COMMISSION CHARGEE DES AFFAIRES EUROPEENNES
Mardi 25 novembre 2008
Présidence de M. Pierre Lequiller,
Président de la Commission
La séance est ouverte à 16 h 15
Le Président Pierre Lequiller. La Commission chargée des affaires européennes est heureuse d'accueillir aujourd'hui M. Alex Türk, Président de la Commission nationale de l'informatique et des libertés, à la veille du Conseil des ministres « Justice et affaires intérieures », qui devrait adopter le projet de décision-cadre pour la protection des données à caractère personnel dans le domaine de la coopération policière et judiciaire en matière pénale. Deux autres textes sont en discussion : l'un sur le Passenger Name Record – PNR – européen, et l'autre sur les scanners corporels, qui a été provisoirement retiré par la Commission. Quelle est la position de la CNIL sur ces projets ? Quelles perspectives ouvrent-ils ?
C'est la première fois que je suis auditionné par votre Commission et je la remercie de m'avoir invité. Je m'exprimerai en tant que président non seulement de la CNIL mais aussi du G29, le groupe dit de l'article 29 sur la protection des données qui rassemble les vingt-sept autorités européennes homologues de la CNIL.
En préambule, une remarque incidente sur la langue, que je ne manque jamais de faire. La situation du français est plus que catastrophique. Quand j'ai commencé à fréquenter ce milieu il y a seize ans, 75 % des questions étaient traitées en français, contre 5 % à 10 % aujourd'hui. Le phénomène est encore aggravé par la prétention d'un nombre croissant de Français à parler anglais, ce qu'ils ne font pas toujours bien. Pourtant, les interprètes sont là et les auditeurs préféreraient souvent que les orateurs s'expriment dans leur langue maternelle, qu'ils maîtrisent mieux. Il faut faire un effort, sinon le français disparaîtra complètement.
La CNIL est de plus en plus impliquée dans les sujets internationaux. Son service spécialisé s'est beaucoup développé depuis quatre ans car nous devons être présents dans des domaines qui sont d'un intérêt vital.
Parmi les grands enjeux, le plus important, celui qui nous préoccupe le plus, concerne les relations entre les Etats-Unis et l'Europe en matière de transfert des données. Aujourd'hui, il n'est pratiquement plus possible de faire du commerce international sans transfert de données personnelles. Or la directive européenne de 1995 fixe des conditions à ce transfert vers des pays tiers : le responsable du traitement des données doit pouvoir démontrer que le pays destinataire offre un niveau de protection des données comparable à celui qui prévaut en Europe. C'est un immense problème car, depuis la loi de 2004, tous les jours, la CNIL doit se prononcer sur les demandes d'autorisation de transferts de données de la France vers des pays tiers. Or il n'y a guère plus de quarante à cinquante pays – dont certains très petits – qui ont un niveau de protection équivalent à celui en vigueur dans l'Union. Outre les vingt-sept Etats membres, il y a Monaco, Andorre, la Suisse, l'Australie, le Canada, la Nouvelle-Zélande, mais aussi l'Argentine, le Burkina Faso et, très bientôt, le Maroc et le Sénégal. Mais certaines grandes puissances restent rétives : la Chine, l'Inde, le Japon, la Russie, une grande partie de l'Asie, de l'Amérique latine, de l'Afrique, et, aussi, bien sûr, les Etats-Unis.
Ces derniers nous disent qu'ils n'ont pas de leçons à recevoir et que les concepts qu'ils ont développés depuis trente ans assurent une protection suffisante. Ils n'ont pourtant ni autorité indépendante de contrôle ni loi fondamentale, qui sont les deux critères fondamentaux retenus par la Commission européenne et par le G29. Les Européens doivent constater que l'écart est grand entre la vision américaine et la vision européenne : juridiquement parlant, les Etats-Unis sont dans la même situation que les autres pays qui ne remplissent pas ces deux critères. La difficulté tient à ce que nous n'arrivons pas à inventer un concept juridique qui permettrait d'harmoniser les systèmes européen et américain, pour favoriser le développement du commerce international. C'est pourtant un point décisif.
On recourt à des ersatz comme le Safe Harbor – ou sphère de sécurité –, qui s'apparente à un port virtuel dans lequel viennent s'amarrer quelques centaines d'entreprises qui acceptent de reconnaître la validité des concepts juridiques européens et adhèrent à nos principes. Cela marche plus ou moins. Le G29 vient de passer deux jours à négocier avec les autorités américaines à Bruxelles et nous en sommes sortis assez perplexes. Une autre technique réside dans les clauses contractuelles types qui permettent d'assurer les transferts de données personnelles sous l'égide de la Commission européenne. Cela aussi marche plus ou moins. Il y a encore les Binding Corporate Rules, les BCR, ou règles internes d'entreprise, qui permettent de mettre en place, à l'intérieur des grands groupes internationaux, un régime juridique qui leur est propre. Ainsi, General Electric peut décider d'instaurer dans ses filiales installées partout dans le monde un cadre juridique conforme aux principes européens. Nous travaillons d'arrache-pied pour y parvenir. Mais nous rencontrons de grandes difficultés, en particulier parce que le G29 ne dispose d'aucun moyen si ce n'est pour la traduction, et pas dans toutes les langues – ce qui est scandaleux. Il est choquant par exemple que la CNIL seule doive financer une journée de travail entre une trentaine de pays pour élaborer ces BCR qui sont indispensables pour le développement du commerce international. Chaque fois que je réclame de l'argent à certains de mes homologues en tant que président du G29, je m'entends dire que le G29 est un outil magnifique, mais qu'il n'a pas besoin d'argent ! J'espère votre soutien sur ce sujet.
C'est d'autant plus grave que les sujets délicats ne manquent pas dans les relations de l'Europe avec les Etats-Unis.
Le premier, ce sont évidemment les PNR. Par exemple, la durée de conservation des données des passagers des compagnies aériennes européennes est, à mes yeux, très excessive car elle atteint quinze ans. Autre exemple : les autorités américaines n'ont jamais pu, ou voulu, communiquer la liste des autorités américaines destinataires des données en question. Or le territoire fédéral n'abrite pas moins de 18 000 autorités susceptibles de l'être. Nous pensons aussi que les références – une trentaine – qui sont exigées des passagers vont trop loin : avec qui vous êtes allé à tel endroit, pour quel motif, ce que vous avez mangé à bord… Les autorités de contrôle européennes sont en porte-à-faux complet, car la réaction de l'exécutif européen a été de s'aligner, au lieu de limiter les prétentions américaines.
En revanche, nous avons obtenu des résultats plus tangibles dans le dossier SWIFT, ce fameux système de transfert de données bancaires. Pour lutter contre le terrorisme, dans le cadre du Patriot Act, les Etats-Unis avaient décidé d'accéder à toutes les informations qui passaient par deux centres, dont l'un se trouve en Belgique et l'autre aux USA. Nous avons constaté qu'un grand nombre de données personnelles relatives aux transactions européennes étaient contrôlées par les services de sécurité américains, sans que nous sachions qui étaient les destinataires de ces données. Nous nous sommes demandé notamment si la politique tarifaire d'EADS n'avait pas fait l'objet d'un contrôle de la part des services américains. Mais, cette fois, nous avons été entendus à la fois par les autorités françaises – le Gouvernement et le gouverneur de la Banque de France –, européennes, et même américaines. Davantage de contrôles sur place seront diligentés et un troisième centre devrait être installé en Suisse pour qu'au moins les transactions bancaires intra-européennes ne passent plus par le système américain.
Autre grave préoccupation : l'affaire du discovery (échange d'un maximum d'informations avant un procès ou pre-trial discovery). Les Etats-Unis demandent de plus en plus que les sociétés françaises, et leurs filiales implantées en France, transmettent systématiquement certaines informations les concernant pour permettre le respect du contradictoire au sens du droit américain. Autrement dit, les sociétés françaises sont obligées de communiquer des renseignements qui sont considérés, de ce côté-ci de l'Atlantique, comme confidentiels. Tant le G29 que la CNIL travaillent sur ce point, mais ils se heurtent à de très sérieux obstacles.
Le G29 est par ailleurs confronté à d'importants problèmes concernant Internet, et particulièrement les moteurs de recherche et les réseaux sociaux. Le G29 a rendu en mars dernier une recommandation qui marque des limites, notamment en ce qui concerne la durée de conservation des données acquises par les moteurs de recherche, qui sera alignée sur le droit européen, et la nécessité de requérir le consentement des intéressés pour utiliser leurs références à des fins de profilage. Aujourd'hui, ce n'est pas toujours le cas. Au départ, la société Google – qui conservait naguère les données sans limitation de durée – nous a fait savoir qu'elle avait accepté de limiter la durée de conservation à dix-huit mois. Notre recommandation, votée à l'unanimité, prévoit six mois. Finalement, Google a transigé à neuf mois. Mais, jusqu'à présent, cette entreprise refuse totalement d'appliquer le droit européen. Nous avons prévu à Bruxelles une série d'auditions des grandes sociétés telles que Google ou Microsoft, pour qu'elles répondent à nos questions. Il en sera de même avec les réseaux sociaux pour essayer d'aboutir à une recommandation avant la fin de 2009, afin d'assurer la protection des jeunes.
S'agissant du body scanner, autrement dit du système de scanner corporel dans les aéroports, il soulève avant tout le problème de savoir si la CNIL est compétente en la matière. Tous les commissaires de la CNIL, qu'ils soient de gauche ou de droite, sont choqués par de telles pratiques. Mais cela ne suffit pas et il faut étudier le système pour savoir s'il pose un problème touchant à la protection des données ; pour le moment, un doute subsiste sur notre compétence juridique. Certains de mes collègues considèrent néanmoins qu'il nous incombe de mener cette analyse, ne serait-ce que pour la communiquer au Parlement auquel, de plus en plus, la CNIL estime devoir apporter son éclairage. A plusieurs reprises, le Président du Sénat m'a dit souhaiter commander des études à la CNIL. Elle est, bien sûr, également à votre disposition pour vous fournir une assistance technique.
Un autre projet préoccupe beaucoup le G29, c'est le système Op Tag, envisagé par la Commission européenne qui a commandé une étude de 3 millions d'euros. Le but du dispositif est de rechercher les flâneurs dans les aéroports grâce à un couplage du dispositif de vidéosurveillance avec des puces RFID (Radio Frequency Identification) qui permettent de suivre les personnes à distance. L'objectif est de repérer les passagers qui arrivent en retard à l'embarquement et qui coûtent cher aux compagnies aériennes : un retard à l'envol fait perdre son tour à destination, ce qui fait consommer davantage de kérosène. Il serait donc question d'équiper tous les aéroports européens d'un tel système. Ainsi, les personnes dont le billet serait porteur d'une puce RFID seraient repérées et conduites par des vigiles à la zone d'embarquement. C'est un projet qui nous laisse perplexes, mais il est très avancé.
Je laisse à Mme Sophie Nerbonne, directrice adjointe des affaires juridiques, internationales et de l'expertise, le soin de faire le point sur la décision-cadre.
La décision-cadre relative à la protection des données a pour objectif de favoriser les échanges entre États membres des données traitées dans le cadre des activités policières et judiciaires. La CNIL a fait valoir à plusieurs reprises que ce texte présente des garanties insuffisantes au regard de la loi française informatique et libertés ou même de la directive européenne de 1995. Il convient de le compléter par des garanties portant sur la pertinence des informations transmises et leur adéquation au regard de la finalité poursuivie, la sécurisation technique des échanges et la limitation de la durée de conservation.
Le Président Pierre Lequiller. Je vous remercie d'avoir proposé de nous transmettre les études dont nous pourrions avoir besoin ; au-delà de cette réunion, une coopération suivie s'impose.
Notre Commission présente une particularité : ses membres appartiennent à une autre Commission, l'une des Commissions permanentes de l'Assemblée, comme la Commission des lois, avec laquelle je suppose que vous avez également des contacts.
J'ai déjà été auditionné par la Commission des lois et la Commission des affaires économiques.
Le problème que nous évoquons aujourd'hui n'est pas considéré à sa juste valeur. Le débat politique se polarise parfois sur des atteintes mineures à la vie privée, sans commune mesure avec ce dossier. Quand on part au Mexique par Air France, la compagnie vous demande maintenant de fournir des informations personnelles « par précaution », au cas où l'avion devrait atterrir aux Etats-Unis ! Cela devient hallucinant. Mais quel est notre poids pour pouvoir imposer notre conception face aux Etats-Unis ?
Il est très courant que des autorités ou des entreprises prennent ainsi les devants, « au cas où », y compris en France, et conservent plus de données qu'il n'est nécessaire. La loi pose pourtant un principe simple de pertinence et d'adéquation des données recueillies à la finalité poursuivie.
Le poids de nos positions dépend de vous et de nous. Nous souhaitons vous informer de nos préoccupations afin que le Parlement français pèse par rapport aux Etats-Unis, et cela vaut aussi pour les autres grands pays européens. Depuis que le G29 a durci sa position vis-à-vis de Google, cette entreprise a accepté le dialogue.
Il ne s'agit pas de considérer les Américains comme des adversaires mais de faire respecter nos droits. Les États européens ne doivent pas accepter le refus de Google de reconnaître l'applicabilité du droit européen en Europe. Notre rôle consiste à fournir des argumentaires aux pouvoirs publics sur ces sujets. Les CNIL jouent un rôle essentiel mais doivent être soutenues par les Parlements ; ce n'est pas toujours facile car ceux-ci n'ont pas toujours les mêmes opinions qu'elles.
Quand les Etats-Unis ont fixé la règle du PNR, les compagnies européennes se sont immédiatement rangées à leurs vues: elles ont ensuite dit à leurs Gouvernements qu'elles y étaient contraintes pour pouvoir continuer à développer leurs lignes transatlantiques et qu'il n'y avait aucune négociation possible. Seuls le Parlement européen et la CNIL ont déploré cette occasion manquée de négocier.
Nous sommes inquiets mais lucides et persévérants. Nous sommes prêts à faire cause commune avec vous pour que la France joue un rôle déterminant en Europe et pour que l'Europe soit ainsi capable de jouer vis-à-vis des Etats-Unis un rôle qu'aujourd'hui elle peine à jouer. À l'époque de l'affaire des PNR, la Délégation pour l'Union européenne avait conclu que la France n'avait pas le choix. Je suis d'autant plus sensible à la question qu'il m'a été donné de goûter aux délices vertigineux du scanner corporel américain, ce qui amène à s'interroger sur les notions de libertés fondamentales et de patrie des libertés…
Dans le rapport de forces entre l'Europe et les Etats-Unis, quel poids vos observations ont-elles eu ? Le projet de décision-cadre que devrait approuver le Conseil JAI en tient-il compte ? Qu'apportera cette décision-cadre à la France et à l'Europe ? S'agissant du projet de PNR européen, il semblerait que la durée de conservation, initialement fixée à cinq ans, soit ramenée à trois ans. N'est-ce pas encore un peu long ? En unissant les efforts de contrôle européens, serons-nous vraiment mieux armés pour ralentir le mouvement vers une société de surveillance totale ?
Nous restons inquiets sur les deux sujets distincts que vous évoquez : la décision-cadre relative à la protection des données dans le troisième pilier et les PNR.
La décision-cadre est en voie d'adoption et je vois mal, hélas, comment nous pourrions revenir en arrière.
S'agissant des PNR, nous voudrions concilier les exigences de la sécurité et le respect des droits individuels en établissant des durées de conservation courtes, en définissant précisément la liste des destinataires et en précisant l'usage des données. Nous étions contre le traitement américain du problème. Maintenant que l'Europe s'y met, nous espérons que ce seront des PNR à l'européenne, reflet du droit communautaire, plutôt qu'une imitation du système américain. Nous serons plus forts vis-à-vis des Américains si nous leur démontrons qu'il est possible d'assurer la sécurité du transport aérien sans aller aussi loin qu'eux.
En matière de société de surveillance, les dossiers les plus inquiétants n'ont pas trait à la problématique européenne mais au développement de la biométrie, de la géolocalisation des personnes par le biais des puces RFID et bientôt des nanotechnologies. Les avancées sont éparses et passent encore inaperçues ; mais l'addition des moteurs de recherche et des réseaux sociaux sur Internet, de la biométrie, de la géolocalisation, de la vidéosurveillance et des nanotechnologies va se traduire par une transformation profonde de notre société. Les vingt-sept « CNIL » européennes partagent ce point de vue ; la difficulté consiste à convaincre les exécutifs. Nous sommes disposés à nouer les contacts les plus étroits avec vous, en amont des décisions qu'il vous incombe de prendre. Si la CNIL, préalablement à l'examen de tout projet de loi, rédigeait un avis intégré dans une étude d'impact, le Parlement serait mieux éclairé sur certains dangers potentiels.
J'ai été agréablement surprise par votre propos concernant les scanners corporels car il nous avait été rapporté que la CNIL n'estimait pas, à première vue, que les appareils en question entrent dans son champ de compétence et n'avait pas émis de réserves sur les appareils devant être déployés à Nice. Tout ce qui porte atteinte aux libertés publiques doit être visé par le législateur. Nous souhaitons donc que le Parlement soit saisi de cette question.
Nous avons exprimé des réserves à propos de l'enregistrement d'images à partir des scanners corporels et de leur association à d'autres fichiers. Il nous a d'abord été répondu que ce n'était pas envisagé. Or nous savons aujourd'hui que les progrès techniques ouvrent toutes les possibilités. Nous aimerions travailler sur ce dossier avec vous et approfondir la question.
Nous avons pour objectif de nous saisir de la question et de l'étudier en séance plénière. J'ignore la position que prendra celle-ci mais nous ne pouvons faire l'économie de cette analyse. La CNIL est confrontée quotidiennement à des problématiques de ce type, liées à l'émergence de technologies : nous recevons des demandes, par exemple, au sujet des panneaux qui vous interpelleront bientôt directement dans le métro en vous appelant sur votre téléphone portable. Notre compétence en la matière n'est pas avérée mais nous ne pouvons pas négliger la question.
On prête à la CNIL bien des prises de positions qui ne sont pas toujours les siennes. En général c'est pour dire qu'elle est contre telle ou telle mesure. Certains font courir le bruit qu'elle serait hostile à toute lutte contre la fraude, ce qui revient à nous prendre pour des imbéciles. Nous ne sommes pas non plus opposés à toutes les interconnexions de fichiers : nous en avons déjà accepté trente, quand cela se justifiait. Et quand le Parlement a pris une décision dans ce sens, nous appliquons la loi.
Lorsque des parlementaires protestent contre l'interventionnisme de la CNIL, je leur rétorque qu'elle n'a pour compétences que celles que le Parlement lui a conférées en 2004, qu'elle ne se détermine que par rapport à des textes et qu'elle applique les lois. Par exemple, si le Parlement veut rendre possible l'établissement de fichiers positifs dans le domaine bancaire, il doit légiférer ; si le Parlement – autre exemple – souhaite aller plus loin en matière de statistiques ethniques, qu'il prenne ses responsabilités. La CNIL est une autorité administrative indépendante, pas une troisième chambre.
Le Président Pierre Lequiller. Mais elle a pour fonction d'éclairer le législateur.
Elle éclaire le législateur puis vérifie que la loi est appliquée.
Le Président Pierre Lequiller. Je vous remercie pour cette intervention très intéressante. Mme Karamanli, qui travaille sur les scanners corporels, et M. Geoffroy, qui se penche sur les PNR, sauront se rapprocher de Mme Chatain-Marcel, qui s'occupe notamment à la CNIL des relations avec le Parlement.
Sur le rapport du Président Pierre Lequiller, la Commission a examiné les textes suivants soumis à l'Assemblée nationale en application de l'article 88-4 de la Constitution.
l Point B
Ø Espace de liberté, de sécurité et de justice
- proposition de décision du Conseil relative à la conclusion, au nom de la Communauté, de la convention sur la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale (documentE 3807) ;
- projet d'accord de coopération entre Eurojust et l'ancienne République yougoslave de Macédoine (documentE 4111).
Ø Environnement
- proposition de décision du Conseil concernant la signature au nom de la Communauté européenne, du protocole relatif à la gestion intégrée des zones côtières de la Méditerranée (convention sur la protection du milieu marin et du littoral méditerranéen) (documentE 4016) ;
- Projet de règlement (CE) de la Commission portant application de la directive 200532CE du Parlement européen et du Conseil en ce qui concerne les exigences d'écoconception relatives à la consommation d'électricité en mode veille et en mode arrêt des équipements ménagers et de bureau électriques et électroniques (documentE 4087).
La Commission a approuvé ces quatre textes.
l Accords tacites de la Commission
En application de la procédure adoptée par la Commission les 23 septembre (textes antidumping) et 29 octobre 2008 (virements de crédits), celle-ci a approuvé tacitement les documents suivants :
- proposition de virement de crédits DEC412008 - Section III - Commission - Budget général - Exercice 2008 (DO) (documentE 4080) ;
- proposition de règlement du Conseil modifiant le règlement (CE) n° 7132005 du Conseil instituant un droit compensateur définitif sur les importations de certains antibiotiques à large spectre originaires de l'Inde (documentE 4095) ;
- proposition de règlement du Conseil modifiant le règlement (CE) n° 1932007 du Conseil instituant un droit compensateur définitif sur les importations de polyéthylène téréphtalate originaire de l'Inde et le règlement (CE) n° 1922007 du Conseil instituant un droit antidumping définitif sur les importations de certains types de polyéthylène téréphtalate originaires, entre autres, de l'Inde (documentE 4103).
Sur le rapport du Président Pierre Lequiller, la Commission a nommé :
- M. Guy Geoffroy, rapporteur d'information sur la proposition de décision-cadre du Conseil, relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives.
La séance est levée à dix-sept heures cinq.