10
Traitement des données à caractère personnel
Discussion d'une proposition de résolution européenne
M. le président. L’ordre du jour appelle, à la demande de la commission des lois et de la commission des affaires européennes, la discussion de la proposition de résolution européenne, présentée au nom de la commission des lois en application de l’article 73 quinquies du règlement, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055) (proposition n° 406, rapport n° 446 et avis n° 457).
Dans la discussion générale, la parole est à M. Simon Sutour, auteur de la proposition de résolution, rapporteur de la commission des lois et rapporteur pour avis de la commission des affaires européennes.
M. Simon Sutour, auteur de la proposition de résolution, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale, rapporteur pour avis de la commission des affaires européennes. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, cette proposition de résolution européenne est importante par son objet, le traitement des données à caractère personnel. C’est également la première fois, depuis la réforme de notre règlement, qu’une proposition de résolution européenne sera soumise au vote du Sénat en séance publique, ce qui conférera davantage de solennité et de poids à notre prise de position.
Le 25 janvier dernier, la Commission européenne a présenté deux textes qui procèdent à une refonte complète du cadre européen de la protection des données personnelles : une proposition de règlement européen et une proposition de directive. La proposition de règlement concerne les fichiers privés et commerciaux, et la proposition de directive les fichiers dits « de souveraineté », utilisés notamment dans le cadre de procédures pénales.
Le 8 février, en application de l’article 73 quinquies de notre règlement, la commission des lois a décidé de se saisir de ces deux textes. De son côté, la commission des affaires européennes s’en est saisie pour avis. J’ai l’honneur d’avoir été nommé à la fois rapporteur au fond pour la commission des lois et rapporteur pour avis de la commission des affaires européennes.
M. Jean-Pierre Sueur, président de la commission des lois. Dans les deux cas, c’était mérité !
M. Simon Sutour, auteur de la proposition de résolution, rapporteur et rapporteur pour avis. Je vous remercie, monsieur le président.
Les deux commissions partagent la même analyse. Ces deux textes devant être adoptés selon la procédure législative ordinaire, c’est-à-dire par codécision entre le Parlement européen et le Conseil de l’Union européenne, le processus de négociation entamé va durer quelque temps.
Compte tenu des brefs délais qui nous sont impartis et du fait que ces deux textes abordent des problématiques différentes, la proposition de résolution soumise à votre examen ne porte que sur la proposition de règlement relatif aux fichiers privés et commerciaux. Nous aurons l’occasion de revenir par la suite sur ces sujets, particulièrement sur la proposition de directive relative aux fichiers de souveraineté, que nous laissons aujourd’hui de côté.
Parallèlement à la présente proposition de résolution adressée au Gouvernement, la commission des affaires européennes a déposé, le 23 février dernier, sur le fondement de l’article 73 octies de notre règlement, une proposition de résolution adressée cette fois directement aux institutions européennes et portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement. Ce texte est devenu résolution du Sénat le 4 mars 2012, après son adoption par la commission des lois, compétente au fond.
La proposition de résolution qui vous est soumise aujourd’hui vise exclusivement la proposition de règlement européen relatif aux fichiers privés ou commerciaux, qui a vocation à remplacer la directive de 1995. Très largement inspiré de la législation française, pionnière en la matière, ce texte a marqué, en son temps, une avancée décisive.
Cependant, de l’avis général, il est aujourd’hui nécessaire de franchir une nouvelle étape en matière de protection européenne des données personnelles, et ce pour trois raisons.
Premièrement, la directive de 1995 n’a pas permis une harmonisation suffisante de la protection des données personnelles dans les États membres de l’Union européenne. Ainsi, par exemple, jusqu’en 2011, l’autorité de contrôle britannique ne disposait d’aucun pouvoir de sanction contre les responsables de traitement.
Deuxièmement, la directive est devenue obsolète. La révolution des nouvelles technologies, l’explosion d’internet, la multiplication des réseaux sociaux et leur place toujours grandissante, l’indexation massive des contenus publiés en ligne sont autant d’éléments qui accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de leur consultation ou de leur exploitation à des fins notamment commerciales.
Enfin, la dernière raison qui justifie une révision de la législation communautaire tient à l’internationalisation croissante des transferts de données entre les États membres de l’Union européenne eux-mêmes, mais aussi entre ces derniers et les États tiers à l’Union européenne. Le régulateur national ne peut plus agir seul. Nous devons unir nos forces –et donc unifier notre droit – pour imposer, notamment aux États non européens, le respect des règles de protection des données relatives aux citoyens européens.
La Commission européenne s’est saisie de ce dossier. Elle a appelé, dans une communication de novembre 2010, à une approche globale de la protection des données personnelles en Europe. La proposition de règlement constitue l’aboutissement de ces travaux et doit conduire, selon elle, à une harmonisation du droit applicable sur le modèle des droits les plus avancés en la matière. C’est ce que nous a indiqué notamment la vice-présidente de la Commission européenne, Mme Reding, lorsque nous l’avons auditionnée voilà quelques jours.
L’heure est décisive. En effet, le texte qui nous est présenté est une proposition de règlement. Nous n’aurons plus à en connaître, une fois adoptée, contrairement à ce qui se passe pour une directive – ou plutôt, monsieur le ministre, contrairement à ce qui devrait se passer, car le Parlement est de plus en plus souvent tenu à l’écart des transpositions de directive, mais c’est là un autre sujet, sur lequel nous reviendrons. Si nous voulons peser, c’est maintenant, dans la phase de négociation, qu’il faut agir. Il est essentiel, sur un sujet qui engage autant les droits fondamentaux de la personne, que la représentation nationale se fasse entendre.
La proposition de règlement comporte un certain nombre d’améliorations dont le texte qui vous est présenté prend acte. Elle prévoit notamment que le consentement de la personne à l’utilisation de ses données personnelles devra être exprès. Elle reconnaît aux internautes un « droit à la portabilité » de leurs données, qui leur permettra de s’affranchir de l’autorité de traitement sans perdre l’usage de leurs données. Elle réaffirme le droit d’opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité, pour les responsables de traitement, de soumettre les données qu’ils ont recueillies à un « profilage » informatique. Elle consacre un droit à l’oubli numérique, permettant à chacun d’obtenir l’effacement des données personnelles qui lui portent préjudice.
La proposition de règlement prévoit de nouvelles règles d’autorisation des fichiers reposant, notamment pour les plus sensibles d’entre eux, sur l’obligation de les soumettre à une étude d’impact. Elle modifie la réglementation relative au transfert de données vers des pays tiers à l’Union européenne.
Parallèlement, le texte fait peser sur les responsables de traitement des obligations nouvelles, comme la désignation d’un délégué à la protection des données dans les entreprises de plus de 250 salariés ou le renforcement des sanctions contre les entreprises ne respectant pas les règles fixées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant notamment un comité européen de la protection des données, auquel sera associé le Contrôleur européen de la protection des données, qui se substituera à l’actuel groupe de travail réunissant les « CNIL européennes », dit « Groupe de l’article 29 » ou « G29 ».
Cette proposition de règlement contient donc de réelles avancées par rapport aux règles communautaires en vigueur. Certaines, comme l’exigence du consentement exprès, le droit d’opposition ou de rectification ou le statut d’indépendance et les pouvoirs de l’autorité de contrôle existent cependant déjà dans notre droit national. D’autres consacrent des évolutions attendues. Je tiens, à cet égard, à rendre hommage au travail précurseur effectué par nos collègues Yves Détraigne et Anne-Marie Escoffier,…
M. Jean-Pierre Sueur, président de la commission des lois. Tout à fait !
M. Simon Sutour, auteur de la proposition de résolution, rapporteur et rapporteur pour avis. … qui, dans leur rapport d’information sur la vie privée à l’heure des mémoires numériques, puis dans la proposition de loi issue de leurs travaux et rapportée par notre éminent collègue Christian Cointat, ont présenté certaines des évolutions aujourd’hui consacrées par la proposition de règlement, telles la reconnaissance du droit à l’oubli ou l’obligation de désignation de délégués à la protection des données.
Monsieur le ministre, on ne peut que regretter que cette proposition de loi, adoptée à l’unanimité au Sénat il y a près de deux ans, n’ait jamais été examinée par l’Assemblée nationale.
Malgré ces avancées notables, le dispositif proposé comporte de réelles lacunes, qu’il revient au Sénat de dénoncer. La présente proposition de résolution a pour objet d’attirer l’attention du Gouvernement sur ces lacunes, au moment où s’engagent les négociations.
La proposition de règlement doit tout d’abord aller plus loin sur certains points : le droit à l’oubli et les moteurs de recherche, le statut juridique de l’adresse IP, l’encadrement des transferts internationaux de données, la désignation obligatoire d’un délégué à la protection des données ou le renforcement des pouvoirs des autorités de contrôle nationales.
Sur ce dernier point, j’indique que, sur l’initiative de M. Jean-Paul Amoudry et de plusieurs de ses collègues du groupe de l’Union centriste et républicaine, la proposition de résolution appelle le Gouvernement à faire preuve de la plus grande vigilance, monsieur le garde des sceaux, sur l’encadrement, trop restrictif, des pouvoirs d’investigation des autorités de contrôle nationales.
J’en viens maintenant au cœur de la proposition de résolution qui est soumise à votre examen, mes chers collègues, à savoir les deux questions de principe que soulève le texte de la Commission européenne.
La première question porte sur la marge que conserve le législateur national pour adopter des dispositions nationales plus protectrices. La Commission européenne a fait le choix d’une proposition de règlement plutôt que d’une proposition de directive afin de garantir une harmonisation complète des législations. Il est évidemment souhaitable que celle-ci se fasse par le haut, et non par le bas.
Une question fondamentale se pose donc pour des États comme la France, dont la législation en matière de protection des données personnelles est souvent pionnière. La protection apportée par ce texte constituera-t-elle un plancher ou un plafond ? Serait-il envisageable que, en élevant le niveau moyen de protection apporté à l’ensemble des citoyens européens, le règlement diminue celle dont bénéficiaient ceux qui résidaient dans un État membre ayant fait le choix de prévoir des garanties complémentaires ?
Lors de son audition par la commission des lois et par la commission des affaires européennes, le 21 février dernier, Mme Reding, commissaire européen chargée de ce dossier, nous a indiqué clairement qu’elle entendait faire respecter le principe « un continent, une règle ». Elle a même ajouté qu’elle était « entre nos mains ». Nous avons toutefois plutôt eu le sentiment que c’était l’inverse…
Or la protection des données personnelles participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle mentionnée à l’article 2 de la Déclaration des droits de l’homme et du citoyen. Cet ancrage constitutionnel de la protection des données personnelles justifie que celle-ci prime sur toutes autres considérations, notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes.
La présente proposition de résolution européenne invite donc le Gouvernement français à veiller à ce que l’harmonisation s’effectue sans préjudice de la possibilité, pour les États membres, d’adopter des dispositions plus favorables à la protection des données personnelles. Cela suppose notamment que de telles possibilités de dérogation allant dans le sens du « mieux disant » soient expressément mentionnées dans le règlement.
J’observe par ailleurs que la proposition de règlement ne définit même pas avec suffisamment de précision le cadre légal qu’elle vise à mettre en place. Cela se manifeste par le fait que le texte renvoie à près de cinquante reprises à des actes délégués ou à des actes d’exécution adoptés par le collège des commissaires pour préciser les modalités d’application du règlement.
Toutes les personnes que j’ai entendues ont critiqué ce renvoi massif à la législation déléguée. La proposition de résolution insiste sur la nécessité de veiller à ce que les compétences normatives des législateurs européens et nationaux ou celles des régulateurs nationaux ne soient pas ainsi abandonnées à la seule compétence de la Commission européenne.
La résolution du Sénat portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement que j’ai évoquée précédemment et qui a été adoptée par la commission des affaires européennes met particulièrement l’accent sur ce point.
Le texte pose une seconde question de principe. C’est celle qui a le plus focalisé l’attention de la Commission nationale de l’informatique et des libertés, comme en a témoigné l’audition de sa présidente par la commission des lois, en novembre dernier. Le dispositif du « guichet unique » proposé par la Commission européenne attribue la compétence pour instruire les requêtes des citoyens européens à l’autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement. L’objectif avoué de ce dispositif est de faciliter les démarches administratives des entreprises, qui n’auront plus qu’un interlocuteur unique à l’échelle européenne.
Cependant, il est paradoxal que le citoyen soit moins bien loti – j’insiste sur ce point – que l’entreprise responsable de traitement. Il sera en effet privé de la possibilité de voir l’ensemble de ses plaintes instruites par son autorité de contrôle nationale. Or il me semble que, lorsqu’il s’agit d’assurer la meilleure protection possible du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l’intéressé de s’adresser à l’autorité la plus proche de lui et auprès de laquelle il a l’habitude d’accomplir ses démarches.
En outre, sans même évoquer le risque de « forum shopping » dénoncé par la CNIL, le dispositif du « guichet unique » présente de multiples inconvénients.
Sa mise en place pose la question des moyens de l’autorité de contrôle nationale : par exemple, Facebook étant installé en Irlande, l’autorité de ce pays disposera-t-elle des moyens suffisants pour faire face à l’afflux de contentieux en provenance des autres pays européens ?
Ce dispositif crée en outre une asymétrie, pour le plaignant, entre les recours administratifs exercés auprès de l’autorité étrangère dont dépend le principal établissement du responsable de traitement et les recours juridictionnels portés devant le juge national.
La Commission européenne a certes prévu des aménagements au principe du « guichet unique » : elle propose un mécanisme de coordination entre autorités de contrôle et prévoit que l’autorité nationale se chargera de la transmission de la plainte à l’autorité étrangère. Ces expédients sont cependant insuffisants. Le citoyen se trouve à la fois privé de la possibilité de voir sa demande instruite par l’autorité de contrôle qui lui est le plus proche et le plus accessible, et privé de celle de se voir appliquer les dispositions de droit national plus favorables.
C’est pourquoi la proposition de résolution appelle le Gouvernement à veiller, dans la négociation qui s’ouvre, à ce que le critère du « principal établissement » soit abandonné au profit de l’application du principe selon lequel l’autorité de contrôle compétente est celle du pays de résidence de l’intéressé.
Monsieur le président, monsieur le garde des sceaux, mes chers collègues, tel est le sens de la proposition de résolution européenne que la commission des lois, unanime, vous propose d’adopter. (Applaudissements sur les travées du groupe socialiste, du groupe CRC et du groupe écologiste, ainsi que sur certaines travées du RDSE.)
M. le président. La parole est à M. le président de la commission des lois.
M. Jean-Pierre Sueur, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Monsieur le président, monsieur le ministre, mes chers collègues, permettez-moi tout d’abord de me réjouir de l’excellent climat de coopération qui prévaut entre la commission des affaires européennes et la commission des lois. Le fait que nous puissions travailler très efficacement ensemble est tout à fait positif pour la pertinence et la clarté des avis et des résolutions que nous sommes amenés à présenter au Sénat.
J’aborderai succinctement quatre sujets, M. Sutour les ayant déjà éloquemment développés.
En premier lieu, il est des droits individuels qui sont fondamentaux. Je pense en particulier au droit à l’oubli numérique. Il est bien que le projet de règlement européen et la proposition de résolution y fassent référence, car nous savons tous que des jeunes peuvent être poursuivis des années durant par la publication, le plus souvent à leur insu, de données les concernant sur un site internet. Il est très important que la vie privée soit respectée. Pour cela, il faut donner à chacun les moyens de préserver et de garantir à tout moment son intimité ou ce qui pour lui en relève. Le droit à l’oubli est un droit essentiel de la personne, que nous devons défendre parce que son non-respect peut avoir des conséquences extrêmement lourdes et dommageables.
En deuxième lieu, le droit européen va-t-il se caler sur la législation du pays offrant le plus de garanties ou va-t-il, au contraire, s’en tenir à un plus petit dénominateur commun, ce qui serait préjudiciable à nos concitoyens, lesquels ont actuellement la possibilité de saisir la CNIL, autorité reconnue tant sur le plan national qu’européen mais dont le travail pour garantir nos libertés serait alors remis en cause ? Nous devons être très vigilants sur ce point.
Lorsque nous avons auditionné Mme Reding, nous lui avons demandé si l’harmonisation consisterait à définir un plafond, interdisant toute disposition nationale plus favorable, ou bien un plancher, comme en matière de consommation par exemple. Sa réponse a été la suivante : « Non, il n’y aura pas de niveaux de protection différents. C’est l’essence même d’un règlement : une loi identique pour tout le territoire de l’Union européenne. J’ai retenu les règles les plus protectrices des systèmes existants. » Nous verrons que tel n’est pas le cas, s’agissant en particulier du critère de l’établissement principal.
Je rappelle que la protection des données personnelles relève du champ des droits fondamentaux et que le Conseil constitutionnel considère que la protection de la vie privée fait partie des libertés individuelles fondamentales, mentionnées à l’article 2 de la Déclaration des droits de l’homme et du citoyen.
Pour sa part, la commission des lois considère, en total accord avec la commission des affaires européennes, que cet ancrage constitutionnel justifie que la protection des données personnelles et de la vie privée prime sur toute autre considération. C’est pourquoi nous demandons instamment au Gouvernement de la République – celui qui est en place et le prochain –…
M. Jean-Pierre Sueur, président de la commission des lois. L’un des candidats à l’élection présidentielle a fait des propositions qui ont dû vous intéresser concernant la désignation du ministre de la justice, monsieur Mercier !
Nous demandons instamment au Gouvernement, disais-je, de préserver résolument ce qui touche à la protection des droits les plus fondamentaux de la personne, à la défense du faible contre le fort. Pour nous, la construction européenne n’a de sens que si elle élève le niveau de la protection commune, sans interdire à certains États membres d’aller au-delà avant d’être rejoints plus tard par les autres. Personne ne comprendrait, monsieur le ministre, que le règlement européen amène un recul par rapport aux dispositions qui existent aujourd'hui dans notre pays en matière de protection des libertés publiques, des libertés personnelles et de la vie privée.
En troisième lieu, je voudrais évoquer la question de la législation déléguée.
La proposition de règlement renvoie près d’une cinquantaine de fois à des actes délégués ou à des actes d’exécution adoptés par la Commission européenne pour compléter la législation européenne. Le nombre et l’importance de ces renvois posent problème au regard du principe de subsidiarité, car ils confèrent tant de pouvoir à la Commission européenne que l’on en vient à penser que c’est au détriment du législateur européen et des législateurs nationaux, ainsi que des autorités de contrôle nationales, telle la CNIL.
La présente proposition de résolution fait état de cette question, qui est aussi traitée par la proposition de résolution portant avis motivé sur la subsidiarité présentée par la commission des affaires européennes.
En quatrième et dernier lieu, je voudrais aborder la question très sensible du « guichet unique ».
Si le règlement européen devait établir que le droit applicable et les instances compétentes seront ceux du pays d’implantation de l’établissement principal du site internet concerné, cela pourrait poser un grave problème pour la défense de nos libertés.
Prenons l’exemple de Facebook, dont le siège est installé en Irlande. Aux termes de la proposition de règlement, le droit irlandais s’appliquerait en cas de litige. Or il est beaucoup moins protecteur des libertés individuelles, des libertés publiques et de la vie privée que le droit français…
Une telle situation serait incompréhensible pour les citoyens européens et pourrait entraîner une déperdition inacceptable en termes de défense de droits fondamentaux. C’est pourquoi nous demandons au Gouvernement de veiller tout particulièrement à ce qu’un tel dispositif ne soit pas inscrit dans le règlement européen. Son objet principal, nous dit-on, est d’élever le niveau de protection des données personnelles, mais sa mise en œuvre serait paradoxalement plus favorable au responsable de traitement des données, qui pourrait choisir le droit en vertu duquel il sera jugé, qu’au citoyen, qui devrait obligatoirement s’adresser aux juridictions ou aux instances de contrôle et de régulation du pays où est établi son adversaire. Une telle dissymétrie est inacceptable, d’autant qu’elle se conjuguerait à la disproportion considérable des moyens des parties.
Il est déjà difficile, pour un simple citoyen, de déposer plainte contre un grand site mondial pour atteinte à la vie privée, violation du droit d’auteur, injure ou diffamation – de telles infractions sont constatées tous les jours –, mais s’il doit de surcroît aller plaider à l’étranger, par exemple en Irlande, il lui sera presque impossible de faire valoir son droit face à la partie adverse, dont les moyens sont en outre considérablement plus importants…
Nous ne pouvons pas accepter une telle insécurité juridique, nous ne pouvons pas accepter l’amoindrissement des garanties qui existent aujourd'hui en matière de protection des libertés dans la République française.
Les mécanismes de coordination prévus par le texte ne remédient pas à l’affaiblissement, par ce dispositif, du droit du citoyen européen à un recours effectif, exercé auprès de l’autorité qui lui est la plus accessible, en l’occurrence les tribunaux français ou la CNIL pour les citoyens français.
La proposition de résolution préparée par la commission des affaires européennes, débattue et votée par la commission des lois, invite par conséquent le Gouvernement à défendre avec fermeté l’abandon de ce critère d’attribution de compétence au profit du principe, déjà connu en droit de la consommation, de la compétence de l’autorité de l’État membre où réside le plaignant. (Applaudissements sur les travées du groupe socialiste, du groupe CRC et du groupe écologiste, ainsi que sur certaines travées du RDSE.)
M. le président. La parole est à M. le garde des sceaux.