Intervention de Patrick Bloche

Je souhaite vous présenter la proposition de résolution que j'ai déposée avec mes collègues François Brottes, Jean-Marc Ayrault, Elisabeth Guigou et Jean Grellier. Les évolutions technologiques de la dernière décennie ont créé de nouvelles opportunités d'échanger et d'accéder à l'information.

Ainsi, le développement d'Internet s'est accompagné de l'explosion des réseaux sociaux. Le web est entré dans la vie quotidienne de chacun multipliant ainsi les occasions de faire apparaître ou de transmettre ses données personnelles. La vie privée des personnes – englobant leur réseau d'amis, leurs idées politiques, leur orientation sexuelle ou encore leur religion – est potentiellement visible instantanément par tous et partout via ces sites de socialisation. Pourtant, tous ne sont pas conscients qu'une telle exposition publique de soi risque d'entraîner une perte de contrôle de ses données personnelles.

Par ailleurs, les systèmes de géolocalisation ouvrent un éventail de services tout en possédant un revers qui est de rendre transparents les déplacements de chacun via son téléphone portable, son titre de transport ou de paiement ou encore par l'usage du télépéage. D'autres outils, comme la vidéoprotection ou la biométrie, se sont imposés. Ces technologies partagent un point commun : l'accroissement de la traçabilité des individus et les risques inhérents en matière de respect de la vie privée.

La protection des données personnelles constitue un véritable enjeu juridique et sociétal, mais également économique tant celles-ci sont devenues l'or noir de l'économie numérique. La gratuité des services offerts dans l'environnement en ligne a, de plus en plus souvent, pour contrepartie la collecte, l'usage et le transfert de ces données. Celles-ci font l'objet d'une commercialisation et sont utilisées afin de constituer les profils des utilisateurs-consommateurs, sans aucune information de ces derniers. L'autorégulation ne peut suffire en la matière, c'est pourquoi il convient, par des règles juridiques, de responsabiliser les entreprises.

L'objectif général ne peut être de contrer les changements fondamentaux en cours en matière de service, de communication, d'échange et d'accès à l'information, mais de les accompagner et de les sécuriser. La France, à travers notamment le travail de la CNIL, a imposé un contrôle strict de la captation, du transfert, de l'utilisation et de la conservation des données à caractère personnel. Selon leur « sensibilité », ces données font l'objet d'une protection plus ou moins forte.

L'adoption, il y a dix-sept ans, de la directive européenne 9546CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données fut l'acte fondateur de la protection de la vie privée à l'échelle communautaire. Sa modernisation semble désormais à la fois urgente et indispensable. Dans le cadre de sa prochaine révision, le Parlement français se doit de faire valoir un certain nombre de principes, valeurs et droits essentiels.

La protection de la vie privée, et plus globalement de toutes les données personnelles, doit devenir une exigence de fait et de droit au niveau national, mais aussi communautaire et international.

L'analyse que je développe ici est largement alimentée par les travaux de la mission d'information sur la révolution numérique, dont j'étais le rapporteur avec notre collègue Patrice Verchère, conduite en 2011 sous la présidence du Président Jean-Luc Warsmann. L'harmonisation des règles relatives aux données à caractère personnel au niveau de l'Union européenne doit se faire à un niveau élevé de protection.

Il est indispensable de renforcer l'information des personnes dont les données personnelles sont collectées, de s'assurer que celle-ci soit accessible de manière permanente et de permettre à ces personnes un contrôle de leurs données. Il faut, par conséquent, que soit prévue une entière transparence pour les personnes concernées quant au responsable du traitement de leurs données, à leurs destinataires notamment en cas de transfert des données vers des tiers ou vers des applications extérieures, à leur utilisation, à leur durée de conservation, à leur degré de protection ainsi qu'en matière de droit d'accès, de rectification et de suppression de celles-ci. Les propositions de la Commission européenne vont dans le bon sens.

Le consentement en connaissance de cause, préalable et explicite, des personnes dont les données personnelles sont collectées notamment sur le réseau Internet, mais aussi en matière de géolocalisation devrait être prévu.

En ce qui concerne les mineurs, il conviendrait d'imposer un haut niveau de protection par défaut ainsi que l'instauration d'obligations et d'exigences spécifiques au traitement des données personnelles des mineurs.

Toutefois, la réglementation ne suffit pas et une campagne d'information destinée à sensibiliser les citoyens, et notamment les plus jeunes, aux enjeux liés à la vie privée et à la protection des données personnelles à l'heure du numérique ainsi qu'à les informer de leurs droits, devrait être lancée sans attendre.

Il convient de soutenir la reconnaissance d'un « droit à l'oubli » notamment sur les réseaux sociaux qui serait un droit exprès et effectif à l'effacement de ses données, et non un simple droit à la désactivation de son profil, couplé à la garantie d'une procédure simple et facilement accessible, permettant d'effacer l'intégralité de ses données ou de les récupérer en vue de les réutiliser. Il conviendrait également de prévoir l'effacement par principe des données d'un profil d'utilisateur après un certain délai si aucun usage n'en est fait, l'utilisateur pouvant opter pour le non-effacement de ses données.

Un certain nombre de propositions de la Commission européenne doivent être soutenues, telles que :

- la création de labels permettant d'identifier les logiciels, applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles ;

- l'obligation, pour tout responsable de traitements de données à caractère personnel, de notifier les failles de sécurité auprès de l'autorité nationale de protection des données personnelles et des particuliers concernés par ces violations ;

- le renforcement des possibilités de coercition des autorités nationales, notamment envers les entreprises extra-européennes qui, dans le cadre de leurs activités, ciblent les consommateurs de l'Union. La règle de compétence proposée dans le règlement ainsi que le renforcement des sanctions vont dans ce sens.

Il convient de compléter la proposition de la commission européenne pour mieux protéger les résidents européens.

En premier lieu, un certain nombre d'évolutions technologiques devraient être mieux encadrées. Il conviendrait d'exclure de « l'informatique en nuage » réalisé hors de l'Union européenne les données personnelles dites « sensibles » ou comportant certains risques pour les personnes concernées, comme les données biométriques, les données génétiques, les données judiciaires, les données financières ou les données concernant des enfants. Il conviendrait de faire obligation aux responsables de traitement, et plus particulièrement aux acteurs de « l'informatique en nuage », de réaliser régulièrement des audits de sécurité.

Au-delà de la reconnaissance des principes de protection des données dès la conception et de protection des données par défaut, il convient d'encourager l'Union européenne à développer la recherche, l'innovation et le développement dans le secteur des technologies respectueuses de la vie privée dès leur conception, dites « privacy by design ». Il faut en effet doter l'Europe d'une véritable politique industrielle du numérique et lui permettre ainsi de bénéficier d'un indéniable avantage comparatif dans la compétition mondiale.

Il faudra également soutenir le développement de navigateurs Internet plus protecteurs et plus transparents en matière de ciblage publicitaire.

L'élaboration d'études d'impact sur la protection des données personnelles de certains produits développés par les entreprises préalablement à leur mise en application devrait être systématisée.

Il conviendrait également de soutenir les recommandations du G29 visant à contraindre les fournisseurs de services, après six mois de conservation, d'une part, à détruire, les références aux adresses IP des utilisateurs de ses services et, d'autre part, à anonymiser complètement ces données.

En second lieu, la place des autorités de contrôle devrait être renforcée.

Il est essentiel que les autorités nationales de protection des données ainsi que le groupe de travail G29 bénéficient de compétences idoines et de ressources suffisantes pour leur permettre de mener à bien leur tâche et garantir leur indépendance. Il convient de renforcer la coopération entre ces autorités.

Le critère de l'établissement principal au niveau communautaire devrait être combattu. Un seul droit national s'appliquerait à une entreprise établie dans plusieurs États membres et, par conséquent, une seule autorité nationale serait compétente. Un tel critère ne pourra susciter qu'une course au « moins-disant » des entreprises vers les Etats membres dans lesquels les autorités de protection sont considérées comme étant les plus souples. Une telle réforme n'est pas acceptable. Il s'agit là d'un point essentiel.

En troisième lieu, s'agissant des possibilités de recours des résidents européens, afin de permettre un droit au recours vraiment effectif, il est nécessaire de rendre possible la mise en oeuvre d'actions de groupe en matière de protection des données personnelles.

En quatrième lieu, il faut souligner la nécessité d'un encadrement strict des transferts internationaux des données à caractère personnel et s'opposer au fait que les entreprises puissent, d'elles-mêmes, évaluer la sensibilité de leurs traitements avant un transfert en dehors des cadres de protection européens.

Enfin, devant l'absence d'instrument juridique contraignant au-delà du droit de l'Union et de la convention no108 du Conseil de l'Europe, il convient d'appeler à l'adoption par les États membres de l'Union européenne et les États tiers d'une convention internationale pour la protection des personnes à l'égard du traitement des données personnelles, comme le soutient la Résolution de Madrid, adoptée par la 31e Conférence des commissaires à la protection des données et à la vie privée.

En conclusion, la proposition de règlement déposée par la Commission européenne comporte de nombreuses avancées, qui doivent être soutenues. Il fait néanmoins aller plus loin et, notamment, s'opposer au critère de l'établissement principal.