Intervention de Simon Sutour

Monsieur le président, madame la ministre, mes chers collègues, je voudrais tout d’abord remercier le Gouvernement d’avoir accepté ce débat dont mon collègue Jean-Pierre Sueur et moi-même avons souhaité la tenue. Le Sénat est en effet ici dans son rôle, car la protection des données personnelles touche directement aux libertés fondamentales de nos concitoyens.

Chaque jour, nous pouvons constater de nouveaux progrès accomplis par les technologies de l’information et de la communication. Ils présentent bien des avantages. Ils accélèrent la circulation de l’information, la rendent plus rapidement disponible. Ils simplifient beaucoup d’actes de la vie quotidienne. Ils rapprochent les individus par-delà les distances qui les séparent. Ces progrès sont aussi des atouts pour la croissance économique. Ils offrent également de nouveaux instruments pour agir plus efficacement face aux nouvelles menaces que sont le terrorisme ou la criminalité transfrontière.

Mais nos concitoyens sont aussi en droit d’attendre que leurs données personnelles ne soient pas utilisées pour des finalités multiples, sans leur consentement. Les données qu’ils ont transmises un jour ne doivent pas ensuite pouvoir être diffusées très largement à leur insu. Nos concitoyens veulent voir leurs droits protégés face aux risques de nombreux abus. Ils veulent légitimement avoir des garanties. Ils doivent disposer de voies de recours leur permettant d’accéder à leurs données personnelles afin de les faire rectifier ou effacer.

Tout cela montre qu’une grande vigilance s’impose. C’est le devoir du législateur, qu’il soit national ou européen, d’établir des règles sûres pour prévenir les abus. C’est aussi la responsabilité des pouvoirs publics de veiller à ce que les données personnelles de nos concitoyens ne soient pas transférées de façon erratique à d’autres pays.

Le monde a découvert tout récemment avec stupéfaction l’existence du programme américain PRISM. Ce programme a permis aux services de sécurité américains de surveiller les communications des non-Américains transitant par les serveurs de Google, Facebook, Yahoo ! ou encore Microsoft, et d’accéder aux bases de ces entreprises.

Un « groupe d’experts » a été créé pour faire la lumière sur ce scandale. Il réunit les États membres, la Commission européenne et les autorités américaines. Nous voulons être informés des résultats de ces travaux.

Le Parlement européen a lui-même décidé, en juillet dernier, de créer une commission d’enquête. Cette commission devra récolter auprès de sources européennes et américaines tous les faits liés à PRISM. Il en évaluera les conséquences sur les droits des citoyens.

En septembre, des informations de presse ont indiqué que les services américains auraient surveillé l’entreprise Swift. Basée en Belgique, cette société sécurise les transferts bancaires internationaux. Si tel était le cas, ce serait une violation ouverte de l’accord conclu en 2010 entre l’Union européenne et les États-Unis.

Dans une résolution du 21 novembre 2009 – mon collègue Yves Détraigne y a fait référence –, le Sénat avait souligné les garanties qui devraient figurer dans un tel accord : garanties sur le respect des finalités de la transmission de données, sur la durée de leur conservation, sur les limitations de l’accès aux données. De fait, l’accord a prévu certaines garanties, en particulier sur la détention des données Swift dans un environnement sécurisé et avec un stockage séparé des autres données.

Quelle est l’appréciation du Gouvernement, madame la ministre ? Y a-t-il eu selon vous violation de l’accord ?

Au-delà, nous devons nous interroger sur l’efficacité du cadre juridique européen de la protection des données. Il est en cours de révision. J’ai été amené à présenter au Sénat des propositions de résolution au titre de la commission des affaires européennes et de la commission des lois, sur les textes proposés par la Commission européenne.

Le premier texte est une proposition de règlement qui fixera un nouveau cadre général pour la protection des données personnelles. Ce texte sera d’application directe dans tous les États membres. Le Sénat a mené un débat approfondi sur ce dispositif. Il fut d’autant plus approfondi que, durant tout un après-midi, nous avions auditionné la commissaire européenne Mme Viviane Reding, avec laquelle nos échanges furent francs et même parfois un peu vifs. Dans une résolution du 6 mars 2012, nous avions en particulier affirmé la nécessaire compétence de l’autorité de contrôle du pays de résidence. C’est une garantie essentielle pour les citoyens.

Plusieurs options seraient en discussion au Conseil. Au Parlement européen, la commission des libertés civiles, de la justice et des affaires intérieures, dite « commission LIBE », doit se prononcer prochainement. Notre position est claire et unanime : nos concitoyens doivent pouvoir continuer à s’adresser à leur autorité de contrôle, à savoir la CNIL, qui a depuis longtemps fait ses preuves.

Par ailleurs, l’étendue des délégations de pouvoir accordées à la Commission européenne ne nous avait pas paru acceptable. Nous avions aussi dénoncé les dérogations inopportunes aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données. Plus profondément, il nous était apparu essentiel que les États membres gardent la possibilité de garantir un haut niveau de protection des droits des personnes concernées. Nous avons la chance en France – c’est le fruit de notre histoire et d’un certain consensus national – d’avoir une haute protection des données. Nous ne voulons pas qu’une harmonisation au niveau européen aboutisse à une uniformisation par le bas, même si nous savons que nous avons la possibilité, en le demandant, de conserver ce haut niveau.

Madame la ministre, j’aimerais connaître la position du Gouvernement sur ce sujet. Où en est la négociation sur cette question au Conseil ?

Notre pays a joué un rôle moteur dans la protection des données personnelles en Europe. Notre loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, a largement inspiré la directive européenne de 1995. Elle offre à nos concitoyens un cadre de protection efficace et éprouvé. Il faut bien sûr avancer sur la voie de l’harmonisation européenne. Mais, comme je l’ai indiqué précédemment, notre pays ne peut accepter de voir le niveau de protection régresser au motif de cette harmonisation. Il faut donc promouvoir une harmonisation par le haut et préserver le niveau de garanties qu’offre notre législation.

Tout cela nous avait conduits à adopter également un avis motivé sur la subsidiarité au titre de l’article 88-6 de la Constitution. En effet, c’est aussi le devoir du Sénat de veiller à ce que les propositions de la Commission européenne n’excèdent pas ce qui est nécessaire pour atteindre l’objectif.

Pouvez-vous nous dire, madame la ministre, si, en l’état de la négociation, le texte permet de préserver notre niveau élevé de protection des données personnelles ?

La Commission européenne a par ailleurs fait le choix, que nous approuvons, de traiter dans un texte spécifique – une proposition de directive – la question de la protection des données personnelles dans le cadre de la coopération policière et judiciaire pénale.

Nous avons exprimé plusieurs préoccupations dans une résolution du 12 mars 2013. Oui, la sécurité des citoyens est un objectif essentiel. Il faut donc développer la coopération judiciaire et policière. Mais il faut aussi maintenir un niveau élevé de protection des droits fondamentaux, en particulier dès lors que sont en cause les données personnelles.

Là encore, que constatons-nous ? Que notre cadre juridique permet d’avoir un haut niveau de protection. Je rappelle qu’il repose sur un principe fondamental. Les traitements de données nécessaires dans le cadre des activités répressives de l’État doivent être mis en œuvre conformément aux principes généraux de protection des données. Cela n’exclut pas l’existence de dérogations à condition qu’elles soient justifiées et surtout proportionnées aux besoins.

Il faut donc dire clairement que la directive ne fournit qu’un seuil minimal de garanties. Les États membres doivent pouvoir aller au-delà et prévoir des dispositions nationales plus protectrices. Là aussi, je vous interroge sur les intentions du Gouvernement, que vous représentez ici ce matin, madame la ministre.

Nous estimons également que la directive devra être beaucoup plus précise quant aux personnes habilitées à avoir accès aux données.

Nous considérons que l’utilisation de données sensibles doit en principe être interdite. Les dérogations éventuelles à cette règle ne peuvent être tolérées que de manière exceptionnelle. En outre, le traitement des données biométriques devrait faire l’objet d’un encadrement spécifique. La durée de conservation des données est un autre enjeu majeur. Les États membres doivent prévoir un délai de conservation précis. Enfin, nous avons considéré que le dispositif sur les transferts de données aux pays tiers était largement insuffisant.

Où en est, madame la ministre, la négociation de ce texte ? Nos objections sont-elles prises en compte dans les discussions en cours ? Comme mon ami M. Détraigne l’a indiqué, si nous avons souhaité, dans le cadre de cette semaine de contrôle, instituer ce débat, c’est pour avoir un suivi quant à l’« efficacité » de nos propositions de résolution, même si nous ne méconnaissons pas les contraintes qui sont celles du Gouvernement.

L’Union européenne négocie par ailleurs avec les États-Unis un accord-cadre sur la protection des données. Où en est la négociation de cet accord ? Un lien sera-t-il établi avec les accords PNR, ou Passenger Name Record ? Cet accord-cadre respectera-t-il une cohérence avec la révision en cours du cadre juridique européen ?

La Commission européenne a en outre proposé un texte visant à créer un PNR européen. Au sein du Parlement européen, les députés de la commission LIBE ont rejeté ce texte. Ils ont considéré que la protection des données personnelles était insuffisante.

Dans une résolution du 30 mai 2009, le Sénat avait lui-même estimé que le régime de protection des données devait être clarifié. Nous avions souhaité un haut niveau de protection par référence aux standards du Conseil de l’Europe. Là encore, nous avons demandé l’exclusion des données sensibles. Le Sénat avait préconisé une durée de conservation des données de trois ans plutôt que la durée de sept ans initialement proposée. Il avait jugé nécessaires des garanties renforcées pour le transfert de données aux pays tiers.

Où en est-on de ces négociations ? Le Gouvernement a-t-il pris en compte les priorités du Sénat ?

Telles sont, mes chers collègues, les observations que je voulais faire au nom de la commission des affaires européennes sur ce sujet très important. Ce sont les libertés fondamentales qui sont concernées. Dans un contexte en constante évolution, les motifs d’inquiétude ne manquent pas. Le Sénat, madame la ministre, attend des réponses aux priorités qu’il a mises en avant, dans son rôle de vigilance pour la protection des droits fondamentaux. §