Intervention de Simon Sutour

Malgré tout, le travail des parlements nationaux et du Parlement européen a donné un texte positif.

Le nouveau règlement général sur la protection des données personnelles et la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés définitivement le 14 avril 2016 par le Parlement européen, après quatre années d'un véritable marathon au cours duquel 3 133 amendements ont été déposés devant la commission LIBE du Parlement européen - 3 999 au total - pour la seule proposition de règlement, soit le plus grand nombre d'amendements jamais déposés pour un seul dossier législatif au Parlement européen.

En 2015, je suis intervenu à deux reprises, les 9 avril et 19 novembre, pour vous tenir informés de l'évolution de cet important dossier. On se rappelle qu'à notre initiative, le Sénat a adopté deux résolutions européennes le 6 mars 2012 et le 7 février 2013, qui sont loin d'avoir été sans effet.

Les nouveaux textes à mettre en place au niveau européen devaient répondre à un impératif d'actualisation afin de renforcer la protection des données des citoyens européens dans un nouveau contexte de mondialisation, mais aussi améliorer la sécurité juridique des entreprises ou de leurs sous-traitants responsables du traitement des données, et cela tout en conservant l'acquis national ; sans vouloir crier « cocorico », la France a en effet une avance dans ce domaine, qu'il convenait de ne pas perdre.

Le nouveau projet de règlement ne compte pas moins de 250 pages. Il renforce la protection des données personnelles des citoyens de l'Union, notamment leur information, leur consentement au traitement des données personnelles les concernant, la possibilité nouvelle d'obtenir l'effacement de données personnelles qui ont pu être diffusées par une autorité judiciaire ou réglementaire - c'est le fameux droit à l'oubli -, leur faculté de s'opposer au traitement aboutissant à une décision automatisée susceptible de porter atteinte à leurs droits : c'est l'encadrement du profilage.

C'est peut-être sur l'information et le consentement du citoyen européen que le nouveau règlement améliore sensiblement la protection. Une transparence accrue est exigée des responsables de traitement sur l'existence du traitement, les finalités et la durée probable de conservation des données.

Est posé le principe selon lequel aucun traitement de données ne peut s'effectuer sans le consentement de la personne et uniquement à des fins déterminées jusqu'au moment où le consentement est retiré. Distinction est faite entre les traitements de données dites sensibles pour lesquels le consentement de la personne concernée doit être « indubitable » et les traitements des autres données, pour lesquels il doit être seulement « explicite ». Pour les mineurs, le consentement des parents est nécessaire pour procéder au traitement de données.

Le texte améliore la sécurité juridique et responsabilise davantage les responsables de traitement. La logique générale est d'inciter les responsables des traitements à prendre eux-mêmes les initiatives qui leur permettront de mieux se garantir contre les recours pour traitement illicite des données. C'est vrai tout d'abord dans la suppression de l'obligation de déclaration préalable à la création d'un traitement automatisé. Seules les entreprises de plus de 250 salariés seront tenues désormais de disposer d'une documentation prouvant que les traitements de données sont conformes au règlement européen.

Les entreprises sont, ensuite, invitées à procéder à une analyse interne des risques associés aux opérations de traitement qu'elles effectuent. Ces études d'impact pourront faire apparaître que certains traitements sont potentiellement risqués et les conduire à consulter l'autorité de contrôle nationale - en France, la Cnil - qui pourra alors leur imposer les mesures permettant de respecter les dispositions légales.

Par ailleurs, toujours en fonction des résultats de l'analyse interne des risques, les responsables de traitements pourront être amenés à désigner un délégué à la protection des données (DPO) garant du registre des traitements des données personnelles. Sur la question du guichet unique, la solution finalement retenue tend à concilier le principe de proximité, défendu par le Sénat, et le souci d'efficacité. Dans le projet initial, c'était l'autorité du pays du siège qui était compétente. Facebook étant installé en Irlande, tous les utilisateurs auraient dû s'adresser à la Cnil irlandaise. Quoique sans doute très compétente, celle-ci est à la mesure d'un pays de 4 millions d'habitants ; il est préférable que les Français puissent s'adresser à la Cnil française, comme nous l'avons obtenu.

Dans les affaires internationales faisant intervenir plusieurs autorités de contrôle, l'entreprise ayant des filiales dans plusieurs États membres n'aura certes à traiter, en principe, qu'avec l'autorité de contrôle de l'État membre dans lequel elle a son établissement principal comme dans le projet initial de la Commission. Mais les autorités de contrôle des différents États membres devront ensuite coopérer entre elles, même si l'autorité de contrôle de l'État dans lequel l'entreprise concernée a son établissement principal sera considérée comme le chef de file ; c'est logique. Par ailleurs, les autorités de contrôle nationales continueront à traiter les réclamations déposées par les ressortissants de leur État quitte à transmettre, s'il y a lieu, le dossier à l'autorité chef de file. En cas de désaccord, le nouveau comité européen de la protection des données (CEPD) sera consulté.

Autres innovations : sont affirmés les principes de protection des données dès la conception et de protection des données par défaut, par des mécanismes techniques assurant la protection de la vie privée des personnes - anonymisation, collecte minimale des données, durée de conservation ; le nouveau CEPD, qui prendrait la succession du G29, voit ses pouvoirs renforcés, notamment dans les procédures de sanction ; est aussi créée l'obligation pour le responsable d'un traitement de notifier dans les 72 heures aux autorités les fuites de données ; des codes de conduites par secteur d'activité permettront aux opérateurs de se conformer au règlement européen ; les entreprises pourront obtenir des certifications de l'Union quant à la conformité de leur traitement des données ; est enfin créé un droit à réparation du préjudice subi du fait du non-respect des obligations du règlement européen avec un seuil maximum de 2 % du chiffre d'affaires mondial ou de 10 millions d'euros pour les infractions dites mineures et un seuil maximum de 4 % du chiffre d'affaires mondial ou de 20 millions d'euros pour les plus graves.

La directive relative à la protection des données à des fins répressives entend, quant à elle, faire respecter deux principes : toutes les institutions liées aux services répressifs devront se doter d'un DPO ; serait désormais prohibée toute collecte de données personnelles à des fins répressives sans objectif clair, sans durée limitée et sans possibilité pour les justiciables de connaître quelles sont les données collectées, la finalité et la durée de conservation. La directive s'efforce donc de trouver le bon équilibre entre les spécificités liées aux services répressifs dans les différents États membres et la préservation des droits universels des citoyens que sont aussi les justiciables.

Dans son arrêt Schrems du 6 octobre 2015, consécutif à l'affaire Snowden, la Cour de justice de l'Union européenne (CJUE) a contesté la compétence de la Commission européenne dans la certification qu'un pays tiers « assure un niveau de protection adéquat » aux données à caractère personnel transférées, estimant que cette compétence ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle en vertu de la Charte des droits fondamentaux de l'Union européenne. Cette décision a invalidé l'accord Safe Harbour conclu en 2000 entre l'Union européenne et les États-Unis qui avait permis à plus de 4 000 entreprises de transférer, dans un cadre d'auto-évaluation et d'auto-certification, des données de l'Union vers les États-Unis.

Cette invalidation a conduit la Commission européenne et le gouvernement américain à présenter fin février 2016 un nouveau projet d'accord dit Privacy Shield (Bouclier de Confidentialité), que la Commission espère finaliser pour la fin juin 2016, qui identifie les quatre garanties essentielles applicables aux activités des services de renseignement : le traitement doit être fondé sur des règles claires, précises et accessibles ; l'État doit être en mesure de démontrer la nécessité et la proportionnalité de ses activités de renseignement et notamment des traitements de données personnelles au regard de l'objectif poursuivi ; il doit exister un système de supervision et de contrôle indépendant, effectif et impartial ; les individus doivent pouvoir se prévaloir de recours effectifs.

Le G29 a pris acte des améliorations apportées par le Privacy Shield : insertion dans l'accord de définitions-clés, mécanismes de contrôle du respect des principes garantis avec des audits de conformité internes et externes. Toutefois, il en a dénoncé certaines insuffisances, notamment s'agissant de l'accès des autorités publiques aux données transférées dans le cadre de l'accord ou de l'application peu claire du principe de limitation de la finalité du traitement des données. L'essentiel, pour lui, est de s'assurer que la protection offerte par le Privacy Shield soit sensiblement équivalente à celle de l'Union européenne.

Le risque est que cet accord soit à la merci d'une nouvelle décision de la CJUE même si ce sont les aléas de la vie démocratique. L'article 45 du nouveau règlement a maintenu la règle selon laquelle « un transfert de données ne peut avoir lieu vers un pays tiers que si ce dernier assure un niveau de protection adéquat » et précisé que toute décision d'adéquation doit prévoir un réexamen au moins tous les quatre ans.

Faute d'accord international, des solutions techniques alternatives - approuvées par les autorités de contrôle telles que la Cnil - existent pour le transfert de données vers des pays tiers, mais elles ne peuvent être considérées comme pérennes. L'insécurité juridique ne sera levée que par la conclusion d'un nouvel accord international respectueux des règles de protection garanties par le droit européen.

Je conclus. Le processus d'adoption des nouveaux textes sur la protection des données personnelles a donc pris quatre ans. Nous avons perdu une année, en partie parce que le Parlement européen et sa commission LIBE ont pris ce texte en otage, en craignant que s'ils donnaient trop vite leur accord sur le PNR, le Conseil européen ne tiendrait pas ses engagements sur les données personnelles. Il y a eu aussi l'« interférence » de la Cour de justice.