C. COMPLÉTER LE CADRE JURIDIQUE ACTUEL
S'il apparaît souhaitable de conserver le cadre juridique actuel, un certain nombre de compléments et d'améliorations à la marge pourraient y être utilement ajoutés.
1. Ne pas toucher aux grands principes...
a) Conserver un haut niveau de protection : le débat sur la révision de la directive du 24 octobre 1995
Vos rapporteurs se sont interrogés sur l'opportunité de recommander la révision de la directive du 24 octobre 1995, qui, comme il a été précédemment indiqué, sert de cadre juridique à la protection de la vie privée en Europe et a été transposée en France par la loi du 6 août 2004.
Après avoir analysé les positions, d'une part, du Royaume-Uni et de l'Irlande, d'autre part, de la Commission européenne, ils sont arrivés à la conclusion que le statu quo était préférable.
(1) La position du Royaume-Uni et de l'Irlande : réviser la directive de 1995 pour la rendre « plus efficace et moins lourde pour les entreprises »
Jugeant la directive de 1995 trop contraignante pour les entreprises et, de surcroît, inadaptée aux technologies du XXI ème siècle, l'autorité britannique de protection des données (« Information Commissioners Office » ou « ICO ») a clairement pris position pour sa révision, par communiqué de presse du 7 juillet 2008.
M. Richard Thomas, son Président, a ainsi mis en avant la nécessité de « mener un débat international sur la future orientation de la législation européenne relative à la protection des données ». Il a cependant indiqué qu'il s'agissait d'un objectif qui ne pourrait être atteint avant cinq ou six ans.
D'après les informations recueillies par vos rapporteurs auprès de la CNIL et de la commission européenne, il semble que l'Irlande soit également sur cette même ligne.
La CNIL comme l'Agence espagnole de protection des données ont fait part à vos rapporteurs de leurs craintes que ces positions, si elles devaient emporter l'adhésion des autres Etats membres, n'aboutissent à abaisser le niveau de protection des données en Europe.
(2) La position de la Commission européenne : répondre aux nouveaux défis technologiques sans réduire le niveau de protection de la directive
La Commission européenne affiche, elle, une position différente sur la question de la révision de la directive de 1995.
Si, comme le Royaume-Uni et l'Irlande, elle juge nécessaire de réfléchir à la révision de la directive, en particulier pour « répondre aux nouveaux défis dont on parle aujourd'hui, que nous ne pouvons plus ignorer et que nous devons absolument relever » 83 ( * ) , elle souligne également qu'il convient de ne pas réduire le niveau de protection que la directive a institué, garant du respect de la vie privée dans l'Union européenne.
Il est donc clair que la Commission européenne n'a pas, en l'état, l'intention de promouvoir une révision de la directive qui aurait pour effet d'alléger les contraintes pesant sur les entreprises qui gèrent des traitements de données, et il semble a priori peu probable que la future Commission, qui entrera en fonctions à l'automne 2009, adopte une position différente.
(3) La position de vos rapporteurs : « ne pas ouvrir la boite de Pandore »
Compte tenu de ces positions, manifestement incompatibles, vos rapporteurs considèrent comme a priori peu opportun d'engager un processus de révision de la directive de 1995 qui exposerait l'Europe, et donc notre pays, à un double risque :
- d'une part, revenir sur la plasticité des concepts forgés par la directive de 1995 en matière de protection des données, concepts dont, rappelons le, la neutralité technologique garantit la pérennité ;
- d'autre part, aboutir à un cadre juridique moins protecteur pour les personnes alors que la directive offre déjà un haut niveau de protection des données. A cet égard, vos rapporteurs notent que les Etats-Unis pourraient saisir l'opportunité de l'engagement d'un processus de révision de la directive pour convaincre les Européens d'adopter leur système en matière de données personnelles, globalement moins protecteur pour les données gérées par les entreprises, même si nous verrons plus loin que les approches sont, de fait, moins éloignées que ce qu'on a coutume de dire.
Une récente polémique illustre parfaitement ce risque.
Le 20 juin 2008, la commission européenne a publié un « appel à manifestation d'intérêts », afin de constituer un groupe d'experts chargé de réfléchir au cadre juridique applicable à la protection des données personnelles en Europe.
Vingt dossiers, émanant d'Américains comme d'Européens, ont été présentés à l'expiration du délai limite de réception des candidatures, fixé au 20 août 2008.
Le comité de sélection de la commission a retenu un Européen et quatre Américains ou représentants de sociétés ayant leurs principaux intérêts aux Etats-Unis, apparemment au regard de leurs compétences techniques mais visiblement sans prendre en compte la dimension politique d'un tel choix.
Grâce, d'une part, à la vigilance de la CNIL, bien relayée par la commission des affaires européennes du Sénat 84 ( * ) , d'autre part, à la diligence du gouvernement français, la commission européenne a décidé de dissoudre ce groupe d'experts et de le remplacer par une nouvelle instance de réflexion composée de manière équilibrée et pluraliste afin d'assurer la représentation de toutes les approches en matière de protection des données 85 ( * ) .
Au total, il apparaît plus sage, dans le contexte d'une négociation nécessairement plus difficile et plus incertaine à 27 qu'elle ne le fut à 12, puis à 15, en 1995, et compte tenu des positions de certains Etats membres et de la possible influence du système américain, de ne pas engager de processus de révision de la directive de 1995.
* 83 Extrait du discours prononcé par M. Jacques Barrot, commissaire en charge de la protection des données, le 28 janvier 2009 lors la troisième journée européenne de la protection des données. Mme Viviane Reding, commissaire chargée des nouvelles technologies, est sur la même ligne : dans un communiqué publié le 14 avril 2009, elle a en effet souligné que la directive datait de 1995, « époque où internet était beaucoup moins développé qu'aujourd'hui » et que sa mise à jour était rendue nécessaire par « la rapidité du développement technologique ».
* 84 Le 3 février 2009, la commission des affaires européennes du Sénat, suite à une audition de M. Alex Türk, président de la CNIL, a décidé, à l'initiative de son Président, M. Hubert Haenel, d'adopter une proposition de résolution européenne pour protester contre la composition de ce groupe d'experts.
* 85 Cette instance s'est réunie à Bruxelles les 19 et 20 mai 2009.