Document "pastillé" au format PDF (59 Koctets)
N° 406
SÉNAT
SESSION ORDINAIRE DE 2011-2012
Enregistré à la Présidence du Sénat le 22 février 2012 |
PROPOSITION DE RÉSOLUTION EUROPÉENNE
PRÉSENTÉE AU NOM DE LA COMMISSION DES LOIS (1)
EN APPLICATION DE L'ARTICLE 73 QUINQUIES DU RÈGLEMENT,
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055), dont cette commission s'est saisie,
Par M. Simon SUTOUR,
Sénateur
(1) Cette commission est composée de : M. Jean-Pierre Sueur , président ; M. Nicolas Alfonsi, Mme Éliane Assassi, Esther Benbassa, MM. Yves Détraigne, Patrice Gélard, Mme Sophie Joissains, MM. Jean-Pierre Michel, François Pillet, M. Bernard Saugey, Mme Catherine Tasca, vice-présidents ; Nicole Bonnefoy, Christian Cointat, Christophe-André Frassa, Virginie Klès , secrétaires ; Jean-Paul Amoudry, Alain Anziani, Philippe Bas, Christophe Béchu, Nicole Borvo Cohen-Seat, Corinne Bouchoux, François-Noël Buffet, Gérard Collomb, Pierre-Yves Collombat, Jean-Patrick Courtois, Michel Delebarre, Félix Desplan, Christian Favier, Louis-Constant Fleming, René Garrec, Gaëtan Gorce, Jacqueline Gourault, Jean-Jacques Hyest, Philippe Kaltenbach, Jean-René Lecerf, Jean-Yves Leconte, Antoine Lefèvre, Roger Madec, Jean Louis Masson, Jacques Mézard, Thani Mohamed Soilihi, Hugues Portelli, André Reichardt, Alain Richard, Simon Sutour, Catherine Troendle, René Vandierendonck, Jean-Pierre Vial, François Zocchetto. |
EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
La France est depuis longtemps à l'avant-garde en matière de protection des données personnelles. La protection des données personnelles est l'un des éléments constitutif du droit au respect de la vie privée, consacré par le Conseil constitutionnel sur le fondement de l'article 2 de la Déclaration des droits de l'homme et du citoyen.
Dès 1978, avec la loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés, elle s'est dotée d'un cadre législatif performant et, avec la commission nationale de l'informatique et des libertés (CNIL), d'une autorité de contrôle indépendante, compétente sur ces sujets. La loi de 1978 a ensuite largement inspiré la directive n° 95/46/CE du Parlement européen et du Conseil, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données 1 ( * ) , qui jusqu'à aujourd'hui constitue le socle de la politique européenne en ce domaine.
La directive de 1995 a été une première étape essentielle, car elle a doté les États membres d'un corpus de principes directeurs communs. Ses objectifs demeurent valables. Cependant, le cadre juridique qu'elle pose est aujourd'hui doublement insuffisant : faute d'une transposition uniforme, l'harmonisation juridique est encore incomplète ; élaboré dans les années 1980-1990, le dispositif est aujourd'hui obsolète.
La révolution des nouvelles technologies, l'explosion d'internet, la multiplication et la place toujours plus importante des réseaux sociaux, l'indexation massive des contenus publiés en ligne sont autant d'éléments qui accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de leur consultation ou de leur exploitation à des fins notamment commerciales.
De plus en plus de personnes rendent accessibles des informations les concernant. Dans le même temps, l'inquiétude sur la diffusion et l'utilisation des données personnelles augmente sensiblement. 72 % des internautes en Europe sont préoccupés par le fait qu'il leur est demandé de communiquer en ligne trop de données personnelles 2 ( * ) . Ils ont le sentiment de ne pas avoir la maîtrise de ces données et de ne pas être suffisamment informés du sort réservé à ces données, de l'identité du destinataire et de la finalité de leur transmission. Ils ignorent aussi, souvent, les modalités d'exercice de leurs droits. Les préoccupations quant au respect de la vie privée figurent parmi les raisons les plus fréquentes pour lesquelles les consommateurs s'abstiennent d'acheter des produits et des services en ligne.
Autant de paramètres qui rendent donc indispensable la mise en place d'un nouveau cadre adapté de protection de ces données, plus volatiles que jamais, traitées par des intervenants diversifiés (publics, privés, nationaux, internationaux...), tout en conciliant cette démarche avec le respect d'autres exigences constitutionnelles telles que la liberté d'expression et d'autres intérêts en jeu comme la nécessité de simplifier et alléger les démarches administratives pesant sur les entreprises de traitement de données et le développement du marché intérieur.
C'est donc dans ce contexte que, dès 2009, le Sénat s'est saisi de cette problématique. D'importants travaux ont été menés par nos collègues M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER, donnant lieu à la publication d'un rapport d'information intitulé « Respect de la vie privée à l'heure des mémoires numériques » 3 ( * ) et au dépôt d'une proposition de loi sur ce sujet 4 ( * ) , adoptée à l'unanimité par le Sénat le 23 mars 2010. Ces travaux ont mis l'accent sur la nécessité de faire du citoyen un « homo numericus » libre et éclairé, protecteur de ses propres données, et de compléter le cadre juridique actuel, notamment pour soutenir la définition de standards internationaux. Le rapport préconisait notamment de renforcer les moyens de la CNIL, sa légitimité et sa crédibilité. Il proposait aussi de nouveaux outils de protection comme la reconnaissance d'un droit à l'oubli.
Compte tenu de l'internationalisation de la diffusion des données et de la consécration au niveau communautaire du droit pour toute personne à la protection des données à caractère personnel (article 16 du Traité sur le fonctionnement de l'Union européenne et article 8 de la Charte des droits fondamentaux de l'Union européenne), la Commission européenne s'est, à son tour, saisie du problème, pour lui donner une réponse européenne adaptée, applicable entre les États membres eux-mêmes mais aussi dans leurs échanges avec les États tiers.
Elle a ainsi lancé en 2009, une consultation publique de l'ensemble des acteurs du secteur, qui a donné lieu à la publication le 4 novembre 2010 d'une communication intitulée « Une approche globale de la protection des données à caractère personnel dans l'Union européenne » 5 ( * ) .
Au terme de ce processus de consultation, la Commission a présenté deux instruments juridiques différents, concernant, l'un, les fichiers commerciaux ou tenus par des personnes privées, l'autre, certains fichiers mis en place par les autorités publiques :
- pour remplacer la directive n° 95/46/CE, une proposition de règlement, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, présentée le 25 janvier 2012, qui fait l'objet de la présente proposition de résolution européenne ;
- pour remplacer la décision-cadre 2008/977/JAI 6 ( * ) , une proposition de directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, présentée le 25 janvier 2012.
La Commission a justifié le choix d'un règlement, d'applicabilité directe, par la volonté de « réduire la fragmentation juridique et d'apporter une plus grande sécurité juridique, en instaurant un corps harmonisé de règles de base, en améliorant la protection des droits fondamentaux des personnes physiques et en contribuant au bon fonctionnement du marché intérieur ». Un règlement est contraignant pour les États membres qui se voient ainsi privés de toute marge d'adaptation, contrairement à ce que permet une directive.
Sur le fond, la proposition de règlement constitue une avancée en ce qu'elle améliore sensiblement le niveau de protection des personnes. Elle prévoit notamment que le consentement de la personne à l'utilisation de ses données personnelles devra être exprès, qu'elle disposera d'un « droit de portabilité » de ses données, qui lui permettra de s'affranchir de l'autorité de traitement, sans perdre l'usage de ses données, qu'elle aura un droit d'opposition au traitement de ses données personnelles, ou que la possibilité de « profilage » d'une personne à partir de ses données personnelles sera limitée. De plus, le transfert de données vers des pays tiers à l'Union européenne sera plus strictement encadré. Enfin, elle consacre un droit à l'oubli numérique, permettant à chacun d'obtenir l'effacement des données personnelles qui lui portent préjudice.
Parallèlement, le texte fait peser sur les responsables de traitement des obligations nouvelles comme la désignation d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou le renforcement des sanctions contre les entreprises ne respectant pas les règles fixées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant notamment un comité européen de la protection des données, auquel sera associé le contrôleur européen de la protection des données, qui se substituera à l'actuel groupe de travail réunissant les « CNIL européennes », dit « G29 ».
Alors que s'engagent les négociations entre les États membres en vue de l'adoption de ce règlement, il apparaît essentiel que la représentation nationale fasse valoir, dès à présent, non seulement le soutien qu'elle entend apporter à l'objectif poursuivi par la Commission européenne, d'une amélioration notable de la protection des données personnelles en Europe, mais aussi les quelques réserves que certains choix opérés peuvent lui inspirer. Ainsi, l'Assemblée nationale, a adopté, le 7 février 2012, une résolution européenne sur ce sujet.
À son tour, la commission des lois du Sénat, par la présente proposition de résolution, tient à faire part au Gouvernement des préoccupations qui sont les siennes, à la lecture du texte proposé.
S'il convient de prendre acte des avancées que comporte le texte, certaines améliorations pourraient encore y être apportées, par exemple pour assurer un meilleur respect du droit à l'oubli par les moteurs de recherche, permettre une conciliation équilibrée entre la liberté d'expression et la possibilité de demander l'effacement des données personnelles publiées par un tiers, conférer un statut juridique adapté à l'adresse IP, limiter les dérogations aux obligations s'imposant aux entreprises procédant à des transferts internationaux de données, ou encore étendre le recours imposé aux délégués à la protection des données aux entreprises dont l'objet principal est justement le traitement des données personnelles.
Surtout, le texte présenté par la commission pose deux questions de principe .
La première est celle de la portée de l'harmonisation des règles juridiques engagée par le règlement : la protection apportée par ce texte constituera-t-elle un plancher, ou un plafond ? Serait-il envisageable qu'en élevant le niveau moyen de protection apportée aux citoyens européens, le règlement diminue celle dont bénéficient ceux qui résideraient dans un État membre qui a fait le choix de garanties complémentaires ? La présente proposition de résolution européenne appelle le Gouvernement français à veiller à ce que l'harmonisation s'effectue sans préjudice de la possibilité pour les États membres d'adopter des dispositions plus favorables à la protection des données.
La Commission européenne a fait le choix d'un texte général, qui renvoie, plus de cinquante fois, à des actes délégués ou des actes d'exécution adoptés par le collège des commissaires. Par son caractère massif, et compte tenu de l'importance des matières concernées, un tel renvoi est contestable et il conviendrait de s'interroger sur l'opportunité de confier le soin de préciser la législation, soit au législateur européen lui-même, soit aux États membres, soit, pour les dispositions les plus précises, aux autorités de contrôle nationales.
La seconde question de principe que pose la proposition de règlement est celle de la compétence reconnue à la seule autorité de contrôle du pays où un responsable de traitement a son principal établissement pour instruire l'ensemble des plaintes dirigées contre lui, où que réside le plaignant .
Ce dispositif aboutit paradoxalement, dans un texte dont l'objet principal est d'élever le niveau de protection des données personnelles, à traiter plus favorablement le responsable de traitement que le citoyen , puisque le premier bénéficie d'un interlocuteur unique, appliquant le droit du pays où l'entreprise a son principal établissement, alors que le second doit s'adresser à une autorité différente de celle dont il est le plus proche, et qui applique le droit dont il relève.
Il présente en outre de nombreux inconvénients : il imposerait, lorsqu'une question de protection de données est étroitement liée à une question relevant d'un autre champ du droit, comme celui de la famille ou du travail, à l'autorité de contrôle compétente d'interpréter des dispositions de droit étranger.
Il poserait aussi la question des moyens financiers et humains alloués à l'autorité de contrôle, afin qu'elle puisse prendre en charge un contentieux international qui pourrait être d'une ampleur bien supérieure à celle du contentieux relatif à ses propres ressortissants.
Enfin, il créerait une asymétrie entre les recours administratifs auprès de l'autorité de contrôle et les recours juridictionnels contre les responsables de traitement : les premiers seraient portés devant les autorités ou les juridictions du pays étranger qui appliqueraient alors le droit étranger, les seconds devant les juridictions nationales de l'intéressé qui appliqueraient le droit national.
Les quelques aménagements prévus par le texte, pour améliorer la coordination entre les autorités de contrôle et permettre que le plaignant s'adresse à son autorité nationale aux fins de transmission de sa plainte à l'autorité étrangère ne remédient pas à l'affaiblissement, par ce dispositif, du droit du citoyen européen à un recours effectif, exercé auprès de l'autorité qui lui est la plus accessible .
Il convient, par conséquent, d'appeler la vigilance du Gouvernement sur cette question, afin que ce critère d'attribution de compétence soit abandonné au profit de celui, déjà connu en droit de la consommation, de la compétence de l'autorité de l'État membre où réside le plaignant .
C'est pourquoi il vous est suggéré d'adopter la proposition de résolution qui suit :
PROPOSITION DE RÉSOLUTION EUROPÉENNE
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu l'article 2 de la Déclaration des droits de l'homme et du citoyen,
Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 16,
Vu la charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,
Vu la proposition de loi de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER (n° 81, 2009-2010), visant à mieux garantir le droit à la vie privée à l'heure du numérique, adoptée par le Sénat le 23 mars 2010,
Vu le rapport d'information de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER (n° 441, 2008-2009) au nom de la commission des lois du Sénat sur « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information «,
Vu la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (COM [2012] 11 final/n° E 7055) en date du 27 janvier 2012,
Approuve l'objectif poursuivi par la Commission européenne, en ce qu'elle souhaite promouvoir une approche globale de la protection des données personnelles, qui repose sur une harmonisation des règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers ;
Prend acte des avancées que porte la proposition de règlement s'agissant, entre autres, de la promotion du droit à l'oubli numérique, de la consécration du principe du consentement exprès à l'utilisation des données personnelles, de l'obligation de portabilité des données personnelles, qui permettra à une personne de s'affranchir d'un responsable de traitement sans perdre l'usage de ses données, des limitations apportées aux possibilités de profilage à partir de ses données personnelles, de la présence obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou de l'encadrement, notamment par des règles d'entreprise contraignantes, des transferts internationaux de données ;
Estime, toutefois, que ces garanties doivent être renforcées ;
En particulier ;
Appelle, s'agissant du droit à l'oubli, à ce que les obligations pesant sur les moteurs de recherche soient renforcées afin d'une part de prévoir l'effacement automatique des contenus indexés au bout d'un délai maximum, et, d'autre part, de permettre à l'intéressé d'obtenir la désindexation de ceux qui lui portent préjudice ;
Juge nécessaire qu'une solution équilibrée soit proposée pour obtenir, sur demande de l'intéressé, l'effacement des données personnelles publiées par un tiers, dans le respect de la liberté d'expression ;
Souligne la nécessité que l'adresse IP ( Internet Protocol ) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier la personne concernée ;
Regrette les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données, s'agissant notamment des transferts ni fréquents ni massifs ;
Considère que l'obligation de désignation d'un délégué à la protection des données pourrait être étendue aux entreprises dont la principale activité est celle du traitement de données personnelles ;
Estime en outre, de manière générale, que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable et compte tenu de l'inégalité de moyens entre le responsable de traitement et l'intéressé qui lui a confié ses données personnelles, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes ; qu'elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices ;
Conteste par ailleurs le nombre important d'actes délégués et d'actes d'exécution que la proposition de règlement attribue à la compétence de la Commission européenne, alors qu'un certain nombre pourraient relever soit de dispositions législatives européennes ou nationales, soit, compte tenu de leur complexité technique, d'une procédure qui associe plus fortement les autorités de contrôle nationales, regroupées au niveau européen ;
S'oppose, enfin, au dispositif du « guichet unique » proposé par la Commission européenne, en ce qu'il attribue compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement ;
Considère en effet, qu'il est paradoxal que le citoyen soit moins bien traité que l'entreprise responsable du traitement, en étant privé de la possibilité de voir l'ensemble de ses plaintes instruites par son autorité de contrôle nationale ;
Rappelle, à cet égard, que, lorsqu'il s'agit d'assurer la meilleure protection du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l'intéressé de s'adresser à l'autorité la plus proche de lui et auprès de laquelle il a l'habitude d'accomplir ses démarches ;
Constate que le dispositif proposé présente, en dehors de cette question de principe, de multiples inconvénients pratiques :
- risque de disproportion entre les moyens alloués à l'autorité de contrôle en considération des contentieux relatifs à ses ressortissants et l'ampleur du contentieux international qu'elle pourrait être appelée à traiter ;
- asymétrie, pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ;
Relève que ni les mécanismes de cohérence ou de coordination entre les autorités, ni la possibilité offerte au plaignant d'adresser sa plainte à son autorité nationale, à charge pour celle-ci de la transmettre à l'autorité compétente, ne compensent les inconvénients du dispositif, ni le désavantage pour l'intéressé de ne pouvoir faire instruire sa demande par l'autorité de contrôle nationale ;
Demande, par conséquent, au Gouvernement de veiller, d'une part, à ce que la possibilité pour les États membres d'adopter des mesures plus protectrices des données personnelles soit préservée, et, d'autre part, à ce que le principe de la compétence de l'autorité de contrôle du pays où le responsable de traitement a son principal établissement soit abandonné au profit du maintien de la compétence de l'autorité de contrôle du pays de résidence de l'intéressé.
* 1 Directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995.
* 2 Selon le sondage cité par la commission européenne dans la communication qu'elle a adressée aux institutions européennes le 25 janvier 2012 (COM 2012/9 Final).
* 3 Rapport d'information (n° 441, 2008-2009).
* 4 Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique (n° 93, 2009-2010) de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER.
* 5 COM(2010) 609 final.
* 6 Décision-cadre 2008/977/JAI du conseil du 27 novembre 2008 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.