Intervention de Simon Sutour

Je me réjouis également de la décision de la conférence des présidents. Ce regard de la commission des affaires européennes sur la transposition des textes européens, qui existe à l'Assemblée nationale, aurait d'ailleurs dû être mis en place il y a longtemps. Nous entrons dans une phase expérimentale dont j'espère qu'elle permettra l'inscription de cette mission dans le Règlement du Sénat.

J'indique par ailleurs que Sophie Joissains, qui rapporte le projet de loi pour la commission des lois, et moi parlons de la protection des données personnelles depuis quelques temps déjà et que nous sommes tout à fait en phase sur le sujet.

Le projet de loi sur la protection des données personnelles précise les modalités d'application en France du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que de la directive relative aux traitements des données pénales.

L'élaboration de ces deux textes a fait l'objet d'un suivi attentif par la commission des affaires européennes. J'ai notamment présenté et rapporté, en son nom et au nom de la commission des lois, deux propositions de résolutions européennes et un avis motivé entre 2011 et 2012, qui demandaient en particulier que des dispositions nationales plus protectrices puissent être conservées car, en la matière, il ne faut pas tirer vers le bas ceux qui, comme la France avec la loi informatique et libertés de 1978, sont au meilleur niveau. Ces résolutions demandaient également que les citoyens et les résidents français puissent saisir leur autorité nationale de contrôle, la CNIL, et non celle du pays d'établissement de l'entreprise traitant leurs données personnelles. L'autorité de contrôle irlandaise dont le territoire accueille les plus importantes d'entre elles ne dispose évidemment pas de moyens suffisants et n'a pas la proximité nécessaire avec nos concitoyens.

La négociation de ces textes a été longue et difficile, contrairement à ce qu'avait annoncé Mme Viviane Reding, alors commissaire à la Justice, lors de son audition par notre commission, mais le Règlement général de protection des données personnelles (RGPDP), qui entre en vigueur le 25 mai prochain, constitue désormais le cadre européen dans ce domaine. Afin de lever les obstacles aux flux de données au sein de l'Union, ce règlement, qui se substitue à la directive de 1995, harmonise les règles de protection des personnes physiques à l'égard des traitements de données à caractère personnel. D'application directe dans les États membres sans qu'il soit besoin de procéder à sa transposition, il est applicable aux opérateurs de l'Union européenne ou offrant des biens et services aux citoyens et résidents de l'Union.

Le règlement renforce les droits des personnes - droits d'accès, de rectification, de limitation du traitement - et définit l'expression du consentement libre et pleinement informé. Il ouvre de nouveaux droits : un « droit à la portabilité » des données personnelles, un droit d'opposition à leur réutilisation, un « droit à l'oubli », enfin la possibilité d'introduire des actions collectives en cas de violation du règlement. Il encadre en outre le « profilage » informatique. En cas de méconnaissance de ces droits, et comme l'avait souhaité le Sénat, les intéressés peuvent introduire une réclamation auprès de l'autorité nationale de contrôle de leur lieu de résidence. Si le traitement est transfrontalier, l'« autorité de contrôle chef de file » est toutefois celle de l'établissement responsable du traitement.

Le règlement organise la responsabilité première des opérateurs, qui se substitue au régime d'autorisation des traitements par les autorités nationales de contrôle. Le responsable du traitement doit ainsi mettre en oeuvre des mesures techniques et organisationnelles pour que le traitement soit effectué en conformité avec les règles de collecte, de traitement, de conservation et de sécurité définies par le règlement. Un délégué à la protection des données est en outre désigné pour les traitements de grande ampleur effectués par une autorité publique ou un organisme public. Il contrôle le respect du règlement et coopère avec l'autorité de contrôle dont il est le point de contact. Par exception, les traitements présentant un risque élevé pour les droits et libertés font l'objet d'une analyse d'impact préalable, et si des mesures spécifiques sont nécessaires pour atténuer ce risque, d'une consultation préalable de l'autorité de contrôle.

Les autorités nationales de contrôle accompagnent les acteurs privés dans l'application du règlement. Elles doivent mener des actions de prévention, notamment en favorisant l'élaboration de codes de conduite. Elles peuvent agréer des organismes experts pour en contrôler le respect et ont une capacité de certification en matière de protection des données. Leurs pouvoirs de contrôle et de sanctions sont accrus, en particulier la capacité d'infliger des sanctions dans la limite de 4 % du chiffre d'affaires annuel mondial consolidé de l'entreprise. Les exigences en matière d'indépendance, de pouvoirs d'enquête et de capacité à prendre des mesures provisoires coercitives sont également renforcées.

Enfin le règlement n'autorise le transfert de données personnelles dans un pays tiers que si la Commission a pris à son égard une décision d'adéquation du niveau de protection, ou moyennant l'existence de garanties appropriées, et à la condition que la personne concernée dispose de droits opposables et de voies de recours effectives.

La directive, quant à elle, reprend l'essentiel des règles posées par le règlement en les adaptant à la nature particulière des traitements de données pénales. Elle organise la coopération entre les États et soumet les personnes investies de l'autorité publique, ou les organismes auxquels est confié l'exercice de prérogatives de puissance publique, à des obligations comparables à celles qui s'appliquent aux entreprises, auxquelles s'ajoutent des obligations particulières en matière de sécurité des données. En raison de la nature de ces traitements, et on peut le comprendre dans le contexte actuel, la personne concernée ne bénéficie pas d'un droit d'opposition et ses droits d'accès, de rectification ou d'effacement peuvent être réduits pour assurer l'efficacité des enquêtes et des procédures, la protection de la sécurité publique ou des droits et libertés d'autrui.

Le projet de loi modifie la loi fondatrice de 1978. Le règlement étant d'application directe, il supprime les dispositions auxquelles celui-ci se substitue et prend les mesures d'application interne nécessaires, en particulier la modification et le renforcement des pouvoirs de la CNIL, ce qui pose la question de ses moyens.

Le règlement admet que des dispositions nationales précisent davantage l'application de ses règles et leur laisse ce qu'il appelle des « marges de manoeuvre » pour compléter les règles concernant les données dites « sensibles ». Par ailleurs, il n'exclut pas que des législations sectorielles nationales spécifiques, dans des domaines qui requièrent des dispositions plus détaillées, précisent les circonstances des situations particulières de traitement, y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite. Le projet de loi met à profit certaines de ces marges de manoeuvre pour conserver des règles plus protectrices en matière de traitement des données sensibles et limiter les droits des personnes pour des motifs stricts de sécurité publique. Ce sont avant tout ces dispositions qu'il convient d'examiner pour s'assurer qu'elles n'excèdent pas les marges autorisées, auquel cas elles seraient susceptibles de constituer une forme de sur-transposition.

Le projet de loi révise le régime particulier d'utilisation du numéro national d'identification des personnes : il supprime l'autorisation préalable de chaque traitement par décret en Conseil d'État et prévoit qu'un décret en Conseil d'État, pris après avis motivé et publié de la CNIL, détermine les catégories de responsables de traitement utilisant ce numéro et les finalités admissibles de ces traitements. Les régimes particuliers sont également maintenus et revus pour les traitements mis en oeuvre pour le compte de l'État intéressant la défense, la sûreté, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ainsi que certaines catégories particulières de traitements portant par exemple sur les condamnations pénales et mesures de sûreté. Pour tenir compte d'objectifs d'intérêt général, le droit à la communication d'une violation des données personnelles est réduit dans les limites autorisées par le règlement pour les traitements dont la liste sera fixée par décret en Conseil d'État, après avis de la CNIL.

Reprenant les exceptions admises par le règlement européen, le projet de loi définit des règles plus protectrices pour les données biométriques et les données génétiques. Il écarte en revanche les droits des personnes pour certains traitements à des fins archivistiques ou de recherches historiques. Il reprend par ailleurs la définition des données de santé figurant dans le règlement et introduit un nouveau dispositif régissant les traitements de ces données qui présentent une finalité d'intérêt public, ainsi que les traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé. Enfin il autorise l'administration à recourir à des décisions individuelles automatisées dès lors qu'elle offre des garanties aux administrés.

Le titre III du projet de loi procède à la transposition de la directive sur les traitements de données à caractère personnel en matière pénale. Il précise notamment les objectifs et les finalités de ces traitements, les données sur lesquelles ils peuvent porter et les autorités publiques ou organismes habilités à les mettre en oeuvre. Il réorganise l'exercice des droits des personnes et supprime l'actuel exercice indirect des droits d'accès, de rectification et d'effacement. Il introduit un droit à l'information de la personne concernée pour les traitements intéressant la police judiciaire. Aucune de ces dispositions n'apparaît de nature à nuire aux droits des personnes, à entraver la circulation des données personnelles au sein du marché intérieur, ni à alourdir la compétitivité des entreprises françaises.

Je vous propose de formuler les observations qui vont ont été distribuées, pour constater en particulier que les régimes spéciaux révisés et les règles nationales applicables aux données les plus sensibles s'inscrivent dans la logique du maintien d'un haut niveau national de protection en la matière souhaité par le Sénat, sans excéder les marges de manoeuvre ouvertes par le règlement ; une interrogation en revanche porte sur les traitements de données en matière de Renseignement qui utilisent des traitements de données constituées à d'autres fins.

Je vous propose également de relever la faculté pour tout résident en France de saisir la CNIL, quand bien même le traitement est effectué dans un autre État, et, de manière plus critique, de souligner la charge que représente l'obligation de mise en conformité à très brève échéance pour les petites collectivités territoriales. Sur l'âge du consentement des enfants, fixé à 15 ans par l'Assemblée nationale dans une approche mesurée qui s'inscrit dans l'une des marges de manoeuvre ouvertes par le règlement, je suis peut-être un peu vieux jeu mais je crois qu'il est effectivement nécessaire de protéger nos enfants qui n'ont pas conscience de tous les enjeux quand ils fournissent des données personnelles.

Je vous propose également d'insister sur la nécessité de s'assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Enfin, il me paraît souhaitable de recommander que la possibilité, introduite par l'Assemblée nationale, de demander, dans le cadre d'une action de groupe, non seulement la cessation du manquement mais également une réparation pécuniaire, faculté prévue en droit européen pour d'autres actions de groupe, soit envisagée au niveau européen et assortie d'enregistrement des associations.