Intervention de Simon Sutour

Le 25 janvier 2012, la Commission européenne a présenté ses propositions pour renouveler le cadre juridique de la protection des données à caractère personnel au sein de l'Union européenne. Ce nouveau cadre juridique se compose de deux propositions législatives : une proposition de règlement général sur la protection des données et une proposition de directive relative au traitement de données dans le cadre de la coopération policière et judiciaire en matière pénale.

Notre commission m'avait désigné rapporteur sur la proposition de règlement -vous le savez, une fois adoptés les règlements sont immédiatement applicables- et, après avoir entendu Mme Redding, avait présenté une proposition de résolution européenne, qui a été adoptée en séance publique le 6 mars 2012. Mme Redding nous avait dit qu'elle était entre nos mains, j'avais plutôt l'impression que nous étions dans les siennes ! Un an après, la proposition de règlement est encore loin d'être finalisée. Le Parlement européen devrait se prononcer en avril. De nombreux équilibres doivent être respectés pour parvenir à un texte acceptable, mais la présidence irlandaise semble vouloir accélérer les réunions des groupes de travail du Conseil, en vue d'un accord -au moins partiel- d'ici juin.

Restait le deuxième texte : la proposition de directive relative au traitement de données dans le cadre de la coopération judiciaire et policière en matière pénale. J'ai déposé une proposition de résolution au nom de la commission des affaires européennes. Cette proposition est devenue résolution du Sénat le 12 mars dernier.

La décision-cadre de 2008 s'applique au seul traitement de données à caractère personnel transmises ou mises à disposition entre les États membres. Le traitement des données par la police et la justice dans le cadre d'affaires pénales au niveau national ne relève pas de cette décision-cadre. Cet instrument n'a donc pas permis d'harmoniser les niveaux de protection sur le territoire européen. En outre, les dispositifs existants (Système d'Information Schengen, Europol, traité de Prüm, etc.) n'ont pas été révisés. En conséquence, plusieurs régimes juridiques spécifiques coexistent au sein de l'Union européenne dans ce domaine.

Le contenu de la décision-cadre de 2008 avait par ailleurs été critiqué par les autorités de protection de données regroupées au sein du « groupe de l'article 29 » dont fait partie la CNIL, notamment eu égard à l'insuffisant encadrement des données dites « sensibles » et des transferts de données vers des États tiers ou encore le faible rôle dévolu aux autorités de protection. La France disposait déjà d'un niveau de protection adéquat au sens de la décision-cadre, en particulier grâce à la loi « Informatique et Libertés », qui s'applique à tout traitement de données quelle que soit sa finalité. La décision-cadre n'a donc donné lieu à aucune mesure de transposition particulière en droit français.

Le traité de Lisbonne a par la suite établi le principe selon lequel toute personne physique a droit à la protection des données personnelles la concernant. Il a en outre créé une base juridique spécifique pour l'adoption de règles dans ce domaine, qui s'applique également à la coopération policière et à la coopération judiciaire en matière pénale.

Quelles sont les difficultés que soulève cette résolution ?

Nous pouvons approuver le choix de la Commission européenne de traiter ces questions dans un texte spécifique. Les questions pénales sont profondément marquées par les traditions nationales et de grandes différences subsistent entre les États membres : il apparaît donc difficile d'adopter un règlement. Il faut aussi saluer le choix de prendre en compte tant les échanges de données entre États membres que les traitements des données à l'intérieur de chaque pays. Cela permettra une mise en cohérence et évitera les difficultés pratiques rencontrées dans la mise en oeuvre de la décision-cadre de 2008 pour faire des distinctions selon la destination des données. En revanche, le champ d'application de la directive soulève certaines questions. On comprend mal l'exclusion des traitements mis en oeuvre par les organismes européens (comme Europol, Eurojust, Frontex...). Cela pose un problème de mise en cohérence et de lisibilité des dispositifs. En outre, il pourra être difficile de déterminer, pour certains traitements, s'ils relèvent de la directive ou du règlement général. De nombreux fichiers de police administrative, qui relèveraient, en l'état, de la proposition de règlement, devraient logiquement relever de la proposition de directive, afin de garantir une cohérence des règles applicables à ces fichiers « mixtes ».

Comme le Sénat l'a souligné lors de l'examen de la proposition de règlement, il convient de s'assurer que les garanties offertes par notre droit national ne seront pas réduites par la directive. Or, sur plusieurs aspects, le texte risque d'aboutir à un niveau moindre de protection. La résolution demande donc qu'une disposition expresse rappelle que la directive ne fournit qu'un seuil minimal de garanties et que les États membres peuvent prendre des mesures assurant un niveau supérieur de protection des données.

Lors de l'examen de la proposition de règlement, nous nous étions opposés aux multiples délégations faites à la Commission européenne sur des sujets essentiels qui devaient relever du législateur européen. Pour les mêmes motifs, dans ce texte, nous ne pouvons accepter que la Commission puisse adopter des actes délégués pour préciser les critères et exigences applicables à l'établissement d'une violation des données.

Le texte ne reprend pas le principe établi par la proposition de règlement selon lequel les données ne sont « traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel ». L'encadrement du recours à de tels traitements de données est insuffisant : en particulier, aucune disposition particulière n'est prévue en ce qui concerne le traitement de données relatives aux enfants.

Lors de l'examen des projets « passenger name record » (PNR), le Sénat a toujours manifesté son opposition à l'utilisation de ces données. La loi « Informatique et libertés » prévoit des conditions très strictes pour leur utilisation, dont on ne trouve pas l'équivalent dans ce texte alors même que les données biométriques, qui sont de plus en plus utilisées dans le cadre répressif, devraient faire l'objet d'un encadrement particulier.

Le texte se borne à préciser que les données ne doivent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées. Il ne prévoit aucun examen périodique de la nécessité de conserver des données traitées.

Les garanties en matière de droit des personnes concernées sont insuffisantes. En particulier, le droit d'opposition n'est pas même mentionné. En outre, les modalités concrètes d'exercice de ces droits apparaissent plus compliquées que dans la proposition de règlement.

Le transfert de données à des pays tiers est l'un des aspects les plus préoccupants de ce texte, comme du règlement. Les garanties ne sont pas suffisantes. En particulier, les responsables de traitement pourront évaluer eux-mêmes, en-dehors de tout cadre juridique établi et de tout contrôle de l'autorité de protection des données, si le transfert est entouré de garanties appropriées. En outre, des règles devraient être prévues pour les transferts ultérieurs de données transmises initialement par un État membre. Celui-ci devrait être consulté et donner son accord avant que ses données puissent être transférées de nouveau à un autre État par le destinataire du premier transfert.

Si le texte était adopté en l'état, le rôle et les pouvoirs des autorités de contrôle seraient en retrait par rapport à la loi française mais aussi à ce qui est prévu dans la proposition de règlement. Le pouvoir de contrôle a priori qui est exercé en France par la CNIL serait réduit : la consultation préalable des autorités ne serait requise que dans les cas où le traitement créé contient des données sensibles et lorsque le traitement utilise de nouvelles technologies susceptibles de porter atteinte aux droits fondamentaux. En outre, cette consultation n'aurait lieu que pour la création d'un nouveau fichier et non pour ses modifications ultérieures. Le pouvoir de contrôle a posteriori de la CNIL pourrait également être remis en cause : de nombreux pouvoirs prévus dans le cadre du règlement ne sont même pas mentionnés, alors que la CNIL dispose, sauf exception, de pouvoirs similaires sur tous les traitements de données, quels que soient leur finalité ou le responsable du traitement.

Au total, il s'agirait donc pour la France d'un réel recul par rapport aux dispositions nationales en vigueur : il faut absolument s'en prémunir -même si ce serait une avancée considérable pour de nombreux pays européens. Il convient donc de demander un niveau de sécurité et de protection des données au moins égal à celui dont nous bénéficions. La résolution du 12 mars a permis au Sénat d'attirer l'attention du Gouvernement sur tous ces points, tout en rappelant les préoccupations qu'il avait exprimées dans sa précédente résolution voilà un an. Il serait utile, Monsieur le Président, que nous demandions un temps de débat consacré à la protection des données personnelles dans le cadre d'une semaine de contrôle.