Intervention de Nicole Belloubet

Monsieur le président, monsieur le président de la commission des lois, madame la rapporteur de la commission des lois, monsieur le rapporteur de la commission des affaires européennes, mesdames les sénatrices, messieurs les sénateurs, je suis heureuse de retrouver votre hémicycle pour présenter, au nom du Gouvernement, ce projet de loi relatif à la protection des données personnelles, dont l’objet est d’adapter au droit de l’Union européenne la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Le nouveau cadre juridique européen doit, en effet, entrer en vigueur en mai prochain.

Les textes communautaires visés, qui sont l’aboutissement d’une longue phase de négociations, traduisent l’ambition très forte de notre continent dans le domaine de la protection des données à caractère personnel.

Pionnière avec la loi du 6 janvier 1978, dont nous venons de fêter les quarante ans, la France a pris une part très active dans les négociations européennes, afin de maintenir et de promouvoir son modèle de contrôle et de protection qui constitue encore aujourd’hui une référence en Europe et dans le monde.

Fruit d’un compromis, le paquet européen « protection des données » a été adopté par le Parlement européen et le Conseil le 27 avril 2016. Il se compose de deux textes : d’une part, un règlement, qui constitue le cadre général de la protection des données, et, d’autre part, une directive, qui vise les données à caractère personnel en matière pénale.

Je souhaite évoquer devant vous ces deux textes, avant d’aborder la méthode retenue par le Gouvernement pour les traduire dans notre droit et, enfin, deux problèmes politiques qui me semblent importants.

Le règlement crée un cadre unifié et protecteur pour les données personnelles des Européens. Il est applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. C’est un point très important : le droit européen s’appliquera chaque fois qu’un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris donc par internet ou par le biais d’objets connectés, et ce quelle que soit la localisation du stockage et du traitement.

Le règlement crée, dès lors, une procédure de coopération intégrée entre les autorités de protection des données des États membres, dont, pour la France, la Commission nationale de l’informatique et des libertés, la CNIL. C’est le gage d’une application uniforme des nouvelles obligations, sous l’égide du Comité européen de la protection des données. C’est aussi l’affirmation d’une conception européenne de la protection des données personnelles qui diffère de celle qui est promue aux États-Unis ou dans d’autres États, comme en Chine.

L’Europe entend, en effet, concilier les valeurs du progrès et de la garantie des droits et des libertés fondamentales, en renforçant la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles, tout en offrant aux opérateurs économiques un environnement attractif.

Le règlement instaure donc de nouveaux droits pour les citoyens, comme le droit à la portabilité des données personnelles. Il crée également un environnement attractif pour des opérateurs économiques plus responsables, comme je le disais à l’instant. Nous inaugurons, dès lors, une nouvelle ère dans la régulation, avec un changement de paradigme assez profond : il s’agit désormais, en effet, d’alléger considérablement les formalités préalables, au bénéfice d’une démarche de responsabilité des acteurs et d’accroissement des droits des individus.

Ainsi, le règlement européen remplace le système de contrôle a priori, basé sur des déclarations et des autorisations préalables, par un système de contrôle a posteriori, plus adapté aux évolutions technologiques, fondé sur l’appréciation par le responsable du traitement des risques que présente ce dernier.

Cette nouvelle approche impose aux responsables de traitement d’intégrer les exigences de la protection des données personnelles très en amont de la conception de leur produit ou de leur service et d’offrir au consommateur, par défaut, le niveau de protection le plus élevé.

La désignation d’un délégué à la protection des données sera obligatoire dans le secteur public, mais des mutualisations seront possibles. Elle sera aussi obligatoire lorsque l’activité principale d’une entreprise en matière de traitement des données sensibles le justifiera.

Les responsables de traitement devront également notifier les violations de données personnelles à l’autorité de contrôle, ainsi qu’aux personnes concernées en cas de risque élevé pour leurs droits et libertés.

En responsabilisant les acteurs, qui devront être accompagnés par la CNIL, le projet de loi consacre également de nouvelles modalités de régulation, à travers des outils de droit souple.

En contrepartie, les pouvoirs de la CNIL sont renforcés et les sanctions encourues sont considérablement augmentées, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

La directive fixe, quant à elle, les règles applicables à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale. C’est la première fois que l’Union européenne se dote d’un cadre normatif pour réglementer le traitement de ces données dans un cadre national.

La directive s’applique aux traitements mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Sont ainsi concernés, en France, les fichiers tels que le fichier national des empreintes génétiques, le fichier national des interdits de stade, ou encore le traitement d’antécédents judiciaires, ou fichier TAJ.

La directive n’est en revanche pas applicable dès lors que le traitement est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente. Elle n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense qui ne relèvent pas du droit de l’Union européenne.

Les principales innovations de la directive consistent en la création, en matière pénale, d’un droit à l’information de la personne concernée par les données personnelles traitées et en la consécration d’un droit d’accès, de rectification et d’effacement. Ces droits s’exercent par principe de manière directe par la personne concernée auprès du responsable de traitement, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Avec son règlement et sa directive, ce paquet européen constitue donc un progrès considérable, et je ne peux que souscrire aux propos de M. le président de la commission des lois, Philippe Bas, soulignant que « ce projet de loi d’apparence technique recèle des enjeux politiques considérables ». Le Gouvernement ainsi que le Sénat et l’Assemblée nationale en ont, me semble-t-il, saisi toute la portée.

Cependant, ce texte demeure technique, car il se situe au croisement de deux textes communautaires de portée juridique distincte, dans un domaine complexe. Cette caractéristique nous a contraints à faire des choix de méthode pour traduire le droit européen en droit français.

Je veux m’arrêter un instant sur cette question de la méthode de transposition, car je sais, mesdames, messieurs les sénateurs, que c’est l’une de vos préoccupations, comme c’est une préoccupation des acteurs concernés. Je peux vous assurer que c’est également la nôtre.

Je rappelle d’abord que, si la directive doit faire l’objet d’une transposition, le règlement est, lui, directement applicable en droit interne et que, au regard des règles européennes, le projet de loi ne saurait recopier ses dispositions. Ce point est important, et c’est la raison pour laquelle les dispositions directement applicables et se suffisant à elles-mêmes ne figurent pas dans le texte qui vous est proposé aujourd’hui. Il en est ainsi des dispositions relatives au délégué à la protection des données ou de celles qui sont attachées aux droits des personnes concernées, sur lesquelles nous reviendrons lors de l’examen des amendements : elles ne se retrouvent pas dans le projet de loi, mais elles pourront être invoquées directement à compter du 25 mai 2018.

Il faudra donc, en tout état de cause, lire cette nouvelle loi de 1978 avec le règlement européen à portée de main. On peut le regretter, au regard de la complexité que cet exercice suppose, mais il en est ainsi. De ce point de vue, le droit européen ne nous offre pas vraiment le choix. Pour pallier cette difficulté, nous devrons, bien sûr, offrir, sur les sites officiels, en collaboration avec la CNIL, des versions aisément maniables, avec des liens hypertextes, pour que tout le monde puisse s’y retrouver.

Mais le projet de loi qui vous est soumis ne constitue pas seulement un exercice de transposition de la réglementation européenne. Il offre également des choix politiques, pour lesquels vous avez fait des propositions.

D’une part, ces choix sont liés à l’existence de marges de manœuvre. En effet, le règlement européen prévoit plus d’une cinquantaine de marges de manœuvre qui autorisent les États membres à préciser certaines dispositions.

Conformément à la démarche de simplification des normes souhaitée par le Président de la République et à sa volonté d’éviter la surtransposition de textes européens, le Gouvernement a fait le choix d’épouser la nouvelle philosophie du règlement et de supprimer la plupart des formalités préalables à la mise en œuvre des traitements. Ce choix a notamment été salué par la Commission nationale de l’informatique et des libertés. Il l’a également été par votre commission des affaires européennes et par son rapporteur, M. Simon Sutour, qui souligne une exploitation « mesurée » des marges de manœuvre.

Cependant, afin de ne pas affaiblir la protection des données à caractère personnel et bien que cela ne soit pas exigé par le règlement ni par la directive, le Gouvernement a fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques, les données génétiques, ou encore pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les traitements utilisant des données de santé font aussi l’objet d’un régime protecteur et unifié. Ces dispositions s’inscrivent dans la logique du maintien d’un haut niveau national de protection en la matière, conformément à ce qu’a souhaité le Sénat lors de l’examen des résolutions européennes qu’il a adoptées en 2012 et 2013, sans faire peser de charges supplémentaires sur les petites et moyennes entreprises.

Enfin, dans le champ d’application de la directive, sont également maintenues les formalités préalables à la création de tout traitement mis en œuvre pour le compte de l’État.

Par ailleurs, un point important, qui retient naturellement votre attention, doit être précisé. Le règlement fixe à seize ans l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information, c’est-à-dire accéder aux réseaux sociaux.

Le Gouvernement avait fait le choix de ne pas utiliser la marge de manœuvre prévue à l’article 8 du règlement qui permet aux États membres d’abaisser ce seuil jusqu’à treize ans. L’Assemblée nationale a souhaité fixer cet âge à quinze ans. Votre commission des lois a décidé de supprimer cette disposition pour revenir à l’âge de seize ans.

Notre préoccupation commune est de mieux protéger les mineurs. La fixation d’un seuil est toujours un exercice délicat : on tente de saisir par une norme générale des cas éminemment singuliers, surtout lorsqu’il s’agit d’identifier ce qui constitue en réalité le seuil de maturité d’un enfant.

La France avait défendu le seuil de seize ans en deçà duquel l’autorisation parentale serait nécessaire pour autoriser le traitement de données d’un mineur. Les autres pays de l’Union ont fait des choix très divers. Comme il l’avait fait lors de l’examen du projet de loi à l’Assemblée nationale, le Gouvernement adoptera une position de sagesse sur cette question et s’en remettra à la décision de la représentation nationale.

En tout état de cause, la mise en place d’une autorisation parentale, sans lourdeur procédurale excessive, doit surtout être l’occasion de réinstaurer un dialogue au sein de la famille sur ces questions.

Je parlais voilà quelques instants de choix politiques. Ces choix résultent également des travaux de votre commission des lois qui a apporté un certain nombre de modifications par rapport au texte voté par l’Assemblée nationale : âge du consentement – je viens de l’évoquer –, encadrement de l’usage des algorithmes par l’administration, renforcement des conditions de traitement des données d’infraction avec la réintroduction d’une autorisation préalable par la CNIL, ou encore introduction d’un motif de nullité contractuelle pour les fournisseurs de terminaux électroniques en cas d’installation d’applications ne respectant pas les conditions du consentement de l’utilisateur final. Nous aurons l’occasion d’en débattre dans le cadre de l’examen des amendements que le Gouvernement a déposés.

Je souhaite cependant aborder deux questions : l’une est relative aux collectivités territoriales, l’autre concerne l’habilitation demandée par le Gouvernement.

Votre commission des lois a manifesté son attention légitime vis-à-vis des collectivités territoriales, en particulier des plus petites d’entre elles, dans la mise en œuvre de leurs nouvelles obligations. Elle a adopté plusieurs amendements à leur égard : création d’une dotation communale et intercommunale pour la protection des données personnelles, mutualisation des services, suppression de la faculté pour la CNIL de leur imposer des amendes administratives, report de deux ans de l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles, encouragement de la diffusion d’informations et édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités…

Le Gouvernement entend parfaitement votre préoccupation – je dirais même qu’il la porte avec vous. Toutefois, il ne me semble pas juste de considérer que le Gouvernement ferait preuve d’un « mépris abyssal », comme j’ai pu le lire, à l’égard des collectivités.