Intervention de Fleur Pellerin

J’en viens au fichier national automatisé des empreintes génétiques, ou FNAEG. Mme Assassi a indiqué que ce fichier avait été créé, à l’origine, pour suivre les délinquants sexuels, et seulement eux, alors qu’il permettrait aujourd’hui d’enregistrer également les empreintes génétiques des manifestants.

Il semble donc nécessaire de préciser le champ d’application de ce fichier. Aujourd’hui, il n’est possible d’enregistrer les empreintes génétiques d’un individu que dans le cadre de la commission des infractions recensées à l’article 706-55 du code de procédure pénale, parmi lesquelles figurent les infractions de nature sexuelle, les crimes contre l’humanité, les délits d’atteinte à la vie, et les atteintes aux intérêts fondamentaux de la nation. Y ont été ajoutés les crimes et délits de vols, d’extorsions, d’escroqueries, de destructions, de dégradations, de détériorations et de menaces d’atteintes aux biens.

Aucun article du code pénal n’incrimine le fait de participer pacifiquement à une manifestation, mesdames, messieurs les sénateurs. La liberté de manifester fait en effet partie des droits et libertés inclus dans le bloc de constitutionnalité.

Il faut également souligner l’intérêt du FNAEG. Le fichier permet l’identification de cadavres anonymes à la suite d’une catastrophe naturelle, ainsi que la recherche de personnes disparues à l’aide de leur profil génétique, de celui de leurs descendants ou de leurs ascendants.

Je souhaite également apporter un certain nombre de précisions sur le fichier automatisé des empreintes digitales, le FAED.

Le 18 avril 2013, la Cour européenne des droits de l’homme a rendu une décision invitant à modifier le décret du 8 avril 1987 relatif au FAED, géré par le ministère de l’intérieur, en considérant que certaines de ses dispositions, ainsi que l’application qui en avait été faite, étaient contraires à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, portant sur le respect de la vie privée. Un projet de décret modifiant ce texte de 1987 est en cours d’adoption par le Gouvernement.

Il a pour objectif de limiter aux seuls crimes et délits le champ infractionnel au sein duquel il est possible de recourir au traitement. Il vise également à garantir un droit effectif à l’effacement des données personnelles des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un classement sans suite ou d’un non-lieu avant vingt-cinq ans, la durée maximale de conservation des données.

Dans ces hypothèses, l’effacement, demandé par l’intéressé, serait de plein droit. Le procureur de la République pourra cependant prévoir, pour les cas de non-lieu ou de classement sans suite pour insuffisance de charges, que les données seront conservées pour une durée variable de trois à dix ans, en fonction de la nature de l’infraction, pour des raisons liées à la finalité du traitement.

Ce projet de décret en Conseil d’État, dont le ministère de l’intérieur a saisi le ministère de la justice en juillet 2013, doit recueillir l’avis de la CNIL très prochainement.

Toujours dans le champ des données personnelles, j’en viens à des questions qui concernent plus particulièrement l’économie numérique.

Monsieur Détraigne, vous avez dit que le Gouvernement pourrait compter sur le Sénat chaque fois qu’il lutterait pour le maintien d’un niveau élevé de protection. C’est bien ce que le Gouvernement, singulièrement Christiane Taubira, cherche à faire dans les discussions sur le projet de règlement européen, notamment sur les questions relatives au guichet unique et aux transferts de données, que de nombreux orateurs ont abordées.

Mesdames, messieurs les sénateurs, nous voulons maintenir un très haut niveau de protection des données. Cela peut être considéré comme une contrainte par certains opérateurs économiques en Europe, mais c’est pour nous, aussi, un facteur de la compétitivité de nos sociétés et de nos économies.

À la suite des révélations liées au programme Prism, certaines entreprises américaines s’inquiètent de voir fondre leur chiffre d’affaires, parce que la confiance dans leur capacité à protéger les données économiques ou personnelles est partiellement rompue.

Vous le voyez, mesdames, messieurs les sénateurs, un haut niveau de protection des données personnelles de nos concitoyens peut également être un élément d’attractivité et de compétitivité pour notre économie.

Dans nos discussions européennes sur le sujet, nous ne militerons donc pas pour un nivellement par le bas des exigences de protection. Nos préoccupations sont bien celles que j’ai décrites au début de mon intervention. Je le sais très bien, le Sénat est en pointe en la matière, et nous pourrons compter sur la vigilance de ses membres.

J’en viens à la question des pouvoirs de la CNIL, évoquée par Mme Lipietz et M. Détraigne.

Le 28 février dernier, le Gouvernement a annoncé qu’il souhaitait renforcer les pouvoirs de la CNIL dans le cadre de la loi sur l’innovation et la confiance dans l’économie numérique, afin de les adapter au monde numérique actuel.

La relation entre la CNIL, autorité de contrôle, les entreprises et les utilisateurs doit évoluer. Elle doit probablement être moins réglementaire et davantage orientée vers l’accompagnement des acteurs.

Deux instruments me paraissent pouvoir être mobilisés à cette fin. Je pense, bien sûr, au règlement européen, qui modifiera les missions des autorités de contrôle nationales, comme la CNIL, mais également à la loi sur la confiance et l’innovation dans l’économie numérique que je souhaite déposer et dont l’objectif sera de clarifier certains dispositifs.

Le droit à l’oubli – question qui a été évoquée pratiquement par tous les intervenants – figure dans le projet de règlement sous la forme d’une disposition qui vise à étendre le droit de suppression par la personne concernée de contenus accessibles via des intermédiaires tels les moteurs de recherche ou les réseaux sociaux. Ce droit à l’oubli nous paraît aujourd’hui effectivement nécessaire.

Cette disposition suscite cependant de nombreuses contestations et des polémiques, notamment au regard de la liberté d’expression. Mais je dois bien dire qu’aucune solution alternative n’a été apportée pour répondre au problème posé, qui est le suivant : que puis-je faire, en tant que personne, quand je ne parviens pas à faire effacer des informations me concernant par les mécanismes classiques du droit de suppression ?

Il me semble indispensable de répondre à ce besoin par l’introduction d’un principe, celui du droit à l'oubli. Ce principe est en effet pertinent parce que, in fine, il permettra au juge de trouver, au cas par cas, l'équilibre entre le droit à l'oubli et la liberté d’expression, et éventuellement la liberté de la presse. Cet équilibre sera évidemment différent selon qu’il s’agira d’une personne non publique, c’est-à-dire un particulier, ou d’une personne publique.

La question de l’applicabilité de la loi française ou de la territorialité de la loi française a également été soulevée, notamment par M. Sutour. Il s’agit effectivement d’une question extrêmement importante, car nous avons parfois bien des difficultés non seulement à faire respecter la loi mais encore à trouver des solutions pour la faire respecter.

Le cadre actuel utilise des critères pour la loi applicable qui ne sont, à l’évidence, pas adaptés au monde numérique d’aujourd’hui : il s’agit de la localisation de l'établissement principal et des « moyens de traitement ».

Le règlement européen est précisément l’occasion de clarifier l’application de la loi européenne à tous les services opérant en Europe. Cela implique de définir un critère clair de territorialité, par exemple le ciblage de résidents en Europe et la garantie de la possibilité pour chacun de faire appel à son autorité nationale.

Par ailleurs, la législation prévoit aujourd’hui plusieurs moyens pour transférer les données hors d’Europe. Ce cadre a apporté dans les faits une protection extrêmement relative des données des personnes hors d’Europe. Une révision est aujourd’hui nécessaire afin que le niveau de protection soit consolidé et que le système proposé soit acceptable dans le cadre des relations transatlantiques.

Le Safe harbor doit également être revu, afin d’assurer que le transfert des données personnelles des citoyens européens vers des pays tiers, qui n’ont pas forcément le même niveau de protection des données personnelles et de respect de la vie privée, s’opère dans des conditions qui soient plus protectrices pour nos concitoyens.

S’agissant de la question de savoir si le règlement est aujourd'hui adapté et comment doit se faire l’harmonisation des réglementations – soit par le haut, soit par le bas –, je crois qu’il est important de rappeler que, si les principes de base sont plus ou moins partagés en Europe, il reste tout de même des divergences extrêmement fortes dans leur application, entre, d’un côté, des pays qui sont plutôt protecteurs, plutôt régulateurs, tels que la France, l’Allemagne, les pays latins, et, de l’autre, des pays plus libéraux, comme le Royaume-Uni, l’Irlande, les Pays-Bas ou les pays scandinaves.

Ces différences dans les réglementations reflètent des cultures et des histoires différentes. Ainsi, par exemple, après la Seconde Guerre mondiale, l’Allemagne a inscrit dans sa loi fondamentale l’interdiction de créer un fichier central de la population.

En raison de ces différences, la question est donc posée de savoir s’il est préférable d’adopter un règlement ou une directive. Le règlement offre selon moi le double avantage de renforcer l’intégration européenne et de simplifier le cadre juridique pour les entreprises. Cependant, il présente effectivement un risque, celui de réduire le niveau de protection actuelle des personnes en entraînant un nivellement par le bas sous l’influence, notamment, des pays les plus libéraux.

Mesdames, messieurs les sénateurs, oui, il nous faut ensemble faire en sorte que nous puissions défendre le maintien d’un haut niveau de protection et que les négociations préalables à l’adoption de ce règlement ne se fassent pas dans le sens d’une moindre protection pour les libertés publiques comme pour le respect de la vie privée.

Pour Mme Morin-Desailly, « l’heure du sursaut semble avoir sonné en France ». Nous avons beaucoup œuvré en ce sens. Nous avons d’abord travaillé dans le cadre des discussions sur le règlement européen, en particulier en ce qui concerne le guichet unique et la renégociation de l’accord de Safe harbor. Nous avons aussi et surtout œuvré – ce sera l’actualité de la semaine prochaine – à la mobilisation, notamment de nos homologues européens, autour du prochain Conseil européen, qui sera consacré au numérique.

Vous avez fait allusion à la nécessité de travailler sur l’industrie numérique européenne pour faire en sorte que nous soyons moins dépendants à l’égard d’acteurs non européens qui ne respectent pas nos réglementations, que ce soit en matière de libertés publiques, de protection de la vie privée ou de fiscalité. Il est effectivement très urgent de faire en sorte que nous puissions, par une action avisée et collective sur l’écosystème de l’économie numérique, créer des champions, des acteurs qui auront une taille mondiale et qui, eux, respecteront nos valeurs et nos réglementations.

La meilleure des batailles est bien celle-ci, selon moi : reconquérir une forme de souveraineté économique à travers l’émergence d’un véritable écosystème numérique européen. En effet, nos valeurs et nos réglementations ne prévaudront que si nous avons des acteurs qui entendent s’y soumettre.

La France a également joué un rôle important dans cette prise de conscience de la nécessité de travailler sur l’environnement de l’économie numérique afin de recouvrer cette forme de souveraineté. Nous nous sommes efforcés de mobiliser, notamment lors d’une réunion que j’ai tenu à organiser le mois dernier avec mes homologues européens, pour faire avancer cet agenda européen qui porte non pas uniquement sur la régulation des télécommunications, mais aussi sur les moyens que l’Europe doit se donner pour créer une véritable Europe du numérique fondée sur des acteurs économiques puissants.

Monsieur Gorce, à propos notamment de l’Open data, vous avez raison, il faut réfléchir aussi à un modèle de société, à la défense de nos valeurs. Je pense avoir partiellement répondu en disant que nous n’avons pas, d’un côté, ceux qui ont une vision trop économique des choses et qui essayent de courir après les acteurs américains du numérique, y compris en faisant parfois des concessions sur nos valeurs, et, de l’autre, ceux qui défendraient ces mêmes valeurs.

L’enjeu est au contraire d’aider les acteurs français et européens à acquérir ce pouvoir de marché qui nous permettra, demain, de faire prévaloir un certain nombre de valeurs et de faire en sorte que ces acteurs respectent nos réglementations, ce qui n’est pas le cas aujourd’hui pour tous ceux qui, non européens, s’estiment soumis à d’autres juridictions.

Pour en revenir à l’ouverture des données publiques, il est vrai que c’est un enjeu de développement économique, mais pas seulement. Ainsi, j’ai pu constater qu’aux États-Unis l’ouverture d’un certain nombre de données publiques de santé a permis d’énormes progrès en épidémiologie, pour anticiper l’arrivée du virus de la grippe, par exemple.

Ces données sont bien entendu libérées moyennant des garanties d’anonymisation, afin que l’on ne puisse pas mettre en ligne des données - ou y avoir accès - qui comporteraient des indications sur des personnes nommément désignées.

Cette question comporte donc à la fois des enjeux de société, des enjeux de prévention en matière de santé publique, des enjeux économiques…

Cette politique relative aux données publiques doit évidemment être conduite d’une manière qui ne soit pas trop naïve ou trop systématique, et s’inscrire dans un cadre réfléchi établissant la manière dont nous entendons protéger la vie privée, les données personnelles, et les données publiques.