M. Michel Mercier, garde des sceaux, ministre de la justice et des libertés. Monsieur le président, monsieur le président de la commission des lois, monsieur le rapporteur, mesdames, messieurs les sénateurs, je pourrais me borner à dire que le Gouvernement est heureux de constater que le Sénat tout entier soutient sa position et partage ses craintes sur cette proposition de règlement européen. Il me semble néanmoins nécessaire d’expliquer les raisons pour lesquelles le projet de la Commission européenne ne nous satisfait pas.
Voilà plus de trente ans, en adoptant la loi fondatrice du 6 janvier 1978 dite « informatique et libertés », la France a été un précurseur en la matière qui nous occupe. Cette loi, qui est la pierre angulaire de la protection des citoyens face aux traitements de données à caractère personnel, a doté la France d’une autorité de contrôle : la CNIL. Elle a réglementé la manière dont sont collectées, exploitées et conservées les données personnelles par les entreprises, les administrations et les individus eux-mêmes.
Pour autant, le développement rapide des nouvelles technologies suscite de nouveaux défis de taille s’agissant de la protection des données à caractère personnel et, par conséquent, de la vie privée des individus.
Internet est un vecteur sans précédent de la liberté d’expression et de communication. Le Conseil constitutionnel lui-même a eu l’occasion, dans sa décision du 10 juin 2009, de relever « l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions ».
Vous l’avez souligné, monsieur le rapporteur, eu égard au contexte de mutation technologique rapide que nous connaissons, l’effectivité du droit au respect de la vie privée suppose d’adapter les instruments juridiques propres à garantir la protection des données à caractère personnel.
Je veux rappeler que, pleinement conscient des enjeux grandissants de cette révolution numérique, le Gouvernement s’est attaché à renforcer la protection des données personnelles.
Ainsi, les droits des personnes ont été consolidés, notamment par l’ordonnance du 24 août 2011, qui interdit d’installer sur l’équipement d’un utilisateur des logiciels qui observent sa navigation sur internet sans l’en avoir informé et sans avoir recueilli son accord. Ce texte a également imposé aux fournisseurs de communications électroniques de notifier à la CNIL l’existence d’une faille de sécurité.
De même, les moyens d’action de la CNIL ont été renforcés pour que cette autorité de contrôle puisse disposer pleinement des moyens propres à garantir l’efficacité de son action au service de la protection des données personnelles.
Le budget de la CNIL a été augmenté et ses moyens d’action juridiques accrus. La loi du 29 mars 2011 relative au Défenseur des droits a conféré à la CNIL un droit de visite inopinée dans les locaux des responsables de traitement, droit dont l’exercice est subordonné à l’autorisation préalable du juge des libertés et de la détention afin de garantir le respect des droits des intéressés.
Cette même loi autorise par ailleurs la CNIL à faire publier les sanctions qu’elle prononce, même lorsque celles-ci sont infligées à des responsables de traitement défaillants dont la mauvaise foi n’a pas été établie. Cette publicité garantit une meilleure connaissance, par le grand public et les organismes éventuellement concernés, des comportements susceptibles d’être sanctionnés par la CNIL.
Si des avancées ont donc été obtenues, il est bien évident qu’il reste encore beaucoup à faire.
Précisément, le Gouvernement est aujourd’hui engagé, avec ses partenaires européens, dans la négociation de nouveaux instruments communautaires relatifs à la protection des données personnelles.
La Commission européenne a rendu publics, le 25 janvier dernier, deux projets de texte tendant à harmoniser, sur l’ensemble du territoire de l’Union européenne, le droit applicable à la protection des données personnelles.
Le Gouvernement se félicite de cette initiative car, par définition, internet dépasse les frontières des États. C’est donc d’abord au niveau européen que doivent être redéfinis les principes applicables en la matière, pour une effectivité plus grande des droits de nos concitoyens.
La Commission européenne a proposé un projet de règlement applicable à l’ensemble des traitements de données personnelles, à l’exclusion des fichiers de police et de justice, qui font l’objet d’un projet de directive. Mme Reding, commissaire européenne, est venue elle-même vous présenter ces projets le 21 février dernier.
Alors que débute la négociation sur ces deux textes, il est d’ores et déjà possible d’identifier des évolutions positives.
Il faut ainsi saluer la volonté de la Commission européenne de rendre le droit européen véritablement opposable aux opérateurs.
Par ailleurs, le projet de règlement vise à renforcer le contrôle que les individus peuvent exercer sur leurs propres données à caractère personnel.
En outre, plusieurs dispositions, telle la consécration du principe du consentement préalable et explicite, sont de nature à assurer un renforcement des droits des personnes.
Cela étant posé, à ce stade, d’autres aspects appellent de fortes réserves de la part du Gouvernement français, réserves partagées par la commission des affaires européennes et la commission des lois du Sénat.
Tout d’abord, la Commission européenne a choisi de proposer de substituer un règlement à la directive du 24 octobre 1995 applicable au traitement des données personnelles. Nous pensons, à l’instar de nombreux autres États membres, parmi lesquels l’Allemagne, la Finlande, la Suède, la Slovénie, la Belgique, l’Estonie, l’Espagne et le Portugal, que l’harmonisation proposée au travers de ce projet de texte serait mieux mise en œuvre par le biais d’une directive détaillée, laquelle permettrait aux États membres de conserver les spécificités de leur législation nationale, qui se révèle être sur plusieurs points – je rejoins tout à fait, sur ce sujet, l’opinion de M. Sueur – plus protectrice que le projet de règlement. (M. le président de la commission des lois acquiesce.) C’est là une question de principe, sur laquelle le Gouvernement entend être ferme.
En effet, un règlement européen n’a vocation ni à fixer des règles minimales ni à déterminer un objectif à atteindre. Directement applicable dans l’ordre juridique des États membres, il exclut toute forme de compétence nationale dans le domaine qu’il traite.
En réalité, l’essentiel est que le texte européen soit suffisamment précis sur les droits et obligations des responsables de traitement et des personnes concernées. En revanche, il n’est pas nécessaire de rechercher l’uniformisation du régime juridique en la matière.
Il n’y a notamment aucune raison de penser que le régime juridique de protection des données constitue le critère décisif d’investissement d’une entreprise dans tel ou tel État membre. Si c’était le cas, nous l’aurions déjà constaté dans le cadre de la mise en œuvre de la directive n° 95/46/CE. Ainsi, le risque de « forum shopping » ne doit pas être surestimé.
En conséquence, le Gouvernement considère que remplacer une directive par un règlement n’est pas la bonne option.
Sur le fond, plusieurs points doivent retenir notre attention, afin d’empêcher que ne s’amorce un recul par rapport aux protections apportées par notre droit.
Le Gouvernement, à l’instar de ses homologues de certains États membres, comme la Finlande, l’Irlande, la Suède, l’Italie, la Slovénie, l’Autriche, l’Espagne, le Royaume-Uni et la Lituanie, ainsi que de vous-même, monsieur Sutour, déplore le recours systématique et excessif aux actes délégués et aux actes d’exécution, tant dans la proposition de règlement que dans la proposition de directive.
Certes, comme l’a précisé Mme Reding lors de son audition par la commission des lois et la commission des affaires européennes du Sénat, le recours à ces actes est lié à la nature même du projet de texte. Toutefois, nous sommes convaincus que, en de nombreuses occurrences, les précisions nécessaires pourraient être apportées par le règlement lui-même, sans qu’il soit nécessaire de déléguer à la Commission européenne le soin d’adopter par la suite de tels actes.
Le recours à une directive permettrait de confier en tout ou partie l’élaboration de cette réglementation aux parlements nationaux, afin de mieux tenir compte des spécificités nationales relatives au droit à la protection de la vie privée.
De surcroît, le critère du « principal établissement » retenu par la Commission européenne pour déterminer la compétence territoriale de l’organe de contrôle n’est pas pertinent.
En effet, comme certains d’entre vous l’ont souligné lors de l’audition de Mme Reding, de même d’ailleurs que les représentants de nombreux États membres à l’occasion des deux premières journées de travail à Bruxelles, les 23 et 24 février dernier, cette notion est peu claire et devrait être précisée. À défaut, elle risque d’être interprétée différemment selon les États membres.
En outre, la mise en œuvre de ce critère éloignerait l’autorité de protection des données compétente du citoyen concerné. Or il est d’une particulière importance que les personnes résidant en France puissent s’adresser à la CNIL pour les dommages subis de la part de responsables de traitement dont le principal établissement se situe dans un autre pays de l’Union européenne. Le renforcement de l’effectivité des droits garantis aux citoyens de l’Union européenne suppose de rendre plus facile à ces derniers l’exercice du droit de réclamation auprès des autorités chargées de la protection des données.
Par exemple, l’adoption de ce critère conduirait à ce que des citoyens français soient obligés de s’adresser à l’organisme de protection irlandais pour toute contestation relative au site internet d’une entreprise dont le principal établissement se trouverait en Irlande. Que la CNIL ne puisse pas faire prévaloir la loi française en dehors du territoire français est une chose, mais qu’on l’empêche d’intervenir lorsque la protection de la vie privée de citoyens français est en cause en est une autre. Une telle évolution n’irait clairement pas dans le bon sens : si l’on veut véritablement privilégier l’intérêt du citoyen, on ne peut pas conserver le critère du principal établissement pour déterminer quelles sont les autorités de protection des données à caractère personnel compétentes.
En outre, le Gouvernement, qui ne partage pas l’opinion exprimée par Mme Reding, regrette que, au nom d’un objectif, certes louable, de simplification de la vie des entreprises et de développement du marché intérieur, il soit prévu que les fichiers ne fassent même plus, dans un grand nombre de cas, l’objet d’une simple déclaration à la CNIL avant leur mise en œuvre. Cela reviendrait à priver la CNIL d’une source précieuse d’informations et amenuiserait sa capacité à orienter au mieux ses contrôles.
S’agissant de la création d’un droit à l’oubli numérique, le Gouvernement souhaite qu’il n’y ait aucune ambiguïté. Si ce droit n’est certes pas expressément consacré dans notre ordre juridique, la loi « informatique et libertés » a prévu des mécanismes, tels le droit d’opposition et le droit de rectification ou d’effacement des données concernant une personne, y compris sur internet.
Cette loi permet également à la CNIL, dont je rappelle que les effectifs et les moyens budgétaires ont été renforcés, de sanctionner tout responsable de traitement qui méconnaîtrait les droits d’opposition, de rectification et de suppression des citoyens sur leurs données personnelles.
Au-delà des pétitions de principe sur la proclamation d’un nouveau droit, il convient surtout de chercher à assurer l’effectivité de celui-ci dans le contexte de l’internet.
Le projet de règlement rendu public par la Commission européenne prévoit de conférer aux internautes un droit effectif à l’oubli numérique dans l’environnement en ligne, c’est-à-dire le droit à faire effacer les données les concernant s’ils retirent leur consentement et si aucun autre motif légitime ne justifie la conservation de celles-ci.
Toutefois, Mme Reding a reconnu que de nombreux experts extérieurs à la Commission européenne doutaient de l’application effective de cette disposition : selon eux, ce droit serait techniquement difficile à mettre en œuvre. C’est pourquoi le Gouvernement veillera à ce que ces dispositions, qui doivent être soutenues, n’entraînent pas, paradoxalement, un recul des droits des personnes en dehors de la sphère numérique.
Enfin, le Gouvernement est très réservé quant à l’obligation de désigner systématiquement un délégué à la protection des données au sein des structures, publiques ou privées. Nous estimons que la mise en place de tels délégués doit demeurer facultative. En effet, le succès des correspondants à la protection des données, prévus par la loi depuis 2004, repose précisément sur le caractère facultatif de leur désignation, qui seul est de nature à favoriser la diffusion de la culture de la protection des données dans un esprit de confiance. Une logique de contrainte risquerait d’être contre-productive.
En conséquence, le projet de règlement proposé par la Commission européenne devra faire l’objet de modifications importantes, afin de garantir la meilleure protection possible de nos concitoyens.
Mesdames, messieurs les sénateurs, avec le développement spectaculaire du monde numérique, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est devenue un texte fondamental pour la protection des droits de nos concitoyens. C’est en respectant l’équilibre qu’elle a établi entre la protection de la vie privée et le libre développement du traitement des données que nous ferons face au défi que représente l’essor de l’outil numérique. C’est dans cet esprit que le Gouvernement français participe activement aux travaux actuellement menés au niveau européen, auxquels les parlementaires seront bien entendu associés.
En conclusion, je voudrais dire que le Gouvernement se félicite du dépôt de cette proposition de résolution, qu’il considère comme une invitation à poursuivre sur la voie dans laquelle il s’est engagé en vue d’assurer à nos concitoyens la meilleure protection possible de leurs données personnelles, sujet particulièrement sensible à l’heure de la révolution numérique permanente. (Applaudissements.)
M. le président. La parole est à Mme Nicole Borvo Cohen-Seat.
Mme Nicole Borvo Cohen-Seat. Monsieur le président, monsieur le ministre, mes chers collègues, les possibilités techniques de collecter des données personnelles, sans que les personnes concernées en soient forcément conscientes, ne cessent de croître.
Tout au long de sa vie, tout individu est susceptible d’être fiché, et ce à son insu, par la simple mise en œuvre de moyens techniques lors de ses déplacements, connexions, consultations d’informations ou transactions.
De plus, la lutte contre l’insécurité, le terrorisme et l’immigration est devenue depuis une dizaine d’années un élément de justification commode des fichages en tout genre, au mépris des libertés individuelles et publiques, dont le respect est pourtant au cœur de la démocratie.
Nous avons eu l’occasion de dénoncer ce fait à plusieurs reprises : on assiste désormais à la mise en œuvre d’une surveillance policière doublée d’un contrôle social généralisé de la population.
Ce fichage tentaculaire touche aussi bien les acteurs de l’éducation nationale, les bénéficiaires d’allocations sociales, les consommateurs, les clients des banques et des assurances, les nationaux étrangers, les personnes placées sous main de justice ou faisant l’objet d’un suivi psychiatrique.
Dans le même temps, le développement des réseaux sociaux a favorisé la mise à disposition volontaire d’informations personnelles, mais sans que l’on puisse réellement connaître et maîtriser l’usage qui en est fait, ni décider de leur retrait ultérieur.
Ainsi, les fichiers informatiques et les traitements automatisés de données à caractère personnel qui y sont associés sont devenus de véritables outils de gestion de la société, en même temps que de formidables pourvoyeurs d’une manne financière, par la commercialisation, de manière occulte et accélérée, de ces données auprès d’entreprises désireuses de cibler leurs offres publicitaires.
L’adoption voilà dix-sept ans de la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, fut l’acte fondateur de la protection de la vie privée à l’échelle communautaire, mais la modernisation de ce texte semble désormais à la fois urgente et indispensable.
La Commission européenne a fait le choix de réviser la directive européenne de 1995 par l’intermédiaire de deux instruments juridiques distincts.
L’un d’entre eux est une directive spécifique traitant des questions relevant de l’ancien « troisième pilier » communautaire, relatif à la coopération policière et judiciaire.
On peut regretter qu’il ait été choisi d’instaurer des règles spécifiques s’agissant de la coopération policière et judiciaire en matière pénale : les mêmes dispositions devraient au contraire s’appliquer. Cela est d’autant plus nécessaire dans un contexte de multiplication des fichiers en matière policière et judicaire.
Lors de la transposition de cette directive, nous devrons donc veiller à faire en sorte que les règles applicables en matière de police et de justice ne soient pas moins protectrices que celles qui sont prévues par la proposition de règlement européen dont il est question aujourd'hui.
Cette proposition de règlement consacre de nouveaux droits pour l’ensemble des citoyens européens, tels que le droit à l’oubli ou l’encadrement des règles d’obtention du consentement, qui représentent de réelles avancées. Elle constitue un bon point de départ pour l’adoption des règles européennes sur la protection des données, permettant de faire face aux défis des technologies informatiques.
Néanmoins, notre collègue Simon Sutour a formulé quelques critiques, que nous partageons, via la proposition de résolution présentée aujourd’hui.
L’idée est non pas de critiquer l’ensemble du texte, qui apporte de véritables avancées, attendues et nécessaires, mais de mettre le doigt sur les dispositions qui posent problème et qui mériteront d’être corrigées.
Alors que les autorités de protection sont aujourd’hui compétentes pour l’ensemble des traitements réalisés sur le territoire de leur État, la proposition de règlement prévoit l’introduction du critère de l’établissement principal, donnant compétence à l’autorité du pays d’accueil de l’établissement principal du responsable de traitement. Ce système aboutira nécessairement à un éloignement considérable des citoyens des autorités de protection compétentes, sans compter qu’il risque de favoriser la pratique du « forum shopping » et de créer une concurrence entre États membres.
La proposition de règlement prévoit de conférer à la seule Commission européenne le pouvoir de déterminer et de préciser les conditions d’application concrètes, tant juridiques que techniques, des dispositions et des droits nouveaux, en lui attribuant des pouvoirs normatifs très importants et en limitant fortement le rôle des autorités nationales, pour aboutir à une centralisation des pouvoirs entre les mains de la Commission. Cela porte atteinte au principe de subsidiarité, et nous pensons qu’il serait plus efficace de répartir ce pouvoir normatif et de laisser aux autorités nationales le soin de décider certains actes.
J’en viens au droit à l’oubli. Tout comme la CNIL, nous déplorons le manque d’ambition de la Commission européenne, qui n’a pas inclus la possibilité d’obtenir le déréférencement d’une donnée à caractère personnel sur les moteurs de recherche, lesquels ne sont pas concernés par ce nouveau droit proposé par elle.
La proposition de résolution vise à pallier ces lacunes en prônant un renforcement du droit à l’oubli et des obligations pesant sur les moteurs de recherche. Il est également proposé que l’adresse IP soit traitée comme une donnée personnelle, que le règlement n’empêche pas les États membres d’adopter une législation plus protectrice ou que le citoyen puisse se tourner vers son autorité nationale compétente en cas de problème.
Ainsi, la multiplication des fichiers informatiques, l’augmentation de la durée de conservation des données qui y sont consignées, l’élargissement du public habilité à les consulter et le développement exponentiel de leurs interconnexions constituent autant d’atteintes aux libertés auxquelles il convient de mettre un terme.
Si la révision de la directive de 1995 est nécessaire, la proposition de règlement, assortie d’une proposition de directive européenne, est-elle satisfaisante ? Nous ne pouvons qu’en douter, la proposition de directive prévoyant l’instauration de mesures dérogatoires pour les fichiers les plus sensibles, relatifs aux matières policière et judiciaire.
Nous aurons l’occasion de nous exprimer sur ce sujet ultérieurement. Pour l’heure, nous sommes évidemment favorables à la proposition de résolution qui nous est présentée aujourd’hui. Elle va en effet dans le sens souhaité : celui d’un accroissement de la protection des données personnelles. (Applaudissements sur les travées du groupe CRC, du groupe socialiste et du groupe écologiste, ainsi que sur certaines travées du RDSE.)
M. le président. La parole est à Mme Anne-Marie Escoffier.
Mme Anne-Marie Escoffier. Monsieur le garde des sceaux, permettez-moi un brin de coquetterie : nous nous réjouissons de vous retrouver à ce banc une quatrième fois en moins de deux ans pour évoquer le sujet de la protection des données à caractère personnel, d’autant que le Sénat est à l’initiative de ces débats successifs sur une question que personne ne peut plus ni ne veut plus éluder.
Pourrait-on imaginer une quelconque frilosité sur ce thème du ministre de la justice et des libertés, qui est précisément garant de la liberté des citoyens, alors que l’enfermement subi, voire auto-créé, est devenu d’une banalité quotidienne ?
Nous avons été nombreux sur ces travées à signaler – un peu trop tôt probablement, c’est tout le tort des précurseurs – les dangers qui, insidieusement, menacent nos vies privées. Ces dangers sont liés, comme toujours, au progrès. Cependant, je ne disserterai pas sur le paradoxe, vieux comme le monde, des effets négatifs et parfois destructeurs du progrès.
J’évoquerai la vidéoprotection, la géolocalisation, la radio-identification, les nanotechnologies, toutes ces nouvelles techniques qui chaque jour piègent un peu plus l’homme et poussent la puissance publique à s’immiscer dans la sphère privée. En parlant de puissance publique, je ne vise pas seulement la France, l’Europe ou les États-Unis : tous les pays sont concernés, et il ne manque pas d’exemples montrant que, partout dans le monde, les États cherchent à maîtriser les nouveaux moyens d’accès aux données à caractère personnel.
Monsieur le ministre, comment ne pas dire, une fois encore, notre incompréhension devant l’attitude du Gouvernement, qui n’a pas permis à la proposition de loi cosignée par M. Détraigne et moi-même et dont M. Cointat fut le rapporteur de faire son chemin après avoir été adoptée à l’unanimité par le Sénat ? Certes, ce texte était amendable, mais il aurait pu préparer efficacement la révision de la directive européenne du 24 octobre 1995.
Nous avons été, par manque de réactivité, faute d’avoir osé être des précurseurs, rattrapés par la Commission européenne. Nous avons probablement aussi eu le tort de bousculer quelques intérêts particuliers…
La Commission européenne a pris l’initiative de refondre le cadre juridique de la directive du 24 octobre 1995. Ce cadre devait, en tout état de cause, être modifié pour tenir compte de l’évolution du contexte, mais le dispositif de la proposition de règlement européen est beaucoup moins protecteur que notre législation nationale, appliquée sous le contrôle de la CNIL.
L’Assemblée nationale a relevé les dangers de la modification proposée et a adopté une proposition de résolution européenne de M. Philippe Gosselin, qui lui a eu l’heur d’être entendu par le Gouvernement…
Avec la proposition de résolution que nous examinons aujourd’hui, le Sénat veut exprimer à son tour ses divergences d’analyse avec la Commission européenne et les préoccupations que lui inspire le projet de règlement élaboré sous l’autorité de Mme Viviane Reding, vice-présidente de la Commission européenne chargée de la justice, des droits fondamentaux et de la citoyenneté. Contrairement à elle, nous estimons que l’unification du cadre juridique européen ne doit pas avoir pour conséquence de faire reculer le niveau de protection garanti aux citoyens des États qui, à l’instar de la France, disposent d’une législation plus stricte en la matière. Cette proposition de résolution appelle donc le Gouvernement à veiller à ce que les États puissent adopter des dispositions plus protectrices que celles du règlement européen.
Nous redoutons les effets de la nouvelle gouvernance proposée, dont la mise en place affaiblirait le pouvoir de contrôle des autorités nationales et confierait la régulation des systèmes aux pays d’accueil des sièges des entreprises. L’adoption d’un tel dispositif serait un mauvais coup pour la France, qui verrait son pouvoir décisionnel affaibli, l’établissement principal des entreprises concernées étant le plus souvent installé hors de notre territoire, par exemple en Irlande ou dans des pays du nord de l’Europe. Les citoyens seraient alors privés d’un droit de recours effectif et les entreprises se trouveraient avantagées par rapport à eux, ce qui serait paradoxal au regard de l’objectif affiché du texte.
De surcroît, l’application du critère du « principal établissement » obligerait l’autorité nationale de contrôle du pays où se trouve le siège de l’entreprise à interpréter les législations d’autres États membres, dans des domaines aussi complexes que le droit du travail ou le droit de la famille.
Dans ces conditions, nous ne pouvons que nous rallier à la proposition de résolution de M. Sutour, qui tend à restaurer le pouvoir des autorités de contrôle du pays du plaignant, à compléter le régime de protection des données personnelles en permettant la désindexation de ces dernières sur les moteurs de recherche et en faisant de l’adresse IP une véritable donnée personnelle – ce point est à nos yeux tout à fait essentiel –, et enfin à renforcer les obligations pesant sur les responsables de traitement en matière de transferts internationaux de données.
Le groupe RDSE, même s’il regrette que sa proposition d’amendement visant à protéger davantage encore les droits des personnes en fonction des technologies existantes n’ait pas été retenue, apportera son plein soutien au présent texte, pour faire barrage à un dispositif dont il prédisait depuis longtemps qu’il ne serait favorable ni à la CNIL ni à la France. Nous nous réjouissons que cette proposition de résolution soit approuvée par le Gouvernement. (Applaudissements sur certaines travées du RDSE, ainsi que sur les travées du groupe écologiste et du groupe socialiste. – M. Yves Détraigne applaudit également.)
M. le président. La parole est à M. Jean Bizet.
M. Jean Bizet. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, la protection de la vie privée et des données personnelles de nos concitoyens constitue, depuis de longues années, un enjeu majeur de politique publique dans notre pays.
La France a été l’un des premiers pays au monde à se doter d’une autorité de contrôle indépendante, la CNIL ayant été créée dès 1978. Je voudrais saluer le soutien que vous avez récemment manifesté à cette instance, monsieur le ministre.
La législation communautaire qui s’est ensuite mise en place a été fortement inspirée par l’exemple français. Le socle de la législation européenne en matière de protection des données est constitué par la directive européenne du 24 octobre 1995, mais ce texte est aujourd’hui obsolète. L’apparition d’internet, l’émergence des réseaux sociaux, l’utilisation de nouvelles technologies et de nouvelles pratiques ont en effet considérablement transformé le monde numérique depuis l’adoption de cette directive, en 1995.
Les données personnelles des citoyens sont désormais traitées par différents acteurs publics et privés à l’échelon international, et non plus seulement dans un cadre national. Les 250 millions d’internautes européens utilisent de manière massive les réseaux sociaux et les moyens de stockage à distance de données. Les données à caractère personnel sont exploitées par les entreprises et précieuses pour leur activité économique.
C’est dans ce contexte en forte évolution que la Commission européenne a fait de la révision de ce cadre juridique européen une priorité stratégique de son action, l’objectif premier étant l’harmonisation et la simplification des règles applicables en Europe.
L’entrée en vigueur du traité de Lisbonne, le 1er décembre 2010, a donné force contraignante à la Charte des droits fondamentaux de l’Union européenne, dont l’article 8 dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ». Par ailleurs, le nouvel article 16 du Traité sur le fonctionnement de l’Union européenne définit les règles d’adoption des textes européens visant à garantir le droit à la protection des données personnelles. De plus, le programme de Stockholm met l’accent sur la nécessité, pour l’Union européenne, de disposer d’un régime complet de protection des données personnelles, conformément aux traités.
La Commission européenne a donc déposé une proposition de règlement tendant à remplacer la directive de 1995 et à instituer un cadre général de l’Union européenne en matière de protection des données. Elle a également élaboré une proposition de directive, en vue de la substituer à la décision-cadre de 2008 du Conseil, portant sur la protection des données traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière, ainsi que d’activités judiciaires connexes.
La proposition de résolution européenne que nous examinons aujourd’hui ne concerne que la réforme de la directive du 24 octobre 1995. Je ne reviendrai pas sur le fond, qui a déjà été parfaitement exposé par M. Sutour. Comme lui, je pense qu’il convient de prendre acte des avancées que recèle la proposition de règlement européen sur la protection des données personnelles, même si des améliorations peuvent y être apportées. À mon avis, il reste encore beaucoup à faire.
La commission des lois, rejointe par la commission des affaires européennes, estime que le dispositif proposé soulève deux questions, sur lesquelles elle souhaite attirer l’attention du Gouvernement : quelle marge de manœuvre doit être laissée au législateur national pour adopter des mesures plus protectrices que le règlement européen ? Quelle sera l’autorité de contrôle compétente pour assurer le respect des droits des ressortissants d’un État membre ?
Nous ne pouvons que faire nôtres ces deux préoccupations. On ne saurait raisonnablement priver les États membres de la possibilité d’adopter des dispositions nationales plus protectrices des droits individuels que celles du règlement européen. L’harmonisation proposée ne peut se faire par le bas, si j’ose dire : elle doit aller dans le sens d’une meilleure protection des personnes.
M. Jean-Pierre Sueur, président de la commission des lois. Absolument !
M. Jean Bizet. Par ailleurs, la Commission européenne a choisi de remplacer la directive du 24 octobre 1995 par un règlement sur le traitement des données personnelles. On peut s’interroger sur l’opportunité de recourir à un texte d’application directe alors que la législation française, la plus ancienne en la matière des pays de l’Union européenne, est bien souvent plus protectrice que celles de nos partenaires.
En outre – ce point a été parfaitement développé par la commission des affaires européennes –, nous regrettons que la proposition de règlement comporte de très nombreux renvois à des actes délégués ou à des actes d’exécution de la Commission européenne pour préciser les modalités d’application du règlement. Ce renvoi massif à la législation déléguée dans un tel domaine nous paraît très critiquable. Cela montre qu’il est nécessaire d’apporter des précisions au projet de règlement, voire d’introduire des garanties nouvelles. Il serait préférable que certaines questions soient réglées directement par le législateur européen, par exemple la définition des modalités de l’exercice du droit à l’oubli numérique. À cet égard, le droit à l’oubli numérique doit avant tout être effectif, et non pas simplement consacré. Il me semble que, sur ce point, le Gouvernement peut jouer un rôle important. Lors de l’audition de Mme Reding, je n’ai pas senti une volonté très ferme de sa part sur cette question. Je me suis d’ailleurs permis de lui adresser un courrier dans les jours qui ont suivi. En tout état de cause, j’attends beaucoup de la présente proposition de résolution, qui invite le Gouvernement à faire preuve d’initiative sur le sujet.
J’en viens maintenant au dispositif du « guichet unique ». L’attention de la CNIL s’est particulièrement focalisée sur ce point, non sans raison à mon avis. Le dispositif prévu par le projet de règlement européen attribue la compétence pour instruire les requêtes des citoyens européens à l’autorité de contrôle du pays dans lequel le responsable de traitement en cause a installé son principal établissement. Cela soulève un problème important, car il y a de fortes probabilités que le citoyen plaignant soit renvoyé à l’autorité de contrôle d’un autre pays. Paradoxalement, il serait donc moins bien traité que le responsable de traitement, qui aurait, lui, un interlocuteur unique.
Les aménagements prévus par la Commission européenne ne nous paraissent pas suffisants. À nos yeux, il est important de garantir à nos concitoyens une gestion de proximité de leur plainte. Retenir la compétence de l’autorité de l’État membre où réside le plaignant me semble donc une bonne solution. Je sais, monsieur le garde des sceaux, que vous avez déclaré ici même votre opposition de principe au critère du « principal établissement ». Il n’est en effet pas normal que la CNIL soit écartée ou empêchée d’intervenir au nom de l’harmonisation européenne, alors même que la protection de la vie privée de citoyens français est en cause.
Enfin, je voudrais évoquer brièvement l’encadrement des pouvoirs d’investigation des autorités de contrôle nationales, que j’estime beaucoup trop restrictif. La référence à un « motif raisonnable » ne me convient pas compte tenu de la suppression des formalités préalables pesant sur les responsables de traitement. On peut considérer que ces investigations constituent la principale source d’information des autorités nationales sur la mise en œuvre des traitements.
En conclusion, la proposition de résolution européenne adoptée par la commission des lois reconnaît clairement que la proposition de règlement est porteuse de nombreuses avancées, attendues et nécessaires. La protection de la vie privée des citoyens est une question essentielle, et il est majeur de la garantir à l’heure du numérique.
À ce sujet, je tiens à souligner que le Gouvernement a déjà fait beaucoup de choses. Je pense notamment au renforcement considérable des moyens de la CNIL, comme je l’ai déjà dit en préambule. Reste que c’est essentiellement à l’échelon européen que la bataille pour la protection des données personnelles se situe. C’est la bataille pour le respect de la vie privée de chacun, mais cette bataille ne peut pas écarter les instances et les procédures nationales, surtout lorsque ces dernières ont une antériorité, une expérience et une vraie compétence.
Vous l’aurez compris, mes chers collègues, les préoccupations évoquées sont unanimement partagées dans nos rangs. Le groupe de l’UMP votera donc cette proposition de résolution sans aucune retenue. J’aurais souhaité que l’ensemble de nos collègues socialistes, communistes et écologistes, qui ont voté contre le projet de loi autorisant la ratification du traité instituant le Mécanisme européen de stabilité ou qui se sont abstenus sur ce texte – à l’exception d’André Gattolin et de Leila Aïchi –,…
M. Jean-Vincent Placé. Collusion ! (Sourires.)
M. Jean Bizet. … fassent preuve d’un peu plus de hauteur de vue dans la défense des intérêts de nos concitoyens et de notre pays. Puissiez-vous, mes chers collègues, vous en souvenir ! (Applaudissements sur les travées de l'UMP et de l'UCR.)
M. Jean-Pierre Sueur, président de la commission des lois. Conclusion un peu tirée par les cheveux !
M. le président. La parole est à M. André Gattolin.