Jeudi 8 mars 2018

- Présidence de M. Jean Bizet, président, et de Mme Élisabeth Lamure, présidente de la délégation aux entreprises -

La réunion est ouverte à 9 h 05.

Économie, finances et fiscalité - Consultation des entreprises sur les sur-transpositions des normes européennes : communication de M. Jean Bizet et Mme Élisabeth Lamure, en commun avec la délégation aux entreprises

M. Jean Bizet, président. - Bienvenue aux membres de la commission des affaires européennes et de la délégation aux entreprises. Je me réjouis que nous ayons mis au point une plateforme de consultation des entreprises sur la sur-transposition des normes européennes. Nous sommes au coeur de l'actualité et de notre mission première de parlementaires pour développer un environnement favorable aux chefs d'entreprises, créateurs de richesse.

La sur-transposition des textes européens en droit français est une préoccupation constante de nos entreprises, qu'elle place dans une position concurrentielle parfois défavorable. Le Gouvernement a indiqué vouloir cantonner strictement ces mesures. La délégation aux entreprises et la commission des affaires européennes ont saisi l'occasion offerte par le projet de loi pour un État au service d'une société de confiance (Essoc), dont deux articles reviennent sur deux ensembles de sur-transpositions, pour lancer une consultation en ligne auprès des entreprises afin d'identifier précisément les obligations qui pèsent sur elles et constituent, en tout ou partie, une sur-transposition du droit européen. Au-delà, cette consultation nourrira la vigilance que le Sénat entend exercer sur ce sujet.

Avec quelques années de recul, il apparaît que la France a souvent été très absente en amont de l'écriture des livres verts ou des livres blancs européens et a laissé s'écrire les directives, voire les règlements. Lorsqu'elle en prenait conscience, pour se rattraper, elle donnait libre cours à sa créativité en faisant de la sur-transposition. Nous étions alors à contre-courant du monde anglo-saxon.

Plus de trente entreprises ou fédérations professionnelles nous ont répondu, de la TPE au MEDEF. Plusieurs domaines sont concernés : l'information des consommateurs, les obligations en matière d'environnement et de santé, les règles applicables aux marchés publics, les normes en matière de santé et de sécurité au travail, de sécurité alimentaire, ou la gestion des entreprises.

Pour les obligations environnementales, qui font l'objet de sur-transpositions patentes, le projet de loi ESSOC allège les modalités de consultation publique concernant de nouvelles installations ou la modification ou l'extension d'activités, installations, ouvrages ou travaux existants.

Avec les consultations publiques, les évaluations environnementales et les études d'impact sont au coeur des cas de sur-transposition relevés par les entreprises. Le droit français génère un alourdissement de la charge administrative et un allongement des procédures, notamment dans le domaine énergétique. Plusieurs participants ont également relevé que c'était aux entreprises de décrire les incidences de l'installation ou de l'aménagement sur l'environnement quand le droit européen confie cette charge aux États.

La notion même de projet diffère entre le droit européen et le droit français. Le code de l'environnement retient une interprétation plus large que celles de la directive et de la jurisprudence européenne, qui conduit à mettre en avant des projets globaux et donc une procédure d'évaluation lourde. Nous avons tous, dans le secteur agricole, des exemples d'études d'impact environnemental longues et lourdes financièrement. En matière de raccordement à des flux d'énergies renouvelables, le droit national impose l'actualisation des études d'impact lorsque les incidences sur l'environnement n'ont pu être complètement appréciées avant l'octroi de l'autorisation. Le droit européen ne prévoit pas une telle actualisation. De même pour les exigences en matière d'évaluation environnementale en cas de modification ou d'extension de projets, là encore en décalage avec le droit européen.

Ces quelques exemples ne doivent pas conduire à juger tout écart avec la norme européenne comme autant de sur-transpositions. La question du seuil d'enclenchement des études d'impact a ainsi été soulevée. Les seuils français d'enclenchement de ces études sont jugés trop bas, mais le droit européen laisse une marge d'appréciation aux États membres.

Des contraintes résultant de sur-transpositions dans le domaine environnemental peuvent également avoir des incidences sur la compétitivité d'une filière. Sauf exception, le droit européen exclut des opérations de traitement de déchets les sous-produits animaux et produits dérivés non destinés à la consommation humaine. Le droit national ne reprend pas cette exclusion, ce qui place la filière française de transformation des sous-produits animaux dans une forme d'insécurité juridique et la fragilise vis-à-vis de ses concurrents européens, au moment d'une possible conclusion de l'accord avec le Mercosur. La filière viande rouge est potentiellement la plus impactée. Cette mesure de sur-transposition dans les abattoirs n'allège pas les coûts d'abattage de la filière française.

Dans le domaine de la santé, les représentants de l'industrie des technologies médicales ont particulièrement attiré notre attention sur les obstacles à la recherche clinique résultant de la sur-transposition des directives européennes. Là encore, celle-ci n'est pas sans incidence sur la compétitivité de la filière et l'emploi en son sein.

En droit européen, le régime d'autorisation de la recherche clinique porte ainsi exclusivement sur les dispositifs médicaux non marqués CE. Un produit marqué CE, utilisé dans ses indications, ne peut donc pas relever d'un régime d'autorisation de recherche. En France, la recherche sur un tel produit relève à la fois d'une procédure d'autorisation et d'un avis du comité d'éthique. En droit européen, les États membres peuvent autoriser les fabricants à entamer les investigations cliniques sur les dispositifs médicaux non marqués CE immédiatement après l'accord du comité d'éthique. La France impose un délai de 55 jours pour l'autorisation. Les règles françaises en cas d'incidents liés à la mise en oeuvre d'investigations cliniques diffèrent des dispositions européennes. Quant à l'obligation de déclaration à l'Agence nationale de sécurité des médicaments de certains dispositifs médicaux préalablement à leur mise en service sur le territoire, elle n'est pas prévue par la directive.

Les industriels du secteur sont vigilants sur l'entrée en vigueur en 2020 d'un règlement adopté en 2017 qui devrait rendre caduques un certain nombre des dispositions du code de la santé publique, notamment en matière de publicité des dispositifs médicaux, alors que la France interdit ou encadre fortement le contenu de ces publicités.

Deux cas supposés de sur-transposition relevés appellent des réserves. L'un concerne les paquets de cigarettes et l'autre la mention du débit d'absorption spécifique, qui quantifie les ondes auxquelles nous sommes exposés en utilisant notre téléphone mobile. Les mesures adoptées par la France se justifient par un impératif de santé publique, la Commission laissant en la matière une marge de libre appréciation aux États membres.

Les mentions obligatoires qu'impose le code de la consommation sur la publicité et l'information des consommateurs en matière de crédit immobilier et de crédit à la consommation, qui s'ajoutent à celles que prévoient les directives, sont particulièrement nombreuses. Or leur accumulation est susceptible de produire l'effet inverse de celui recherché et crée des difficultés opérationnelles pour les annonceurs, agences ou média.

Sont ainsi relevées : la mention obligatoire, dans la publicité pour un crédit immobilier, du délai de rétractation et du droit à remboursement des sommes versées au titre de la promesse de vente en cas de non obtention du prêt, alors que cette information figure dans l'information précontractuelle et contractuelle ; trois mentions obligatoires sur le coût du crédit à la consommation, alors que la directive n'en prévoit aucune ; ou encore l'obligation d'indiquer la qualité, l'adresse et le numéro d'immatriculation de l'annonceur en publicité, également non prévue par la directive.

Pour autant, le bienfondé de l'adjonction de certaines mentions obligatoires n'est pas contesté, comme l'information sur l'amortissement minimum du capital dans chaque échéance, dans la mesure où l'amortissement du capital restant dû est une spécificité française, ou encore, les informations sur les crédits renouvelables en cas de découvert de compte. La fiche de dialogue pour l'évaluation de la solvabilité de l'emprunteur permet de formaliser le dialogue, mais elle s'ajoute à l'obligation prévue par la directive d'évaluer cette solvabilité.

Des mentions obligatoires sont également ajoutées à celles que requiert le cadre harmonisé européen en matière d'information précontractuelle en matière de crédit à la consommation ou de vente à distance de services financiers. Quant à la vente de contrats d'assurance, la directive de 2016 prévoit la fourniture d'un document normalisé de deux pages contenant les informations essentielles sur le contrat, mais le code des assurances a pourtant maintenu l'obligation de remettre trois autres documents largement redondants, ce qui dilue l'information du consommateur.

En outre, les mesures de sur-transposition applicables aux marchés publics sont abondamment dénoncées : elles génèrent des charges administratives supplémentaires pour les entreprises et emportent un risque de divulgation d'informations commerciales confidentielles - ainsi l'obligation, non prévue par la directive de 2014, de mettre à disposition, sous un format réutilisable, les données essentielles du marché, y compris le montant et les principales conditions.

La rigidité du cadre français qui ajoute aux directives est soulignée. Vous en trouverez des exemples dans la synthèse qui sera élaborée. On peut citer la prohibition des offres variables selon le nombre de lots susceptibles d'être obtenus ou l'obligation d'allotissement, simple faculté dans la directive. A priori favorable aux PME, celle-ci apparaît mal adaptée aux économies d'échelle susceptibles d'abaisser les coûts de certains projets. Le critère unique du prix est limité par le décret aux seuls marchés de services et de fournitures alors que la directive de 2014 permet de lui donner une portée plus large et qu'il pourrait être pertinent, par exemple, pour certains marchés de travaux, en fonction de l'appréciation de l'acheteur. Quant aux points susceptibles d'être négociés avec les soumissionnaires, là encore ils sont beaucoup plus limités que ce que prévoit la directive.

L'inclusion dans les marchés publics de services juridiques de la représentation et du conseil d'un client dans le cadre d'un arbitrage ou d'une procédure juridictionnelle ou administrative, que n'impose pas le droit européen, apparaît également malvenue en raison du fort intuitu personae attaché à ce type de service.

Dans le secteur de la défense, pour répondre à la réactivité extrêmement forte de Daech en matière d'élaboration d'armes et de drones, l'armée française est obligée de lancer une procédure d'appels d'offre assez longue... Elle intervient alors avec retard. Prenons garde à des points ponctuels ou à des domaines que nous n'aurions pas envisagés. La directive européenne était parfaite, mais nous l'avons sur-transposée, handicapant les procédures d'appel d'offres. Notre rôle est donc essentiel au travers de cette plateforme.

Selon nos interlocuteurs, certaines obligations prévues par des directives sont étendues à des entreprises qu'elles ne visent pas, comme l'obligation de nommer un commissaire aux comptes à toutes les sociétés anonymes, quelle que soit leur taille, ou l'application aux mutuelles de santé du régime administratif, prudentiel et comptable des organismes d'assurance et de réassurance prévu par la directive de 2009 - alors qu'il s'agit d'organismes de prévoyance et de secours que la directive exclut expressément de son champ d'application.

Après cette réunion commune, la commission des affaires européennes débattra de deux textes sur la protection des données personnelles et sur les services de paiement. La conférence des présidents nous a confié, il y a un mois, la mission d'être extrêmement attentifs à la sur-transposition. Il ne faut pas sur-transposer les textes européens, car cela fragilise et handicape nos entreprises.

Mme Élisabeth Lamure, présidente. - Je complèterai le bilan de Jean Bizet en me focalisant sur les domaines qui recouvrent ceux que nous signalent le plus souvent les entreprises que nous rencontrons lors de nos déplacements de terrain : les normes industrielles, les normes en matière de santé et sécurité au travail, le code du travail, les obligations en matière de sécurité alimentaire... Les normes évoquées sont très diverses. Je vous en présenterai quelques-unes, reprises plusieurs fois dans le cadre de la consultation.

La consultation révèle une multitude de normes industrielles relevant de sur-transpositions handicapantes pour la compétitivité de nos entreprises, qui concernent notamment les activités de traitement de surfaces de métaux ou de matières plastiques par des procédés industriels chimiques ou électrolytiques : la règlementation européenne impose l'obtention d'un permis d'exploiter et le respect de conditions de fonctionnement pour certaines catégories d'activités de traitement de surface dépassant des seuils quantitatifs, à partir de 30 mètres cube. Le seuil français est lui fixé à 1,5 mètre cube. Il est accompagné de restrictions dans les moyens accordés aux entreprises pour le respecter.

À compter du 1er janvier 2018, tout nouvel équipement terminal radioélectrique destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPV6. Or, la directive européenne relative à l'harmonisation des législations des États membres n'impose pas ce type de contraintes. Des équipements non dotés du protocole IPV6 entrent donc sur le marché européen, en concurrence déloyale avec les produits français.

Les cas de sur-transpositions dans les domaines de la santé et de la sécurité au travail sont particulièrement familiers aux membres de la Délégation aux entreprises - ils nous sont régulièrement rappelés par les entrepreneurs que nous rencontrons. C'est ainsi que la question des valeurs limites d'exposition professionnelle (VLEP) a encore une fois émergé dans le cadre de la consultation.

La directive européenne définit une valeur limite d'exposition aux poussières de bois durs de 3 milligrammes par mètre cube jusqu'en 2023, puis de 2 milligrammes. Or la législation française fixe cette valeur à 1 milligramme. La mise aux normes françaises demande aux industries du bois un investissement lourd dans les machines-outils et la mise en oeuvre de ces normes très strictes implique une forte consommation électrique par ces machines.

La directive européenne fixe la valeur limite d'exposition au chrome hexavalent ou chrome 6 à 50 microgrammes par mètre cube, ou de 10 à 25 microgrammes selon les formes de chrome hexavalent concernées. Ce plafond a été divisé par 50 en France depuis trois ans et abaissé à un microgramme en 2014 - ce qui constitue la marge d'erreur. Il s'agit du seuil le plus bas parmi les pays industrialisés. Des pays européens comme l'Allemagne, la Suède et l'Espagne ont de leur côté fixé ce seuil à 5 microgrammes. La mise en conformité imposée aux entreprises françaises représente là encore un très lourd investissement pour nos entreprises.

Sur la VLEP au styrène, aucun des textes européens encadrant la protection des travailleurs exposés aux substances chimiques ne classe le styrène comme substance dangereuse pour la santé des travailleurs. En France, c'est par un décret de 2016 que cette limite est fixée. Nos entreprises doivent donc réaliser des investissements de mise en conformité très onéreux représentant un surcoût non négligeable et récurrent que n'ont pas à supporter nos concurrents européens.

Certaines dispositions du code du travail relèvent également de sur-transpositions du droit européen, malgré les efforts récemment entrepris dans ce domaine. Ainsi, une règlementation française plus stricte concernant les temps de travail et de repos hebdomadaires pénalise les entreprises françaises dans le domaine du transport routier de voyageurs pour le tourisme, alors même qu'elles présentent des garanties de sécurité supérieures à leurs concurrentes européennes. Diverses règlementations de sécurité des machines sont également plus strictes.

La sécurité alimentaire est fondamentale, en particulier dans le contexte sanitaire que nous connaissons. Mais il existe une différence entre prudence et excès de prudence. Les normes françaises sont parfois excessivement strictes pour un gain en termes de sécurité sanitaire qui fait débat, si l'on en croit les résultats obtenus dans les pays voisins, qui assurent une sécurité alimentaire comparable sans perte de compétitivité.

Dans la règlementation européenne, la déclaration de conformité existe uniquement pour les plastiques en contact alimentaire. Un décret de 2006 l'a étendue en France aux cartons, ce qui alourdit le cahier des charges des industriels d'une contrainte que leurs concurrents européens n'ont pas. Cette règlementation est par ailleurs rendue inopérante par le marché unique puisque les cartons fabriqués hors de France pénètrent librement le marché national.

La règlementation française prévoit que les auxiliaires de fabrication dans le domaine alimentaire ne figurant pas sur une liste préétablie doivent faire l'objet d'une évaluation de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES), après saisine de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Puisque les produits réalisés ailleurs en Europe entrent librement en France, pourquoi ne pas faire comme les pays voisins : confier aux industriels la responsabilité d'appliquer les principes HACCP, et faire mener des audits par des tiers de confiance ? Nos entreprises y gagneraient en simplicité et en réactivité. En effet, la procédure française est particulièrement lente : la saisine de l'ANSES peut prendre jusqu'à 377 jours, alors même que le décret s'y rapportant en prévoit 120.

Dans le cadre des restrictions applicables aux substances chimiques, le règlement européen exclut le domaine alimentaire de l'obligation de déclaration annuelle de substances à l'état nanoparticulaire. En France, l'article du code de l'environnement transposant cette directive met en place, sans étude d'impact préalable, l'obligation de déclaration des substances à l'état nanoparticulaire dans le registre français r-nano et applique une définition de ces substances différente de la définition européenne puisqu'elle inclut le domaine alimentaire. Cette règlementation nationale, la plus stricte au sein de l'Union européenne, aboutit-elle à une meilleure sécurité comparée aux autres pays européens ?

Le Protocole international de Nagoya vise un partage juste et équitable des avantages découlant de l'utilisation des ressources génétiques de « plantes, animaux, bactéries ou d'autres organismes, dans un but commercial, de recherche ou pour d'autres objectifs ». Avec l'Espagne, la France est le seul pays à avoir mis en place, sur le fondement du règlement européen s'y rapportant, une régulation contraignante de l'accès aux ressources génétiques - en particulier dans le domaine alimentaire pour des raisons de sécurité - et notre pays a la règlementation la plus stricte au sein de l'Union européenne qui oblige à publier des informations sensibles au stade de la recherche. Cette règlementation et ses conséquences en termes de lenteur administrative - 8 mois de procédure au minimum - et de publicité des technologies, risquent de causer une diminution de l'attrait scientifique français dans un contexte international particulièrement concurrentiel.

Ces exemples ne représentent qu'une partie des sur-transpositions qui ont été régulièrement portées à notre attention par les entreprises et illustrent bien la diversité des cas de ce « mal français » qui touche tous les domaines. La commission des affaires européennes et notre délégation avaient bien pressenti l'étendue de ce mal. Chacune d'elles a déjà publié l'an dernier un rapport encourageant la simplification et dénonçant la tendance française à sur-transposer les normes européennes : La simplification du droit : une exigence pour l'Union européenne pour la commission des affaires européennes, et Simplifier efficacement pour libérer les entreprises pour notre délégation.

Au vu de la richesse des données récoltées grâce à la consultation que nous avons lancée, il nous semble utile de prolonger la réflexion. Le Gouvernement lui-même n'a fait qu'amorcer le travail de « dé-surtransposition » dans le projet de loi ESSOC ; il annonce des avancées plus substantielles en ce domaine dans le projet de loi relatif au Plan d'action pour la croissance et la transformation des entreprises (PACTE) qui devrait être soumis avant l'été à l'Assemblée nationale et sans doute en septembre au Sénat.

Jean Bizet et moi-même vous proposons de poursuivre la réflexion afin de voir quelles conséquences nous pourrions en tirer. Notre collègue René Danesi, qui est membre de nos deux instances, nous a fait savoir qu'il serait intéressé de mener ces investigations plus approfondies. Est-ce que vous approuvez sa nomination ?

Il en est ainsi décidé.

Mme Élisabeth Lamure, présidente. - Pour que les initiatives que nous pourrions prendre soient visibles, il faudrait qu'elles interviennent avant la lecture du projet de loi PACTE qui traitera de très nombreux autres sujets. Ceci impliquerait de finaliser le travail avant la suspension des travaux parlementaires de printemps : notre rapporteur a donc un gros travail à réaliser.

M. Jean Bizet, président. - C'est un énorme travail dont M. Danesi s'acquittera avec tout le sérieux qu'on lui connaît. J'avais étudié il y a quelques années le protocole de Nagoya... Chacun a des exemples dans son département. J'avais reçu des entreprises fabriquant des additifs alimentaires, obligées de divulguer certains process de fabrication, ce qui les fragilisait par rapport à la concurrence : c'était une source de complexité et une perte de compétitivité réelle.

Mme Élisabeth Lamure, présidente. - Grâce à cette consultation, nous disposons de nombreux exemples concrets, parfois très techniques.

M. Jean Bizet, président. - Chaque année, la commission des affaires européennes publie un rapport sur le suivi des résolutions européennes du Sénat. La première année, nous nous étions un peu battus avec le Secrétariat général des affaires européennes (SGAE) pour obtenir les informations. Depuis, nous tenons une réunion de travail annuelle sur le suivi à Bruxelles du résultat de nos actions. Dans 50 % des cas, les résolutions du Sénat sont totalement suivies d'effets, dans 25 % des cas partiellement, et notre taux d'échec n'est que de 25 %. Mme Lamure et moi-même vous proposons d'organiser une réunion annuelle avec le Gouvernement pour qu'un état des lieux de l'application des points que nous aurons soulevés soit réalisé.

M. André Reichardt. - J'approuve la désignation de M. Danesi comme rapporteur sur ce sujet. Alsacien, il saura parfaitement s'acquitter de sa tâche. Quelle est l'étendue de sa mission, dans des délais particulièrement contraints ? Dans les exemples de sur-transposition que vous avez rappelés, certains sont peu appropriés, d'autres nous interrogent. Parfois, un pays ne peut-il pas sur-transposer pour des raisons qui lui sont propres ? M. Danesi va-t-il proposer des modifications pour chaque sur-transposition, ou va-t-il proposer d'éviter de façon globale les sur-transpositions ?

Le président Larcher et la conférence des présidents ont confié à la commission des affaires européennes une nouvelle mission, révolutionnaire : se prononcer sur les cas de sur-transposition éventuels. Nous le ferons au fil de l'eau. Cette mission est particulièrement importante, à condition que nous soyons écoutés... M. Danesi traitera du stock. Si nous ne sommes pas suivis, il sera obligé de refaire ce travail chaque année.

M. Claude Kern. - L'interprétation des définitions importe également. L'Allemagne, la France et l'Autriche n'ont pas les mêmes définitions pour le traitement des déchets. En Allemagne et en Autriche, dès qu'un déchet est transformé - ce qui comprend le tri -, il devient un produit. Il en est de même pour la définition des machines dangereuses et des positions dangereuses pour des apprentis. En France, une perceuse est une machine dangereuse ; se tenir debout à partir du troisième barreau d'une échelle est une position dangereuse... En Allemagne, une position dangereuse dépend du métier, il n'y a pas de définition générale. Les représentants d'une entreprise française de couverture m'ont avoué avoir du mal à former des apprentis car ils sont obligés de les former au sol ! En Allemagne, ils sont formés sur les toits...

M. Olivier Cadic. - Lors de l'élaboration du rapport que j'avais rédigé avec Mme Lamure, nous avons eu connaissance de ce problème de sur-transposition. Nous avions proposé une stricte transposition des textes européens. Si le Gouvernement souhaite rajouter quelque chose, il devra déposer un texte à part afin qu'une étude d'impact soit réalisée. Le diable se niche dans les détails - souvent techniques, dont nous n'avons pas forcément conscience - et l'enfer est pavé de bonnes intentions...

Mme Élisabeth Lamure, présidente. - Nous sommes dans la même situation que celle que nous dénoncions sur les normes : il y a d'un côté le stock, de l'autre le flux. La dé-surtransposition sera le travail de M. Danesi. Comment ne plus sur-transposer à l'avenir ? Adoptons les directives telles quelles, et une proposition ou un projet de loi spécifique serait étudié à part, avec une étude d'impact. J'espère que nous arriverons à mettre en oeuvre cette proposition. Cette dérive ne peut plus continuer !

M. Michel Raison. - On dit cela depuis des années. Voyez hier soir dans l'hémicycle ; quelles sont nos chances d'être écoutés par le Gouvernement ? Rapporteur d'un projet de loi, j'avais déposé un amendement pour éviter une sur-transposition sur la fin du stockage de gaz en profondeur. Il a été rejeté. Que faire ?

M. Jean Bizet, président. - Je comprends que vous puissiez être un peu désabusés. Malgré tout, nous assistons à une large prise de conscience, avec une étude du Conseil d'État de 2015, une circulaire du Premier ministre, et la pression qui monte sur le terrain. L'Union européenne a plusieurs niveaux de compétences, tantôt exclusives, tantôt partagées ou d'appui. Sinon, la compétence revient aux États-membres.

L'approche de notre collègue Olivier Cadic est d'inspiration anglo-saxonne. La transposition de directives chez nos amis anglais relève du copier-coller. Ils sont extrêmement habiles : en amont, ils tiennent souvent la plume des fonctionnaires européens qui écrivent une directive ou un règlement ; tandis que la France, lorsqu'elle prend conscience de son retard, veut en rajouter en sur-transposant.

Rien n'empêche un État-membre, par exemple lorsque la sécurité des consommateurs est en jeu, d'être plus exigeant. Mais voyez le principe de précaution : en France, où il est prépondérant, il est devenu au fil du temps un principe d'inaction.

J'avais proposé, il y a quelques années, d'équilibrer le principe de précaution par un principe d'innovation. Ma proposition de loi avait été votée par le Sénat à une très large majorité, qui dépassait le clivage politique droite-gauche, mais aucun gouvernement n'a ensuite souhaité l'inscrire à l'ordre du jour de l'Assemblée nationale.

Aujourd'hui, il faut que nous soyons pragmatiques. M. Danesi sera chargé d'apurer le passé. La conférence des présidents nous confie la tâche de surveiller cette question. Quelles sont nos chances d'être écoutés ? Je ferai le parallèle avec la situation que nous avons connue avec le Secrétariat général des affaires européennes (SGAE). Alors qu'au début, nos discussions étaient compliquées sur le suivi des résolutions, la situation s'est sensiblement améliorée.

Nous ne lâcherons rien. Il faut que nous rencontrions régulièrement le Gouvernement pour aborder les points que nous aurons soulevés et les modifications que nous souhaitons faire adopter. Je n'ai été informé qu'hier de la difficulté que posaient les dispositions du code des marchés publics dont je vous ai précédemment parlé pour nos armées. Une solution a heureusement été trouvée, car il s'agissait d'une question de vie ou de mort pour nos soldats.

Je suis peut-être naïf, mais il est possible, me semble-t-il, de faire oeuvre utile en la matière.

Mme Élisabeth Lamure, présidente. - Certains défendent une position radicale : cesser toute surtransposition. Je ne sais pas s'il faut aller jusque-là, car, dans certains cas, il peut être nécessaire d'aller plus loin. Néanmoins, il faut savoir que les entreprises pâtissent de ces surtranspositions, qui handicapent leur compétitivité, et de cet excès de normes.

René Danesi rendra son rapport dans quelques mois. J'espère que nous pourrons déposer voire discuter une proposition de loi et une proposition de résolution avant l'été. Sinon, nous discuterons de cette question dans le cadre de l'examen du projet de loi PACTE - plan d'action pour la croissance et la transformation des entreprises - dont nous débattrons sans doute à la rentrée.

M. Jean Bizet, président. - Lors du dernier salon de l'agriculture, j'ai été interpellé par la famille Bonduelle, qui se tourne vers la Belgique pour investir, car tout y est plus simple.

M. André Gattolin. - Je veux replacer notre débat dans une perspective historique : souvenez-vous qu'il y a encore quelques années, la France était souvent condamnée pour non-transposition de la réglementation européenne.

La sous-transposition est également un sujet important. En 2009, la France a ainsi complètement détourné la transposition d'une directive sur la rémunération des traders pour donner une plus grande importance à la part variable de cette rémunération. Il faut donc s'intéresser aux sous-transpositions, plutôt rares, que nous faisons, mais aussi à celles des autres pays.

Il ne faut pas oublier non plus la délicate question de la transposition par anticipation. La France avait incorporé dans la loi pour la République numérique des dispositions sur la réglementation des plateformes, ce qui avait agacé la Commission européenne. Sous prétexte qu'une directive est en préparation, il faudrait s'interdire de peser sur l'orientation qui sera adoptée ! La directive dite « Services de médias audiovisuels » (SMA) doit être révisée : nous en sommes au sixième trilogue, mais le texte n'est toujours pas arrêté. Or le Gouvernement doit présenter un projet de loi de transposition d'ici à la fin de l'année...

Le temps de production des normes européennes fait que de nombreuses directives deviennent rapidement obsolètes en raison des évolutions technologiques.

M. Pierre Cuypers. - Le principe de précaution mériterait d'être repris à la base, car c'est de lui que naissent tous les maux.

M. Daniel Gremillet. - Nous légiférons et nous laissons croire aux Français que nous décidons de la façon dont les choses vont se passer dans notre pays, mais au final ce n'est pas le cas ! Pour ce qui relève des exigences européennes, on peut être à peu près certain que les concurrents seront soumis aux mêmes règles ; mais s'agissant de la diversité des conditions de production des produits, il y a en quelque sorte tromperie à l'égard du consommateur.

Le Sénat a récemment débattu de la négociation d'un accord de libre-échange avec l'Australie et la Nouvelle-Zélande. La question de la loyauté des conditions de concurrence est la même qu'entre la France et les pays de l'Union européenne. Nous sommes à un moment stratégique : l'Europe en sortira soit renforcée, soit affaiblie.

Le débat doit aussi porter sur les accords entre l'Union européenne et d'autres zones commerciales, comme le MERCOSUR. C'est une question stratégique car elle cache un projet politique.

M. Jean Bizet, président. - Il s'agit effectivement d'un projet politique.

Je reconnais avoir été le rapporteur pour avis du Sénat sur le projet de loi constitutionnelle intégrant le principe de précaution dans notre Constitution.

L'article 5 de la Charte de l'environnement est clair : seules les « autorités publiques » sont habilitées à adopter, par application du principe de précaution, des mesures « provisoires et proportionnées ». En cas de doute, il faut se référer aux données scientifiques.

Ce principe a été galvaudé par la suite, ce qui a contribué à entretenir un vilain climat. La mauvaise interprétation de la notion de marché pertinent par l'Autorité de la concurrence, sous la présidence de Bruno Lasserre, conduisait au même résultat. Or les chefs d'entreprise sont très sensibles à ce facteur.

Alors que, compte tenu de la qualité de nos produits et de la performance de nos acteurs, nous devrions être encore plus offensifs dans les accords de libre-échange, nous sommes fragilisés.

M. Michel Raison. - Le problème n'est pas constitutionnel, mais culturel.

M. Jean Bizet, président. - C'est exact. C'est la raison pour laquelle j'aimerais qu'on puisse intégrer dans le projet de loi sur les fake news les fausses informations scientifiques.

M. André Reichardt. - Je veux insister sur la complexité du sujet. Ceux qui se plaignent des surtranspositions en veulent parfois davantage ! Je pense à la commande publique : personne ne s'est plaint que le gouvernement français demande l'interdiction des offres variables.

Monsieur Cadic, je ne suis pas d'accord avec vous quand vous dites qu'il faut s'en tenir à une transposition stricte. J'insiste, les choses sont plus compliquées qu'elles n'en ont l'air.

Mme Élisabeth Lamure, présidente. - Assurément, nous devons aussi nous autodiscipliner. Quelquefois, malgré de bonnes intentions, nous allons trop loin et nous surtransposons.

M. Jean Bizet, président. - Nous devons effectivement toujours prendre en compte l'intérêt de nos entreprises quand nous voulons ajouter des normes.

Nous allons informer le Gouvernement, au travers d'un communiqué commun, que nous lui demanderons régulièrement de faire le point sur les questions que nous aurons identifiées.

La réunion est close à 10 heures.

- Présidence de M. Jean Bizet, président -

La réunion est ouverte à 10 heures.

Justice et affaires intérieures - Observations sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles (n° 296, 2017-2018) : communication de M. Simon Sutour

M. Jean Bizet, président. - Notre collègue Simon Sutour nous présente une communication sur le projet de loi relatif à la protection des données personnelles. C'est une première. Je vous rappelle, en effet, que la conférence des présidents a décidé de confier à la commission des affaires européennes, à titre expérimental, une mission de veille sur l'intégration des textes européens dans notre législation nationale. Il nous revient, à ce titre, de formuler des observations qui seront adressées à la commission saisie au fond, en l'espèce la commission des lois qui a désigné Sophie Joissains comme rapporteur. Ces observations doivent permettre d'identifier les objectifs à atteindre au sens du texte européen et d'informer, le cas échéant, le Sénat sur d'éventuelles sur-transpositions.

Lors de sa réunion du 21 février, la conférence des présidents a ainsi souhaité que nous puissions examiner deux textes : le projet de loi relatif à la protection des données personnelles et le projet de loi sur les services de paiement. Ces deux textes doivent être examinés respectivement par la commission des lois et par la commission des finances le 14 mars en vue d'un examen en séance publique les 21 et 22 mars. La réunion conjointe que nous venons de tenir avec la délégation aux entreprises a montré, si besoin est, l'ampleur des sur-transpositions en France qui pèsent sur la compétitivité des entreprises et sont susceptibles de créer un effet d'aubaine pour les concurrents non seulement européens mais également extra-européens au moment où nombre d'accords de libre-échange sont en cours de négociation, où les États-Unis ont des réflexes protectionnistes et où le président de la Commission européenne voudrait faire des normes européennes la référence internationale.

Compte tenu des délais et de la suspension des travaux parlementaires, j'ai pris l'initiative de solliciter Simon Sutour et Jean-François Rapin et je vous en ai informés par courrier. Je les remercie de s'être mobilisés rapidement pour nous présenter aujourd'hui le fruit de leurs réflexions.

Simon Sutour connaît bien le dossier de la protection des données personnelles. Il en assure le suivi pour notre commission depuis plusieurs années. Qui plus est, il a été le rapporteur, au titre à la fois de la commission des lois et de la commission des affaires européennes, de la résolution européenne que le Sénat a adoptée précisément sur le règlement et la directive qu'il s'agit désormais d'intégrer dans le droit national.

M. Simon Sutour. - Je me réjouis également de la décision de la conférence des présidents. Ce regard de la commission des affaires européennes sur la transposition des textes européens, qui existe à l'Assemblée nationale, aurait d'ailleurs dû être mis en place il y a longtemps. Nous entrons dans une phase expérimentale dont j'espère qu'elle permettra l'inscription de cette mission dans le Règlement du Sénat.

J'indique par ailleurs que Sophie Joissains, qui rapporte le projet de loi pour la commission des lois, et moi parlons de la protection des données personnelles depuis quelques temps déjà et que nous sommes tout à fait en phase sur le sujet.

Le projet de loi sur la protection des données personnelles précise les modalités d'application en France du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que de la directive relative aux traitements des données pénales.

L'élaboration de ces deux textes a fait l'objet d'un suivi attentif par la commission des affaires européennes. J'ai notamment présenté et rapporté, en son nom et au nom de la commission des lois, deux propositions de résolutions européennes et un avis motivé entre 2011 et 2012, qui demandaient en particulier que des dispositions nationales plus protectrices puissent être conservées car, en la matière, il ne faut pas tirer vers le bas ceux qui, comme la France avec la loi informatique et libertés de 1978, sont au meilleur niveau. Ces résolutions demandaient également que les citoyens et les résidents français puissent saisir leur autorité nationale de contrôle, la CNIL, et non celle du pays d'établissement de l'entreprise traitant leurs données personnelles. L'autorité de contrôle irlandaise dont le territoire accueille les plus importantes d'entre elles ne dispose évidemment pas de moyens suffisants et n'a pas la proximité nécessaire avec nos concitoyens.

La négociation de ces textes a été longue et difficile, contrairement à ce qu'avait annoncé Mme Viviane Reding, alors commissaire à la Justice, lors de son audition par notre commission, mais le Règlement général de protection des données personnelles (RGPDP), qui entre en vigueur le 25 mai prochain, constitue désormais le cadre européen dans ce domaine. Afin de lever les obstacles aux flux de données au sein de l'Union, ce règlement, qui se substitue à la directive de 1995, harmonise les règles de protection des personnes physiques à l'égard des traitements de données à caractère personnel. D'application directe dans les États membres sans qu'il soit besoin de procéder à sa transposition, il est applicable aux opérateurs de l'Union européenne ou offrant des biens et services aux citoyens et résidents de l'Union.

Le règlement renforce les droits des personnes - droits d'accès, de rectification, de limitation du traitement - et définit l'expression du consentement libre et pleinement informé. Il ouvre de nouveaux droits : un « droit à la portabilité » des données personnelles, un droit d'opposition à leur réutilisation, un « droit à l'oubli », enfin la possibilité d'introduire des actions collectives en cas de violation du règlement. Il encadre en outre le « profilage » informatique. En cas de méconnaissance de ces droits, et comme l'avait souhaité le Sénat, les intéressés peuvent introduire une réclamation auprès de l'autorité nationale de contrôle de leur lieu de résidence. Si le traitement est transfrontalier, l'« autorité de contrôle chef de file » est toutefois celle de l'établissement responsable du traitement.

Le règlement organise la responsabilité première des opérateurs, qui se substitue au régime d'autorisation des traitements par les autorités nationales de contrôle. Le responsable du traitement doit ainsi mettre en oeuvre des mesures techniques et organisationnelles pour que le traitement soit effectué en conformité avec les règles de collecte, de traitement, de conservation et de sécurité définies par le règlement. Un délégué à la protection des données est en outre désigné pour les traitements de grande ampleur effectués par une autorité publique ou un organisme public. Il contrôle le respect du règlement et coopère avec l'autorité de contrôle dont il est le point de contact. Par exception, les traitements présentant un risque élevé pour les droits et libertés font l'objet d'une analyse d'impact préalable, et si des mesures spécifiques sont nécessaires pour atténuer ce risque, d'une consultation préalable de l'autorité de contrôle.

Les autorités nationales de contrôle accompagnent les acteurs privés dans l'application du règlement. Elles doivent mener des actions de prévention, notamment en favorisant l'élaboration de codes de conduite. Elles peuvent agréer des organismes experts pour en contrôler le respect et ont une capacité de certification en matière de protection des données. Leurs pouvoirs de contrôle et de sanctions sont accrus, en particulier la capacité d'infliger des sanctions dans la limite de 4 % du chiffre d'affaires annuel mondial consolidé de l'entreprise. Les exigences en matière d'indépendance, de pouvoirs d'enquête et de capacité à prendre des mesures provisoires coercitives sont également renforcées.

Enfin le règlement n'autorise le transfert de données personnelles dans un pays tiers que si la Commission a pris à son égard une décision d'adéquation du niveau de protection, ou moyennant l'existence de garanties appropriées, et à la condition que la personne concernée dispose de droits opposables et de voies de recours effectives.

La directive, quant à elle, reprend l'essentiel des règles posées par le règlement en les adaptant à la nature particulière des traitements de données pénales. Elle organise la coopération entre les États et soumet les personnes investies de l'autorité publique, ou les organismes auxquels est confié l'exercice de prérogatives de puissance publique, à des obligations comparables à celles qui s'appliquent aux entreprises, auxquelles s'ajoutent des obligations particulières en matière de sécurité des données. En raison de la nature de ces traitements, et on peut le comprendre dans le contexte actuel, la personne concernée ne bénéficie pas d'un droit d'opposition et ses droits d'accès, de rectification ou d'effacement peuvent être réduits pour assurer l'efficacité des enquêtes et des procédures, la protection de la sécurité publique ou des droits et libertés d'autrui.

Le projet de loi modifie la loi fondatrice de 1978. Le règlement étant d'application directe, il supprime les dispositions auxquelles celui-ci se substitue et prend les mesures d'application interne nécessaires, en particulier la modification et le renforcement des pouvoirs de la CNIL, ce qui pose la question de ses moyens.

Le règlement admet que des dispositions nationales précisent davantage l'application de ses règles et leur laisse ce qu'il appelle des « marges de manoeuvre » pour compléter les règles concernant les données dites « sensibles ». Par ailleurs, il n'exclut pas que des législations sectorielles nationales spécifiques, dans des domaines qui requièrent des dispositions plus détaillées, précisent les circonstances des situations particulières de traitement, y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite. Le projet de loi met à profit certaines de ces marges de manoeuvre pour conserver des règles plus protectrices en matière de traitement des données sensibles et limiter les droits des personnes pour des motifs stricts de sécurité publique. Ce sont avant tout ces dispositions qu'il convient d'examiner pour s'assurer qu'elles n'excèdent pas les marges autorisées, auquel cas elles seraient susceptibles de constituer une forme de sur-transposition.

Le projet de loi révise le régime particulier d'utilisation du numéro national d'identification des personnes : il supprime l'autorisation préalable de chaque traitement par décret en Conseil d'État et prévoit qu'un décret en Conseil d'État, pris après avis motivé et publié de la CNIL, détermine les catégories de responsables de traitement utilisant ce numéro et les finalités admissibles de ces traitements. Les régimes particuliers sont également maintenus et revus pour les traitements mis en oeuvre pour le compte de l'État intéressant la défense, la sûreté, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ainsi que certaines catégories particulières de traitements portant par exemple sur les condamnations pénales et mesures de sûreté. Pour tenir compte d'objectifs d'intérêt général, le droit à la communication d'une violation des données personnelles est réduit dans les limites autorisées par le règlement pour les traitements dont la liste sera fixée par décret en Conseil d'État, après avis de la CNIL.

Reprenant les exceptions admises par le règlement européen, le projet de loi définit des règles plus protectrices pour les données biométriques et les données génétiques. Il écarte en revanche les droits des personnes pour certains traitements à des fins archivistiques ou de recherches historiques. Il reprend par ailleurs la définition des données de santé figurant dans le règlement et introduit un nouveau dispositif régissant les traitements de ces données qui présentent une finalité d'intérêt public, ainsi que les traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé. Enfin il autorise l'administration à recourir à des décisions individuelles automatisées dès lors qu'elle offre des garanties aux administrés.

Le titre III du projet de loi procède à la transposition de la directive sur les traitements de données à caractère personnel en matière pénale. Il précise notamment les objectifs et les finalités de ces traitements, les données sur lesquelles ils peuvent porter et les autorités publiques ou organismes habilités à les mettre en oeuvre. Il réorganise l'exercice des droits des personnes et supprime l'actuel exercice indirect des droits d'accès, de rectification et d'effacement. Il introduit un droit à l'information de la personne concernée pour les traitements intéressant la police judiciaire. Aucune de ces dispositions n'apparaît de nature à nuire aux droits des personnes, à entraver la circulation des données personnelles au sein du marché intérieur, ni à alourdir la compétitivité des entreprises françaises.

Je vous propose de formuler les observations qui vont ont été distribuées, pour constater en particulier que les régimes spéciaux révisés et les règles nationales applicables aux données les plus sensibles s'inscrivent dans la logique du maintien d'un haut niveau national de protection en la matière souhaité par le Sénat, sans excéder les marges de manoeuvre ouvertes par le règlement ; une interrogation en revanche porte sur les traitements de données en matière de Renseignement qui utilisent des traitements de données constituées à d'autres fins.

Je vous propose également de relever la faculté pour tout résident en France de saisir la CNIL, quand bien même le traitement est effectué dans un autre État, et, de manière plus critique, de souligner la charge que représente l'obligation de mise en conformité à très brève échéance pour les petites collectivités territoriales. Sur l'âge du consentement des enfants, fixé à 15 ans par l'Assemblée nationale dans une approche mesurée qui s'inscrit dans l'une des marges de manoeuvre ouvertes par le règlement, je suis peut-être un peu vieux jeu mais je crois qu'il est effectivement nécessaire de protéger nos enfants qui n'ont pas conscience de tous les enjeux quand ils fournissent des données personnelles.

Je vous propose également d'insister sur la nécessité de s'assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Enfin, il me paraît souhaitable de recommander que la possibilité, introduite par l'Assemblée nationale, de demander, dans le cadre d'une action de groupe, non seulement la cessation du manquement mais également une réparation pécuniaire, faculté prévue en droit européen pour d'autres actions de groupe, soit envisagée au niveau européen et assortie d'enregistrement des associations.

M. Jean Bizet, président. - Le sujet est complexe mais crucial. Les moyens de la CNIL, qui est présidée par une personne remarquable, doivent être renforcés pour pouvoir remplir les missions qui lui sont confiées. Quant à la mise en conformité des traitements de données des collectivités territoriales, le défi est d'importance pour elles.

Mme Sophie Joissains. - Je suis totalement en accord avec les observations proposées par Simon Sutour. La version finale du règlement comporte des avancées véritables qu'avait souhaitées le Sénat, en particulier la compétence de l'autorité de résidence. J'observe par ailleurs que le Gouvernement n'a pas abusé des marges de manoeuvre ouvertes par le règlement.

La question des collectivités territoriales est cruciale. Seules 10 % d'entre elles sont en voie de mise en conformité. Ni le texte européen ni le projet de loi ne prévoient de marge de manoeuvre en la matière. Or toutes les collectivités locales sont concernées, dès qu'elles ont une cantine scolaire qui tient compte des interdits alimentaires des enfants ou qu'elles enregistrent les skieurs qui font l'acquisition d'un forfait pour leur envoyer plus tard une publicité sur la station. On pourrait prévoir que la CNIL n'infligera pas d'amendes pendant deux ans, qu'elle accompagne en outre les collectivités territoriales, par exemple en déployant des points relais dans les territoires. La mutualisation des traitements doit également être encouragée.

Sur l'âge du consentement, nous avons entendu l'association e.Enfance qui préconise de le fixer à 13 ans dès lors qu'un régime spécifique de protection des enfants serait défini. La baisse éventuelle de l'âge du consentement pourrait être subordonnée à la mise en place de ce régime par les opérateurs qui doivent être responsabilisés en la matière. Le double consentement prévu par le règlement européen est purement déclaratif dans la mesure où il n'y a pas de procédure de vérification.

Je me félicite du regard de la commission des affaires européennes sur la transposition et de son souci de prévenir les sur-transpositions. Son rôle en amont, lors de la négociation, a été très actif. Les synergies permettent de renforcer notre influence.

M. André Gattolin. - Je remercie les rapporteurs. J'observe que le règlement fait une cinquantaine de renvois aux textes nationaux ce qui pourrait conduire à multiplier les régimes spécifiques. Or, il ne faut pas perdre de vue les enjeux de compétitivité économique. On sait combien les petits États sont soucieux d'attirer la manne fiscale. Il faudrait donc voir à quel type de transposition ils ont procédé.

S'agissant de la CNIL, elle est dorénavant chargée d'un contrôle a posteriori mais il faut la doter de moyens suffisants. À titre de comparaison, il n'y a pas moins de 600 personnes au CSA, surtout des ingénieurs !

Les collectivités territoriales sont au coeur des cités intelligentes et il faut, pour les aider à s'adapter, trouver des solutions dans le peu de marge ouverte par le règlement. J'observe par ailleurs que sont dispensées des formalités les plus lourdes les entreprises employant moins de 250 salariés sauf si leurs activités de traitements de données sont importantes. Comment déterminera-t-on cette importance ? Aucune indication n'est fournie à cet égard ni par le règlement ni par le projet de loi. Enfin, je rappelle que l'action de groupe est très encadrée et qu'aujourd'hui deux associations seulement répondent aux critères.

Mme Laurence Harribey. - Dès le mois de décembre, je me suis inquiétée des conséquences du règlement pour les collectivités territoriales. La question écrite que j'ai adressée au Gouvernement est restée sans réponse à ce jour. Or, plus de la moitié de nos collectivités ont moins de 500 habitants et sont sollicitées par des cabinets qui leur proposent une mise en conformité moyennant un coût souvent trop élevé pour elles. Il me semble que les départements devraient avancer sur la mutualisation de leurs ressources en la matière. Par ailleurs, qui sera le correspondant pour les données personnelles ? Son niveau de compétence n'est pas précisé ni sa responsabilité juridique.

Mme Sophie Joissains. - La question de la responsabilité des collectivités territoriale est une question clé. Je vais proposer à la commission des lois de décaler de deux ans l'effectivité de celle-ci.

L'action de groupe me paraît devoir comprendre la réparation mais à condition que les associations qui les portent soient agréées comme c'est le cas en matière de consommation.

Le projet de loi a été rédigé très tardivement pour une entrée en vigueur au 25 mai 2018. Le texte, qui a souhaité conserver la loi de 1978 pour des raisons symboliques, est en l'état très peu lisible et se juxtapose au règlement général qu'il ne peut pas reproduire. Le Gouvernement renvoie à une ordonnance pour en clarifier la lecture, ce qui ne saurait susciter l'enthousiasme dans le contexte actuel.

À aucun moment, le projet de loi n'évoque les collectivités territoriales alors qu'il prévoit des dispositions spécifiques bienvenues pour les TPE/PME. Or, elles sont fortement impactées.

M. Jean Bizet, président. - La question de la valeur économique des données est soulevée par le droit à la portabilité. Quelle est votre position sur ce sujet ?

Mme Sophie Joissains. - Les conséquences d'une patrimonialisation des données sont trop graves pour que l'on puisse en accepter le principe. Le risque d'une cession à vil prix est en outre très fort.

M. André Gattolin. - Pierre Bellanger nous a récemment exposé dans le cadre de ses travaux sur la souveraineté numérique que les gens produisent des données sur autrui qui n'entrent pas dans la notion de données personnelles. Les intéressés ne peuvent donc pas les récupérer alors même qu'ils sont traçables sur un nombre croissant de réseaux sociaux.

M. Simon Sutour. - Il est effectivement intéressant de suivre le fil de son identité sur Google ! Je suis favorable à la réparation pécuniaire mais il faut l'encadrer.

M. Jean Bizet, président. - Nous allons envoyer ces observations à la commission des lois. Notre collègue Simon Sutour pourra d'ailleurs les appuyer devant elle puisqu'il en est membre.

À l'issue de ce débat, la commission a, à l'unanimité, autorisé la publication du rapport d'information portant observations et adopté les observations dans la rédaction suivante.


Observations

(1) Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP ») constitue un cadre général de protection des données personnelles au sein de l'Union européenne applicable également aux opérateurs installés hors de l'Union européenne qui offrent leurs biens et services aux Européens, destiné à lever les obstacles aux flux de données à caractère personnel au sein de l'Union et à assurer une application cohérente et homogène des règles de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données.

(2) Plus particulièrement,

(3) - il renforce les droits des personnes (droit d'accès, droit de rectification, droit à la limitation du traitement) et en facilite l'exercice en définissant l'expression du consentement libre et pleinement informé, avec des conditions particulières pour les enfants ;

(4) - il ouvre de nouveaux droits aux personnes, en particulier un « droit à la portabilité » des données, qui permet à une personne de récupérer, sous une forme facilement réutilisable, les données qu'elle a fournies, un droit d'opposition à la réutilisation des données personnelles et un droit à l'effacement des données ou « droit à l'oubli » ;

(5) - il prévoit la faculté d'introduire des actions collectives en matière de protection des droits et libertés des personnes en matière de protection des données et un droit à réparation du dommage matériel ou moral causé par une violation des règles qu'il définit ;

(6) - il supprime l'autorisation préalable des traitements de données à caractère personnel et prévoit que les responsables de ces traitements doivent mettre en oeuvre des mesures techniques et organisationnelles pour s'assurer, et être en mesure de démontrer, que le traitement des données est effectué en conformité avec les règles applicables en matière de collecte, de traitement, de conservation et de sécurité de ces données ; il prévoit toutefois que les entreprises employant moins de 250 salariés peuvent être dispensées de certaines de ces obligations sauf si les traitements qu'elles effectuent portent sur certaines données sensibles et que les traitements présentant un risque élevé pour les droits et libertés des personnes doivent faire l'objet d'une analyse d'impact préalable ;

(7) - il révise le rôle des autorités nationales de contrôle dont il conforte l'indépendance et les moyens, renforce les pouvoirs coercitifs et organise leur coopération en cas de traitements transfrontaliers ;

(8) - il encadre l'exportation des données personnelles vers des pays tiers en la subordonnant à une décision d'adéquation du niveau de protection prononcée par la Commission européenne ou l'existence de garanties appropriées ;

(9) - il laisse des « marges de manoeuvre » aux États membres pour maintenir ou introduire des conditions supplémentaires pour le traitement des « données sensibles », n'exclut pas des législations sectorielles nationales spécifiques et reconnaît aux États membres, pour l'exercice de missions d'intérêt public ou relevant de l'autorité publique, la possibilité de limiter certains droits, dès lors qu'il s'agit de mesures nécessaires et proportionnées au regard de l'objectif poursuivi.

(10) La directive UE 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales harmonise le droit européen en la matière en leur étendant les principes fixés par le RGPDP, sous réserve de restrictions justifiées par la nature des données et des finalités des traitements dont elles font l'objet.

(11) Plus particulièrement,

(12) - elle crée un droit à l'information de la personne dont les données sont traitées ;

(13) - elle lui permet d'exercer directement les droits reconnus à la personne concernée (droit à l'information, droits d'accès, de rectification et d'effacement), sauf si restrictions justifiées par des motifs qu'elle encadre ;

(14) - elle encadre les transferts de ces données vers des pays n'appartenant pas à l'Union européenne.

(15) Vu l'article 2 de la déclaration des droits de l'Homme et du citoyen,

(16) Vu le traité sur le fonctionnement de l'Union européenne, notamment l'article 16,

(17) Vu la Charte sur les droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

(18) Vu le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP »),

(19) Vu la directive (UE) 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales,

(20) Vu la résolution européenne du Sénat n° 105 (2011-2012),

(21) Vu la résolution européenne du Sénat n° 110 (2011-2012),

(22) Vu la résolution européenne du Sénat n° 108 (2012-2013),

(23) Vu le projet de loi adopté par l'Assemblée nationale relatif à la protection des données personnelles,

(24) La commission des affaires européennes fait les observations suivantes :

(25) - elle constate que l'article 1er du projet de loi charge la CNIL d'accompagner les responsables de traitements de données à caractère personnel par la mise en place d'éléments de droit souple (lignes directrices, recommandations et référentiels) et prévoit, en matière de sécurité des données, qu'elle élabore des règlements types de sécurité et qu'elle peut procéder à une évaluation préalable des risques et certifier des organismes compétents en la matière, autant de mesures, prévues par le règlement, qui sont de nature à faciliter la tâche des entreprises et des administrations ;

(26) - elle regrette toutefois le caractère tardif des mesures d'application du RGPDP, qui est susceptible de soulever des difficultés pour les acteurs, en particulier les petites collectivités territoriales qui n'ont pas toujours pu anticiper les nouvelles obligations qui s'imposeront à elles dans quelques semaines, sans compter qu'elles représentent pour elles un coût non négligeable ;

(27) - elle observe en revanche avec satisfaction que les entreprises employant moins de 250 salariés sont dispensées de certaines obligations administratives dès lors que le traitement de données à caractère personnel constitue pour elles une activité auxiliaire ;

(28) - elle constate que le projet de loi maintient des régimes spéciaux et des règles nationales pour les données les plus sensibles, sans excéder les marges de manoeuvre ouvertes par le règlement, dans le sens du maintien du haut niveau de protection nationale en la matière souhaité par le Sénat ;

(29) - elle observe toutefois que certains traitement de données publics sont également utilisés à des fins de renseignement, mais que le projet de loi est peu explicite quant aux conditions d'une telle utilisation ;

(30) - elle constate avec satisfaction que toute personne résidant en France peut saisir la CNIL en cas d'utilisation irrégulière de ses données personnelles, même si le responsable du traitement n'est pas établi en France, ce qui est de nature à assurer une effectivité et une proximité plus grande à la protection des droits des personnes physiques sur le territoire national ;

(31) - elle insiste sur la nécessité impérative de s'assurer, tant au niveau national qu'au niveau européen, de la protection effective des données à caractère personnel et des droits des personnes en cas de transfert vers des pays tiers ;

(32) - elle relève que l'âge du consentement autonome des mineurs fixé à 16 ans par le règlement a été abaissé à 15 ans par l'Assemblée nationale ;

(33) - elle considère qu'il convient d'avoir une approche mesurée en la matière, qui tienne compte de la forte appétence des adolescents pour les échanges sur internet et de la nécessité qu'ils aient une conscience suffisante des risques associés à la communication et au traitement incontrôlés de leurs données personnelles ;

(34) - elle constate que l'Assemblée nationale a introduit la possibilité d'obtenir, dans le cadre d'actions de groupe exercées en France au nom de résidents français, non seulement la cessation du manquement aux obligations relatives à la protection des données personnelles, mais également des réparations pécuniaires ;

(35) - elle observe que cette faculté de demander une indemnisation n'est pas prévue par le règlement européen mais que celui-ci ne l'interdit pas ;

(36) - elle constate au surplus que cette faculté s'inscrit dans la logique d'autres actions de groupe prévues par le droit européen ;

(37) - elle estime toutefois qu'il serait préférable que cette faculté soit rapidement prévue et encadrée par un texte européen qui prévoirait également un renforcement des conditions d'enregistrement des associations autorisées à conduire des actions collectives en matière de protection des données personnelles auprès de l'autorité nationale de surveillance.

Économie, finances et fiscalité - Observations sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015

@2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (n° 292, 2017-2018) : communication de M. Jean-François Rapin &

M. Jean Bizet, président. - Nous allons entendre maintenant la communication de Jean-François Rapin sur le projet de loi concernant les services de paiement dans le marché intérieur.

Ce projet de loi tend à ratifier une ordonnance qui transpose une directive de 2015. Les enjeux sont potentiellement importants puisque sont en cause les conditions d'exercice des prestataires de services de paiement mais aussi les droits et obligations des utilisateurs. Des exigences en matière d'informations relatives aux services de paiement sont également prévues. De même, sont traitées la sécurité des paiements électroniques et la protection des données financières des consommateurs.

C'est le rapporteur général Albéric de Montgolfier qui en est le rapporteur au titre de la commission des finances.

M. Jean-François Rapin. - Encore une ordonnance ! Les délais très brefs pour procéder à l'examen de ce texte avant la réunion de la commission des finances la semaine prochaine ne m'ont pas permis de procéder à des auditions. Je le regrette dans la mesure où elles auraient notamment permis de clarifier la question de l'extension de l'agrégation des informations financières aux comptes d'épargne.

La deuxième directive sur les services de paiement entend favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs.

L'ordonnance du 9 août 2017 qui procède à sa transposition est soumise au Sénat aux fins de ratification. C'est l'occasion pour notre commission de s'assurer que les modifications et compléments qu'elle a apportés à cet effet au code monétaire et financier ne comportent pas d'éléments de sur-transposition. Ceux-ci sont en effet susceptibles de nuire au bon fonctionnement du marché intérieur et à pénaliser ce faisant les consommateurs. De nature à générer une surcharge administrative et des coûts supplémentaires pour les entreprises, ils sont en outre susceptibles de nuire à leur efficacité concurrentielle.

La directive, qui se substitue à la directive de 2007 qu'elle abroge, révise les conditions d'agrément et d'exercice des services de paiement fournis par les banques et les autres établissements de paiement, et renforce les exigences de sécurité et de protection des données ainsi que les droits des utilisateurs de ces services.

Les services dont il s'agit sont les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements ou transmissions de fonds. La directive y ajoute deux services de paiement connexes innovants dits « tiers » dont les fournisseurs sont des sociétés de technologie financière (les «FinTech»). Tout d'abord, le service d'initiation de paiement (SIP), qui initie les paiements à la demande et pour le compte de clients à partir des comptes de paiement que ceux-ci détiennent auprès de prestataires de services de paiement : il donne au commerçant l'assurance que le paiement a été initié, ce qui lui permet de livrer sans délai les biens ou de fournir les services. Le second service tiers est le service d'information sur les comptes (SIC), qui fournit au client une vue agrégée d'ensemble sur ses comptes de paiement et soldes disponibles.

La directive encadre ces services de paiement tiers et prévoit des conditions d'agrément et d'enregistrement tenant compte du fait que leurs prestataires ne détiennent pas les fonds des clients. Elle leur impose en revanche de souscrire une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services, ou une garantie comparable. Afin que ces prestataires puissent avoir matériellement accès aux informations utiles auprès des établissements de crédit, elle impose aux gestionnaires des comptes des obligations de communication d'informations via des interfaces respectant les normes techniques figurant dans un règlement dérivé de la Commission.

La directive révise par ailleurs les conditions d'agrément et d'exercice des services de paiement, en particulier le capital initial minimum. Elle prévoit un contrôle des cessions des participations qualifiées, fixe le mode calcul des fonds propres, définit les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement, et précise les règles comptables applicables. Elle précise également les modalités de surveillance prudentielle des établissements de paiement, organise les échanges d'informations entre les autorités nationales compétentes et instaure un système de règlement des différends entre les autorités nationales de supervision.

La directive renforce en outre les exigences de sécurité des données en imposant des normes techniques rigoureuses comme l'« authentification forte » des clients, afin de mieux les protéger lorsqu'ils effectuent des paiements ou des transactions en ligne, y compris pour régler des achats de biens ou de services. Les prestataires de services de paiement devront prouver qu'ils ont mis en oeuvre, testé et vérifié ces mesures de sécurité. L'accès aux données personnelles des clients, leur utilisation et leur traitement sont subordonnés à leur autorisation expresse préalable. La protection des clients en cas d'opération de paiement frauduleuse est améliorée et les délais de remboursement réduits à un jour franc au plus. Enfin, en cas d'utilisation frauduleuse d'un instrument de paiement à la suite de sa perte ou d'un vol, le laissé à charge est abaissé à 50 euros, contre 150 euros actuellement.

J'en viens maintenant à l'ordonnance de transposition. Les dispositions figurant dans la directive précédente et d'ores et déjà transposées dans le code monétaire et financier sont modifiées à la marge. D'autres les complètent substantiellement ou sont totalement nouvelles, ce qui se traduit par l'insertion d'articles additionnels, voire, par exemple, pour les prestataires de services de paiement tiers, de dispositifs complets entièrement nouveaux mettant en place un régime prudentiel dérogatoire, des conditions allégées d'enregistrement et de radiation, et des règles de responsabilité spécifiques. Enfin, l'ordonnance a retenu quelques-unes des facultés ouvertes aux États membres.

Sous condition de notification à la Commission européenne avant le 13 janvier 2018, la directive ouvre en effet la possibilité aux États membres d'alléger les conditions d'agrément et d'exercice des petits établissements de paiement dont la moyenne mensuelle de la valeur totale des opérations de paiement est inférieure à 3 millions d'euros. Le code monétaire et financier prévoit désormais une procédure simplifiée d'agrément pour ces établissements et un niveau moins élevé d'exigences prudentielles.

L'ordonnance fait également usage de la faculté ouverte par la directive pour faciliter la supervision des activités transfrontalières en imposant la désignation d'un point de contact central à tous les établissements de paiement agréés dans un autre État membre qui ont recours en France à des agents en libre établissement ou à des succursales.

Pour terminer, je souhaiterais évoquer un point particulier : l'agrégation des comptes d'épargne. La directive concerne le marché intérieur des paiements et les services de paiement. Elle ne couvre donc pas l'information sur des comptes autres que les comptes de paiement, en particulier les comptes d'épargne. Or ces comptes constituent la part la plus importante de la situation financière des personnes physiques, les agrégateurs utilisant les données de connexion que leur transmettent les titulaires de ces comptes pour recueillir les données utiles par voie dite de « scraping », c'est-à-dire par capture d'écrans.

L'opportunité d'une extension à ces comptes a été évoquée au sein de la commission des finances de l'Assemblée nationale et lors d'une audition récente à la commission des finances du Sénat. Elle permettrait de répondre aux attentes des consommateurs et de réduire l'incertitude actuelle quant au régime de responsabilité applicable en cas d'utilisation frauduleuse des données de connexion. Sans doute s'agit-il d'une extension du champ d'application de la directive mais il paraît difficile de ne pas encadrer rapidement cette activité. La France pourrait utilement porter cette question au niveau européen, en concertation avec les prestataires de services financiers, en particulier pour déterminer les exigences de sécurité et répartir la charge du financement de l'interfaçage.

M. André Gattolin. - Un mot sur le « cash back » qui permet de se faire rembourser en espèces un bien réglé par carte au moment où on le restitue. Cette pratique me semble ouvrir un vrai risque alors que l'on s'efforce de limiter les transactions en espèces pour réduire la fraude.

M. Jean-François Rapin. - Dans les zones rurales, les commerçants ont la faculté d'encaisser une prestation de carte bancaire et de remettre du numéraire en contrepartie. Cette pratique est utile lorsqu'il n'y a pas de distributeur automatique de billets et me paraît en l'état correctement encadrée.

À l'issue de ce débat, la commission a, à l'unanimité, autorisé la publication du rapport d'information et adopté les observations dans la rédaction suivante :


Observations

(1) La directive (UE) 2015/2366 concernant les services de paiement vise à favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs et de faciliter les achats en ligne.

(2) Plus particulièrement,

(3) - elle complète les conditions d'octroi et de retrait d'agrément des prestataires de services de paiement ainsi que les conditions d'exercice de ces services définies par la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur à laquelle elle se substitue ;

(4) - elle créée et encadre les services de paiement tiers en matière d'initiation de paiement (SIP) et d'information sur les comptes (SIC) ;

(5) - elle fixe le mode calcul des fonds propres et renforce les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement ;

(6) - elle précise les activités complémentaires que les établissements de paiement sont autorisés à exercer et encadre l'externalisation de leurs activités ;

(7) - elle renforce les modalités de surveillance prudentielle des établissements de paiement en organisant les échanges d'informations entre les autorités nationales compétentes, en instaurant un système de règlement des différends entre les autorités nationales de supervision et en leur ouvrant la possibilité de demander l'assistance de l'Autorité bancaire européenne (ABE) ;

(8) - elle étend les pouvoirs des États membres d'accueil en cas de non-conformité des établissements de paiement aux règles générales s'imposant à eux ;

(9) - elle renforce les exigences de sécurité des données en prévoyant des normes techniques exigeantes comme l'« authentification forte » des clients qui combine plusieurs éléments d'authentification afin de mieux protéger les consommateurs lorsqu'ils effectuent des paiements ou des transactions électroniques ;

(10) - elle renforce la protection des données à caractère personnel en soumettant tout accès, utilisation ou traitement à l'autorisation expresse préalable de la personne, et le respect des droits prévus par le règlement général sur la protection des données à caractère personnel ;

(11) - elle renforce les droits des utilisateurs : en particulier elle réduit de 150 euros à 50 euros le laisser à charge en cas de perte occasionnées par l'utilisation frauduleuse d'une carte de paiement par un tiers et prévoit une procédure de réclamation au sein des établissements de paiement avant l'engagement d'une procédure de règlement extrajudiciaire ou judiciaire.

(12) Vu l'article 288 du Traité sur le fonctionnement de l'Union européenne,

(13) Vu la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,

(14) Vu l'article 70 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique,

(15) Vu le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,

(16) Vu l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,

(17) La commission des affaires européennes fait les observations suivantes :

(18) Sur la transposition de la directive par l'ordonnance :

(19) - elle constate que l'ordonnance du 9 août 2017 a pour objet d'insérer dans le code monétaire et financier les dispositions et modifications législatives nécessaires à la transposition de la directive (UE) 2015/2366, conformément à l'habilitation donnée au Gouvernement par l'article 70 de la loi n° 2016-1691 ;

(20) - elle relève que ces dispositions et modifications sont rédigées dans le respect de l'objectif de développement du marché intérieur intégré des paiements électroniques sûrs fixé par la directive et en conformité avec le cadre très précis qu'elle définit pour la prestation de services de paiement dans le marché intérieur ;

(21) Sur l'allégement des obligations des petits établissements de monnaie électronique :

(22) - elle constate que l'article 16, 6° de l'ordonnance remplace les dispositions de l'article L. 526-19-I du code monétaire et financier pour alléger les contraintes administratives pesant sur les petits établissements de monnaie électronique, ainsi l'autorise l'article 32-1 de la directive qui prévoit que les États membres peuvent exempter ou autoriser leurs autorités compétentes à exempter les prestataires de ces services de tout ou partie de de la procédure ou de certaines des conditions qu'elle prévoit dès lors que le volume total mensuel d'opérations de paiement est inférieur à 3 millions d'euros ;

(23) - elle considère que ce régime dérogatoire est de nature à alléger les contraintes administratives auxquelles sont soumis ces établissements sans faire peser un risque supplémentaire sur la sécurité des transactions et des fonds des clients ;

(24) Sur la création de points de contact sur le territoire français :

(25) - elle constate également que l'article 13 de l'ordonnance remplace l'article L. 522-13 du code monétaire et financier pour faire usage de la faculté ouverte par le paragraphe 4 de l'article 29 de la directive pour imposer la désignation d'un point de contact central aux établissements de paiement qui créent une succursale en France ou y ont recours à des agents en libre établissement ;

(26) - elle considère que la mise en place d'un point de contact national est de nature à faciliter la supervision prudentielle et la sécurité des opérations de paiement exécutées sur le territoire français par des succursales ou agents d'entreprises de paiement agréées dans un autre État membre, sans entraver la libre prestation de services de paiement ;

(27) Sur le périmètre des comptes dont les informations sont susceptibles d'être agrégées :

(28) - elle observe que la directive encadre le service d'information sur les comptes mais pas l'agrégation d'informations sur les comptes d'épargne pourtant proposée actuellement ;

(29) - elle constate que l'ordonnance ne prévoit pas non plus d'encadrer l'agrégation d'informations sur les comptes d'épargne ;

(30) - elle estime que l'agrégation d'informations sur les comptes d'épargne telle que pratiqué actuellement présente des risques pour la sécurité des données de connexion et des incertitudes quant au régime de responsabilité applicable en cas de détournement de ces données ;

(31) - elle constate que l'agrégation d'informations sur les comptes de paiement et les comptes d'épargne répond aux attentes des consommateurs et ouvre de nouvelles opportunités aux entreprises de technologie financière ;

(32) - elle considère en conséquence que l'opportunité et les conditions d'un encadrement de l'agrégation d'informations sur les comptes d'épargne devraient rapidement faire l'objet d'un examen approfondi au niveau européen.

Questions diverses

M. Jean Bizet, président. -Le groupe de subsidiarité qui s'est réuni ce matin, a identifié un problème de subsidiarité sur un texte portant sur les technologies de santé. Je vous propose de désigner Pascale Gruny et Laurence Harribey pour approfondir la question et conclure, si nécessaire, à l'adoption d'un avis motivé.

Pascal Allizard et Didier Marie pourraient être chargés de rapporter la proposition de résolution européenne de notre collègue Jean-Claude Requier sur le projet d'accord entre l'Union européenne et le Mercosur.

Il en est ainsi décidé.

La réunion est close à 11h15.