Intervention de Yves Détraigne

Monsieur le président, madame la ministre, mes chers collègues, la commission des lois a souhaité organiser ce débat, conjointement avec la commission des affaires européennes, à la suite d’une communication du président de la commission des affaires européennes, M. Simon Sutour, au sujet de la proposition de directive européenne relative au traitement des données dans le cadre de la coopération policière et judiciaire en matière pénale.

L’actualité européenne relative à la protection des données personnelles, à la suite de la proposition en 2012 de règlement général sur la protection des données, sur laquelle le président de la commission des affaires européennes reviendra, tout comme les discussions en cours sur le projet de directive PNR, ou Passenger Name Record, pour laquelle nous sommes attentifs à préserver l’équilibre entre sécurité et liberté, a incité nos deux commissions à proposer au Sénat de débattre de ces sujets.

Cependant, la question est vaste et ne saurait se cantonner au renouvellement du cadre juridique relatif à cette matière au sein de l’Union européenne.

Si la commission des lois s’est saisie dès le mois de février 2012 des propositions de la Commission européenne, c’est que l’enjeu est de taille pour notre législation. Le règlement, lorsqu’il sera adopté, s’imposera en effet à la France et se substituera à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. C’est pourquoi la commission des lois avait présenté une proposition de résolution européenne que le Sénat a adoptée le 6 mars 2012.

Cette résolution demandait notamment au Gouvernement de veiller à ce que la possibilité pour les États membres d’adopter des mesures plus protectrices des données personnelles soit préservée. Je réitère ici cette demande.

Ce débat est ainsi l’occasion pour nos deux commissions de signifier au Gouvernement qu’elles sont vigilantes dans le suivi des résolutions européennes adoptées par notre assemblée, que ces dernières portent sur le nouveau cadre juridique de l’Union européenne pour la protection des données personnelles, sur les fichiers de passagers de transport aérien, le fichier PNR, ou encore sur l’utilisation à des fins répressives des empreintes digitales des demandeurs d’asile recueillies dans la base Eurodac ou des étrangers entrant dans l’espace Schengen pour un court séjour.

Ce débat est également l’occasion de dresser un bilan des travaux menés par la commission des lois sur les questions posées par la protection des données personnelles et d’ouvrir des perspectives.

Avec notre ancienne collègue, Anne-Marie Escoffier, j’ai été le coauteur du rapport relatif au respect de la vie privée à l’heure des mémoires numériques, présenté en commission des lois en 2009, et de la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont notre excellent collègue Christian Cointat était le rapporteur et qui a été adoptée par notre assemblée le 23 mars 2010. Malheureusement, ce dernier texte est toujours en attente de discussion à l’Assemblée nationale. Malgré les années écoulées, certaines des difficultés que nous avions soulevées à l’époque demeurent, et certaines de nos propositions n’ont malheureusement toujours pas trouvé d’écho.

Le premier constat que nous avions formulé à l’époque était la méconnaissance de nos concitoyens, notamment des plus jeunes, des conséquences que pouvait avoir l’utilisation des nouvelles technologies de l’information sur leur vie privée. Je pense à la divulgation volontaire d’informations personnelles via les réseaux sociaux – Facebook, Google +, Twitter ou autres –, mais également à tous les outils mis en œuvre par les opérateurs pour recueillir des données personnelles à l’insu des utilisateurs : les cookies, ces petits fichiers qui facilitent certes la navigation des internautes mais permettent également de conserver en mémoire un grand nombre d’informations relatives aux habitudes de navigation ; la géolocalisation, qui permet de « tracer » les individus ayant utilisé, par exemple, un GPS ; la biométrie, bien souvent présentée comme un confort pour les individus, mais qui emporte en contrepartie leur « fichage » dans des bases de données ; le « profilage ».

Le rapport se félicitait de la prise de conscience des autorités et des efforts mis en œuvre pour réguler ces pratiques. Toutefois, le contentieux qui oppose aujourd’hui la Commission nationale de l’informatique et des libertés, la CNIL, à Google montre que le chemin est encore long, et qu’il passe en grande partie par l’éducation et par l’information des citoyens.

Ainsi, la première recommandation du rapport portait-elle sur le renforcement de la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires. La deuxième recommandation était relative à la diffusion d’une campagne d’information à grande échelle destinée à sensibiliser les citoyens aux enjeux liés à la vie privée et à la protection des données à l’heure du numérique, ainsi qu’à les informer des droits que leur reconnaît la loi « informatique et libertés ».

Afin de prévenir une défiance excessive des citoyens, il était préconisé parallèlement la mise en place de labels identifiant et valorisant des logiciels, applications et systèmes protecteurs de la vie privée. En 2011, la CNIL a mis en œuvre une procédure de labellisation des produits ou des procédures respectueux de la vie privée des internautes, basée sur le volontariat. C’est une initiative qui mérite d’être saluée et encouragée.

Je ne voudrais pas déflorer, s’agissant des moyens mis à disposition de la CNIL et de leur adéquation à ses missions sans cesse accrues, le prochain avis budgétaire de notre collègue Virginie Klès, qui veille à ces sujets chaque année dans la lignée des travaux de la commission.

En revanche, on peut regretter que la recommandation de rendre obligatoire la désignation de correspondants « informatique et libertés » pour les structures publiques et privées de plus de cinquante salariés n’ait toujours pas été suivie d’effets. Actuellement, cette démarche reste fondée sur le volontariat.

De même, il serait temps de relever le plafond des sanctions pécuniaires susceptibles d’être prononcées par la CNIL. L’article 47 de la loi de 1978 limite en effet la sanction financière à 150 000 euros, ou à 300 000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d’affaires hors taxes du dernier exercice clos. Face à la puissance financière de groupes mondiaux comme Google, on mesure la faiblesse du pouvoir d’intimidation de l’autorité française...

Par ailleurs, il serait grand temps de trancher la controverse juridique et de reconnaître à l’adresse IP le statut de donnée personnelle. Cette adresse numérique utilisée par les ordinateurs pour « communiquer » entre eux sur les réseaux est en effet considérée par le juge et le législateur européens comme une donnée personnelle ; cependant, cet acquis est fragile, comme le montre le projet de règlement européen. En France, la controverse n’est toujours pas définitivement tranchée, l’appréciation du juge dépendant de la faculté offerte ou non par le traitement de données d’identifier une personne physique. Une clarification au niveau national permettrait, à n’en pas douter, une meilleure défense des intérêts des internautes aux niveaux européen et international.

Dans le même ordre d’idée, notre droit mériterait d’être complété d’un droit à l’oubli sur Internet. À cet égard, la proposition de règlement européen pourrait être un complément utile à notre législation nationale dans la mesure où elle consacre le droit de toute personne à obtenir du responsable d’un traitement de données l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données.

La question de l’articulation de ce nouveau droit avec l’exercice de la liberté d’expression se pose néanmoins, ainsi que la commission des lois a pu le constater lors de l’examen, l’hiver dernier, de la proposition de loi relative à la suppression de la discrimination dans les délais de prescription prévus par la loi sur la liberté de la presse du 29 juillet 1881.

Pour perfectible que soit notre législation, la commission des lois se félicite, à raison, du haut niveau de protection garanti aux citoyens par la loi de 1978, qui a inspiré la directive européenne de 1995. Le rapport du groupe de travail appelait donc à soutenir la dynamique en cours tendant à la définition de standards internationaux dans le domaine de la protection des données personnelles. Cette intention était louable, mais, dans la perspective des négociations en cours au niveau de l’Union européenne, on peut craindre que le nivellement des législations en Europe ne se fasse par le bas plutôt que par le haut. Madame la ministre, à chaque fois que vous lutterez pour défendre le maintien d’un haut standard de protection pour nos concitoyens, vous pourrez compter sur le soutien du Sénat.

Je ne peux laisser de côté l’un des sujets de préoccupation majeure de la commission des lois du Sénat : la question des fichiers.

Le rapport précité recommandait de réserver au législateur la compétence exclusive pour créer un fichier de police. Sur ce point, les deux chambres du Parlement étaient unanimes, une mission d’information de la commission des lois de l’Assemblée nationale ayant abouti strictement aux mêmes conclusions que la commission des lois du Sénat. Les articles 25 et 26 de la loi de 1978 n’ont cependant toujours pas été modifiés en ce sens, en dépit du dépôt par nos collègues de l’Assemblée nationale d’une proposition de loi.

Le législateur, lui-même, doit préserver un équilibre vertueux entre sécurité et liberté lorsqu’il s’agit de créer de nouveaux fichiers. Ainsi, la commission des lois du Sénat n’aura de cesse d’appeler à la vigilance lorsqu’il s’agit de constituer des bases de données contenant des données personnelles et d’insister, à ce propos, sur la jurisprudence du Conseil constitutionnel.

Je rappellerai donc que, appelé à se prononcer sur la constitutionnalité de la création d’un fichier central biométrique des cartes nationales d’identité et des passeports, lors de l’examen de la loi relative à la protection de l’identité, le Conseil constitutionnel a censuré cette disposition, considérant que, « eu égard à la nature des données enregistrées » – il s’agissait de données biométriques –«, à l’ampleur de ce traitement » – il concernait potentiellement la quasi-totalité de la population française –«, à ses caractéristiques techniques » – il permettait non seulement l’authentification, mais également l’identification des personnes – « et aux conditions de sa consultation » – la pluralité de ses finalités –«, les dispositions de l’article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ».

À cet égard, je relève que le juge constitutionnel a repris la position défendue par le Sénat sur l’initiative de notre collègue François Pillet, donnant ainsi raison aux arguments avancés par la commission des lois lors des débats parlementaires.

Cette position nous rappelle que la protection des données personnelles, au titre du droit au respect de la vie privée, concerne chacun d’entre nous. L’évolution des technologies ne doit pas nous faire perdre de vue ce principe constitutionnel, non plus que notre responsabilité de législateur pour en assurer la préservation.

Le rapport du groupe de travail de la commission des lois concluait d’ailleurs ses recommandations par la proposition d’inscrire dans notre Constitution la notion de droit au respect de la vie privée, ainsi que cela avait déjà été proposé par le projet de loi constitutionnelle issu des travaux du Comité Vedel, en 1993.