Intervention de Simon Sutour

Monsieur le président, madame la garde des sceaux, mes chers collègues, le 21 février dernier, la conférence des présidents a décidé de confier à la commission des affaires européennes, à titre expérimental, une mission de veille sur l’intégration des normes européennes en droit interne.

C’est dans cette optique que la commission des affaires européennes a examiné le présent projet de loi et formulé un ensemble d’observations.

Le règlement européen sur la protection des données personnelles s’appliquera de plein droit à compter du 25 mai prochain. Or les entreprises françaises n’ont pas finalisé leur mise en conformité. Les collectivités territoriales, quant à elles, comme vient de le souligner Mme la rapporteur, surtout celles dont les moyens techniques et financiers sont limités, c’est-à-dire les plus petites d’entre elles, ne seront de toute évidence pas en mesure d’y procéder à bonne date.

Cette situation illustre, si besoin est, la nécessité d’une participation active du Parlement, et singulièrement du Sénat, représentant constitutionnel des collectivités locales, à l’élaboration des textes européens. Il nous faut, en particulier, pouvoir anticiper et attirer l’attention du Gouvernement sur les conséquences concrètes de ceux-ci.

La discussion du règlement général sur la protection des données personnelles a fait l’objet d’un suivi attentif de la commission des affaires européennes. J’ai notamment déposé et rapporté, en son nom et au nom de la commission des lois, deux propositions de résolution européenne et produit un avis motivé.

Les résolutions du Sénat demandaient que des dispositions nationales plus protectrices puissent être conservées et que toute personne résidant en France soit en droit de saisir la CNIL, même si le siège de l’entreprise traitant ses données est situé dans un autre État membre.

Première observation : le règlement général sur la protection des données reprend les deux éléments que le Sénat avait mis en avant. L’autorité de contrôle compétente est bien celle de la résidence du demandeur.

Par ailleurs, et bien qu’il s’agisse d’un règlement, une cinquantaine de marges de manœuvre – vous les avez évoquées, madame la garde des sceaux – sont ouvertes aux États membres pour leur permettre, notamment, de conserver des dispositions nationales plus protectrices pour les données sensibles et de limiter les droits des personnes pour des motifs stricts de sécurité publique.

Le projet de loi exploite certaines de ces marges de manœuvre, en particulier pour maintenir, tout en les révisant, des régimes spéciaux et des règles renforcées de protection des données les plus sensibles.

Deuxième observation : la directive fixe à seize ans l’âge du consentement des enfants, tout en permettant de l’abaisser à treize. La commission des affaires européennes estime que cette question doit faire l’objet d’une approche mesurée. Le texte adopté par la commission des lois va tout à fait dans ce sens.

Troisième observation : l’extension de l’action de groupe à la réparation pécuniaire, introduite par l’Assemblée nationale, n’est pas prévue par le règlement général, mais il s’agit d’une faculté ouverte par le droit européen pour d’autres actions de groupe, raison pour laquelle la commission des affaires européennes recommande qu’elle soit envisagée à l’échelon européen et assortie de règles renforcées d’enregistrement des associations. Il s’agit, là encore, d’une approche partagée par la commission des lois.

Quatrième observation : la nécessité de s’assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Dans son premier rapport d’application de l’accord sur le bouclier de protection conclu entre l’Union européenne et les États-Unis, la Commission européenne estime que la mise en œuvre de cet accord doit être améliorée, en particulier la vérification de la conformité des entreprises qui se sont autocertifiées. Il conviendra donc de suivre attentivement cette question.

Je veux enfin revenir à mon observation initiale relative à la charge que représente l’obligation de mise en conformité, à très brève échéance, pour les collectivités territoriales.

Madame la ministre, vous avez évoqué l’appui qu’apporteront les préfets et l’administration, ce qui me semble tout à fait normal. Pour autant, la mise en cause de leur responsabilité peut entraîner des conséquences très importantes pour les collectivités locales, notamment pour les petites communes.

Le règlement ne comporte pas de délai en la matière. Il est donc à tout le moins indispensable d’organiser un accompagnement adapté, voire très adapté, comme le prévoit la commission des lois, et d’y associer pleinement la CNIL, dont les moyens, notamment techniques, doivent être rapidement renforcés.

Le Sénat et sa commission des affaires européennes entendent être vigilants quant au suivi de l’élaboration et de la mise en œuvre des textes européens. Souhaitons qu’ils soient écoutés, et entendus.