EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
La France a toujours été pionnière en matière de protection des données à caractère personnel, comme en témoigne l'adoption dès 1978, de la loi « informatique et liberté » 1 ( * ) , loi qui a fortement inspiré la directive du 24 octobre 1995 fondement de la politique européenne en la matière.
Ce corpus, élaboré dans les années 1980-1990, à une époque où « la révolution internet » n'avait pas encore eu lieu, est aujourd'hui obsolète. À l'heure de nos sociétés « numérisées » et « globalisées » l'adoption de nouvelles règles adaptées doit être envisagée.
L'attention de notre commission sur l'importance de ces problématiques avait été attirée, dès 2009, par nos collègues Yves Détraigne et Anne-Marie Escoffier 2 ( * ) , puis par Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés, lors de son audition du mercredi 14 décembre 2011 3 ( * ) .
C'est donc logiquement que votre commission des lois s'est saisie le 8 février dernier 4 ( * ) de ce sujet, sur le fondement de l'article 73 quinquies de notre Règlement, consécutivement au dépôt par la Commission européenne, le 25 janvier 2012, d'une proposition de règlement concernant les fichiers commerciaux ou tenus par des personnes privées 5 ( * ) et d'une proposition de directive relative à certains fichiers mis en place par les autorités publiques 6 ( * ) .
La proposition de résolution qui fait l'objet du présent rapport ne porte que sur le premier de ces deux textes, relatif aux fichiers civils et commerciaux.
Elle laisse volontairement de côté la proposition de directive destinée à remplacer la décision-cadre sur les fichiers dits de « souveraineté ». En effet, les problématiques de ces deux dispositifs sont très différentes, et il n'était pas possible, dans les brefs délais impartis, d'examiner les deux textes de front.
Ceux-ci étant appelés à être adoptés selon la procédure législative ordinaire, c'est-à-dire par co-décision entre le Parlement européen et le Conseil de l'Union européenne, le processus de négociation entamé devrait durer plusieurs mois, voire plusieurs années. Votre commission et celle des affaires européennes auront ainsi l'occasion d'approfondir leur examen des deux textes, en particulier la proposition de directive non traitée par le présent rapport.
Alors que s'engagent les négociations entre les États membres en vue de l'adoption de ce règlement, il est important, sur un sujet qui touche aux droits fondamentaux de la personne, que la représentation nationale fasse valoir, dès à présent, non seulement le soutien qu'elle entend ou non apporter à l'objectif poursuivi par la Commission européenne, d'une amélioration notable de la protection des données personnelles en Europe, mais aussi les éventuelles réserves que certains choix opérés peuvent lui inspirer.
L'Assemblée nationale, par une résolution européenne du 7 février 2012, a pris position sur ce sujet 7 ( * ) .
De son côté, la commission des affaires européennes, a d'ores et déjà adopté, le 23 février 2012, une résolution européenne portant avis motivé sur la conformité au principe de subsidiarité de cette proposition de règlement 8 ( * ) .
À son tour, votre commission des lois vous propose d'appeler l'attention du Gouvernement sur les préoccupations qui sont les siennes à la lecture du texte proposé. La proposition de résolution qu'elle vous présente, et dont la commission des affaires européennes s'est saisie pour avis, devrait être examinée en séance publique le mardi 6 mars 2012.
I. UN CADRE COMMUNAUTAIRE DE PROTECTION DES DONNÉES PERSONNELLES DÉPASSÉ, QUI APPELLE UNE REFONTE
Comme Viviane Reding, vice-présidente de la Commission européenne l'a indiqué au cours de son audition commune par votre commission et celle des affaires européennes 9 ( * ) , « s ur le plan des valeurs et des droits individuels, la directive de 1995 n'a rien d'obsolète, mais à l'époque, internet n'existait pas ». Ce simple constat justifie la refonte du dispositif communautaire actuel de protection des données personnelles.
A. UNE DIRECTIVE FONDATRICE, AUJOURD'HUI DÉPASSÉE
1. Une première étape essentielle pour la protection des données à caractère personnel au niveau communautaire
La directive n° 95/46/CE du 24 octobre 1995 du Parlement et du Conseil 10 ( * ) est actuellement le socle de la politique européenne en matière de protection des données personnelles. Ce dispositif vise à concilier deux enjeux majeurs de l'intégration européenne: la protection des libertés et droits fondamentaux des personnes et la réalisation du marché intérieur , en l'occurrence, la libre circulation des données.
Le texte communautaire est très largement inspiré du dispositif législatif performant dont s'était dotée la France dès 1978, avec la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui créait notamment une autorité de contrôle indépendante : la commission nationale de l'informatique et des libertés (CNIL). Aussi, la directive consacre-t-elle en particulier les principes de légitimité de la collecte de données, de proportionnalité des mesures ou encore la nécessité du consentement des personnes dont les données sont collectées.
La directive de 1995 a été fondatrice, car elle a doté les États membres d'un corpus de principes directeurs communs . Si ses objectifs demeurent valables, le cadre juridique qu'elle pose est aujourd'hui doublement insuffisant : faute d'une transposition uniforme , l'harmonisation juridique est encore incomplète ; élaboré dans les années 1980-1990, le dispositif est aujourd'hui obsolète .
* 1 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 2 Rapport d'information « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information » n° 441 (2008-2009) ( http://www.senat.fr/notice-rapport/2008/r08-441-notice.html ) et Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique n° 93 (2009-2010), devenue le texte n° 81 (2009-2010) après adoption par le Sénat ( http://www.senat.fr/dossier-legislatif/ppl09-093.html ).
* 3 Disponible à l'adresse : http://intranet.senat.fr/compte-rendu-commissions/20111212/lois.html .
* 4 Le compte-rendu de cette réunion est disponible à l'adresse suivante :
http://intranet.senat.fr/compte-rendu-commissions/20120206/lois.html .
* 5 Proposition de règlement du Parlement européen et du Conseil [COM (2012) 11 final] relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (E7055).
* 6 Proposition de directive du Parlement européen et du Conseil [COM (2012) 10 final] relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (E7054).
* 7 Proposition de résolution européenne de M. Philippe GOSSELIN sur la proposition de règlement, n° 4227 - XIII e Législature, déposée le 27 janvier 2012.
* 8 En application de l'article 73 octies du règlement du Sénat. Ce texte est disponible à l'adresse suivante : http://www.senat.fr/dossier-legislatif/ppr11-424.html .
* 9 Audition de Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté par la commission des lois et la commission des affaires européennes, le mardi 21 février 2012, publiée en annexe au présent rapport.
* 10 Directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.