Intervention de Philippe Gosselin

La proposition de résolution que j'ai déposée comporte quelques différences avec celle de notre collègue Patrick Bloche, mais je ne suis pas en opposition avec ce qui vient d'être dit, bien entendu. Nos positions sont très proches. Je n'avais pas non plus été insensible aux travaux menés par la mission d'information sur la révolution numérique, que j'avais suivis avec beaucoup d'intérêt. La protection de la vie privée et des données personnelles de nos concitoyens représente, depuis de longues années, un enjeu majeur de politique publique dans notre pays. L'adoption de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et la création de la Commission nationale de l'informatique et des libertés (CNIL), ont fait de la France l'un des premiers pays au monde à se doter d'une législation et d'une autorité de contrôle indépendante sur ces questions.

Fort de son expérience dans ce domaine, notre pays a toujours été l'un des Etats les plus impliqués sur ces thématiques, aussi bien au sein de l'Union européenne, que sur la scène internationale. Les principes de la loi du 6 janvier 1978 ont, pour une grande part, fortement inspiré les dispositions de la directive européenne 9546CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dont l'adoption, en 1995, a constitué l'acte fondateur de la politique européenne dans ce domaine.

L'explosion d'Internet, l'émergence des réseaux sociaux, l'apparition de nouvelles technologies et de nouvelles pratiques ont considérablement transformé le monde numérique depuis l'adoption de la directive en 1995. Les données personnelles des citoyens ne sont plus seulement contenues dans des fichiers mis en place par les Etats ou les administrations, mais sont désormais traitées par différents acteurs publics et privés.

A cette nouvelle réalité s'ajoute l'internationalisation des échanges de données : les traitements de données sont désormais mondialisés et s'affranchissent des frontières traditionnelles, sans que les citoyens en soient nécessairement informés, et sans qu'ils puissent véritablement en conserver la maîtrise. Le recours, de plus en plus fréquent, à l'informatique en nuage (« cloud coumputing ») et au stockage de données personnelles « en ligne » pose également de nouvelles questions à cet égard.

C'est dans ce contexte en forte évolution que la Commission européenne a fait de la révision de ce cadre juridique européen une priorité stratégique de son action, avec pour objectif premier l'harmonisation et la simplification des règles applicables en Europe.

Elle a ainsi lancé, dès 2009, une consultation publique de l'ensemble des acteurs du secteur et a très récemment, le 25 janvier 2012, proposé une proposition de règlement pour l'ensemble des matières relevant de la directive de 1995, les questions relevant de l'ancien troisième pilier (coopération policière et judiciaire en matière pénale) faisant l'objet d'une proposition de directive.

L'Union européenne est donc à un moment charnière de sa politique de protection de la vie privée des résidents européens, et doit ainsi montrer toute sa capacité à moderniser le cadre juridique communautaire, tout en préservant sa tradition d'un haut niveau de protection des droits des citoyens et résidents européens.

L'entrée en vigueur du traité de Lisbonne, le 1er décembre 2010, a donné force contraignante à la Charte des droits fondamentaux, qui dispose en son article 8 que toute personne a droit à la protection des données à caractère personnel la concernant. Par ailleurs, le nouvel article 16 du traité sur le fonctionnement de l'Union européenne définit les règles d'adoption des textes européens permettant de garantir le droit à la protection des données personnelles.

Cette proposition est porteuse de nombreuses avancées, attendues et nécessaires. Ainsi, les citoyens se verraient reconnaître un droit à l'oubli numérique, les règles de recueil de leur consentement seraient renforcées, les correspondants informatiques et libertés seraient rendus obligatoires dans les administrations publiques et certaines entreprises, ces dernières devraient intégrer dans leurs politiques une démarche de protection des données personnelles (notion d' « accountability »), les sanctions contre les entreprises ne respectant pas les règles dans ce domaine seraient considérablement renforcées, etc. Toutes ces dispositions nouvelles, qui participeront à une meilleure transparence et à une information renforcée des citoyens quant aux traitements de leurs données personnelles, sont à saluer et favoriseront une meilleure protection des droits.

Afin d'assurer une réelle harmonisation des droits nationaux ainsi qu'une protection uniforme des droits à la vie privée et à la protection des données dans l'Union, la Commission européenne propose de réformer la directive de 1995 par un règlement, qui sera donc d'application directe et ne nécessitera pas de transposition. Un règlement est également jugé nécessaire aux acteurs économiques afin de garantir la sécurité juridique, la transparence des règles et de limiter les entraves au marché intérieur.

Le caractère massif des échanges de données à caractère personnel, l'internationalisation de ces échanges, la marchandisation des données personnelles et l'attrait commercial que suscitent les informations nominatives, les nouvelles possibilités technologiques qui permettent d'accroître les capacités de stockage et de conservation des données dans des proportions auparavant inimaginables sont autant d'éléments qui ont fait naître la revendication d'un droit à l'oubli.

Le rapporteur estime que la mise en oeuvre d'un droit général à l'oubli pourrait bien se révéler impraticable. Il souhaiterait que, dans un souci de réalisme, le droit à l'oubli soit en priorité imposé aux réseaux sociaux, car ces derniers ont fait naître ces dernières années des problématiques très spécifiques en termes de protection des données personnelles. La Commission européenne propose aussi d'instituer le droit à la portabilité des données.

Il appartiendrait au responsable du traitement de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement. Les principes de la protection des données dès la conception (« privacy by design ») et de la protection des données par défaut seraient posés. Une obligation de notification des violations des données personnelles, non seulement à l'autorité de contrôle, mais aussi aux personnes concernées, serait instituée pour tous les responsables de traitement. Les sanctions contre les entreprises pourraient atteindre, dans les cas les plus graves, au maximum, 2% du chiffre d'affaires mondial.

J'estime que l'introduction du critère de l'établissement principal du responsable de traitement pour déterminer l'autorité compétente aura des conséquences politiques et économiques considérables. Nous partageons cette préoccupation avec Patrick Bloche.

Ainsi, pour un responsable de traitement installé dans plusieurs Etats membres de l'Union européenne, seule l'autorité de protection du pays accueillant le principal établissement de ce responsable sera compétente pour l'ensemble des traitements mis en oeuvre sur le territoire communautaire. Par exemple, pour un traitement réalisé en France concernant des clients français, la CNIL ne sera pas nécessairement compétente pour traiter les plaintes de ceux-ci : sera compétente l'autorité du pays dans lequel est installé le principal établissement de ce responsable de traitement.

Cette solution aura des conséquentes politiques importantes, puisqu'elle participera à un éloignement sensible des citoyens des autorités compétentes. Comment les résidents français pourront-ils en effet comprendre, et accepter, qu'une entreprise installée sur le territoire français, traitant des données personnelles de résidents français, ne soit pas responsable devant la CNIL, mais devant l'autorité irlandaise, grecque ou suédoise ? Cette disposition ira ainsi à l'encontre de l'objectif de construction d'une Europe politique, transparente, de proximité, au fonctionnement compréhensible par tous. Elle renforcera au contraire l'image plutôt technocratique des institutions communautaires, allant à l'encontre de tous les efforts menés pour les rapprocher des citoyens européens. L'objectif doit être celui de la mise en oeuvre d'un mécanisme intelligible, permettant à chaque citoyen désireux de défendre ses droits de pouvoir le faire rapidement et facilement, auprès de l'autorité de protection de son Etat membre.

De plus, cette image technocratique sera également renforcée par le mécanisme de coopération et d'assistance mutuelle entre autorités européennes, tel qu'il est proposé par la Commission européenne, afin de compenser la perte de compétences des autorités et l'allègement des formalités préalables. Ces mécanismes, tels qu'actuellement envisagés, semblent lourds et trop limités pour garantir une information et une coopération suffisante entre les autorités. Par exemple, il n'est pas prévu clairement qu'une faille de sécurité notifiée à l'autorité de l'établissement principal et impactant les résidents d'autres Etats membres soit portée à la connaissance des autres autorités impactées. Il en est de même, en cas de consultation de l'autorité de l'établissement principal sur des traitements à risques, tels que les traitements biométriques, déployés dans toute l'Europe. Quand bien même le règlement serait un instrument permettant une plus grande harmonisation, le risque de « forum shopping » n'en serait pas moins réel : en effet, la disparité de la mise en oeuvre de la protection des données personnelles en Europe découle au moins autant des différences existant entre le droit des Etats membres que des différences d'approche retenues par les autorités de protection nationales, certaines se montrant particulièrement souples.

Au-delà des conséquences évoquées ci-dessus liées à l'introduction du critère de l'établissement principal dans le texte, cette réforme aboutirait à la concentration de pouvoirs considérables entre les mains de la Commission européenne, conduisant à encadrer très fortement le pouvoir des autorités nationales. En effet, le projet de règlement prévoit que la Commission européenne sera exclusivement compétente pour élaborer des lignes directrices en matière de protection des données personnelles et définir les modalités précises d'application des nouvelles dispositions. Le recours à la « comitologie » est excessif.

Enfin, les transferts vers les Etats tiers ne seraient pas suffisamment encadrés, notamment avec la nouvelle possibilité d'auto-évaluation par les responsables du traitement eux-mêmes.

Je souhaiterais enfin, compte tenu des travaux menés depuis le dépôt de la proposition de résolution, proposer trois amendements à la PPRE :

- au point 6, ajouter la préoccupation suivante :

« Il conviendra toutefois de s'assurer que ce droit permette aux personnes concernées d'obtenir la suppression de données mises en ligne par un tiers » ;

- au point 9, rédiger ainsi, afin de faire apparaître les préoccupations sur la situation des salariés délégués à la protection des données et sur le caractère obligatoire de la désignation, qui pourrait être contre-productif :

« Soutient la désignation de délégués à la protection des données au sein des administrations publiques et des entreprises de plus de 250 salariés. Cette disposition, particulièrement attendue par certaines autorités de protection européenne, participera assurément à une meilleure prise en compte des règles applicables dans ce domaine et à une plus grande sensibilisation des structures publiques et privées à ces questions. Toutefois, le caractère obligatoire de la désignation pourrait être contre-productif, une attention particulière devant être portée à la situation des salariés désignés délégués à la protection des données. »

- amendements de correction rédactionnelle et de précision aux paragraphes 7 et 8, ainsi qu'aux points 6, 8, 9, 12 et 14 de la proposition de résolution.

En conclusion, il conviendrait d'adopter une proposition de résolution, soulignant que l'Assemblée nationale se félicite de certaines dispositions de ce projet de règlement qui consacreront de nouveaux droits pour les citoyens, comme le droit à l'oubli, ou le droit à la portabilité des données. La proposition de résolution met également en lumière le renforcement des règles de recueil du consentement et l'augmentation conséquente des sanctions financières en cas de non-respect des dispositions légale.

Cependant, si toutes ces dispositions sont à saluer, il n'en demeure pas moins que d'autres éléments sont aujourd'hui particulièrement inquiétants et porteurs de conséquences politiques, économiques et juridiques considérables, contre lesquelles l'Assemblée nationale doit se prononcer. Notre droit d'alerte doit s'exercer avant qu'il ne soit trop tard.