B. LA NÉCESSITÉ D'UNE REFONTE GLOBALE ET EUROPÉENNE DU DISPOSITIF DE PROTECTION DES DONNÉES PERSONNELLES
1. Une réflexion engagée depuis longtemps par le Sénat
Dès 2009, le Sénat s'est saisi de cette problématique. D'importants travaux ont été menés par nos collègues M. Yves Détraigne et Mme Anne-Marie Escoffier, qui ont donné lieu à la publication du rapport d'information précité 15 ( * ) et à l'adoption, à l'unanimité par le Sénat, le 23 mars 2010, de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique 16 ( * ) , rapportée par notre collègue Christian Cointat. On ne peut que regretter que ce texte, précurseur sur de nombreux points, n'ait jamais été inscrit à l'ordre du jour de l'Assemblée nationale.
Ces travaux avaient mis l'accent sur la nécessité de faire du citoyen un « homo numericus » libre et éclairé, protecteur de ses propres données, et de compléter à cette fin le cadre juridique actuel. Le rapport préconisait notamment de renforcer les moyens de la CNIL, sa légitimité et sa crédibilité. Il proposait aussi de nouveaux outils de protection comme la reconnaissance d'un droit à l'oubli. Nos collègues avaient cependant appelé à la prudence quant à l'éventualité d'une révision de la directive de 1995.
Face au renforcement des enjeux numériques, c'est pourtant la voie de la révision de la directive qui a été choisie par la Commission européenne.
2. L'attente d'une réponse communautaire
Tirant toutes les conséquences de l'internationalisation de la diffusion des données personnelles et de son importance économique, le traité de Lisbonne a renforcé la compétence de l'Union européenne en matière de protection des données personnelles 17 ( * ) . La Commission européenne a engagé ses travaux sur cette base, afin de forger un dispositif européen applicable non seulement entre États membres mais aussi dans leurs échanges avec les États tiers.
Elle a ainsi lancé dès 2009, une consultation publique de l'ensemble des acteurs du secteur, qui a donné lieu à la publication le 4 novembre 2010 d'une communication intitulée « Une approche globale de la protection des données à caractère personnel dans l'Union européenne » 18 ( * ) .
Au terme de ce processus de consultation, la Commission a présenté, le 25 janvier 2012, deux instruments juridiques différents , concernant, l'un, les fichiers commerciaux ou tenus par des personnes privées , l'autre, certains fichiers mis en place par les autorités publiques :
- pour remplacer la directive de 1995, une proposition de règlement, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui fait l'objet de la présente proposition de résolution européenne ;
- pour remplacer la décision-cadre 2008/977/JAI 19 ( * ) , une proposition de directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données 20 ( * ) .
Pour les raisons évoquées en introduction, seul le premier de ces deux textes fait l'objet de la présente proposition de résolution.
* 15 Rapport d'information « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information » n° 441 (2008-2009).
* 16 Proposition de loi n° 93 (2009-2010), devenu le texte n° 81 (2009-2010) après adoption par le Sénat.
* 17 L'article 16 du Traité sur le fonctionnement de l'Union européenne dispose ainsi que « Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données ». L'article 8 de la Charte des droits fondamentaux de l'Union européenne dispose, quant à lui que « toute personne a droit à la protection des données personnelles la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données la concernant et d'en obtenir la rectification. Le respect de ces règles est soumis au contrôle d'une autorité indépendante ».
* 18 COM(2010) 609 final.
* 19 Décision-cadre 2008/977/JAI du conseil du 27 novembre 2008 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
* 20 Proposition de directive du Parlement européen et du Conseil [COM (2012) 10 final] relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (E7054).