Intervention de Simon Sutour

L'actualité dramatique que nous vivons tous montre l'urgence accrue de mettre en oeuvre les préconisations de nos résolutions européennes.

J'en viens à ma communication sur « la protection des données personnelles ».

La directive 95/46 établit un certain nombre de règles relatives à la licéité, à la sécurité et à la transparence du traitement des données à caractère personnel.

Mais ce texte fondateur remonte déjà à plus de 20 ans. Depuis lors, le monde de l'Internet a connu une croissance exceptionnelle. Rappelons que les internautes étaient au nombre de 30 à 40 millions en 1995, ils devraient être plus de 3 milliards en 2015 soit plus de 42 % de la population mondiale. Cette progression considérable des flux de données, notamment à travers les réseaux sociaux, l'informatique en nuage ou les moteurs de recherche, a augmenté dans les mêmes proportions le risque de perte de contrôle des données personnelles.

D'où la nécessité d'une actualisation du droit européen afin de renforcer la protection des citoyens européens tout en améliorant la sécurité juridique des entreprises responsables des traitements.

La Commission européenne a donc proposé le 25 janvier 2012 une proposition de règlement général sur la protection des données personnelles ainsi qu'une proposition de directive spécifique pour les données traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Ce paquet législatif a fait l'objet, à mon initiative, de deux résolutions européennes du Sénat le 6 mars 2012 et le 7 février 2013. Ces résolutions insistaient notamment sur l'importance du rôle de l'autorité de contrôle du pays de résidence des citoyens dont les données à caractère personnel font l'objet d'un traitement ainsi que sur la nécessité d'encadrer le transfert de données au pays tiers. L'idée principale était de faire en sorte que la protection des données personnelles des citoyens français ne subisse pas une « moins-value » avec l'entrée en vigueur d'un droit européen en la matière.

Je rappellerai très brièvement que les débats au Parlement européen ont principalement porté sur :

- l'encadrement du transfert des données aux pays tiers ;

- les sanctions pour les entreprises qui ne respectent pas les règles ;

- l'affirmation du principe de finalité des traitements et du principe, en corollaire, de l'« intérêt légitime » du responsable du traitement pour une autre utilisation des données personnelles ;

- le droit pour toute personne d'obtenir l'effacement de ses données ;

- le consentement explicite de la personne dont les données personnelles sont traitées ;

- le droit de la personne concernée à l'information dans un langage simple et clair ;

- l'encadrement du profilage ;

- la création de délégués à la protection des données dans les institutions publiques et les grandes entreprises responsables de traitements de données ;

- le droit pour les personnes concernées d'introduire une plainte auprès des autorités de protection des données de leur choix ;

- l'établissement d'une autorité compétente unique (le « guichet unique ») pour toutes les activités de traitement.

Le 15 juin 2015, le Conseil a arrêté sa position de négociation concernant le projet de règlement général. Le premier trilogue avec le Parlement a commencé le 24 juin.

La directive concerne, quant à elle, les données personnelles traitées par les autorités policières et judiciaires afin de prévenir, détecter ou poursuivre les infractions pénales.

Au-delà de la nécessité d'appliquer aux données personnelles à caractère pénal le même niveau de protection qu'aux données personnelles (profilage, consentement explicite...), le Parlement européen a surtout insisté sur l'encadrement du transfert de ces données spécifiques à des pays tiers ainsi que sur l'interdiction d'utiliser lesdites données dans un autre but que celui pour lequel elles ont été collectées.

D'une manière plus générale, les autorités répressives auraient accès aux données des personnes reconnues coupables d'une infraction pénale, des suspects pour des motifs raisonnables, des victimes et d'autres personnes liées à une enquête pénale. Les données des autres personnes seraient traitées seulement pour la durée nécessaire à l'enquête ou pour des fins ciblées et préventives.

Le 9 octobre 2015, le Conseil a arrêté sa position de négociation concernant le projet de directive.

L'objectif est toujours de parvenir à un accord sur l'ensemble du paquet législatif relatif à la protection des données d'ici la fin de l'année.

Pour conclure ce point, je relèverai que le Parlement européen est un bon « défenseur des libertés », peut-être devrait-il être un peu plus le « défenseur de la sécurité », mais les deux impératifs ne sont pas incompatibles.

Le processus a été perturbé par la décision de la Cour de justice de l'Union européenne du 6 octobre 2015 (l'arrêt « Schrems ») invalidant le « Safe Harbour » ; cet accord, établi en 2000, entre la Commission et le Département américain du commerce « pour faciliter le commerce et les relations d'affaires entre les États-Unis et l'Union » en offrant un cadre juridique à la circulation de données à caractère personnel en provenance de l'Union vers les États-Unis.

J'évoquerai brièvement l'état de ce dossier.

La Commission européenne avait jugé, en 2000, que la législation en vigueur aux États-Unis concernant la protection des données personnelles assurait « un niveau de protection adéquat ». Aux termes de l'accord « Safe Harbour », les entreprises américaines, dès lors qu'elles souscrivaient à un « code de conduite » après autoévaluation et autocertification de conformité, pouvaient donc, sans autre autorisation, procéder au transfert de données personnelles des citoyens européens.

Première conséquence de l'invalidation : le soin d'évaluer la conformité du transfert de données à une entreprise américaine ou étrangère, conformément aux impératifs de protection de ces données établis par la directive 95/46, est dorénavant laissé à la discrétion des autorités nationales de contrôle (la CNIL en France). En l'absence d'un accord-cadre bilatéral, il incombe désormais à ces autorités de prendre des mesures visant à s'assurer qu'aucun transfert de données personnelles n'ait lieu vers un pays ne possédant pas un niveau de protection adéquat et d'examiner les plaintes de toute personne s'estimant lésée dans ses droits fondamentaux du fait d'un transfert de ces données personnelles vers un pays tiers.

En mettant en cause la compétence de la Commission européenne dans la certification qu'un pays tiers « assure un niveau de protection adéquate », l'arrêt de la Cour risque de retarder le processus d'adoption du paquet législatif « protection des données ».

Il apparaît évident que le Parlement européen va souhaiter mieux encadrer les décisions relatives au niveau de protection adéquat dans les pays tiers en prévoyant des mécanismes d'évaluation régulière et en élargissant les possibilités de suspension.

Un point, enfin, sur le « PNR européen ». Où en est-on aujourd'hui ? Les négociations interinstitutionnelles ont commencé au début du mois d'octobre après l'adoption par le Conseil d'une position de négociation le 16 septembre dernier. Il ne semble plus désormais que les discussions sur le PNR soient considérées comme « liées » aux discussions sur le paquet « protection des données » comme le souhaitaient, il y a quelques mois encore, certains membres du Parlement européen. Toutefois, des divergences subsisteraient entre le Conseil et la commission « Libé » sur les points suivants :

- des pays comme l'Allemagne, l'Autriche, la Belgique, la France ou le Royaume-Uni regrettent que la commission « Libé » s'oppose à l'inclusion des vols intra-européens dans le champ d'application de la directive ;

- de même, les pays comme la Hongrie, la France, la Belgique, la République tchèque ou encore l'Espagne, la Grèce, l'Italie ou le Royaume-Uni déplorent que la commission « Libé » souhaite limiter le « PNR européen » au seul champ des crimes de terrorisme ou de criminalité grave de nature « transnationale ». La France, par exemple, juge inacceptable que le « PNR européen » ne s'applique pas à un crime grave dès lors qu'il ne serait commis que dans un seul État membre ;

- enfin, des délégations de pays comme la France ou la Belgique se déclarent très réservées quant à un éventuel accès direct d'Europol aux unités de traitement des informations. Dans le même sens, l'Allemagne estime qu'Europol doit demeurer un outil en soutien des États membres et pas un instrument primant sur eux.

En revanche, les délégations nationales et la commission « Libé » sont, semble-t-il, tombées d'accord sur l'idée d'inclure les agences de voyage et les tour-opérateurs dans le champ de la directive, même si des précisions doivent être apportées sur les modalités techniques de cet ajout.

Relevons, encore, que certaines délégations, comme la délégation allemande, proposent que la directive « PNR européen » ne soit pas finalisée avant que la Cour de justice de l'Union européenne ne fasse connaître sa position, attendue pour fin 2015 ou début 2016, sur la légalité de l'accord « PNR » entre l'Union et le Canada.

La présidence du Conseil de l'Union européenne se déclare, néanmoins, confiante en une issue favorable du processus avant la fin de l'année 2015.

En conclusion, je rappellerai que la Commission européenne, saisie du dossier en application du traité de Lisbonne, a déposé la proposition de directive dont nous discutons le 2 février 2011.

À notre initiative, le Sénat a adopté des propositions de résolution européenne afin que soit assuré un respect effectif des droits fondamentaux et appelant de ses voeux une mise en oeuvre rapide du dispositif.

Les délais extrêmement longs des processus de décision suscitent une légitime interrogation, en particulier lorsqu'il s'agit de trouver des solutions dans des situations d'urgence comme c'est le cas aujourd'hui avec un risque terroriste démultiplié. Ne pourrait-on pas envisager une accélération des procédures dans des dossiers reconnus prioritaires par des instances appropriées ?

Rappelons que l'on dit souvent, dans nos campagnes, « le mieux est souvent l'ennemi du bien » !