TABLE
RONDE N° 1
DROITS NUMÉRIQUES DES CITOYENS,
NOUVELLE
FRONTIÈRE DES DROITS DE L'HOMME
ET DE L'ACTION DU CONSEIL DE
L'EUROPE ?
Les intervenants à cette table ronde étaient :
- M. André Potocki, juge élu au titre de la France à la Cour européenne des droits de l'Homme ;
- M. Jean-Philippe Walter, commissaire à la protection des données du Conseil de l'Europe ;
- Mme Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (CNIL) ;
- M. André Gattolin, sénateur des Hauts-de-Seine, vice-président de la commission des Affaires européennes du Sénat.
La table ronde a été animée par M. André Gattolin.
I. M. ANDRÉ GATTOLIN, SÉNATEUR DES HAUTS-DE-SEINE, VICE-PRÉSIDENT DE LA COMMISSION DES AFFAIRES EUROPÉENNES DU SÉNAT
Je suis heureux d'ouvrir cette première table ronde sur les droits numériques des citoyens, nouvelle frontière des droits de l'Homme et de l'action du Conseil de l'Europe.
Je veux d'abord saluer M. André Potocki, juge français à la Cour européenne des droits de l'Homme, qui terminera bientôt son mandat. L'Assemblée parlementaire du Conseil de l'Europe sera en effet amenée à élire le juge français lors de la prochaine partie de session, en janvier 2020. C'est donc avec une vision d'expérience et du recul sur la jurisprudence de la Cour qu'André Potocki s'exprimera ce matin.
Je salue également M. Jean-Philippe Walter, commissaire à la protection des données du Conseil de l'Europe, qui est en particulier chargé de veiller au respect du règlement sur la protection des données pour toutes les données à caractère personnel collectées et traitées par le Conseil de l'Europe.
Je salue enfin Mme Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (CNIL), autorité administrative indépendante issue de la loi fondatrice du 6 janvier 1978. Chargée notamment de la protection des données personnelles dans l'univers numérique, la CNIL a fait de la mise en oeuvre du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le fameux « RGPD », le fil directeur de son action sur la période 2019-2021. Ce sujet sera certainement évoqué !
Pour ma part, je ne m'exprimerai pas comme un juriste ou un technicien des données personnelles, mais en tant que parlementaire qui travaille sur les questions numériques, à la fois au Sénat et à l'Assemblée parlementaire du Conseil de l'Europe.
Il y a 70 ans, quand le Conseil de l'Europe a été créé, les enjeux numériques n'existaient pas. La convention européenne des droits de l'Homme du 4 novembre 1950 ne contient de fait aucune mention spécifique relative à la protection des données à caractère personnel à l'ère numérique, à la différence de la Charte des droits fondamentaux de l'Union européenne, qui a été adoptée en 2000.
Cela n'a nullement empêché la Cour européenne des droits de l'Homme de se prononcer sur la protection des données à caractère personnel, sur le fondement de l'article 8 de la convention, selon lequel « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
Dans son arrêt S. et Marper c. Royaume-Uni du 4 décembre 2008, la Cour a ainsi jugé que « le simple fait de mémoriser des données relatives à la vie privée d'un individu constitue une ingérence au sens de l'article 8 » [de la convention]. (...) Peu importe que les informations mémorisées soient ou non utilisées par la suite ».
Pour déterminer si cette ingérence est nécessaire dans une société démocratique et si un juste équilibre a été ménagé entre les différents intérêts en présence, la Cour examine alors si cette ingérence était prévue par la loi, si elle poursuivait un ou des but(s) légitime(s) et si elle était proportionnée à ce ou ces but(s).
Je veux souligner ici l'importance des arrêts de la Cour européenne des droits de l'Homme, auxquels les États membres doivent se conformer. Le Conseil de l'Europe a également joué un rôle majeur au travers de la convention du 28 janvier 1981 pour la protection des personnes à l'égard du traitement des données à caractère personnel, dite convention 108, qui fut le premier instrument juridique international contraignant dans le domaine de la protection des données. Ce texte est important aussi parce qu'il a la particularité d'être une convention ouverte à la ratification d'États non membres du Conseil de l'Europe et qu'il est déjà partagé par plusieurs États d'autres continents.
Cette convention a été modernisée en 2018 pour répondre aux nouveaux défis du numérique et améliorer sa mise en oeuvre. Elle est un texte fondateur qui a influencé les textes élaborés par l'Union européenne, notamment la directive du 24 octobre 1995 et le RGPD.
Au total, comme le relevait en 2014 le Conseil d'État dans son étude annuelle sur Le numérique et les droits fondamentaux , on observe une convergence du droit européen, qu'il émane du Conseil de l'Europe ou de l'Union européenne, autour de quelques grands principes :
- une collecte de données loyale, répondant à des finalités déterminées et proportionnée à ces finalités ;
- l'exigence d'un consentement de la personne ou d'un autre principe prévu par la loi ;
- des droits d'information, d'accès, de rectification et d'opposition de la personne ;
- l'existence d'une autorité indépendante de contrôle.
Ce corpus diffère de manière très substantielle du droit des États-Unis, dans lequel il n'existe pas de cadre général du traitement des données personnelles et qui retient une approche subjective, centrée sur la réparation du préjudice subi.
Le Conseil de l'Europe a donc été précurseur et en pointe sur la protection des données personnelles à l'ère numérique. Soulignons qu'il l'a aussi été grâce aux autorités administratives indépendantes, comme la CNIL, qui ont su jouer un rôle d'aiguillon pour préserver les droits fondamentaux de nos concitoyens.
Je n'évoquerai qu'un seul exemple récent d'action de la CNIL, mais qui pourra donner lieu à des échanges car l'arrêt rendu par la Cour de justice de l'Union européenne va moins loin que ce qu'elle souhaitait : celui du droit au déréférencement sur Internet, souvent appelé « droit à l'oubli ». Sans davantage développer ce point, parce que la présidente de la CNIL aura peut-être l'occasion d'y revenir dans son propos, on voit bien que le débat juridique sur le droit applicable dans le cadre européen est intense.
Je voudrais, à ce stade, souligner trois défis qui se posent aujourd'hui et qui sont de nature, à mon sens, plus politique que strictement juridique.
Le premier défi que l'on doit aborder de front est directement lié au sujet que je viens d'évoquer : c'est celui de la souveraineté numérique et de la gouvernance d'Internet, deux thèmes chers au Sénat français.
Le rapport de la récente commission d'enquête sur la souveraineté numérique relève que « nos sociétés sont confrontées à une mise en cause sourde de leurs valeurs : l'homme est moins un citoyen et un sujet de droit, mais de plus en plus une somme de données à exploiter. Ce n'est pas notre conception de la personne humaine, ce n'est pas non plus le modèle de société que nous portons et dans lequel s'incarnent nos valeurs de respect de tous et de chacun. La souveraineté numérique est donc la condition nécessaire et indispensable à la préservation de ces valeurs ».
C'est évidemment une question très vaste, éminemment politique, mais fondamentale compte tenu du poids des plateformes Internet les plus importantes, qui ne sont pas européennes, mais américaines ou chinoises.
Le Comité des Ministres du Conseil de l'Europe a adopté l'an dernier une recommandation sur les rôles et les responsabilités des intermédiaires d'Internet. C'est là assurément une nouvelle frontière pour l'Union européenne et pour le Conseil de l'Europe !
Le deuxième défi concerne l'intelligence artificielle (IA) qui ne sera pas acceptée par la société si elle n'inspire pas confiance. Et pour qu'elle inspire confiance, elle doit être bâtie sur des principes éthiques clairs et reconnus par tous. Beaucoup de choses dans l'intelligence artificielle sont non intentionnelles et dues à un manque de maîtrise technologique.
L'IA pose d'autres questions, comme celle de la responsabilité. Il ne peut y avoir de responsabilité des machines ou des robots. Une intelligence artificielle est d'abord une machine qui a des concepteurs et des fabricants. Ce sont eux qui doivent être responsables en cas de difficulté. Il y a donc ici un enjeu de traçabilité.
L'IA est aussi, assurément, une nouvelle frontière du Conseil de l'Europe, tant elle a aujourd'hui d'importance pour la vie quotidienne de nos concitoyens qui ne peuvent être les sujets d'algorithmes opaques.
Ce débat est fondamental et le Conseil de l'Europe s'en saisit pleinement, y compris au niveau de l'Assemblée parlementaire, dans le cadre de la nouvelle sous-commission créée pour approfondir ces sujets, au sein de sa commission des questions juridiques et des droits de l'Homme.
Le dernier point que je souhaite évoquer en introduction de cette table ronde, c'est la conscience qu'a le citoyen de ses droits numériques.
Dans une conférence de l'UNESCO en 2015, Jean-Philippe Walter évoquait déjà la nécessité de « développer des politiques d'éducation de formation et de sensibilisation au numérique qui soient respectueuses des droits et libertés fondamentales ».
Le Conseil de l'Europe a développé, en 2016, un cadre de référence des compétences nécessaires à une culture de la démocratie, qui inclut la dimension numérique.
Pour assurer et défendre dans la durée les droits fondamentaux des citoyens à l'ère numérique, nous devons donc mettre en place des politiques éducatives adaptées.