M. Claude Jeannerot. Cela reviendra aussi à privilégier les contrôles a posteriori au détriment d’une démarche plus préventive.
Enfin, la troisième mesure – les intervenants qui m’ont précédé à cette tribune l’ont souligné – est le renforcement du droit à l’oubli par la possibilité d’un déréférencement par les moteurs de recherche, qui doit constituer une priorité. J’observe que la vice-présidente de la Commission européenne, lors de son audition le 21 février dernier, est restée très laconique sur ce point, et à plus forte raison lorsqu’a été évoqué le lobbying très actif, pour ne pas dire agressif, de certains moteurs de recherche afin de se soustraire à l’obligation de déréférencement. Cette obligation apparaît pourtant nécessaire dans la recherche d’un juste équilibre entre la liberté d’expression et la protection des données personnelles.
Gilles Martin-Chauffier écrivait que « notre vie privée, c’est ce dont nous avons le droit de priver les autres ». C’est à cela que nous devons aspirer en matière de mise en œuvre de droit à l’oubli, par une possibilité effective pour les citoyens de demander et d’obtenir l’effacement des données les concernant.
En conclusion – mon collègue Jean-Pierre Sueur l’a fort bien exprimé –, si cette proposition de règlement mérite d’être soutenue, l’harmonisation qui en résulte ne doit en aucun cas se faire sur le plus petit dénominateur commun. Veillons plutôt à ce qu’elle soit un progrès pour tous dans la protection des personnes. Tel est le sens de cette proposition de résolution que je voterai avec vous tous, mes chers collègues. (Applaudissements sur les travées du groupe socialiste et du groupe écologiste, ainsi que sur certaines travées du RDSE. – M. Yves Détraigne applaudit également.)
M. le président. La parole est à M. le garde des sceaux.
M. Michel Mercier, garde des sceaux, ministre de la justice et des libertés. J’ai constaté que tous les orateurs avaient exprimé des sentiments voisins. Je tiens toutefois à préciser, parce que cela a été évoqué à deux reprises, que jamais le Gouvernement n’a vendu de données personnelles issues du fichier des cartes grises. Des données liées à l’immatriculation ont pu être divulguées, mais pas les noms des personnes.
M. le président. Personne ne demande plus la parole dans la discussion générale ?…
La discussion générale est close.
La parole est à M. le président de la commission des lois.
M. Jean-Pierre Sueur, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Monsieur le président, je sollicite une suspension de séance de dix minutes afin que la commission puisse se réunir pour examiner l’unique amendement qui a été déposé.
M. le président. Le Sénat va, bien sûr, accéder à cette demande.
La séance est suspendue.
(La séance, suspendue à dix-neuf heures dix, est reprise à dix-neuf heures vingt.)
M. le président. La séance est reprise.
13
Rappel au règlement
M. le président. La parole est à M. Gaëtan Gorce, pour un rappel au règlement.
M. Gaëtan Gorce. Monsieur le président, avec mon collègue Jean-Pierre Sueur, président de la commission des lois, voilà quatre ans que nous nous battons pour obtenir la vérité sur la disparition d’un opposant politique tchadien, M. Ibni Oumar Mahamat Saleh. Les plus graves soupçons pèsent sur le gouvernement et sur le Président tchadiens. Un rapport d’une commission d’enquête, remis en août 2008, a en effet souligné les liens qui pouvaient exister entre les auteurs de ce forfait et les plus hauts responsables du gouvernement tchadien.
Le Président tchadien, Idriss Déby Itno, doit venir en France au début de la semaine prochaine. Or il se trouve que nous venons de recevoir du ministre de la justice tchadien une lettre, qui fait notamment référence à une résolution adoptée à l’unanimité par l'Assemblée nationale, reprochant aux parlementaires français leur ingérence et leurs manœuvres d’intimidation à l’égard de la justice tchadienne.
Mes chers collègues, la procédure est suffisamment inédite pour que je vous en informe. Je vous laisse à penser ce que recouvre une telle démarche.
Je tiens à appeler l’attention du Gouvernement sur ce dossier, car le Président de la République, que nous avions rencontré à l’époque, s’était engagé à faire en sorte que la vérité soit faite sur la disparition de M. Saleh. Or, quatre ans après, nous ignorons toujours ce qu’il est devenu. Une plainte a été déposée par la famille, et j’espère que le parquet de Paris pourra l’instruire ou, en tout cas, qu’il l’examinera avec la plus grande attention dans la mesure où la justice tchadienne n’a pas fait son travail.
Je veux dire ici que ni Jean-Pierre Sueur ni moi-même ne nous laisserons intimider par les manœuvres du gouvernement tchadien, qui n’a aucunement à masquer la vérité. (Applaudissements sur les travées du groupe socialiste et du groupe écologiste, ainsi que sur certaines travées du RDSE.)
M. Jean-Pierre Sueur, président de la commission des lois. Très bien !
M. le président. Mon cher collègue, je vous donne acte de votre rappel au règlement.
14
Traitement des données à caractère personnel
Suite de la discussion et adoption d'une proposition de résolution européenne
M. le président. Nous reprenons la discussion de la proposition de résolution européenne, présentée au nom de la commission des lois en application de l’article 73 quinquies du règlement, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Nous en sommes parvenus à l’examen du texte de la proposition de résolution européenne.
proposition de résolution européenne
Le Sénat,
Vu l’article 88-4 de la Constitution,
Vu l’article 2 de la Déclaration des droits de l’homme et du citoyen,
Vu le traité sur le fonctionnement de l’Union européenne, notamment son article 16,
Vu la charte des droits fondamentaux de l’Union européenne, notamment ses articles 7 et 8,
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel,
Vu la proposition de loi de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 81, 2009-2010) visant à mieux garantir le droit à la vie privée à l’heure du numérique, adoptée par le Sénat le 23 mars 2010,
Vu le rapport d’information de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 441, 2008-2009) au nom de la commission des lois du Sénat sur « La vie privée à l’heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l’information »,
Vu la proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (COM [2012] 11 final/n° E 7055) en date du 27 janvier 2012,
Approuve l’objectif poursuivi par la Commission européenne, en ce qu’elle souhaite promouvoir une approche globale de la protection des données personnelles, qui repose sur une harmonisation des règles applicables sur le territoire de l’Union européenne et dans les relations entre les États membres et les pays tiers ;
Prend acte des avancées que porte la proposition de règlement s’agissant, entre autres, de la promotion du droit à l’oubli numérique, de la consécration du principe du consentement exprès à l’utilisation des données personnelles, de l’obligation de portabilité des données personnelles, qui permettra à une personne de s’affranchir d’un responsable de traitement sans perdre l’usage de ses données, des limitations apportées aux possibilités de profilage à partir de ses données personnelles, de la présence obligatoire d’un délégué à la protection des données dans les entreprises de plus de 250 salariés ou de l’encadrement, notamment par des règles d’entreprise contraignantes, des transferts internationaux de données ;
Estime, toutefois, que ces garanties doivent être renforcées ;
En particulier ;
Appelle, s’agissant du droit à l’oubli, à ce que les obligations pesant sur les moteurs de recherche soient renforcées afin d’une part de prévoir l’effacement automatique des contenus indexés au bout d’un délai maximum, et, d’autre part, de permettre à l’intéressé d’obtenir la désindexation de ceux qui lui portent préjudice ;
Juge nécessaire qu’une solution équilibrée soit proposée pour obtenir, sur demande de l’intéressé, l’effacement des données personnelles publiées par un tiers, dans le respect de la liberté d’expression ;
Souligne la nécessité que l’adresse IP (Internet Protocol) soit traitée comme une donnée personnelle lorsqu’elle est utilisée pour identifier la personne concernée ;
Estime inopportunes les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données, s’agissant notamment des transferts ni fréquents ni massifs ;
Considère que l’obligation de désignation d’un délégué à la protection des données pourrait être étendue aux entreprises dont la principale activité est celle du traitement de données personnelles ;
Estime en outre, de manière générale, que, s’agissant d’un domaine dans lequel l’atteinte portée aux droits fondamentaux d’une personne peut être considérable et compte tenu de l’inégalité de moyens entre le responsable de traitement et l’intéressé qui lui a confié ses données personnelles, l’harmonisation proposée ne doit s’effectuer que dans le sens d’une meilleure protection des personnes ; qu’elle ne saurait, pour cette raison, priver les États membres de la possibilité d’adopter des dispositions nationales plus protectrices ;
Conteste par ailleurs le nombre important d’actes délégués et d’actes d’exécution que la proposition de règlement attribue à la compétence de la Commission européenne, alors qu’un certain nombre pourraient relever soit de dispositions législatives européennes ou nationales, soit, compte tenu de leur complexité technique, d’une procédure qui associe plus fortement les autorités de contrôle nationales, regroupées au niveau européen ;
Juge l'encadrement des pouvoirs d'investigation des autorités de contrôle nationales trop restrictif, notamment l’exigence, pour engager une enquête, d’un « motif raisonnable » de supposer qu’un responsable de traitement exerce une activité contraire aux dispositions du règlement. En effet, les formalités préalables pesant sur les responsables de traitement étant supprimées, ces investigations constituent, dans le dispositif proposé, la principale source d'information de ces autorités sur la mise en œuvre des traitements ;
S’oppose, enfin, au dispositif du « guichet unique » proposé par la Commission européenne, en ce qu’il attribue compétence pour instruire les requêtes des citoyens européens à l’autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement ;
Considère en effet, qu’il est paradoxal que le citoyen soit moins bien traité que l’entreprise responsable du traitement, en étant privé de la possibilité de voir l’ensemble de ses plaintes instruites par l’autorité de contrôle de son propre pays ;
Rappelle, à cet égard, que, lorsqu’il s’agit d’assurer la meilleure protection du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l’intéressé de s’adresser à l’autorité la plus proche de lui et auprès de laquelle il a l’habitude d’accomplir ses démarches ;
Constate que le dispositif proposé présente, en dehors de cette question de principe, de multiples inconvénients pratiques :
- risque de disproportion entre les moyens alloués à l’autorité de contrôle en considération des contentieux relatifs à ses ressortissants et l’ampleur du contentieux international qu’elle pourrait être appelée à traiter ;
- asymétrie, pour le plaignant, entre les recours administratifs, exercés auprès de l’autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ;
Relève que ni les mécanismes de cohérence ou de coordination entre les autorités, ni la possibilité offerte au plaignant d’adresser sa plainte à son autorité nationale, à charge pour celle-ci de la transmettre à l’autorité compétente, ne compensent les inconvénients du dispositif, ni le désavantage pour l’intéressé de ne pouvoir faire instruire sa demande par l’autorité de contrôle nationale ;
Demande, par conséquent, au Gouvernement de veiller, d’une part, à ce que la possibilité pour les États membres d’adopter des mesures plus protectrices des données personnelles soit préservée, et, d’autre part, à ce que le principe de la compétence de l’autorité de contrôle du pays où le responsable de traitement a son principal établissement soit abandonné au profit du maintien de la compétence de l’autorité de contrôle du pays de résidence de l’intéressé.
M. le président. L'amendement n° 1, présenté par M. Collombat, Mme Escoffier, M. Mézard et les membres du groupe du Rassemblement Démocratique et Social européen, est ainsi libellé :
Après l'alinéa 18
Insérer un alinéa ainsi rédigé :
Demande, lorsque plusieurs technologies peuvent être mises en œuvre pour l'élaboration des fichiers de données personnelles, que la plus protectrice des droits des personnes soit choisie.
La parole est à Mme Anne-Marie Escoffier.
Mme Anne-Marie Escoffier. Nous nous sommes appuyés sur les préoccupations de la commission des lois pour rédiger cet amendement. En effet, dans les conclusions figurant dans son rapport, elle souligne que « l’harmonisation proposée ne doit s’effectuer que dans le sens d’une meilleure protection des personnes », ajoutant même un peu plus loin : « En effet, pour ce qui touche aux droits les plus fondamentaux de la personne, ou à la protection du faible contre le fort, la construction européenne n’a de sens que si elle élève la protection commune, sans interdire les progrès promus par certains États membres, avant que tous les rejoignent plus tard. »
Par cet amendement, nous souhaitions donc faire en sorte que soit assurée, dans toutes les conditions, la meilleure protection. Toutefois, après avoir entendu M. le rapporteur, j’ai compris que notre amendement portait davantage sur ce que sera, demain, la directive que sur le règlement.
Aussi, si M. le garde des sceaux me confirme que notre disposition pourra être introduite dans la directive, je suis prête à retirer cet amendement.
M. le président. Quel est l’avis de la commission ?
M. Simon Sutour, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. La commission, qui vient de se réunir, a émis un avis défavorable sur cet amendement, non pas, comme je l’ai indiqué à Mme Escoffier, à cause de son contenu, mais tout simplement parce qu’il apporte un nouvel élément qui est sans lien avec les dispositions de la proposition de règlement européen. Il ressortit en effet plutôt à la proposition de directive.
La proposition de résolution que nous examinons en cette fin d’après-midi concerne la proposition de règlement européen. Je souhaite que la commission des lois et la commission des affaires européennes débattent ultérieurement d’une proposition de résolution sur la proposition de directive. Aussi, c’est dans ce cadre, que je vous invite, ma chère collègue, à déposer de nouveau cet amendement : il y trouvera alors toute sa place.
M. le président. Madame Escoffier, l'amendement n° 1 est-il maintenu ?
Mme Anne-Marie Escoffier. Non, je le retire, monsieur le président.
M. le président. Avant de mettre aux voix l’ensemble de la proposition de résolution européenne, je donne la parole à M. Yves Pozzo di Borgo, pour explication de vote.
M. Yves Pozzo di Borgo. Monsieur le président, monsieur le garde des sceaux, mes chers collègues, rappelons que l’objet de la directive de 1995, transposée en droit français par la loi du 6 août 2004, est de mettre en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne.
La nécessité de réviser cette directive ne fait aujourd’hui aucun doute – tel est l’objet de cette proposition de résolution européenne –, non seulement pour l’adapter aux technologies du XXIe siècle, au premier rang desquelles internet, mais aussi pour mieux encadrer les transferts internationaux de données personnelles et réduire les divergences entre États membres dans la mise en œuvre de cette directive.
En première analyse, il apparaît que le texte renforce les droits – portabilité, droits à l’oubli, etc. –, autant d’avancées extrêmement intéressantes. Mais, à d’autres égards, il peut susciter quelques inquiétudes.
Tout d’abord, le nouveau texte communautaire risque d’accentuer la concurrence intracommunautaire et, in fine, de diminuer le niveau de protection en matière de données personnelles.
Ensuite, il construit une gouvernance du groupe européen des autorités de protection, le G29, dans laquelle la Commission européenne retrouve énormément d’importance. Or cette forme de recentralisation de la gouvernance du G29 au niveau de la Commission ne me paraît pas en adéquation avec le monde décentralisé du numérique.
Par ailleurs, comme cela est relevé dans la proposition de résolution, la volonté de la Commission de retenir désormais le critère du « principal établissement » d’un responsable de traitement pour désigner l’autorité de protection compétente questionne le législateur national, garant des libertés individuelles. Ce critère mènerait à des situations où des atteintes à des données personnelles de nos concitoyens ne seraient plus du ressort de la Commission nationale de l’informatique et des libertés. Or la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés risque forcément d’interagir avec d’autres lois nationales – fiscales, ressources humaines, etc. L’autorité irlandaise, compétente dans un cas donné, l’appliquera-t-elle ? Rien n’est moins sûr...
En outre, ce texte communautaire pourrait avoir des conséquences économiques très préjudiciables, en favorisant les délocalisations d’entreprises vers des États dont les autorités de protection des données personnelles privilégient une approche plus souple et moins exigeante que celle qui est retenue par la France.
Soyons réalistes : pour les acteurs du numérique, cela conduirait à transférer la charge de régulation sur l’Irlande, le Royaume-Uni, voire le Luxembourg. Par effet induit, on risque d’avoir une baisse de la protection des données personnelles en Europe, alors que l’on est dans une situation internationale de très forte concurrence sur les questions de données personnelles.
Dans un contexte de dématérialisation des actes de la vie courante et de développement exponentiel des réseaux sociaux et des échanges de données personnelles de nos concitoyens, la protection de ces dernières doit être un sujet de préoccupation majeure du Gouvernement, et c’est bien au législateur national que revient le devoir de le lui rappeler à travers la proposition de résolution que nous examinons aujourd’hui.
Un haut niveau de protection en Europe constitue un avantage concurrentiel. Ce n’est justement pas le moment de baisser le niveau de protection, car c’est un facteur d’attraction pour les entreprises, qui vont bénéficier d’un niveau de protection juridique qu’elles ne rencontreront nulle part ailleurs dans le monde, et, pour les consommateurs, c’est un gage de confiance.
La réflexion sur l’avenir de la protection des données personnelles et de la vie privée en Europe ne peut pas être sacrifiée sur l’autel de l’empressement européen. C’est pourquoi, comme l’ensemble des membres du groupe de l’Union centriste et républicaine, je vais voter cette proposition de résolution qui va incontestablement dans le bon sens et qui se situe dans la continuité des travaux importants réalisés par la commission des lois du Sénat, notamment par mon collègue centriste Yves Détraigne. (Applaudissements sur les travées de l'UCR.)
M. le président. Personne ne demande plus la parole ?...
Je mets aux voix l’ensemble de la proposition de résolution européenne.
(La proposition de résolution européenne est adoptée.)
M. le président. En application de l’article 73 quinquies, alinéa 7, du règlement, la résolution que le Sénat vient d’adopter sera transmise au Gouvernement et à l’Assemblée nationale.
15
Saisines du Conseil constitutionnel
M. le président. M. le président du Conseil constitutionnel a informé le Sénat que le Conseil constitutionnel a été saisi, en application du deuxième alinéa de l’article 61 de la Constitution, le 6 mars 2012, d’une part, d’une demande d’examen de la conformité à la Constitution, par plus de soixante députés et soixante sénateurs, de la loi relative à l’organisation du service et à l’information des passagers dans les entreprises de transport aérien de passagers et à diverses dispositions dans le domaine des transports et, d’autre part, d’une demande d’examen de la conformité à la Constitution, par plus de soixante députés, de la loi de programmation pour l’exécution des peines.
Le texte des saisines du Conseil constitutionnel est disponible au bureau de la distribution.
Acte est donné de ces communications.
16
Communication du Conseil constitutionnel
M. le président. M. le président du Conseil constitutionnel a informé le Sénat, le mardi 6 mars 2012, que, en application de l’article 61-1 de la Constitution la Cour de cassation a adressé au Conseil constitutionnel une décision de renvoi d’une question prioritaire de constitutionnalité (2012-241 QPC).
Le texte de cette décision de renvoi est disponible au bureau de la distribution.
Acte est donné de cette communication.
17
Suspension des travaux en séance publique
M. le président. Monsieur le garde des sceaux, mes chers collègues, je constate que le Sénat a épuisé son ordre du jour.
Dans ces conditions, le Sénat va suspendre ses travaux en séance publique, en laissant le soin à son président de le convoquer s’il y avait nécessité.
Je vous rappelle que cette suspension ne concerne que nos travaux en séance publique.
Durant cette période, notre assemblée poursuivra les divers travaux de contrôle et de réflexion engagés au sein de nos différentes commissions, délégations ou missions d’information, travaux qui sont particulièrement substantiels, puisque quatre-vingt-dix actions de contrôle ont été décidées et se dérouleront très largement pendant la période de suspension de la séance publique.
Le programme de ces importants travaux que nous avons décidé de mener figure sur le site internet du Sénat, que je vous invite à consulter.
Personne ne demande la parole ?…
La séance est levée.
(La séance est levée à dix-neuf heures trente-cinq.)
Le Directeur du Compte rendu intégral
FRANÇOISE WIART