Avis n° 457 (2011-2012) de M. Simon SUTOUR , fait au nom de la commission des affaires européennes, déposé le 1er mars 2012

Disponible au format PDF (95 Koctets)


N° 457

SÉNAT

SESSION ORDINAIRE DE 2011-2012

Enregistré à la Présidence du Sénat le 1 er mars 2012

AVIS

FAIT

au nom de la commission des affaires européennes en application de l'article 73 quinquies du Règlement sur la proposition de résolution européenne adoptée par la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055) (n° 446, 2011-2012),

Par M. Simon SUTOUR,

Sénateur

(1) Cette commission est composée de : M. Simon Sutour , président ; MM. Michel Billout, Jean Bizet, Mme Bernadette Bourzai, M. Jean-Paul Emorine, Mme Fabienne Keller, M. Philippe Leroy, Mme Catherine Morin-Desailly, MM. Georges Patient, Roland Ries , vice-présidents ; MM. Christophe Béchu, André Gattolin, Richard Yung , secrétaires ; MM. Nicolas Alfonsi, Dominique Bailly, Pierre Bernard-Reymond, Éric Bocquet, Gérard César, Mme Karine Claireaux, MM. Robert del Picchia, Michel Delebarre, Yann Gaillard, Mme Joëlle Garriaud-Maylam, MM. Joël Guerriau, Jean-François Humbert, Mlle Sophie Joissains, MM. Jean-René Lecerf, Jean-Louis Lorrain, Jean-Jacques Lozach, François Marc, Mme Colette Mélot, MM. Aymeri de Montesquiou, Bernard Piras, Alain Richard, Mme Catherine Tasca.

(2) Cette commission est composée de : M. Jean-Pierre Sueur , président ; M. Nicolas Alfonsi, Mme Éliane Assassi, Esther Benbassa, MM. Yves Détraigne, Patrice Gélard, Mme Sophie Joissains, MM. Jean-Pierre Michel, François Pillet, M. Bernard Saugey, Mme Catherine Tasca, vice-présidents ; Nicole Bonnefoy, Christian Cointat, Christophe-André Frassa, Virginie Klès , secrétaires ; Jean-Paul Amoudry, Alain Anziani, Philippe Bas, Christophe Béchu, Nicole Borvo Cohen-Seat, Corinne Bouchoux, François-Noël Buffet, Gérard Collomb, Pierre-Yves Collombat, Jean-Patrick Courtois, Michel Delebarre, Félix Desplan, Christian Favier, Louis-Constant Fleming, René Garrec, Gaëtan Gorce, Jacqueline Gourault, Jean-Jacques Hyest, Philippe Kaltenbach, Jean-René Lecerf, Jean-Yves Leconte, Antoine Lefèvre, Roger Madec, Jean Louis Masson, Jacques Mézard, Thani Mohamed Soilihi, Hugues Portelli, André Reichardt, Alain Richard, Simon Sutour, Catherine Troendle, René Vandierendonck, Jean-Pierre Vial, François Zocchetto.

Voir le(s) numéro(s) :

Sénat :

406 et 446 (2011-2012)

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

La commission des lois a adopté, le 29 février, sur le rapport que je lui avais présenté le 22 février, une proposition de résolution européenne sur la proposition de règlement relatif à la protection des données personnelles.

La commission des affaires européennes et la commission des lois ont entendu Mme Viviane Reding, vice-présidente de la Commission européenne, le 21 février ; le Sénat examinera la proposition de résolution en séance publique le 6 mars prochain.

La semaine dernière, le 23 février, la commission des affaires européennes a adopté un projet d'avis motivé sur la subsidiarité, qui a été adopté par la commission des lois également le 29 février.

La commission des lois a souhaité se saisir au fond sur ce texte. Elle a donc fait jouer le droit de priorité que le règlement du Sénat reconnaît aux commissions permanentes pour les projets d'actes soumis au Sénat dans le cadre du premier alinéa de l'article 88-4 de la Constitution. Mais comme le permet le règlement, la commission des affaires européennes a décidé de se saisir pour avis afin que le Sénat puisse également connaître son point de vue.

Je rappelle que la Commission européenne a simultanément présenté deux textes : une proposition de règlement sur les fichiers privés et commerciaux ; une proposition de directive sur les fichiers dits « de souveraineté ». Ces deux textes devront être adoptés selon la procédure législative ordinaire, c'est-à-dire par codécision entre le Parlement européen et le Conseil de l'Union européenne.

La proposition de résolution de la commission des lois ne porte que sur le premier de ces textes, celui relatif aux fichiers privés et commerciaux, qui procède à la refonte de la directive de 1995. Elle laisse volontairement de côté la proposition de directive destinée à remplacer la décision-cadre sur les fichiers de « souveraineté ». En effet, les problématiques de chacun de ces dispositifs sont très différentes . Cette proposition de directive pourra faire l'objet d'un examen ultérieur plus approfondi par la commission des affaires européennes puis la commission des lois.

Il convient de rappeler le contexte dans lequel s'inscrit le texte de la Commission européenne, quelles sont les principales dispositions qu'elle propose et quelles sont les principales difficultés mentionnées dans la proposition de résolution.

1/ Quel est le contexte ?

La directive du 24 octobre 1995 a fixé des principes importants pour la protection des données personnelles. Elle prévoit la création dans chaque Etat membre d'un organisme indépendant (la CNIL en France) chargé de la protection de ces données. Un groupe représentant les « CNIL européennes » a par ailleurs été constitué au niveau européen ( groupe dit de l'article 29 ). La directive ne concerne pas les traitements de données effectués dans le champ de la sécurité publique, la défense ou la sûreté de l'Etat. Ils sont régis par une décision-cadre du 27 novembre 2008.

Cependant, cette directive de 1995 a abouti à un niveau insuffisant d'harmonisation des réglementations applicables dans les États membres. Surtout, elle été adoptée avant l'essor d'internet et le développement des technologies de l'information. Si ses objectifs demeurent valables, ses dispositions n'apparaissent plus adaptées au nouveau contexte du traitement et de l'échange des données. La situation actuelle est, en effet, caractérisée par la rapidité des évolutions technologiques et par la mondialisation , qui modifient la façon dont un volume sans cesse croissant de données personnelles est collecté, consulté, utilisé et transféré. Internet a une place prépondérante. De nouveaux modes de partage de l'information sont apparus via les réseaux sociaux. Nos collègues Yves Détraigne et Anne-Marie Escoffier, dans un rapport d'information de mai 2009 (« Le respect de la vie privée à l'heure des mémoires numériques ») , avaient clairement analysé ces nouveaux défis.

2/ Quelles sont les principales dispositions de la proposition de règlement ?

Le choix d'un règlement, d'applicabilité directe, est motivé par la volonté de réduire la fragmentation juridique et d'apporter une plus grande sécurité juridique, en instaurant un corps harmonisé de règles de base. Mais c'est un choix contraignant pour les Etats membres qui se voient ainsi privés de toute marge d'adaptation.

Cette proposition de règlement permet d'améliorer sensiblement la protection des personnes. Elle prévoit notamment que le consentement de la personne à l'utilisation de ses données personnelles devra être exprès. Elle reconnaît aux internautes un « droit à la portabilité » de leurs données, qui leur permettra de s'affranchir de l'autorité de traitement, sans perdre l'usage de leurs données. Elle réaffirme le droit d'opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité pour les responsables de traitement de soumettre les données qu'ils ont recueillies à un « profilage » informatique. Elle consacre un droit à l'oubli numérique , permettant à chacun d'obtenir l'effacement des données personnelles qui lui portent préjudice.

La proposition de règlement propose de nouvelles règles d'autorisation des fichiers, qui reposent, notamment, pour les fichiers les plus sensibles, sur l'obligation de les soumettre à une étude d'impact. Elle modifie la règlementation relative au transfert de données vers des pays tiers à l'Union européenne.

Parallèlement, le texte fait peser sur les responsables de traitement des obligations nouvelles comme la désignation d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou le renforcement des sanctions contre les entreprises ne respectant pas les règles fixées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant notamment un comité européen de la protection des données, auquel sera associé le Contrôleur européen de la protection des données, qui se substituera à l'actuel groupe de travail réunissant les « CNIL européennes », dit « G29 ».

On ne peut que se féliciter de ces propositions, qui sont positives : certaines, comme l'exigence du consentement exprès, le droit d'opposition ou de rectification ou le statut d'indépendance et les pouvoirs de l'autorité de contrôle, sont d'ores et déjà en vigueur dans notre droit. D'autres consacrent des évolutions attendues. Yves Détraigne et Anne-Marie Escoffier, dans leur rapport d'information, puis dans la proposition de loi issue de leurs travaux, et rapportée par Christian Cointat, avaient présenté certaines des évolutions aujourd'hui consacrées par la proposition de règlement, comme la reconnaissance du droit à l'oubli , ou l'obligation de désignation de délégués à la protection des données ... On ne peut que regretter que cette proposition de loi, adoptée à l'unanimité au Sénat il y a presque deux ans, n'ait jamais examinée par l'Assemblée nationale.

Il serait utile d'aller plus loin sur certains points. C'est ce que suggère la proposition de résolution : sur le droit à l'oubli et les moteurs de recherche, sur le statut juridique de l'adresse IP, sur l'encadrement des transferts internationaux de données ou sur la désignation obligatoire d'un délégué à la protection des données.

3/ Quelles sont les principales difficultés ?

La première difficulté concerne l'impossibilité de conserver des dispositions nationales plus protectrices , dans un domaine touchant aux droits fondamentaux .

Peut-on envisager qu'en élevant le niveau moyen de protection apportée aux citoyens européens, le règlement diminue les garanties dont bénéficient ceux qui résident dans un État membre qui a fait le choix de garanties poussées ? La question est particulièrement sensible pour notre pays qui a été en quelque sorte « pionnier » pour la protection des données.

La proposition de résolution européenne invite donc le Gouvernement français à veiller à ce que l'harmonisation s'effectue sans préjudice de la possibilité pour les États membres de conserver des dispositions plus favorables à la protection des données.

Il y aurait deux solutions envisageables au cours de la négociation du texte :

- soit faire insérer directement dans celui-ci les dispositions plus favorables du droit français ;

- soit, si cela n'était pas possible, prévoir des clauses spécifiques dans le règlement afin de permettre aux États membres de maintenir les dispositions plus protectrices dans leur législation.

Une deuxième difficulté résulte des renvois très fréquents - une cinquantaine de fois - à des actes délégués ou à des actes d'exécution de la Commission européenne pour préciser les modalités d'application du règlement. Ce renvoi massif à de la législation déléguée dans un tel domaine paraît très critiquable.

Au cours de son audition, Mme Reding a indiqué que le Conseil et le Parlement européen auraient leur mot à dire dans la mise en oeuvre des actes délégués. Il convient de souligner qu'il s'agit d'un pouvoir d'opposition , à la majorité qualifiée pour le Conseil et à la majorité absolue pour le Parlement européen. C'est donc bien la Commission européenne « qui a la main » dans ce pouvoir qui lui est délégué.

Il serait préférable que certaines questions soient réglées directement par le législateur européen, les modalités du droit à l'oubli numérique par exemple. Pour les dispositions les plus techniques, les autorités de contrôle nationales regroupées au niveau européen devraient jouer le rôle principal.

Le texte pose une troisième difficulté . C'est celle qui a le plus focalisé l'attention de la CNIL. Il s'agit du dispositif du « guichet unique » proposé par la Commission européenne, qui attribue la compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement.

L'objectif avoué de ce dispositif est de faciliter les démarches administratives des entreprises qui n'auront plus qu'un interlocuteur unique à l'échelle européenne.

Mais le citoyen risque ainsi d'être renvoyé à l'autorité de contrôle d'un autre pays. Paradoxalement, le citoyen serait moins bien traité que le responsable de traitement qui aurait, lui, un interlocuteur unique.

De plus, certaines autorités de contrôle risqueraient d'avoir à traiter un très grand nombre de demandes, ce qui pose la question de leur capacité à y faire face.

Il y aurait également une asymétrie , pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national.

Comme Mme Reding l'a indiqué, la Commission a certes prévu des aménagements au principe du « guichet unique » : elle propose un mécanisme de coordination entre autorités de contrôle, et prévoit que l'autorité nationale se charge de la transmission de la plainte à l'autorité étrangère. Ces expédients sont cependant insuffisants : le citoyen se voit à la fois privé de la possibilité de voir sa demande instruite par l'autorité de contrôle qui lui est la plus proche et la plus accessible, et privé de la possibilité de se voir appliquer le cas échéant les dispositions de droit national plus favorables.

Ce système de « guichet unique » me paraît contraire au souci d'une gestion de proximité , qui permet aussi de mieux enraciner la construction européenne dans l'opinion publique.

Il serait préférable de retenir la compétence de l'autorité de l'État membre où réside le plaignant , comme c'est le cas en droit de la consommation.

Tels sont les principaux motifs qui fondent la proposition de résolution européenne qui a été adoptée par la commission des lois, et dont la commission des affaires européennes s'est saisie pour avis.

POSITION DE LA COMMISSION

Réunie le 1 er mars 2012 pour l'examen de la proposition de résolution européenne issue des travaux de la commission des lois (rapport n° 446), la commission a décidé de donner un avis favorable , à l'unanimité, à l'adoption de la proposition de résolution.

PROPOSITION DE RÉSOLUTION EUROPÉENNE

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu l'article 2 de la Déclaration des droits de l'Homme et du citoyen,

Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 16,

Vu la charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel,

Vu la proposition de loi de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 81, 2009-2010) visant à mieux garantir le droit à la vie privée à l'heure du numérique, adoptée par le Sénat le 23 mars 2010,

Vu le rapport d'information de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 441, 2008-2009) au nom de la commission des lois du Sénat sur « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information »,

Vu la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (COM (2012) 11 final/n° E 7055) en date du 27 janvier 2012,

Approuve l'objectif poursuivi par la Commission européenne, en ce qu'elle souhaite promouvoir une approche globale de la protection des données personnelles, qui repose sur une harmonisation des règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers ;

Prend acte des avancées que porte la proposition de règlement s'agissant, entre autres, de la promotion du droit à l'oubli numérique, de la consécration du principe du consentement exprès à l'utilisation des données personnelles, de l'obligation de portabilité des données personnelles, qui permettra à une personne de s'affranchir d'un responsable de traitement sans perdre l'usage de ses données, des limitations apportées aux possibilités de profilage à partir de ses données personnelles, de la présence obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou de l'encadrement, notamment par des règles d'entreprise contraignantes, des transferts internationaux de données ;

Estime, toutefois, que ces garanties doivent être renforcées ;

En particulier :

Appelle, s'agissant du droit à l'oubli, à ce que les obligations pesant sur les moteurs de recherche soient renforcées afin, d'une part, de prévoir l'effacement automatique des contenus indexés au bout d'un délai maximum, et, d'autre part, de permettre à l'intéressé d'obtenir la désindexation de ceux qui lui portent préjudice ;

Juge nécessaire qu'une solution équilibrée soit proposée pour obtenir, sur demande de l'intéressé, l'effacement des données personnelles publiées par un tiers, dans le respect de la liberté d'expression ;

Souligne la nécessité que l'adresse IP ( Internet Protocol ) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier la personne concernée ;

Estime inopportunes les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données, s'agissant notamment des transferts ni fréquents ni massifs ;

Considère que l'obligation de désignation d'un délégué à la protection des données pourrait être étendue aux entreprises dont la principale activité est celle du traitement de données personnelles ;

Estime en outre, de manière générale, que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable et compte tenu de l'inégalité de moyens entre le responsable de traitement et l'intéressé qui lui a confié ses données personnelles, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes ; qu'elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices ;

Conteste par ailleurs le nombre important d'actes délégués et d'actes d'exécution que la proposition de règlement attribue à la compétence de la Commission européenne, alors qu'un certain nombre pourraient relever soit de dispositions législatives européennes ou nationales, soit, compte tenu de leur complexité technique, d'une procédure qui associe plus fortement les autorités de contrôle nationales, regroupées au niveau européen ;

Juge l'encadrement des pouvoirs d'investigation des autorités de contrôle nationales trop restrictif, notamment l'exigence, pour engager une enquête, d'un « motif raisonnable » de supposer qu'un responsable de traitement exerce une activité contraire aux dispositions du règlement. En effet, les formalités préalables pesant sur les responsables de traitement étant supprimées, ces investigations constituent, dans le dispositif proposé, la principale source d'information de ces autorités sur la mise en oeuvre des traitements ;

S'oppose, enfin, au dispositif du « guichet unique » proposé par la Commission européenne, en ce qu'il attribue compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement ;

Considère en effet, qu'il est paradoxal que le citoyen soit moins bien traité que l'entreprise responsable du traitement, en étant privé de la possibilité de voir l'ensemble de ses plaintes instruites par l'autorité de contrôle de son propre pays ;

Rappelle, à cet égard, que, lorsqu'il s'agit d'assurer la meilleure protection du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l'intéressé de s'adresser à l'autorité la plus proche de lui et auprès de laquelle il a l'habitude d'accomplir ses démarches ;

Constate que le dispositif proposé présente, en dehors de cette question de principe, de multiples inconvénients pratiques :

- risque de disproportion entre les moyens alloués à l'autorité de contrôle en considération des contentieux relatifs à ses ressortissants et l'ampleur du contentieux international qu'elle pourrait être appelée à traiter ;

- asymétrie, pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ;

Relève que ni les mécanismes de cohérence ou de coordination entre les autorités, ni la possibilité offerte au plaignant d'adresser sa plainte à son autorité nationale, à charge pour celle-ci de la transmettre à l'autorité compétente, ne compensent les inconvénients du dispositif, ni le désavantage pour l'intéressé de ne pouvoir faire instruire sa demande par l'autorité de contrôle nationale ;

Demande, par conséquent, au Gouvernement de veiller, d'une part, à ce que la possibilité pour les États membres d'adopter des mesures plus protectrices des données personnelles soit préservée, et, d'autre part, à ce que le principe de la compétence de l'autorité de contrôle du pays où le responsable de traitement a son principal établissement soit abandonné au profit du maintien de la compétence de l'autorité de contrôle du pays de résidence de l'intéressé.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page