Allez au contenu, Allez à la navigation

Séance du 17 octobre 2013 (compte rendu intégral des débats)

Mme Virginie Klès. … mais guère sur ce que font aujourd’hui les autres pays des données contenues dans notre passeport biométrique français.

Les données personnelles, sensibles, quelles sont-elles, finalement ? La perception que nous en avons dépend beaucoup de notre culture, de notre façon de vivre. Sans aller chercher chez nos amis outre-Atlantique, même en Europe, on constate que les données biométriques, qui sont considérées en France comme des données sensibles, ne le sont pas en Allemagne.

Les données biométriques sont d'ailleurs classées en France en deux catégories, selon qu’elles sont avec traces et sans traces : la distinction est-elle encore valable ? La voix n’est-elle pas devenue une donnée biométrique avec traces ? Dans un passé peu éloigné, des reconstitutions de voix ont permis d’identifier des suspects dans plusieurs affaires dont certaines avaient défrayé la chronique.

L’empreinte digitale, nous dit-on, est traçante. Or il est aujourd'hui possible de fabriquer de fausses empreintes digitales et d’en laisser partout. Par ailleurs, dans le cas de la combinaison d’une empreinte digitale et d’une empreinte morphologique interne, comme le lacis veineux d’un doigt, sommes-nous encore dans un concept d’empreinte biométrique traçante ? Ce n’est pas sûr !

Cette conception même des empreintes, traçantes et non traçantes, des données, sensibles et non sensibles, n’est-elle pas en train d’être dépassée ? Ne convient-il pas justement de se pencher sur la question ? Face aux évolutions technologiques, faut-il se contenter des classifications établies et s’en tenir aux principes initiaux ou bien ne doit-on pas aller de l’avant et même prendre les devants ?

Nos données bancaires sont-elles des données sensibles ? Mon compte en banque ne regarde que moi, a-t-on envie de répondre. Pourtant, il a été décidé ici même, voilà peu, de rendre publiques les données bancaires et patrimoniales de certains d’entre nous en tant que personnes publiques.

Par conséquent, les frontières évoluent sur ces questions de données sensibles, données privées, et ne répondent pas aux classifications simples de type oui/non, blanc/noir.

Chacun d’entre nous a-t-il bien conscience de toutes les traces qu’il laisse dès qu’il clique sur internet ? Les citoyens sont-ils bien conscients de la valeur commerciale de ces traces, qui, amalgamées, constituent des fichiers dont ils n’ont pas forcément connaissance de l’existence même ?

On a parlé du profilage, réalisé la plupart du temps à notre insu, de ces fichiers d’une grande valeur commerciale qui attisent les convoitises, y compris celle des hackers, et peuvent se trouver transférés dans d’autres mains, pour d’autres objectifs que ceux pour lesquels les données sont initialement collectées.

Mme Lipietz disait qu’il faut parfois protéger les citoyens contre eux-mêmes, contre leur gré. Dès lors, faut-il toujours recueillir l’accord des citoyens pour récolter des données ? L’accord exprès des personnes souffrant d’une addiction au jeu, par exemple, est-il nécessaire pour, de façon anonyme, leur interdire l’entrée des salles de jeu ? Dans certains cas, la protection des personnes ne prime-t-elle pas sur la nécessité de recueillir leur accord ?

Toutes ces frontières et distinctions paraissent évidentes en théorie, mais les termes du débat se révèlent plus complexes. Nous nous rejoindrons donc sur les principes, le double souci de la protection des libertés publiques et de la sécurité, mais d’autres questions appellent des réponses particulièrement complexes si l’on refuse de se laisser envahir par la technologie ou entraîner par elle, et si l’on veut, bien au contraire, la maîtriser en amont.

Comment conserver l’équilibre entre, d’une part, les avancées de la technologie et les bienfaits qu’elles peuvent nous apporter et, d’autre part, leur régulation, leur contrôle ? Les « CNIL » du monde entier ont-elles les moyens, aujourd’hui, de tout contrôler ? Les contrôles, quant à eux, doivent-ils être réalisés produit par produit ou selon des processes et des méthodes normalisées ?

Il est beaucoup question du contrôle privacy by design. Peut-être faut-il s’y rallier, mais peut-être faut-il aussi sanctionner très fortement – en tout cas plus qu’aujourd’hui – les entreprises qui ne sont pas capables de faire respecter le process qu’elles ont mis en place afin de garantir la sécurité et le respect de la vie privée.

Oui, cher Gaëtan Gorce, je suis entièrement d’accord avec vous : nous avons tous droit – tous ! – à ce morceau de vie privée qui ne concerne personne d’autre que nous. Il faut impérativement le respecter, même si l’équilibre est difficile à trouver. Certes, nous devons protéger les intérêts économiques de nos entreprises, en Europe et dans le monde, parce qu’il nous faut rester présents à l’échelle planétaire si nous voulons garder voix au chapitre, mais nous devons aussi garder le contrôle et savoir dans quelle société nous voulons vivre.

Notre débat n’apportera sans doute pas toutes les réponses - la matière est par nature trop compliquée -, mais, si nous avons pu soulever de bonnes questions, nous aurons avancé et servi la société dans laquelle nous voulons vivre. (Applaudissements sur les travées du groupe socialiste et du groupe écologiste, ainsi qu’au banc des commissions.)

M. le président. La parole est à M. Jean-Yves Leconte.

M. Jean-Yves Leconte. Monsieur le président, madame la ministre, mes chers collègues, je crois que nous aurions dû dédier ce débat à Edward Snowden, réfugié à Moscou. C’est à ce dernier que nous devons en effet des révélations sur le programme Prism qui témoignent de la capacité des autorités américaines – et de leur volonté, aussi - à surveiller une part significative des communications mondiales et des échanges de données.

M. Snowden a permis de mettre en évidence la faiblesse de toutes les protections dont nous disposons au niveau national, l’exigence d’une meilleure gouvernance mondiale sur cette question et l’obligation de chacun de ne pas être un simple consommateur, mais bien un citoyen du net, conscient de ses propres limites et de celles du net, ainsi que des risques afférents.

Cet apport significatif au débat méritait d’être salué. Avant de revenir sur ces sujets, je voudrais vous faire part de quelques chiffres, de quelques estimations : la quantité de données produite et stockée par l’homme depuis l’aube de l’humanité jusqu’en 2003 était équivalente à deux jours de production de données en 2011 ; aujourd’hui, la même quantité de données est générée en moins de dix minutes ! En dix ans, le volume de l’ensemble des données enregistrées de par le monde a été multiplié par 1 million !

Avec de tels chiffres et sachant comment les données circulent, peut-on sérieusement garantir le droit à l’oubli ? Comment éviter que les données ne circulent ou ne soient partagées sur des serveurs relevant de législations différentes ?

Dès lors qu’une personne dispose d’un accès à internet, d’une messagerie, d’une inscription dans des réseaux sociaux ou qu’elle procède à un achat sur le net, est-il possible de lui garantir le respect de son intimité, du cheminement de sa pensée, de sa correspondance, de ses identités ? Les derniers mois ont démontré que non.

Il s’agit pourtant d’un des fondements essentiels des droits de l’homme. Peut-on garantir que les données collectées, alors qu’elles peuvent avoir une valeur commerciale significative, ne seront pas valorisées, commercialisées, transmises par celui qui en est le porteur ?

Comment assurer à l’usager que la finalité de la collecte de données sera toujours respectée et que ces données ne seront pas indûment conservées ? Quelle législation appliquer lorsque l’information, les échanges, les fournisseurs, mais aussi les consommateurs, se jouent des frontières ?

Pour protéger l’individu, doit-on brider, contrôler internet, formidable outil permettant aujourd’hui à des milliards d’individus de communiquer au-delà des frontières, de se jouer des limitations des libertés que certains régimes politiques voudraient imposer ? Peut-on les suivre sur cette voie ? Cette orientation n’est pas la bonne et ne résisterait pas longtemps au progrès de la technique.

L’Internet, opportunité inouïe d’échanger et de partager des connaissances, est probablement le plus grand défi à la conception traditionnelle de la souveraineté des États et des nations. Nous devons en avoir conscience.

Nation, espace de solidarité ; nation, espace où l’on attend de l’État qu’il garantisse la sécurité des citoyens. Que ce soit en termes de données personnelles, de maîtrise des flux financiers et de la fiscalité, de délocalisation du travail, de protection du consommateur, de lutte contre la contrefaçon, internet constitue sans doute, sur tous ces aspects, un défi immense pour les États, qui doivent réinventer la manière de tenir leur rôle, non pas en multipliant le nombre de fichiers pour prétendument protéger les citoyens, mais en participant à la création d’une gouvernance mondiale, seule réponse face à cet enjeu.

Cette constatation va à l’encontre des aspirations de ceux qui prônent le repli sur soi, le recul identitaire, le refus de la globalisation comme salut face aux défis du monde. À tourner le dos à la réalité, à refuser de voir les enjeux posés par l’évolution de la technique, à se plonger dans la nostalgie, on ne rend pas service aux citoyens, on ne les protège pas : on en fait de simples sujets de la mondialisation.

Dès lors, quelles pistes proposer ?

Nous devons d’abord faire en sorte que les enjeux du numérique – ce que cela change dans la conception de la vie privée, la manière dont sont conservées et transmises les données, ce que signifie « stockage dans un nuage »… – soient compris par le plus grand nombre de citoyens.

Pour comprendre ces évolutions techniques, pour pouvoir mieux protéger, il est également important de disposer d’une avance technique. Cela passe non seulement par des investissements dans le numérique afin d’être à la pointe, mais aussi par une politique de long terme d’accueil des entreprises, de start-up, travaillant dans ce domaine. Sans compétence technique, sans capacités de stockage ou de calcul autonomes, nous ne pèserons rien quand il s’agira de défendre nos propres principes.

Un projet de règlement européen est en discussion. La position de la France, selon laquelle, lorsqu’il s’agit d’un acte entre un citoyen et une entreprise d’un pays de l’Union européenne, les autorités de type CNIL des deux pays concernés peuvent agir conjointement, doit être soutenue. En effet, ce projet ne doit pas remettre en cause les acquis obtenus par l’action de la CNIL, reconnue en France comme une institution réactive, préoccupée par la meilleure défense possible des libertés pour la protection des données et la finalité des fichiers. La CNIL rappelle ses principes utilement à chaque fois qu’une évolution législative ou réglementaire peut faire évoluer nos équilibres. Il est heureux qu’elle pilote le « groupe de l’article 29 », ou « G29 », rassemblant les autorités similaires des vingt-huit États membres.

La mise en place d’un front européen pour demander à Google de se conformer aux législations nationales relatives aux protections de données est une excellente chose. Toutefois, ces autorités expriment également des réserves sur le projet de règlement européen relatif aux données personnelles qu’il nous faut partager, qu’il s’agisse de la bonne définition des données personnelles, cela a été évoqué, de l’affirmation du droit à l’oubli, du renforcement des droits des personnes, qu’il s’agisse encore de la responsabilité de l’ensemble des opérateurs ayant à traiter des données personnelles, de l’encadrement des transferts de donnés hors de l’Union européenne ou encore de la possibilité de donner aux citoyens des droits de recours effectifs.

Madame la ministre, pouvez-vous nous indiquer quelle est la position de la France face aux réserves émises par le G29 ?

Le débat sur ces questions semble aujourd’hui se limiter à un échange entre les États-Unis et l’Union européenne, à l’asymétrie des transmissions et à l’illégitimité des traitements qui ont été faits des données transmises aux États-Unis. Je pense bien entendu au PNR, dispositif relatif aux données des passagers aériens, et à l’accord sur le suivi du financement du terrorisme. Les faits sont établis.

L’Europe doit trouver le moyen d’agir dans une relation plus équilibrée avec les États-Unis. L’objet des échanges ne doit pas être détourné. S’il y a des désaccords, l’Europe doit pouvoir parler d’une seule voix.

Madame la ministre, comment établir ce partenariat plus équitable avec nos partenaires américains ? Ne s’agit-il pas d’un préalable à la négociation sur un traité de libre-échange ?

S’il semble ne s’agir que d’un débat États-Unis - Union européenne, c’est en raison de la place des États-Unis dans l’économie mondiale et, de manière encore plus significative, dans l’économie numérique.

Cependant, cette situation ne perdurera peut-être pas. L’économie numérique mondiale sera probablement de plus en plus multipolaire, ce qui rendra sa régulation encore plus compliquée. Dans ces conditions, notre rôle est de favoriser la concentration des compétences en Europe sur cette question, de mettre en place une régulation interne permettant de peser face aux autres acteurs mondiaux.

Nous avons beaucoup critiqué les États-Unis lors de ce débat, mais nous devons aussi savoir que le mot « liberté » est inscrit dans l’ADN de cette nation, et ce quelles que soient les dérives constatées aujourd’hui. Il s’agit tout de même d’une certaine garantie. Cela pourrait ne pas être le cas plus tard, si d’autres puissances économiques émergentes devenaient, elles aussi, des puissances du numérique. Prenons-y garde, car la menace serait alors grave pour l’ensemble du monde.

Madame la ministre, comment faire de l’Europe en général, et de la France en particulier, une terre d’accueil, de développement de l’économie du numérique ? Comment mieux attirer les start-up et les entreprises face au dumping fiscal et aux crédits d’impôt offerts par certains États du Canada et des États-Unis ?

C’est en effet à cette condition d’excellence et de compétence technique et d’innovation que nous pourrons peser de tout notre poids pour la défense de notre conception de la vie privée et des valeurs que défendait Gaëtan Gorce.

Madame la ministre, mes chers collègues, c’est un enjeu fondamental pour notre démocratie que d’être à la pointe de la technique afin de bien défendre nos valeurs. (Applaudissements sur les travées du groupe socialiste et du groupe écologiste, ainsi qu’au banc des commissions.)

M. le président. La parole est à Mme la ministre déléguée.

Mme Fleur Pellerin, ministre déléguée auprès du ministre du redressement productif, chargée des petites et moyennes entreprises, de l'innovation et de l'économie numérique. Monsieur le président, mesdames, messieurs les sénateurs, je vais, dans un propos liminaire, répondre à un grand nombre des questions ayant trait à l’économie numérique en France et dans l’Union européenne. Je reviendrai ensuite plus précisément sur les questions relatives aux fichiers de police, qui relèvent davantage de mon collègue Manuel Valls.

Avant de présenter la vision que je souhaite défendre des enjeux qui se rattachent aux données personnelles dans le cadre de la politique française de l’économie numérique, il me semble important de resituer cette question des données dans le contexte d’une société et d’une économie qui deviennent dans leur ensemble numériques, comme cela a été souligné par quasiment tous les orateurs : les données, personnelles ou non, sont désormais la ressource-clé, le carburant, de cette « société de la connaissance » ou de cette « société de l’information », pour reprendre des expressions sans doute aujourd’hui quelque peu « datées », mais parlantes .

« Le numérique dévore le monde » : il a changé en profondeur notre accès à la culture, puis à l’information et bientôt à l’éducation. Il a profondément modifié des secteurs aussi traditionnels que le commerce ou la réservation hôtelière. Demain, il va changer l’économie de l’automobile, car celui qui maîtrisera les données d’une voiture pourra créer une valeur économique et une valeur d’usage pour l’assurance, l’aide à la conduite, la géolocalisation ou le confort des occupants ; Google ne s’y est d’ailleurs pas trompé.

Demain, le numérique va changer la gestion de nos réseaux urbains, je parle bien entendu des « villes intelligentes », en permettant de développer de nouveaux usages pour nos concitoyens et de nouvelles potentialités pour les collectivités territoriales.

Demain, le numérique va permettre un vrai dialogue entre nous et les acteurs de la santé et du bien-être, pour notre bénéfice, sans minimiser l’enjeu évidemment pour les comptes de la sécurité sociale.

Sur quoi repose cette transformation numérique ? Sur la capacité à traiter des grandes masses de données, à les visualiser, à les mettre en relation, à leur donner un sens, à les analyser. La capacité de notre société à maîtriser cette économie des données conditionnera des pans entiers de notre vie quotidienne, de notre économie et de notre souveraineté.

Je pense qu’il faut d’abord avoir en tête cette dynamique aujourd’hui engagée, avec ses menaces, mais aussi et surtout ses opportunités, avant d’aborder les enjeux relatifs aux données personnelles.

Permettez-moi de rappeler les trois phases de l’histoire des données personnelles.

La première phase correspond à la protection des citoyens contre la tentation de l’État de tout surveiller, de tout contrôler. La CNIL a été créée il y a trente-cinq ans. Il est normal que les débats suscités par la CNIL, ou à son propos, persistent encore dans notre société ; il s’agit d’un signe de vigilance et de vitalité démocratiques.

La deuxième phase a été celle de l’harmonisation européenne via la directive de 1995, transposée neuf ans plus tard par la France. À l’époque, le sujet semblait encore mineur, mais cette directive a déplacé le débat sur le terrain du contrôle des entreprises privées, cette fois, tout en conservant le même objet : protéger le citoyen et, in fine, limiter la collecte de données personnelles.

Nous sommes aujourd’hui dans la troisième phase : qu’on le veuille ou non, des centaines, des milliers de données sont collectées chaque jour sur chacun d’entre nous, parce qu’internet fait partie de notre quotidien, parce que nous avons des smartphones et que toutes ces machines produisent « naturellement », si j’ose dire, des données. Demain, les objets connectés envahiront notre quotidien.

La question n’est pas de savoir si cela est bien ou mal, elle est de redéfinir des règles adaptées, dans le contexte que j’ai rappelé en commençant.

Le respect des libertés publiques est toujours un enjeu, et même plus que jamais. La semaine dernière, par exemple, nous avons appris que la CNIL avait mis en demeure le CHU de Saint-Malo, car des données de santé étaient trop facilement accessibles. Ce n’est pas acceptable : personne ne doit voir ses données de santé exposées à des inconnus.

Mais ce premier enjeu se double d’un autre, majeur, de nature économique, celui-là. Il faut garder à l’esprit que le projet de règlement européen sur la protection des données, en cours de discussion à Bruxelles, a fait l’objet de 4 000 amendements, provenant, pour la plupart, des sociétés américaines du net. Elles ont bien compris l’enjeu ! Et nous ? Partiellement…

C’est – entre autres – pour répondre à cette question que je proposerai au Parlement d’adopter une loi sur la confiance et l’innovation dans l’économie numérique. Les deux termes – « confiance », « innovation » – ont leur importance.

Aujourd’hui, en Europe, nous sommes faibles pour ce qui est du numérique, car nous n’avons pas compris ce qui se jouait lors de la décennie écoulée : la transformation de toute notre société et de toute notre économie, et non pas seulement la réglementation des télécommunications ou la production de contenus culturels numériques !

Ce que nous a montré l’affaire Prism, c’est que, en l’absence d’une industrie européenne du numérique, nous ne sommes pas capables de définir des règles du jeu conformes à notre intérêt, à nos valeurs, à notre souveraineté. Que les géants du net américains travaillent en étroite collaboration avec l’État américain ne serait pas surprenant. Il ne faut pas être naïf. Ce qui est grave, c’est que nous n’avons aucune prise sur eux pour défendre nos valeurs.

La semaine dernière encore, nous avons appris que la société Google considérait que la loi Informatique et libertés ne lui était pas applicable. Or Google, je le rappelle, est utilisé par 95 % des Français pour leurs recherches sur internet ! Ce n’est pas plus acceptable. Il faut se l’avouer : nous sommes mal armés pour faire face à ces problèmes.

Aujourd’hui, notre cadre juridique est exigeant sur le fond, mais inopérant dans un certain nombre de cas. Par exemple, la Commission européenne a négocié en 2000 un accord, dit « Safe Harbor », avec les États-Unis. Depuis treize ans, cet accord permet aux entreprises américaines un accès au marché européen à des conditions moins exigeantes que celles qui s’imposent à nos propres entreprises ! Ce n’est pas normal. Disant cela, je ne suis pas inspirée par vision uniquement économiste de la société ; pour défendre nos valeurs, nous devons faire en sorte que l’ensemble des contraintes qui pèsent sur les sociétés et les entreprises européennes s’appliquent également à celles qui se considèrent en dehors de notre juridiction.

À ce sujet, j’entends que certains, des acteurs européens, surtout, proposent d’instaurer un « espace Schengen des données personnelles ». À mon sens, il faut d’abord se pencher sur la question des transferts de données hors d’Europe, afin de sécuriser les données de nos concitoyens, avant de se lancer dans des projets protectionnistes.

Le constat est lucide, mais c’est le prérequis pour définir une politique offensive en faveur du numérique. Mesdames, messieurs les sénateurs, aujourd’hui, rien n’est perdu : le numérique procède par vagues d’innovations qui redistribuent les cartes tous les quatre ou cinq ans. Nous l’avons vu à nos dépens avec la disparition des fabricants européens de téléphones mobiles. La prochaine vague d’innovation reste à la portée des acteurs européens.

C’est pourquoi il faut s’assigner une vraie ambition industrielle à l’échelle européenne ; elle prend ici tout son sens. Nous devons nous donner les moyens de reconstruire une industrie numérique européenne de rang mondial. C’est l’un des trois chantiers que le Président de la République a annoncés pour l’Europe, et c’est notre principal objectif pour le Conseil européen de la semaine prochaine.

Nous devons définir une politique numérique offensive en Europe, pour gagner les prochains cycles d’innovation. C’est notre seule véritable option : toute tentative de construire des abris anti-numériques pour défendre nos valeurs serait vouée à l’échec !

Quels sont les prochains cycles ? Vous êtes nombreux à les avoir évoqués.

Il s’agit, d’abord, des objets connectés, qui vont envahir notre quotidien, à la maison comme dans les entreprises. Ces objets vont générer un déluge de données – c’est le Big data -, qui ne prendront de valeur économique ou d’usage que parce que nous saurons les traiter.

Le traitement et le stockage des données, les services associés, seront également disponibles dans une infrastructure à distance, le « cloud », ou « nuage » en français. Les nouveaux usages vont exploser dans l’éducation, dans la santé, dans les villes intelligentes. Cette vague d’innovations est une menace, mais elle est surtout une opportunité pour toute notre économie. Elle ne pourra se déployer que si nous garantissons des réseaux de qualité et, surtout, la confiance numérique.

Vous comprenez sans doute mieux les raisons pour lesquelles nous avons besoin d’une loi équilibrée, qui repose sur deux composantes complémentaires : l’innovation et la confiance dans l’économie numérique.

Cette vision industrielle, qui doit se traduire par la création d’emplois sur notre territoire, c’est aussi celle des 34 plans pour une « nouvelle France industrielle », dont 12 ont trait au numérique et portent sur les thèmes que je viens d’évoquer.

Tout cela requiert de faire respecter des règles, nos règles, par les acteurs globaux, qu’ils soient installés en France ou non. Cela impose aussi de définir ces règles de manière qu’elles stimulent l’innovation et intègrent, dès la conception, la protection de la vie privée. En France, un grand acteur de la distribution a engagé le dialogue avec la CNIL pour préparer l’arrivée des puces sans contact, qui soulèvent de nombreuses questions sur la vie privée. C’est le type d’initiative qu’il faut encourager pour que les entreprises européennes profitent d’un réel avantage compétitif.

Pour conclure cette partie liminaire, je veux redire ici l’urgence pour notre pays et notre continent de reprendre la main dans le domaine du numérique. Nous devons le faire de manière réaliste, avec pour objectif la construction d’une société de l’innovation et de la confiance numérique.

J’identifie trois leviers d’action : une ambition pour une industrie numérique européenne et française forte et responsable ; une priorité à l’éducation au numérique – à ce titre, je soutiens le projet de faire de l’éducation au numérique la grande cause nationale pour 2014 et suis heureuse de constater que la loi sur la refondation de l’école de Vincent Peillon inclut pleinement cette dimension – ; enfin, l’adoption d’une loi sur la confiance et l’innovation dans l’économie numérique, car il faut clarifier un certain nombre de points de notre cadre juridique.

De manière plus générale, il est nécessaire d’extraire les débats des cercles d’experts : les enjeux ne sont pas seulement techniques, ils sont au cœur de notre projet politique, mesdames, messieurs les sénateurs.

Je me suis engagée à revenir sur les questions liées aux fichiers personnels et à la biométrie. Je souhaite donc vous apporter quelques précisions sur ces points, en fonction des informations dont je dispose.

Je commencerai par aborder la question des conséquences à tirer des révélations liées au programme Prism. Bien entendu, le Gouvernement partage les préoccupations de la CNIL en matière de protection des données à caractère personnel, et entend continuer d’inscrire son action dans le strict cadre de la loi Informatique et libertés. Une réponse des ministères de l’intérieur et de la défense à la présidente de la CNIL, qui a souhaité obtenir des informations sur le risque d’utilisation d’un dispositif d’interception massive par les services français, est actuellement en cours de rédaction.

J’en viens aux questions relatives à la biométrie et au PNR.

Comme l’ont fait certains États depuis plusieurs années – États-Unis, Grande-Bretagne, Canada, Australie – , ou comme d’autres envisagent de le faire à brève échéance, l’Union européenne et la France souhaitent s’appuyer sur les données API, pour Advanced Passenger Information, ainsi que sur les données PNR et leur traitement, afin de permettre aux services de police, de gendarmerie, de douanes et de renseignement de lutter plus efficacement contre le terrorisme, la criminalité grave et les atteintes aux intérêts fondamentaux de la nation, dont les auteurs, vous le savez, sont de plus en plus mobiles, et empruntent souvent la voie aérienne. C’est pourquoi, vous l’avez rappelé, monsieur Sutour, un projet de directive est actuellement à l’étude.

Concernant la France, notre architecture juridique reste limitée, notamment en matière de finalités, de données recueillies, d’espace géographique et de traitement mis en œuvre. Elle ne permet pas de répondre au projet de directive, du point de vue tant de la fonctionnalité que de l’organisation. Elle n’est pas, non plus, à la mesure de la menace. Cela est particulièrement vrai pour le crime organisé et le terrorisme.

C’est pourquoi la France souhaite se doter de cet outil supplémentaire. C’est l’objet de l’article 10 du projet de loi de programmation militaire, qui sera soumis très prochainement à votre assemblée.

Le Gouvernement a fait le choix d’un outil performant, mais il est évident que ce dernier doit également être protecteur des libertés. C’est la raison pour laquelle nous avons choisi de suivre très exactement le projet de directive en matière de garantie et de protection des données des passagers aériens : effacement des données sensibles dès leur réception, durée de conservation limitée à cinq ans, dont trois masqués, mise en place d’une « unité d’information passagers », qui sera l’interface entre la base de données et les services opérationnels, et, enfin, traçabilité des accès et des contenus.

Le ministre de l’intérieur l’a rappelé à plusieurs reprises devant votre assemblée, mesdames, messieurs les sénateurs : la menace terroriste requiert une constante adaptation de nos services de renseignement, qui doivent disposer, dans le cadre des principes républicains, des outils juridiques nécessaires. C’est dans la recherche de cet équilibre, largement éclairée par le rapport du président de la commission des lois de l’Assemblée nationale sur le renseignement, que s’inscrivent les dispositions de la loi de programmation militaire.

Le Gouvernement ne doute pas, mesdames, messieurs les sénateurs, que vos travaux permettront d’enrichir ce texte.

Mme Nathalie Goulet. C’est pour lundi prochain !