutiles et qui pourraient même être contreproductives. Si la Cnil joue un rôle décisif de gardien de la protection des données personnelles, elle n'a pas vocation à limiter l'autonomie de gestion des entreprises ou des administrations, aussi longtemps que celles-ci respectent leurs obligations. Il paraît ainsi inopportun de rendre obligatoire la présence de correspondants « informatique et libertés » dans ces organismes ; le succès des « correspondants à la protection des données », depuis 2004, est dû précisément au caractère facultatif de leur désignation. Le Gouvernement a clairement fait le choix de ne pas déployer de tels correspondants dans les services déconcentrés de l'État.
Le pouvoir d'intervention devant les juridictions conféré à la Cnil par l'article 13 n'a pas de raison d'être, la commission pouvant déjà être appelée à intervenir à l'initiative du juge ou sur demande des parties. La proposition de loi entend également soumettre à certaines conditions la création de fichiers de souveraineté relevant de l'article 26 de la loi de 1978. Le Gouvernement est favorable à une telle démarche, s'agissant des fichiers de sécurité publique et de police judiciaire, et a accepté une disposition allant dans ce sens lors de l'examen à l'Assemblée nationale de la proposition de loi de simplification du droit. Mais il lui semble inapproprié de soumettre au même régime, comme le fait l'article 4, les fichiers de sûreté nationale et de défense, sauf à fragiliser l'action de l'État dans des domaines où sont en cause ses intérêts supérieurs. L'article 29 bis de la proposition de loi présentée par M. Warsmann préserve l'équilibre entre la garantie des libertés et la souplesse nécessaire pour permettre au Gouvernement de mettre en oeuvre des fichiers opérationnels dans des délais raisonnables. Le Sénat débattra prochainement de ce texte.
La proposition de loi prévoit, d'autre part, d'imposer à l'autorité judiciaire de nouvelles obligations en matière de mises à jour des fichiers de police judiciaire. Les procureurs de la République sont aujourd'hui fortement mobilisés et des améliorations substantielles des conditions de mises à jour sont envisageables à brève échéance. Imposer de nouvelles contraintes aux parquets sans anticiper les moyens qui leur seraient nécessaires fragiliserait les progrès déjà accomplis et à venir : ce ne serait ni compatible avec l'efficacité opérationnelle des fichiers, ni favorable à la protection des libertés individuelles.
L'article 7 est également prématuré, car son dispositif relève de la transposition du « paquet télécoms » : mieux vaut éviter les modifications successives.
L'article 8, quant à lui, risque de faire reculer la protection des libertés publiques, à l'opposé des objectifs de ses promoteurs.
Nous avons donc des points d'accord importants et d'autres qui font débat. La loi informatique et libertés est équilibrée, cet équilibre a été maintenu dans le temps, il a démontré son efficacité et sa capacité d'adaptation. C'est pourquoi j'appellerai chacun de vous à la sagesse, pour préserver cet équilibre au moment où nous devons faire face au défi de la protection des données personnelles à l'heure du numérique ! (Applaudissements à droite et au centre)
M. Charles Gautier. - Le droit à la vie privée est confronté à de nouveaux périls, à mesure que les technologies numériques, qui nous facilitent la vie quotidienne, gardent en mémoire des informations sans limite. Aussi notre devoir de législateurs est-il d'assurer que ces données ne soient pas utilisées à l'insu de ceux qui les communiquent. Notre collègue, M. Türk, président de la Cnil, parle à ce propos d'un « droit à l'oubli », qu'il faudrait peut-être constitutionnaliser.
L'initiative de la commission est louable, mais la multiplication des textes risque de brouiller le message. Nos collègues députés ont pris des initiatives, notamment sur les fichiers de police, avec le rapport Benisti et Batho, et sur la simplification du droit, avec le rapport Warsmann. Les groupes de travail ont associé des parlementaires de tous les groupes, ce qui n'a pas empêché le consensus.
J'espère que ce texte ne se perdra pas dans la navette. Il a nécessité un travail important, nous veillerons à ce qu'il ne soit pas dénaturé !
Il se propose de mieux protéger les utilisateurs des technologies numériques : statut juridique des adresses IP, information du public, et notamment des plus jeunes, systématisation des correspondants informatique et libertés, conservation des données, encadrement des fichiers de police, renforcement des pouvoirs de la Cnil, autant de mesures que nous approuvons.
Lors de la commission du 24 février dernier, j'avais proposé d'encadrer la vidéosurveillance, en prévoyant une compétence exclusive de la Cnil pour délivrer des autorisations, conformément à la recommandation du rapport que j'ai rédigé avec M. Courtois. Il m'a été répondu que cette mesure, pour laquelle la commission est unanime, serait intégrée à la Loppsi 2, bientôt en examen : j'ai accepté de retirer mes amendements, mais nous serons très vigilants à ce que cet engagement soit tenu.
Par souci de pragmatisme, la commission a simplifié ce texte, pour tenir compte des pratiques des utilisateurs et de la transposition prochaine du « paquet télécoms ». Cependant, j'aimerais parler plus avant de l'article 4, le plus sensible, puisqu'il concerne les fichiers de police.
La loi de janvier 1978 prévoit que les fichiers intéressant la sûreté de l'État, la défense ou la sécurité publique, ou qui ont pour objet la répression des infractions pénales, sont créés par arrêté du ministre compétent. En cas de recours à la biométrie, un décret en Conseil d'État est nécessaire. La Cnil rend un avis simple.
Les craintes suscitées par la création du fichier Edvige ont montré à quel point le sujet des fichiers de police et de gendarmerie, de leur contrôle et de leur évolution est particulièrement sensible, notamment au regard de leurs conséquences pour les libertés individuelles et collectives. Les groupes socialistes du Sénat et de l'Assemblée nationale ont réclamé un débat sur ce sujet, le Gouvernement ne l'a pas voulu, nous le regrettons.
L'Assemblée nationale a créé une mission d'information relative aux fichiers de police, ouvrant sur une proposition de loi cosignée par les deux co-rapporteurs M. Bénisti et Mme Batho. L'article 5 de cette proposition de loi donnait au législateur le soin d'autoriser un fichier ou une catégorie de fichiers de police, étant entendu que le pouvoir réglementaire continuerait à s'exercer pleinement pour la création de l'ensemble des traitements respectant les conditions préalablement définies par la loi. Discutée le 24 novembre 2009 à l'initiative du groupe socialiste, elle n'a pas été adoptée par l'Assemblée nationale.
L'article 4 du texte que nous examinons aujourd'hui reprend ce dispositif, tout en limitant les cas d'autorisation législative à des catégories de fichiers de police nationaux et à ses caractéristiques les plus importantes. La Commission a profondément modifié cet article, et nous en arrivons à un meilleur encadrement de la création des fichiers, même si la réforme laisse encore un goût d'inachevé.
L'utilisation médiatique des données du fichier Stic pendant la campagne des régionales vient nous rappeler que la loi doit aller au-delà des types de fichiers. Le vrai débat porte sur le contenu des fichiers, sur les conditions de traitement des données qu'ils comportent. Nous apportions des solutions, il semble qu'elles soient édulcorées.
Nous réservons donc notre vote. Nous avons été spontanément favorables à ce texte, sa version initiale allait dans le bon sens, vers plus de sécurité juridique pour nos concitoyens. Nous serons très attentifs à ce que ce texte ne soit pas dénaturé et je dois dire qu'après avoir entendu le ministre, je suis inquiet ! (Applaudissements à gauche et sur quelques bancs du centre)
M. Jacques Mézard. - La garantie du droit à la vie privée devient un sujet crucial à l'heure de la révolution numérique, dont les effets seront encore plus considérables que ceux de la révolution industrielle.
Le numérique émerveille, sa capacité à tout accélérer, à faciliter l'acquisition des connaissances, à multiplier les innovations dans tous les domaines, à créer de nouvelles industries et de nouveaux marchés, a masqué ses aspects négatifs, en particulier les risques qu'il fait courir au respect de la vie privée, ainsi que les risques découlant de l'accumulation d'informations souvent erronées, souvent fallacieuses, voire affairistes au mauvais sens du terme, sans oublier les dérives sectaires.
Nos enfants savent dès leur plus jeune âge qu'une prise électrique peut les blesser, que la flamme de la gazinière peut les brûler, il est plus qu'urgent que notre société leur apprenne que le numérique peut aussi leur faire du mal et que les jeux d'aujourd'hui peuvent assombrir leur avenir !
Il est temps que l'ensemble de notre société ramène le numérique à ce qu'il doit être : un instrument de progrès, de connaissance, de lien social, non de surveillance, de domination et de pouvoir sans contrôle ni règles, car il n'est point de vie en société sans règles de droit. N'oublions pas les formules qui s'inscrivaient sur le télécran de Georges Orwell dans 1984, ni les slogans inscrits sur la façade du ministère de la Vérité: « La guerre, c'est la paix », « La liberté, c'est l'esclavage », « L'ignorance, c'est la force. »
Merci à Anne-Marie Escoffier et à Yves Détraigne de leur initiative animée par le souci du respect des libertés. Internet ne doit pas être l'instrument de tous les désordres, le vecteur de tous les conflits, le véhicule de la délation. Le Sénat a d'ailleurs récemment voté en première lecture un texte de loi allongeant les délais de prescription de l'action publique pour les diffamations, injures ou provocations commises par l'intermédiaire d'internet. Le droit à la vie privée, dont il n'existe pas de définition légale, est néanmoins garanti par l'article 9 du code civil et de nombreux textes internationaux ; il a été érigé en principe de valeur constitutionnelle par le Conseil constitutionnel en 1999.
La lutte contre l'insécurité sous toutes ses formes sert de prétexte à la banalisation des outils de surveillance, sans que les gens aient toujours conscience de pouvoir être suivis à la trace. La vidéosurveillance a été benoîtement rebaptisée « vidéoprotection », dans un élan paternaliste. (M. Charles Gautier s'amuse) La création de fichiers a atteint un rythme quasi industriel qui donne le tournis à la Cnil.
L'initiative de nos collègues honore le Parlement français, qui fut le premier au monde à s'emparer des problématiques liées aux NTIC dès 1978. La Cnil exerce ses missions dans des conditions difficiles. Mme Escoffier et M. Détraigne proposent de renforcer ses pouvoirs en clarifiant les obligations d'information qui s'imposent aux responsables de traitement de données personnelles, en relevant les plafonds des sanctions pécuniaires pouvant être prononcées par la Cnil et en élargissant ses possibilités d'intervention. Je me réjouis également de la sanctuarisation de l'adresse IP et de deux mesures introduites par notre commission des lois : l'obligation de publication concomitante d'un acte réglementaire créant un fichier et de l'avis correspondant de la Cnil, et la sécurisation du droit de contrôle inopiné de la Cnil, dont l'efficacité avait été amoindrie par le Conseil d'État dans son arrêt Société Inter Confort du 6 novembre.
En revanche, l'interprétation restrictive par notre commission de la qualité de juridiction de la Cnil ne nous a pas convaincus. Nous sommes également réservés sur la nouvelle version de l'article 4. Le texte initial prévoyait de réserver au législateur la compétence de créer des fichiers de police intéressant la sécurité publique ou l'exécution des condamnations pénales et des mesures de sûreté : la frénésie de compilation de données et l'enchevêtrement des fichiers justifiaient cette mesure. Lorsque je lis dans le texte de la commission que « lorsque le Procureur de la République prescrit le maintien des données à caractère personnel d'une personne ayant bénéficié d'une décision d'acquittement ou de relaxe devenue définitive, il en avise la personne concernée », je m'insurge ! Long est le chemin à parcourir pour garantir le droit à l'oubli.
Nos collègues se sont fixés trois objectifs essentiels : l'information des jeunes, le droit à l'oubli et le renforcement des pouvoirs de contrôle et de conseil de la Cnil, cet instrument du respect des libertés. M. le ministre ne m'y a paru favorable. Mais le groupe RDSE, unanime, votera cette proposition. (Applaudissements sur les bancs RDSE, UC, à droite et sur certains bancs socialistes ; M. le rapporteur applaudit aussi)
Mme Nicole Borvo Cohen-Seat. - Internet est-il un facteur de liberté ou de soumission ? Le débat est ancien. Une loi nationale suffit-elle à réguler un réseau transfrontalier, à la mémoire infinie ? On peut aussi se le demander.
L'intention des auteurs de la proposition de loi est louable : ils veulent empêcher par la voie légale les atteintes à la vie privée des personnes par le biais d'internet, alors que le Gouvernement se serait volontiers contenté d'une charte de bonne conduite des prestataires. L'autorégulation a des limites, atteintes d'autant plus vite que des intérêts marchands sont en jeu !
Ce texte prévoit d'informer les élèves des risques présentés par l'usage des nouvelles technologies pour leur vie privée : les utilisateurs doivent dès leur plus jeune âge prendre conscience que les révélations et exhibitions auxquelles ils se livrent sur internet ne sont pas anodins.
Il fallait aussi renforcer les droits des utilisateurs pour garantir le droit à l'oubli et lever tous les obstacles matériels. C'est chose faite : les utilisateurs pourront faire valoir leur droit d'accès, de rectification et de suppression par voie électronique, exercer sans frais leur droit d'opposition et éventuellement saisir une juridiction sans se heurter à l'obstacle de la détermination de la juridiction compétente.
Mais voici le hic : les droits des utilisateurs sont peu de chose s'ils ne s'accompagnent pas d'obligations pour les responsables du traitement des données. Or la commission, comme tous les parlementaires, a été soumise au lobbying intense de Google. En ce qui concerne la collecte de données, le texte initial imposait de recueillir préalablement le consentement des utilisateurs ; soumis aux pressions des fournisseurs d'accès et des publicitaires, le rapporteur a proposé de revenir à la loi de 1978, qui oblige seulement le responsable du traitement à informer l'utilisateur des moyens mis à sa disposition pour refuser son consentement. Nous estimons que toute exploitation de données à des fins commerciales doit recueillir le consentement exprès des personnes concernées. Le texte initial imposait également d'indiquer l'origine des données, mais pour éviter aux responsables d'avoir à mettre en place un système de traçage onéreux, la commission a préféré s'en tenir au statu quo.
Nous nous réjouissons que les moyens proposés par les auteurs de la proposition de loi pour garantir le respect des droits des utilisateurs aient été retenus, même s'ils nous semblent insuffisants. Les missions des correspondants « informatique et libertés » seront renforcées ; mais comme nous l'avons dit en 2004, nous ne sommes pas sûrs que l'indépendance des correspondants soit garantie : contrairement à ce que prévoyait la proposition initiale, le correspondant pourra être déchargé de ses fonctions par son employeur sans l'avis conforme de la Cnil.
En revanche, nous nous félicitons que la proposition, même amendée, renforce le rôle de la Cnil en augmentant sensiblement le montant des sanctions pécuniaires qu'elle peut prononcer et en élargissant ses pouvoirs d'intervention devant les juridictions.
Enfin le texte initial, modifiant l'épineux article 26 de la loi de 1978, réservait au législateur le droit de créer des fichiers de police ou des catégories de fichiers. Sous prétexte qu'il n'appartient pas au législateur de déterminer lui-même ses propres compétences, la commission a modifié substantiellement cette disposition.
Le nouveau texte énumère les finalités auxquelles doivent correspondre les fichiers créés par voie réglementaire. L'objectif avoué est de donner aux fichiers sauvages existants un semblant de légalité. Nous ne pouvons cautionner une telle pratique : ces fichiers doivent disparaître !
La disposition fourre-tout qui nous est proposée ne fait pas illusion. L'avènement d'un homo numericus éclairé, protégeant ses propres données, n'est pas suffisamment abouti. Le groupe CRC comptait s'abstenir. Mais les amendements du Gouvernement réduisent à néant le texte de la commission : s'ils sont adoptés, nous voterons alors contre.
Mme Alima Boumediene-Thiery. - Tant mieux !
M. Jean-Paul Amoudry. - La protection de la vie privée est sans cesse remise en question par l'évolution des technologies numériques.
Sur la base d'un rapport d'information approfondi, ce texte rassemble des mesures variées, visant à mieux protéger l'internaute et à renforcer les moyens d'action de la Cnil. Il résulte d'une collaboration entre nos commissions des lois et de la culture, dont je salue le travail. Mme Morin-Desailly, rapporteur pour avis, a ainsi réécrit l'article premier afin de renforcer la prévention en faveur des jeunes : il est en effet indispensable de former élèves et enseignants aux risques que présente internet.
L'article 2 soulève la question de l'adresse IP, qui a fait l'objet de jurisprudences fluctuantes. La proposition de loi tranche : l'adresse IP, lorsqu'elle permet d'identifier un internaute, est bien une donnée à caractère personnel. C'est une utile clarification.
En matière de cookies, la protection des libertés individuelles suppose le recueil du consentement a priori, dit opt-in, et non la simple faculté à s'opposer a posteriori, l'opt-out. La proposition de loi améliore l'information des internautes. Un opt-in au sens strict risquait de contrarier la rapidité de la navigation ; le texte de la commission permettra à l'utilisateur d'exprimer un choix préalable et éclairé, tout en conservant une navigation fluide.
Au vu des réactions suscitées par le fichier Edvige, il fallait que le législateur se prononce sur la création des fichiers de police, qui relève des « garanties fondamentales accordées au citoyen pour l'exercice des libertés publiques » au sens de la Constitution. Un amendement du rapporteur énumère ainsi les finalités auxquelles devront répondre les fichiers : tout fichier créé par voie réglementaire devra répondre à au moins une des finalités listées.
Ces catégories, créées par la loi, deviennent ipso facto légitimes ; le risque est donc d'amoindrir le contrôle de la Cnil. La nouvelle rédaction proposée de l'article 26 de la loi informatique et libertés ne garantit pas que le contrôle de proportionnalité, prévu par l'article 6 de cette même loi, sera bien exercé. Nous défendrons un amendement selon lequel ces traitements ne doivent être autorisés que s'ils respectent le principe de proportionnalité.
Le texte oblige les correspondants informatique et libertés (CIL) à notifier les failles de sécurité. Il n'est toutefois pas opportun de les charger de prendre les mesures nécessaires au rétablissement de l'intégrité et de la confidentialité des informations ; cette tache incombe aux responsables de traitement.
Créés en 2004, ces correspondants ont permis la diffusion de la culture « informatique et libertés ». Leur nombre est passé de 1 300 en 2007 à 6 200 en 2010, principalement dans le secteur privé. Leur bilan est très positif. Le principe de la création obligatoire de CIL, comme dans d'autres pays européens, me semble opportun. Cette obligation peut toutefois avoir des conséquences, notamment organisationnelles, pour les entreprises et les administrations. C'est pourquoi je défendrai un amendement qui diffère l'entrée en vigueur du dispositif et prévoit une étude d'impact préalable.
Je vous proposerai également un amendement à l'article 3, article qui prévoit que la Cnil peut refuser la désignation d'un CIL s'il ne possède pas les compétences requises. Le responsable de traitement me paraît le mieux placé pour effectuer ce choix ; d'autant que le rejet par la Cnil du choix initial d'un responsable de traitement pourrait être vécu par celui-ci comme une perte de contrôle, ce qui n'est pas souhaitable.
Enfin, je salue le renforcement des moyens de la Cnil.
Actuellement, le responsable des lieux peut s'opposer à une visite de la Commission, qui ne peut alors se dérouler qu'avec l'autorisation d'un magistrat : les contrevenants ont alors tout le temps de détruire les fichiers litigieux. Aussi, je me félicite de l'adoption de l'article 9 bis qui permet à la Cnil de demander au juge des libertés et de la détention l'autorisation préalable d'effectuer une visite inopinée « lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent ».
Aujourd'hui, les services de l'État doivent soumettre les traitements informatisés à la Cnil dans leur état final ; la proposition de loi permet à la Cnil d'intervenir en amont de l'élaboration de ces fichiers. C'est une avancée importante, même si les garanties pourraient être renforcées : une simple déclaration, sans avis ni contrôle a priori de la Cnil, ne doit pas suffire pour expérimenter un fichier de police.
L'article 13 facilitera l'intervention de la Cnil devant les juridictions ; c'est une évolution opportune.
Pour conclure, je salue l'initiative et le travail de nos collègues Détraigne et Escoffier, opportunément enrichi par nos deux rapporteurs. En fonction du débat, et sur la base des travaux de la commission, le groupe de l'Union centriste votera ce texte. (Applaudissements à droite et au centre)
Mme Catherine Troendle. - Ce texte porte sur un sujet essentiel : le droit à la vie privée des individus dans un monde numérisé, valeur essentielle qui doit être défendue dans un État de droit, mais qui se heurte parfois à la liberté d'expression, au droit à l'image ou encore au droit à la communication électronique. Au législateur de trouver un juste équilibre.
Si internet ouvre de nouvelles voies pour la connaissance et l'information, il constitue aussi un danger. La protection, c'est d'abord la responsabilisation des individus. L'internaute doit être acteur de sa propre protection : c'est cela, être citoyen. Pour lui donner les moyens de se protéger, il faut qu'il ait été sensibilisé aux risques que fait encourir internet sur la vie privée.
Les parents doivent être les premiers garde-fous d'une utilisation parfois abusive d'internet ; c'est à eux de transmettre les principes de pudeur et d'intimité. Or, contrairement à leurs enfants, ils ne maîtrisent pas toujours ces nouvelles technologies, et n'ont pas toujours conscience des menaces que celles-ci font peser sur la vie privée de leurs enfants.
L'exemple des sextos le montre bien. Protéger nos enfants est un impératif auquel nous ne saurions nous dérober. Responsabilisation implique alors sensibilisation : c'est tout l'intérêt de l'article premier amendé par la commission des affaires culturelles pour impliquer l'éducation nationale dans l'accompagnement et la responsabilisation des jeunes utilisateurs d'internet.
De plus, le rapport de nos collègues souligne l'émergence des « mémoires numériques », ce qui nous interroge sur un nouvel enjeu, le droit à l'oubli dont tout citoyen d'une société démocratique doit disposer. La reconnaissance du droit à l'oubli à l'heure du numérique est une première pierre apportée à l'édifice du citoyen éclairé, à l'émergence de l'homo numericus que les auteurs de la proposition de loi appellent de leurs voeux. S'inspirant de la réflexion menée dans le cadre des ateliers sur le droit à l'oubli de Mme Kosciusko-Morizet, cette proposition de loi clarifie l'exercice de ce droit. Nous nous en réjouissons.
Une meilleure protection implique que la loi Informatique et libertés soit renforcée. C'est l'objet des articles 2 à 12 de la présente proposition de loi. L'UMP se réjouit qu'à l'initiative de notre rapporteur notre commission soit parvenue à un meilleur équilibre entre la protection des données et la liberté des acteurs d'un secteur économique majeur pour la compétitivité de notre pays. L'assouplissement du principe de consentement préalable en matière de cookies répond au double souci de ne pas entraver la fluidité de la navigation des internautes et de ne pas remettre en cause le modèle économique d'internet.
L'article 2 apporte aux données de connexion des internautes la protection de la loi Informatique et libertés, notamment concernant l'adresse Internet Protocol dite adresse IP, qui est désormais considérée comme une donnée à caractère personnel. Cette adresse IP constitue un moyen d'identification parmi d'autres, que son caractère fluctuant rend difficile à appréhender. Elle n'indique pas toujours la personne utilisatrice de l'ordinateur. A la différence de ce qui se passe avec l'adresse ou le numéro de téléphone, seules les autorités judiciaires disposent des moyens de vérifier l'identité de la personne à laquelle elle correspond. Ainsi, nous ne pouvons ignorer les nombreux freins qui s'opposent à notre volonté de légiférer. L'adresse IP n'est qu'une illustration parmi d'autres de la complexité technique des sujets auxquels nous touchons.
Si nous soutenons le renforcement des possibilités d'action juridictionnelle de la Cnil, nous sommes conscients de la nécessité d'une réflexion au niveau international La plupart des serveurs se trouvant à l'étranger, comment légiférer à bon escient si les responsables de traitement ne peuvent être mis en cause ? Nous nous réjouissons, à ce titre, que le Parlement européen ait demandé à la Commission européenne de jouer la transparence sur ces sujets, notamment quant aux négociations portant sur l'enjeu de protection des données personnelles.
Garant majeur de la protection de la vie privée, la Cnil voit opportunément sa légitimité et son efficacité renforcées. Les parlementaires qui en seront membres seront désormais désignés « de manière à assurer une représentation pluraliste » ; les visites inopinées dans les organismes privées et les administrations seront facilitées. Afin d'éviter qu'elles ne fassent l'objet de contestations, est prévue une procédure d'autorisation préalable du juge des libertés et de la détention. Les avis de la Cnil devront être publiés chaque fois qu'un fichier de police sera créé. Cela va dans le bon sens, comme l'exigence que tout fichier créé par arrêté ou par décret soit conforme à une des finalités que la commission a limitativement énumérées.
La proposition de loi conforte le statut et les missions du Correspondant informatique et libertés. Nous reconnaissons une certaine logique à cette disposition dans le prolongement de ce que visait la loi du 6 août 2004. Cependant, nous persistons à penser que le volontariat doit être privilégié. Dans cet esprit, nous avons déposé un amendement relevant le seuil de 50 à 100 personnes, afin que la présence du CIL ne soit pas obligatoire dans un trop grand nombre d'organismes, ce qui pourrait compromettre la capacité de la Cnil de gérer ce dispositif. Nous nous réjouissons que la ministre chargée de la Prospective et du développement de l'économie numérique propose une charte d'engagement des professionnels d'internet.
Le groupe UMP est favorable à la proposition de loi et votera le texte ainsi modifié par notre commission. (Applaudissements à droite et au centre)
Mme Alima Boumediene-Thiery. - Le Sénat, et plus largement le Parlement, est, avec le pouvoir judiciaire, le garant des libertés individuelles. II dispose à ce titre du pouvoir de contrôler la mise en oeuvre des mesures attentatoires aux libertés individuelles. II en est ainsi du contrôle des fichiers créés pour le compte de l'État, dont la récente multiplication a soulevé des doutes légitimes auprès de nos concitoyens. L'épisode Edvige a montré à quel point nos concitoyens sont attachés au respect de leur vie privée et à la protection de leurs données personnelles. Ils manquent d'informations sur le traitement des données personnelles et cette opacité est source de méfiance et de rejet.
La Cnil accomplit un travail remarquable : avec les moyens réduits dont elle dispose, elle réussit à informer les citoyens sur l'existence de ces fichiers, leur contenu et les modalités d'accès aux données enregistrées. Mais cela ne saurait suffire si l'on veut que nos concitoyens acceptent ces fichiers, dont certains, je ne le nie pas, sont indispensables. Il convenait alors d'aller plus loin et de poser en principe que les traitements de données ne peuvent être autorisés par la loi. C'est par notre voix de parlementaires que nos concitoyens derniers doivent s'exprimer sur la création de tels fichiers. Telle est d'ailleurs la conclusion à laquelle ont abouti nos collègues Détraigne et Escoffier dans leur excellent rapport.
Non seulement, le Parlement doit être seul à pouvoir autoriser ces fichiers, mais il doit être en mesure d'en déterminer le contenu, les modalités de fonctionnement, les moyens de contrôle de leur contenu. La proposition de loi de nos collègues répondait parfaitement à cette exigence, et enlevait à l'exécutif le pouvoir exorbitant de créer des fichiers, dont la multiplication et les dysfonctionnements témoignent d'une confusion et d'un manque de rigueur, alors même qu'ils touchent des données extrêmement sensibles.
Nous étions donc prêts à voter cette proposition de loi dans sa version originale. Malheureusement, elle a subi en commission des modifications telles qu'elle ne correspond plus à l'esprit initial. Le principe d'une autorisation législative a été abandonné au profit d'un élargissement du pouvoir réglementaire. La commission des lois a purgé la proposition de loi d'une de ses dispositions les plus importantes. Nous le déplorons et ne pourrons pas voter un texte qui porte l'empreinte de la volonté gouvernementale de conserver un pouvoir exorbitant en matière de création et de gestion des fichiers.
Chacun a droit à la protection des données personnelles le concernant, comme à l'oubli de celles qui se trouvent avoir été enregistrées sur tel ou tel fichier. Le Parlement doit exercer un contrôle régulier ; il ne saurait se contenter de donner un blanc-seing au Gouvernement. Nous vous proposerons un certain nombre d'amendements afin de restaurer le pouvoir du Parlement dans la création des fichiers. Nous espérons sur ce point être soutenus par les auteurs de la proposition de loi, puisqu'il s'agit d'une revendication qu'ils avaient eux-mêmes soutenue à l'origine. S'ils ne sont pas adoptés, nous n'aurons d'autre choix que de ne pas voter ce texte, car nous refusons catégoriquement que des fichiers puissent être créés par simple décret. Cela revient à la loi seule ! (Applaudissements à gauche)
M. Michel Thiollière. - Je vais revenir en arrière de quelques siècles, pas plus de dix-huit, pour vous lire le début d'un écrit intitulé Histoire véritable : « Je vais donc raconter des choses que je n'ai jamais vues ni ouïes, et qui plus est, ne sont point, et qui ne peuvent être ; c'est pourquoi qu'on se garde bien de les croire. » (Sourires) N'entendez-vous point là une description, un peu anticipée, de ce que nous voyons avec internet, avec cette frontière poreuse entre le mensonge et la vérité ?
Ce débat salutaire touche au coeur de l'un des fondements de notre démocratie et de notre République, qui distinguent clairement les sphères de la vie privée et de la vie publique. Chacun a le droit de protéger sa vie privée, mais chacun a aussi celui de franchir le pas ; chacun a le droit d'énoncer des jugements ou au contraire de le retenir, chacun a aussi le droit d'effacer ce qu'il a dit : là est le respect de la vie privée.
Or, internet, qui est partout, rend ces frontières perméables et en vient à investir la sphère privée sans notre consentement. Les idéologues, les libertaires de l'internet y voient la liberté totale. Méfiance ! Internet est aussi synonyme de plus de surveillance et d'emprise sur nos vies privées. Il s'agit de ne pas céder à ses sirènes sans précaution. Le monde de l'internet est un monde flou, aux frontières mal définies ; c'est un monde plat, car tout y est placé au même niveau. Les deux sphères y jouent en permanence et quand on joue sur la toile, on peut s'y faire prendre...
Je salue le travail des auteurs de la proposition de loi et de son rapporteur. Les internautes ont droit à l'information, à la communication, à l'information mais aussi à la protection de leur vie privée. Qui contrôle aujourd'hui ? Quelle autorité morale ? Qui parle ? Qui régule les sites collaboratifs ? La culture aux références pas toujours vérifiables que l'on y trouve doit inviter à la méfiance. C'est une culture amputée. Culture et vie privée riment avec mémoire, et qui dit mémoire dit droit à l'oubli. Or, internet n'oublie rien. Des traces indélébiles nous poursuivent à des fins mercantiles ou pire, inavouables. Nous sommes là, comme dirait Paul Ricoeur, dans l'« abus de mémoire ». Prenons-y garde, car manipuler la mémoire, c'est verser au totalitarisme. Les principes républicains respectueux de l'homme doivent valoir aussi dans le monde numérique. Seule la régulation peut bâtir une société numérique du respect.
Assurer la formation des enseignants et des jeunes sur les chances et les risques d'internet, en impliquant l'éducation nationale, comme l'a souhaité la commission à l'article premier ; renforcer le rôle de la Cnil et celui du correspondant informatique et liberté, opérer les clarifications nécessaires sur le droit à l'oubli et au retrait : autant d'avancées judicieuses de ce texte auxquelles je souscris. Toute liberté peut être pervertie : l'outil numérique doit rester au service des hommes. L'auteur grec qui m'a tout à l'heure inspiré avait aussi inspiré Goethe, qui en substance faisait dire dans son poème du même nom à l'apprenti sorcier : « Oh maître, quel malheur, les esprits que j'ai réveillés ne veulent plus me respecter ! ». Eh bien, si l'on veut que l'homme reste respectable, il doit rester le maître de l'internet. (Applaudissements à droite)
M. Antoine Lefèvre. - Ce texte vient relayer un large débat qui anime notre société. Internet, auquel je limiterai mon intervention, offre de formidables opportunités de développement, de connaissance, d'enrichissement de l'individu et de la collectivité mais ne menace-t-il pas, aussi, nos libertés ? Son succès en amplifie les dangers. D'autoroute de l'information qu'il fut à ses débuts, il est devenu réseau ouvert, complexe et difficilement maîtrisable, pénétrant chaque sphère de la société.
Le développement des « mémoires numériques » permet de « tracer » les individus, à la fois physiquement, par le biais de la vidéosurveillance, de la biométrie, du GSM des téléphones portables, et mentalement, par le biais d'internet et des réseaux dits sociaux, où le pire côtoie le meilleur.
Le plus célèbre d'entre eux, fondé en 2003 par trois copains étudiants d'Harvard, a commencé comme une « success story » à l'américaine. Six ans plus tard, ce site compte plus de 400 millions d'utilisateurs, un site où, à l'infini, « les amis de mes amis sont mes amis »...
Mais qui lit réellement les conditions d'utilisation d'un programme ou d'un site avant de s'en servir ? Il faut savoir que tout ce qui est posté sur ce site lui appartient même les données personnelles que vous y introduisez vous-même. En y créant votre profil, vous lui permettez de donner le droit à n'importe qui de faire n'importe quoi avec vos photos, vos vidéos, vos textes. Certes, la licence prend fin lors de la fermeture de votre compte, mais des fichiers peuvent être conservés dans les copies de sauvegarde et pour peu qu'existent des sous-licences, d'autres parties peuvent avoir obtenu le droit de diffuser vos photos avant même la fermeture de votre compte. Enfin, il est strictement impossible, même lors de la fermeture définitive de votre compte, d'effacer les messages que vous avez envoyés à travers le réseau : ils resteront dans les bases de données et seront visibles par les autres utilisateurs.
Les services de ressources humaines se frottent ainsi les mains, surveillant les salariés connectés ou obtenant sans effort des CV d'un nouveau genre pour les candidats à l'embauche. Age, sexe, emploi, religion, occupations, ces sites sont aussi devenus l'eldorado des fichiers clients.
Les opinions exposées sur la toile sont partagées sans limite, avec les risques d'atteinte à l'image personnelle et professionnelle de chacun que cela comporte.
Fort heureusement, les internautes prennent peu à peu conscience de la nécessité de protéger leurs données personnelles, et de surveiller ce que l'on appelle leur « cyber-réputation ».
Comment faire valoir son droit à la confidentialité dans un espace virtuel où le mot frontière n'a que peu de sens, où la loi se contourne facilement et où les recours juridiques sont limités ? Cela commence par l'éducation de notre jeunesse, comme le prévoit l'article premier de cette proposition.
Le plan France numérique 2012 prévoyait plusieurs actions des pouvoirs publics français en faveur de l'élaboration d'instruments juridiques européens et internationaux, et définissait, notamment, une durée de conservation maximale des données personnelles détenues par les moteurs de recherche. L'Union européenne avait souligné l'urgence des actions à mener sur ces points. Ce texte pose la première pierre. Il mérite tout notre intérêt. (Applaudissements à gauche et à droite)
M. Jean-Marie Bockel, secrétaire d'État. - Merci de ce large débat. A M. Gautier, qui s'inquiète de la multiplication des textes, qui en brouille la lisibilité, je répondrai que c'est précisément la raison pour laquelle le Gouvernement a proposé, à l'article 4, de reprendre la rédaction retenue par l'Assemblée nationale pour la proposition de loi Warsmann et pourquoi il recommande également, aux articles 6 et 7, de ne pas anticiper sur la transposition du paquet Télécom. De même, il estime que le débat sur l'encadrement des fichiers de police, qui a déjà eu lieu, n'a pas lieu d'être ici : restons cohérents. Quant à celui qui concerne les lieux de surveillance, il aura lieu ici même, le 30 mars.
Le Gouvernement partage votre souhait, monsieur Mézard, de veiller à l'adaptation de la législation relative à la protection de la vie privée. Quant aux moyens d'y parvenir, le débat reste ouvert. Mais j'y insiste : le Gouvernement n'est en rien opposé, bien au contraire, au renforcement des pouvoirs de sanction de la Cnil. Il n'est animé que d'un souci d'équilibre.
Le droit à l'oubli est sans doute nécessaire, mais il ne peut pas être illimité et s'imposer aux fichiers de police judiciaire qui assurent la sécurité de nos concitoyens.
Je partage l'analyse de Mme Borvo Cohen-Seat sur la dimension éducative d'internet mais aussi sur ses risques. En revanche, il est inutile de confier à la Cnil un pouvoir d'intervention dans toutes les procédures judiciaires intéressant le droit informatique et liberté. Il ne faut pas mélanger les genres.
Le Gouvernement partage les préoccupations de M. Amoudry concernant la navigation sur internet et les cookies. Une réflexion globale sur la transposition de la directive de novembre 2009 devra cependant être menée à son terme. La Cnil continuera à contrôler les fichiers de police. Sur les correspondants informatique et liberté, il serait utile d'évaluer au préalable l'impact des mesures envisagées.
Mme Troendle a rappelé que le renforcement de la loi de 1978 nous impose d'aborder des sujets techniques extrêmement compliqués. C'est pourquoi je regrette que nous n'ayons pu avoir des discussions plus en amont avec la commission. Ce travail préliminaire aurait sans doute permis de parvenir à des dispositions plus consensuelles.
Effectivement, il est difficile d'appliquer la loi française à des opérateurs situés à l'étranger. La directive révisée devra traiter de cette question.
Je rappelle à Mme Boumediene-Thiery que la Constitution ne permet pas de modifier la répartition des compétences entre les pouvoirs règlementaires et législatifs. En outre, le Parlement serait submergé de textes très techniques qui ne nécessitent pas la saisine de la représentation nationale.
L'intervention de M. Thiollière a été de grande qualité : ses références à l'Antiquité et à la manière dont Goethe les a interprétées étaient très intéressantes. Certes, internet favorise l'imbrication entre la sphère publique et privée et les frontières sont assez floues et mouvantes. Nous devrons proposer des solutions souples et adaptables pour accompagner les évolutions du monde numérique : c'est un peu le leitmotiv des amendements que je vous présenterai tout à l'heure.
M. Lefèvre a rappelé les risques liés à internet. Il nous revient donc d'agir pour y parer.
La discussion générale est close.
Discussion des articles
Article premier
L'article L. 312-15 du code de l'éducation est complété par un alinéa ainsi rédigé :
« Dans le cadre de l'enseignement d'éducation civique, les élèves sont formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication au public en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que des missions de la Commission nationale de l'informatique et des libertés. »
Mme Nicole Bonnefoy. - Cet article confie à l'éducation nationale la mission de prévenir et de sensibiliser les jeunes à l'utilisation des services de communication au public en ligne et leurs conséquences sur la vie privée de chacun. Cette initiative est indispensable à l'heure de l'informatisation croissante de notre société et de l'omniprésence des nouvelles technologies dans notre vie, notamment dans celle des jeunes. Devant les dérives constatées depuis une dizaine d'année, nos enfants doivent recevoir une « éducation numérique » plus complète. Internet est un formidable outil de communication et d'information, qui offre de très nombreuses opportunités à beaucoup de Français. C'est devenu un instrument professionnel, mais aussi social et culturel indispensable. Un tel succès suscite beaucoup de convoitise et génère de nombreux dangers qu'il faut prévenir. L'école a bien évidemment un rôle central à jouer dans ce domaine.
La loi du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a déjà mis en place certaines mesures. Il est pourtant nécessaire de poursuivre en ce sens.
Avec le développement massif d'espaces numériques dits « sociaux », qui consistent à mettre en réseau de nombreux éléments de la vie privé, il est indispensable de compléter le dispositif actuel afin de protéger les données personnelles et le droit à la vie privée. Les principaux utilisateurs de ces réseaux sont le plus souvent jeunes et ils développent parfois une véritable addiction vis-à-vis de ces pratiques, sans mesurer les conséquences de l'utilisation de leurs données par certains sites. Ces nouveaux espaces d'échange et de vie peuvent donc être dangereux.
Plus inquiétant encore, la pornographie s'installe sur la toile. Comme l'ont rappelé les auteurs de cette proposition de loi, la pratique des « sextos », c'est-à-dire la transmission de photos entre mineurs dénudés par messagerie instantanée ou téléphone portable, bien souvent sans le consentement des personnes, est une terrible illustration de certains comportements à risque. Or, 35 millions de Français ont un abonnement internet et notre pays compte 59 millions d'utilisateurs de téléphones portables. Il est donc nécessaire de mettre en place des mesures de sensibilisation et de prévention à l'égard des jeunes.
Pourtant, des textes récents confient de nombreuses missions aux enseignants alors que les moyens qui leur sont octroyés sont en forte diminution. En outre, le nombre des enseignants va encore diminuer de façon vertigineuse puisque, selon Bercy, 35 000 postes ne seront pas renouvelés cette année.
Dès lors, comment faire pour que cet article soit applicable ? Comment les campagnes d'information et de sensibilisation auprès des jeunes pourront-elles être dispensées ? Combien de temps les enseignants pourront-ils consacrer à cette tache ?
Je voterai cet article, mais ces mesures seront-elles appliquées si le Gouvernement poursuit sa politique de casse de l'éducation nationale ?
L'article premier est adopté.
La séance est suspendue à 19 h 25.
présidence de M. Jean-Léonce Dupont,vice-président
La séance reprend à 21 h 30.