Intervention de Simon Sutour

Lors de l'examen de la proposition de règlement, nous nous étions opposés aux multiples délégations faites à la Commission européenne sur des sujets essentiels qui devaient relever du législateur européen. Pour les mêmes motifs, nous ne pouvons accepter que la Commission adopte des actes délégués pour préciser les critères et exigences applicables à l'établissement d'une violation des données. Mme Reding nous avait expliqué que ces actes étaient très encadrés, toutefois, de mon point de vue, des actes bien encadrés ne sont pas délégués.

Le texte ne reprend pas le principe établi par la proposition de règlement selon lequel les données ne sont traitées que si, et pour autant que les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel. De même, aucune disposition expresse ne limite l'accès aux données au personnel dûment autorisé des autorités compétentes qui en a besoin pour l'exécution de ses missions. Les obligations des responsables de traitement devraient en outre être précisées au regard notamment des niveaux de sécurité qu'exigent ces traitements et des conditions fixées pour le transfert de données à caractère personnel vers des pays tiers à l'Union.

En outre, contrairement à la proposition de règlement, aucune disposition particulière n'est prévue en ce qui concerne le traitement de données relatives aux enfants, pourtant nécessaire en matière pénale.

Enfin, les rédactions retenues fragilisent parfois des garanties nécessaires. Par exemple, les distinctions entre les catégories de personnes concernées (mis en cause, témoin, victime, etc.) doivent être établies seulement « dans la mesure du possible ». Il semble normal d'informer la victime qu'elle figure dans un fichier, à la différence d'un mis en cause ou d'un suspect.

Le Sénat s'est toujours opposé à l'utilisation des données sensibles, notamment lors de l'examen des projets PNR, et la loi « Informatique et libertés » encadre strictement leur utilisation. Or, ses restrictions ne sont pas reprises dans le texte, qui définit de manière large les exceptions au principe d'interdiction du traitement de ces données : elles pourraient être utilisées lorsque le traitement est autorisé par une législation prévoyant des garanties appropriées - lesquelles ?

Les données biométriques, de plus en plus utilisées dans le cadre répressif, justifient un encadrement particulier, comme dans la proposition de règlement.

La durée de conservation ne doit pas excéder la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ; aucun examen périodique de la nécessité de les conserver n'est prévu. Ces garanties sont insuffisantes.

Selon la CNIL, il convient que les limitations aux droits des personnes restent des exceptions à un principe général, y compris en matière de fichiers de police. Or, le texte est très évasif sur ce sujet. Les responsables de traitement doivent seulement prendre toutes les mesures raisonnables pour élaborer des règles transparentes et accessibles. L'absence de mention du droit d'opposition des personnes concernées est également problématique. Dans certaines situations, les personnes, les victimes d'infraction en particulier, doivent être en mesure de s'opposer au traitement de leurs données, à l'issue de la procédure judiciaire par exemple.

Enfin, les modalités concrètes d'exercice des droits des personnes concernées paraissent plus compliquées que dans la proposition de règlement, sans que cela soit justifié par les finalités des fichiers de police et de justice. Les transferts des données à des pays tiers constituent l'un des aspects les plus préoccupants du texte, comme du règlement d'ailleurs. Les responsables de traitement évalueront eux-mêmes le niveau de garantie, en dehors de tout cadre juridique et de tout contrôle. En outre, des règles devraient être prévues pour les transferts ultérieurs de données transmises initialement par un Etat membre. Celui-ci devrait pouvoir donner son accord avant que ses données puissent être re-transférées à un autre Etat par le destinataire du premier transfert.

Enfin, le texte prévoit l'obligation pour les Etats membres de renégocier tous leurs accords internationaux dans un délai de cinq ans après l'entrée en vigueur de la directive. Cette obligation apparaît peu réaliste, surtout dans un délai aussi court. Les ministères que nous avons auditionnés sont effrayés par cette perspective ; il n'a pas toujours été facile de parvenir à un accord et plusieurs dizaines de textes sont concernés.

Si le texte était adopté en l'état, le rôle et les pouvoirs des autorités de contrôle seraient en retrait par rapport à la loi française, mais aussi par rapport à la proposition de règlement. Le contrôle a priori de la CNIL serait réduit : la consultation préalable des autorités ne serait requise que dans les cas où le traitement créé contient des données sensibles et lorsqu'il utilise de nouvelles technologies susceptibles de porter atteinte aux droits fondamentaux. En outre, cette consultation n'aurait lieu qu'à l'occasion de la création d'un nouveau fichier et non pas pour ses modifications ultérieures, d'où notre demande de conserver notre standard.

Le contrôle a posteriori de la CNIL pourrait également être remis en cause : de nombreux pouvoirs prévus dans le cadre du règlement ne sont même pas mentionnés, alors que la CNIL dispose, sauf exception, de pouvoirs similaires sur tous les traitements de données, quels que soient leur finalité ou le responsable du traitement.

Il faut absolument se prémunir contre un recul par rapport aux dispositions nationales en vigueur. C'est pourquoi je vous soumets cette proposition de résolution, qui sera transmise à la commission des lois, où, en accord avec son président, je présenterai une communication.