III. LA POSITION DE VOTRE COMMISSION
Outre 2 amendements rédactionnels ou de coordination, votre commission a adopté 25 amendements, 21 de votre rapporteur, un de Mme Morin-Desailly, rapporteur pour avis de la commission de la culture, un de M. Alex Türk, un de M. Charles Gautier et un du Gouvernement.
A. CONCILIER DE MANIÈRE ÉQUILIBRÉE LES DIFFÉRENTS INTÉRÊTS EN PRÉSENCE
1. Faciliter la mise en oeuvre des traitements soumis à déclaration préalable
Consciente que la proposition de loi crée des obligations nouvelles pour les responsables de traitement, votre commission a cherché également, à l'initiative de votre rapporteur, à simplifier certaines démarches qu'ils accomplissent. Elle a ainsi adopté un article 2 ter afin de faciliter la mise en oeuvre des traitements soumis à simple déclaration préalable auprès de la CNIL. En effet, dans sa rédaction actuelle, l'article 23 de la loi « informatique et libertés » subordonne la mise en oeuvre de tels traitements à la transmission par la CNIL d'un récépissé.
Or, ce récépissé retarde inutilement la mise en oeuvre du traitement.
En conséquence, l'amendement prévoit que « le demandeur peut mettre en oeuvre le traitement dès réception de la preuve de l'accomplissement de la formalité préalable ». A titre d'exemple, cette preuve peut prendre la forme d'un accusé de réception postal si la déclaration a été adressée à la CNIL par lettre recommandée.
2. Conforter le statut et les missions du Correspondant « informatique et libertés »
Votre commission a adopté un amendement de son rapporteur à l' article 3 de la proposition de loi afin de conforter le statut et les missions du Correspondant « informatique et libertés » (CIL).
Cet amendement :
- étend les hypothèses dans lesquelles le CIL est rendu obligatoire ; la commission a maintenu le critère retenu par la proposition de loi mais en a ajouté un second, alternatif : le CIL serait obligatoire non seulement dans les conditions prévues par la proposition de loi mais également lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 de la loi « informatique et libertés ». Ce régime concerne les traitements sensibles qui ne peuvent être autorisés que par la CNIL (article 25) ou le Gouvernement (articles 26 et 27) après avis motivé et publié de la CNIL ;
- clarifie et étend les possibilités de désigner un seul et même CIL pour plusieurs structures (principe de « mutualisation ») ;
- renforce les missions du CIL ;
- rétablit le texte actuel de la loi « informatique et libertés » en matière de d'avis de la CNIL en cas de démission d'office du correspondant. Si la proposition de loi fait le choix d'un avis conforme, l'amendement préfère le terme actuel de consultation, qui implique un avis simple ;
- resserre les liens entre la CNIL et les CIL.
Par ailleurs, votre commission a adopté un amendement de votre rapporteur à l' article 7 de la proposition de loi afin de donner un rôle spécifique au CIL dans la gestion des failles de sécurité . Votre commission a ainsi souhaité que le responsable d'un traitement affecté par une telle faille de sécurité ait l'obligation d'en informer le CIL, qui devra à son tour informer la CNIL. Le CIL pourra ainsi s'assurer que le responsable de traitement prend les mesures nécessaires pour rétablir la sécurité des données. Il aura également la charge de tenir un inventaire des atteintes aux traitements de données personnelles.
Votre commission a adopté deux amendements de votre rapporteur au même article pour préciser, d'une part qu' en cas de « violation » du traitement de données et non de simple « atteinte », l'information sur la faille de sécurité devrait être diffusée, d'autre part que l'obligation d'information ne s'appliquerait pas, pour des raisons évidentes, aux fichiers de police.
3. Renforcer l'efficacité et la légitimité de la CNIL
Votre commission a adopté trois amendements tendant à renforcer l'efficacité et la légitimité de la CNIL .
En premier lieu, elle a adopté, à l'initiative de votre rapporteur ainsi que de notre collègue M. Charles Gautier, un article 2 bis prévoyant que les deux députés et les deux sénateurs membres de la CNIL sont désignés « de manière à assurer une représentation pluraliste ». Au regard de l'importance que revêt l'action de la CNIL dans le domaine de la protection des données à caractère personnel, il semble nécessaire que l'opposition y soit représentée . L'exigence de pluralisme s'appréciera au vu de l'ensemble des membres désignés au sein de la CNIL par les deux assemblées.
En second lieu, votre commission a adopté, à l'initiative de notre collègue M. Alex Türk, un article 5 bis afin d'apporter une précision importante en matière de publicité des avis de la CNIL . Elle a prévu que chaque fois qu'une loi renvoie à des textes règlementaires d'application pris « après avis de la CNIL », sans autre forme de précision, les avis de la CNIL sont par principe publics.
La question se pose surtout en matière de fichiers de police : en effet, en vertu de l'article 26 de la loi « informatique et libertés », ces fichiers font l'objet d'un avis public de la CNIL, mais sont souvent créés sans faire référence à cet article.
L'amendement, de portée générale, apporte donc une opportune clarification . Ainsi ne pourra-t-on plus interpréter le silence de la loi en matière d'application de l'article 26 précité comme remettant en cause la publicité de l'avis de cette Commission.
Enfin, votre commission a adopté, à l'initiative du Gouvernement, un article 9 bis afin de donner à la CNIL la possibilité de demander au juge des libertés et de la détention l'autorisation préalable d'effectuer une visite inopinée « lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent ».
En effet, tel qu'il est actuellement rédigé, l'article 44 de la loi « informatique et libertés » dispose que le responsable des lieux peut s'opposer à une visite de la Commission. Dans ce cas, la visite ne peut se dérouler qu'avec l'autorisation d'un juge, saisi à la requête du Président de la Commission.
Or, ce droit d'opposition est de nature à restreindre considérablement la portée et l'efficacité des contrôles de la CNIL puisque l'organisme contrôlé pourra bénéficier du temps nécessaire à l'obtention d'une ordonnance judiciaire pour effacer - ou dissimuler - des données informatiques qui seraient contraires à la loi.
En permettant au juge des libertés et de la détention, gardien des libertés individuelles, d'autoriser la CNIL à effectuer un contrôle inopiné, l'amendement renforce l'efficacité de la CNIL dans sa mission de contrôle sans porter atteinte aux droits du responsable des lieux visités . En effet, conformément à l'article 44 précité, la visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée et celui-ci peut décider l'arrêt ou la suspension de la visite à tout moment.
4. Mieux encadrer la création des fichiers de police
A l'initiative de votre rapporteur, votre commission, ayant constaté que la rédaction de l'article 4 risquait d'être considérée comme dépourvue de portée normative tout en prétendant lier le législateur, a réécrit cet article afin d'encadrer directement les finalités auxquelles peuvent répondre les fichiers de police . Dès lors, elle a choisi de reprendre, avec quelques modifications, l'ensemble des dispositions concernant les fichiers de police de la proposition de loi de simplification et d'amélioration de la qualité du droit, adoptée en 1 ère lecture par l'Assemblée nationale le 2 décembre 2009.
Elle a ainsi d'abord adopté un amendement inscrivant une liste de 13 points énumérant les finalités possibles des fichiers de police, toute autre finalité que le gouvernement souhaiterait introduire impliquant dès lors le dépôt d'un projet de loi. Votre commission a également repris par cet amendement le principe d'une procédure d'expérimentation permettant à la CNIL et aux services de l'Etat de dialoguer en amont de la mise en production d'un fichier de police.
En outre, votre commission a adopté une série de six amendements afin de renforcer l'encadrement des procédures de création des fichiers de police et les garanties apportées aux libertés individuelles. Ces amendements permettent de :
-créer une formation spécialisée au sein de la CNIL, consacrée exclusivement aux fichiers de police (article 4 ter) ;
-confier au bureau de la CNIL la possibilité d'émettre des avis au nom de celle-ci dans le cadre de la démarche d'expérimentation précitée (article 4 quater) ;
-rendre obligatoire l'inscription des durées maximales de conservation des données dans l'acte réglementaire de création d'un fichier de police, ainsi que des modalités de traçabilité des consultations du fichier (article 4 quinquies) ;
-rendre obligatoire la transmission à la délégation parlementaire au renseignement de tout décret en Conseil d'État créant un traitement dont il a été prévu une dispense de publication (fichiers intéressant la sûreté nationale ou la défense) (article 4 sexies) ;
-renforcer l'efficacité du contrôle des fichiers d'antécédents judiciaires par le procureur de la République, notamment en fixant un délai maximal d'un mois pour le traitement des demandes de mise à jour de ces fichiers (article 4 septies) ;
-préciser les conditions d'utilisation des données figurant dans des fichiers d'antécédents judiciaires lors des procédures de comparution immédiate (article 4 octies).
Enfin, votre commission a adopté un amendement rédactionnel afin de tenir compte de la réécriture de l'article 26 de la loi « Informatique et libertés ».
5. Assouplir le principe de consentement préalable ou « Opt-in » en matière de cookies
Par un amendement de votre rapporteur, votre commission a cherché à assouplir le principe de consentement préalable ou « Opt-in » en matière de « cookies », principe inscrit à l'article 6 de la proposition de loi (alinéas 15 à 22).
Appliqué de manière trop rigide, ce principe obligerait en effet les internautes à réitérer continuellement leur souhait d'accepter ou de refuser les cookies pour chaque site consulté, voire chaque page web. Ils se verraient ainsi contraints en pratique d'interrompre leur navigation pour cliquer sur des fenêtres ou « pop-up » sur leur écran, ce qui, d'une part, constituerait une entrave à la navigation fluide et rapide des internautes, d'autre part, mettrait en grandes difficultés les professionnels du commerce en ligne.
Soucieuse de ne pas contrarier de manière excessive le développement du commerce en ligne ni la navigation sur Internet, votre commission a souhaité, d'une part, prévoir une information globale, et non au cas par cas, en matière de « cookies », d'autre part, que cette information renvoie l'utilisateur aux possibilités de paramétrage du navigateur Internet afin qu'il puisse exprimer un choix préalable, quel qu'il soit, en matière de « cookies », ce qui semble conforme aux choix récents du législateur communautaire.
6. Clarifier l'exercice du « droit à l'oubli »
A l'initiative de votre rapporteur, votre commission a adopté un amendement tendant à clarifier l'exercice du « droit à l'oubli », c'est-à-dire du droit à la suppression des données (article 8).
Actuellement, ce droit est conditionné à des « motifs légitimes » et ne peut pas, en tout état de cause, être exercé dans deux hypothèses : lorsque le traitement répond à une obligation légale ou lorsque que l'exercice de ce droit a été écarté par une disposition expresse de l'acte autorisant le traitement.
L'amendement ne revient pas sur la notion actuelle de « motifs légitimes » mais cherche à mieux encadrer son expression. Votre commission a ainsi précisé que le droit à la suppression des données ne pourrait être exercé dans quatre nouveaux cas de figure :
- lorsque les données sont nécessaires à la finalité du traitement : il s'agit d'éviter que les données soient effacées dans le cas, par exemple, où un bien est toujours sous garantie ou n'a pas été entièrement réglé par le consommateur ;
- lorsque le traitement est nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;
- lorsque le droit de suppression porte atteinte à une liberté publique garantie par la loi : il s'agit essentiellement de protéger la liberté de la presse ;
- lorsque les données constituent un fait historique : le droit de suppression ne peut avoir pour objet ou pour effet de réécrire ou de falsifier l'histoire.
7. Clarifier ponctuellement le dispositif de la proposition de loi
A l'article 1 er , votre commission des lois a adopté un amendement de la commission de la culture, tendant à insérer les dispositions relatives à l'information dispensée aux élèves par l'Education nationale sur la protection des données personnelles et le respect de la vie privée au sein de la partie du code de l'éducation consacrée à l'éducation civique .
A l'article 2, qui tend à qualifier expressément l'adresse IP de donnée à caractère personnel, votre commission, sur proposition de son rapporteur, a modifié la rédaction retenue afin de viser, non l'adresse MAC, mais l'adresse identifiant le titulaire d'un accès à des services de communication au public en ligne.
Enfin, à l'article 13, votre commission a supprimé les dispositions prévoyant la recevabilité des observations écrites de la CNIL quelle que soit la procédure applicable, craignant que de telles dispositions ne puissent être considérées comme contraires aux exigences du procès équitable.
B. EXERCER UNE INFLUENCE SUR LA FORMATION DES NORMES INTERNATIONALES
1. À court terme, au niveau communautaire : vers une révision de la directive de 1995 ?
Votre commission est consciente que la proposition de loi ne constitue qu'une réponse française à un phénomène mondial .
En particulier, elle regrette que la directive du 24 octobre 1995 ait, en son article 4, écarté son applicabilité aux traitements dont les responsables sont situés en dehors de l'Union européenne , même si lesdits traitements visent un public français . Autrement dit, les grands acteurs américains de l'Internet, tels que Google, Facebook..., sont soumis aux lois américaines de protection des données et aux juridictions des Etats fédérés, et non à la loi « informatique et libertés » : les avancées contenues dans la présente proposition de loi ne leur seront donc pas opposables.
Cette règle est strictement appliquée par les tribunaux : ainsi, en 2008, le tribunal de grande instance de Paris s'est prononcé sur une demande en référé d'une personne qui demandait qu'il soit fait obligation à Google de supprimer de ses archives accessibles en ligne des messages postés par elle sur des forums de discussion, pour certains depuis 1998, et qui portaient sur sa vie privée.
La demanderesse s'appuyait sur les articles 6, 7 et 38 de la loi « informatique et libertés » (limitation de la durée de conservation des données, nécessité du consentement de la personne concernée, droit d'opposition). Dans son ordonnance, le tribunal a estimé que la loi informatique et libertés n'était pas applicable, en se fondant sur l'article 4 précité de la directive. Les serveurs de Google étant établis en Californie, il a considéré que le droit californien devait s'appliquer 7 ( * ) .
En conséquence, votre rapporteur partage la position des auteurs de la proposition de loi, exprimée lors de leur audition, tendant à faire évoluer la directive du 24 octobre 1995, sans remettre en cause le haut niveau de protection qu'elle accorde, afin de soumettre tous les responsables de traitement, où qu'ils se trouvent , aux juridictions et au droit français dès lors qu'ils visent bien un public français.
Cette évolution de la directive serait doublement cohérente :
- d'une part, elle serait conforme à la solution en vigueur dans d'autres branches du droit telles que le droit de la consommation, le droit de la presse, le droit de la propriété intellectuelle, et même le droit à la vie privée pourtant proche...
Une illustration en est donnée par une autre ordonnance de référé du tribunal de grande instance de Paris, portant sur des faits semblables à ceux décrits ci-dessus, mais basée sur d'autres textes. En 2006, cette juridiction avait été saisie par une personne demandant la suspension d'une page d'un blog hébergé par Google et contenant des éléments portant atteinte à sa vie privée. Cette demande était basée, non pas sur la loi informatique et libertés, mais sur l'article 9 du code civil consacrant le droit à la vie privée. Le tribunal avait constaté le manquement aux dispositions de cet article et ordonné à Google de retirer les éléments en cause 8 ( * ) .
Il est pour le moins curieux que, pour des atteintes commises en France, les acteurs non-communautaires de l'Internet soient régis par le droit français dans le domaine du droit à la vie privée et par leur droit national en matière de protection des données ;
- d'autre part, l'évolution de la directive serait également conforme au principe de réciprocité . En effet, lorsqu'un site Internet, implanté en Europe, porte atteinte à la protection de données de résidents américains, par exemple, sur le fondement de la loi de protection des mineurs votée en 1998 (« Children's Online Privacy Protection Act »), les juridictions américaines se déclarent compétentes et appliquent leur droit national.
Pour ces deux raisons, la modification de l'article 4 de la directive apparaît pleinement justifiée .
Lors de leur audition, les auteurs de la proposition de loi ont indiqué à votre rapporteur avoir transmis ce point de vue, soutenu par la CNIL, à Mme Viviane Redding, nouveau commissaire en charge de la protection des données.
Rappelons que son prédécesseur, M. Jacques Barrot, avait ouvert une large consultation sur l'opportunité de faire évoluer la directive de 1995, consultation qui a pris fin le 31 décembre 2009.
Le 1 er février 2010, Mme Viviane Reding a fait part de son intention de réviser, dans les mois prochains, la directive, considérant que « le monde a changé depuis 1995 (...). L'Union européenne devra fournir un instrument juridique solide pour répondre aux défis posés par le rapide développement des nouvelles technologies et de l'évolution des menaces à la sécurité ».
Mme Viviane Redding a notamment mis en avant la nécessité de protéger les données personnelles « indépendamment du lieu où se trouve le responsable du traitement », ce qui semble clairement aller dans le sens voulu par les auteurs de la proposition de loi.
2. A long terme au niveau mondial : vers une convention sous l'égide de l'ONU ?
Parallèlement au processus de révision de la directive de 1995, qui pourrait être engagé à court terme, votre commission appelle de ses voeux la signature, à terme, d'un traité international dans le domaine de la protection des données.
Elle espère que la présente proposition de loi sera perçue comme un signal fort de la France pour aller dans ce sens, d'autant que notre pays s'est distingué en 1978 par sa loi visionnaire, qui a largement inspiré de nombreuses législations dans le monde.
On peut d'ores et déjà se réjouir que près de 80 autorités de protection des données aient adopté, le 5 novembre 2009, des standards internationaux sur la protection des données personnelles et de la vie privée , dans le cadre de la Conférence mondiale des Commissaires à la protection des données qui s'est tenue à Madrid.
Il s'agit d'un premier pas historique car cette Conférence mondiale est parvenue à élaborer un corpus de règles communes adaptées aux dernières évolutions technologiques : les grands principes de protection des données, les droits dont bénéficient les individus, les obligations incombant aux responsables de traitement, les procédures internes à mettre en place au sein des entreprises et administrations à l'échelle mondiale, etc.
La prochaine étape, éminemment délicate, consiste désormais à mettre en place, à terme, un instrument juridique international ayant force juridique contraignante.
Deux facteurs invitent à l'optimisme :
- d'une part, les Etats-Unis sont souvent présentés comme des adversaires d'une telle convention internationale, alors qu'en réalité la protection des données personnelles aux Etats-Unis est plus forte qu'on ne croit. Comme l'expliquent les auteurs de la proposition de loi dans leur rapport d'information précité, si les Etats-Unis protègent moins les bases de données privées qu'en Europe, en dehors de quelques lois sectorielles, il n'en est pas de même des données gérées par les pouvoirs publics.
A titre d'exemple, toutes les administrations fédérales comprennent obligatoirement un « Chief Privacy Officer », comparable à un correspondant informatique et libertés mais aux pouvoirs plus étendus. De même, 45 Etats américains sur 50 disposent déjà d'une législation contraignante dans le domaine de la notification des failles de sécurité alors que, comme indiqué précédemment, l'Europe vient à peine de prévoir une telle obligation de notification ;
- d'autre part, on peut constater une prise de conscience mondiale des internautes dans le domaine de la protection des données, comme l'a clairement illustré la « cyber-révolte » des utilisateurs de Facebook lorsque le réseau social a annoncé, en février 2009, sa décision de modifier ses conditions générales d'utilisation afin de se rendre propriétaire à vie des données : pour le réseau, il s'agissait d'éviter que les informations qui figurent sur le profil de l'utilisateur ne disparaissent le jour où ce dernier se « désinscrit ».
Toutefois, cette démarche a été perçue comme une atteinte délibérée à la vie privée et de nombreux groupes de discussion se sont, en quelques heures, constituées sur Internet si bien que M. Mark Zuckerberg, le président et fondateur de Facebook, s'est vu obligé de renoncer à sa décision.
Votre commission des lois a adopté la proposition de loi ainsi rédigée .
* 7 Tribunal de grande instance de Paris Ordonnance de référé 14 avril 2008 - Bénédicte S / Google Inc., Google France.
* 8 TGI Paris, ordonnance de référé du 19 oct. 2006.