Intervention de Simon Sutour

Au cours de sa réunion de jeudi dernier, le groupe subsidiarité a considéré que la proposition de règlement relatif à la protection des données personnelles présentait un risque de non-conformité au principe de subsidiarité. J'ai présenté hier en commission des lois une proposition de résolution européenne, au titre de l'article 88-4 de la Constitution, qu'elle examinera la semaine prochaine et qui sera débattue en séance publique le 6 mars. Une telle procédure est exceptionnelle. Ce texte le mérite, car sa portée est considérable.

Nous nous penchons ce matin sur la seule question de la subsidiarité, selon le cadre fixé par l'article 88-6 de la Constitution. Nous examinons uniquement la proposition de règlement relatif à la protection des données à caractère personnel présentée par la Commission européenne le 25 janvier 2012, que nous a exposée Mme Reding lors de sa récente audition, et non pas la proposition de directive qu'elle présente également.

Ce règlement, qui remplacerait la directive du 24 octobre 1995, a pour objectif d'instaurer un climat de confiance dans l'environnement en ligne, essentiel selon la Commission, au développement économique. Ce texte suscite des interrogations au regard du principe de subsidiarité sur trois points.

Tout d'abord, la Commission européenne a fait le choix de proposer un règlement pour remplacer la directive de 1995, afin d'assurer une plus grande homogénéité au sein de l'Union. Or notre pays a adopté de longue date des dispositions pour protéger les données personnelles : la grande loi Informatique et libertés remonte à 1978 - notre législation a très largement inspiré la directive de 1995. Précisément, la proposition de règlement se montre moins exigeante que notre droit national pour les responsables de traitement. Puisqu'il s'agit d'un règlement, nous ne pourrons maintenir nos dispositions lorsqu'elles sont plus protectrices. S'agissant des droits des citoyens, il serait plus conforme au principe de subsidiarité de pouvoir garder nos dispositions plus protectrices, aussi longtemps que la législation européenne ne donnera pas toutes les garanties dont nous bénéficions aujourd'hui - nous retrouvons le débat qu'a illustré le rapport d'Alain Richard.

Ensuite, il faut préserver le rôle des autorités de contrôle. Les textes nécessaires n'étant pas aboutis, de nombreux points ne sont pas traités. La proposition de règlement renvoie à cinquante reprises à des actes délégués ou à des actes d'exécution que la Commission européenne prendrait seule. Des questions essentielles sont concernées, comme le droit à l'oubli numérique. On peut y voir une concentration excessive du pouvoir de décision entre les mains de la Commission européenne. Non seulement certaines questions devraient plutôt être réglées directement par le législateur européen - Parlement et Conseil -, mais elles pourraient l'être, dans certains cas, ce qui met en cause la subsidiarité, par les autorités de contrôle des États membres, éventuellement regroupées au niveau européen. La rapidité des évolutions technologiques requiert une capacité d'adaptation permanente. Nos autorités de contrôle nationales sont réactives. Elles ont su coordonner leur action au sein du G29. Elles paraissent mieux placées que la Commission européenne pour appréhender les défis technologiques.

Enfin, la proposition de règlement retient la compétence d'une seule autorité de contrôle, celle du principal établissement du responsable de traitement. Ce guichet unique éloigne la décision du citoyen.

Quand un citoyen soulèvera un problème le concernant, la décision pourra être renvoyée à l'autorité de contrôle d'un autre pays. Ainsi, pour un Français en litige avec Facebook, c'est l'autorité de contrôle irlandaise qui tranchera. Les moyens de l'autorité compétente pour un pays de 4,6 millions d'habitants ne sont peut-être pas adaptés au traitement des saisines potentielles de centaines de millions de citoyens européens ! Une gestion de proximité serait plus pertinente et mieux à même d'enraciner la construction européenne dans l'opinion publique. Il serait préférable de poser la compétence de l'autorité de contrôle de l'État membre où réside le plaignant, comme c'est le cas en droit de la consommation. Dessaisir l'autorité de contrôle nationale, c'est éloigner la décision du citoyen, à rebours du principe de subsidiarité, le seul qui nous importe ce matin, puisque nous examinerons le fond jeudi prochain, qui a fait hier l'objet d'un débat très intéressant et d'un vote quasi unanime de la commission des lois.