Intervention de Yves Détraigne

a tout d'abord rappelé que, le 3 février 2009, la commission des affaires européennes du Sénat avait entendu M. Alex Türk, président de la Commission nationale de l'informatique et des libertés (CNIL) et du « Groupe des CNIL européennes » (dit G29), qui avait appelé son attention sur la nomination, par la Commission européenne, d'un groupe d'experts, composé aux quatre cinquièmes de personnalités représentant les intérêts américains, chargé d'engager la réflexion sur la révision de la directive européenne de 1995 relative à la protection des données personnelles.

Il a souligné que la commission des affaires européennes, jugeant inacceptable cette composition, avait décidé, à l'initiative de son Président, M. Hubert Haenel, d'adopter une proposition de résolution européenne.

Il a ensuite signalé qu'il s'agissait de la première application de l'article 88-4 de la Constitution, tel qu'il résulte de la révision constitutionnelle du 23 juillet 2008. En effet, la révision a étendu le champ des résolutions européennes en permettant leur adoption sur la base de documents non législatifs émanant des institutions de l'Union européenne, même si ces derniers n'ont pas été transmis au Parlement. Avant la révision, la délégation pour l'Union européenne n'aurait pas pu adopter une proposition de résolution sur ce sujet car les seuls documents visés dans la proposition de résolution sont un appel à candidatures en vue de mettre en place le groupe d'experts ainsi que le compte rendu de sa première réunion, documents généralement de faible importance que le Gouvernement ne transmet pas aux assemblées. Il s'est réjoui que le nouvel article 88-4 de la Constitution ait ainsi permis à la commission des affaires européennes d'adopter une proposition de résolution sur ce sujet.

Il a souligné que ce dernier ne lui était pas inconnu, puisqu'il avait été alerté avec Mme Anne-Marie Escoffier par M. Alex Türk lors d'une audition organisée le 6 janvier dernier dans le cadre de la préparation d'un rapport d'information sur le traçage électronique des individus, ajoutant que le Président Jean-Jacques Hyest, également sensibilisé à cette question après avoir reçu un courrier de M. Alex Türk le 14 janvier 2009, avait adressé une lettre au Premier ministre en date du 22 janvier 2009, indiquant « partager la préoccupation de la CNIL » et lui demandant « de mettre en oeuvre tous les moyens dont il disposait pour rechercher un meilleur équilibre au sein du groupe d'experts ».

Présentant les enjeux de ce dossier, M. Yves Détraigne, rapporteur, a expliqué que la directive européenne de 1995 relative à la protection des données personnelles, que le groupe d'experts a été chargé d'évaluer en vue de sa révision éventuelle, était à l'origine des législations nationales dans ce domaine, précisant que sa transposition en 2004, avait modifié de manière substantielle la loi de 1978, dite « Informatique et Libertés », notamment en :

- donnant à la CNIL un pouvoir d'avis conforme pour les traitements basés sur la biométrie ;

- permettant à la CNIL de labelliser des produits et procédures tendant à la protection des données ;

- créant des correspondants « Informatique et liberté ».

En conséquence, il a jugé anormal que ce groupe d'experts ait été composé de cinq personnes qui, pour quatre d'entre elles, étaient issues soit de sociétés américaines, soit de cabinets d'avocats dont les principaux établissements sont également situés aux Etats-Unis, relevant qu'un seul membre de ce groupe était originaire d'Europe, le président de l'Autorité néerlandaise chargée de la protection des données.

Il a ensuite souligné que le problème n'était pas tant la nationalité des membres que leur conception en matière de protection des données, soulignant certaines différences d'approche entre les Etats-Unis et l'Europe sur ce sujet, qu'il a illustrées par deux exemples.

En premier lieu, citant l'affaire du « dossier passagers » dite PNR (« Passenger Name Record »), il a rappelé que, dans le cadre de la lutte contre le terrorisme qui a suivi les attentats du 11 septembre 2001, les Etats-Unis imposaient aux compagnies aériennes, depuis le 5 mars 2003, de communiquer aux services des douanes et de sécurité américains des informations personnelles relatives à leurs passagers à destination des Etats-Unis, sous peine de contrôles renforcés, d'amendes et du refus du droit d'atterrir, telles que des renseignements sur l'agence de voyage auprès de laquelle la réservation est effectuée, les indications des vols concernés, le groupe de personnes pour lesquelles une même réservation est faite, le contact à terre du passager, les réservations d'hôtels ou de voitures à l'arrivée, les services demandés à bord tels que le numéro de place affecté à l'avance ou encore les repas (végétarien, asiatique, casher...) et les services liés à la santé (diabétique, aveugle, sourd, assistance médicale...).

Il a souligné que le G29 considérait que les données PNR transmises n'étaient pas dotées d'un niveau de protection adéquat et regrettait l'insuffisance de dispositions claires et proportionnées relatives au partage d'informations, à leur conservation, aux envois supplémentaires de données, au contrôle par les autorités de protection des données.

En second lieu, il a cité le différend entre le G29 et Google sur la durée de conservation des données de connexion, rappelant que le 4 avril 2008, le G29 avait publié un avis sur les moteurs de recherche, réaffirmant l'applicabilité de la loi européenne sur la protection des données, recommandant une durée de conservation des données de six mois maximum et indiquant que les internautes doivent pouvoir consentir à l'exploitation de leurs données à des fins, notamment, de profilage. En réponse, Google a réaffirmé son souhait de collaborer avec les autorités européennes et a annoncé récemment son intention de réduire à neuf mois la conservation des données de ses utilisateurs. Mais sur le fond, il refuse pour le moment de se soumettre à la législation européenne sur la protection des données alors même qu'il dispose de serveurs et d'établissements en Europe. Le G29 estime donc qu' « un très important travail reste à effectuer pour garantir les droits des internautes et assurer le respect de leur vie privée ».

a ensuite souligné que de nombreux américains avaient conscience de cette différence d'approche avec l'Europe et que, d'ailleurs, lors d'un colloque organisé par la CNIL et l'université Paris II au Sénat les 7 et 8 novembre 2005, M. Robert Gellman, avocat auprès de la cour suprême de Pennsylvanie et expert-conseil en protection des données et vie privée avait reconnu que la méthode américaine de régulation de la protection des données personnelles, parfois qualifiée d'approche sectorielle, était éloignée de l'approche systématique adoptée par l'Europe, qui repose sur des normes complètes de protection et sur l'existence d'une autorité indépendante de protection des données.

a ensuite expliqué que la proposition de résolution était devenue sans objet à la suite de la dissolution du groupe d'experts, retraçant les différentes étapes qui ont abouti à cette situation :

- le 20 juin 2008, la commission européenne publie un « appel à manifestation d'intérêts », comme elle le fait régulièrement pour recueillir des expériences sur des sujets importants ;

- 20 dossiers, émanant d'Américains comme d'Européens, sont présentés à l'expiration du délai limite de réception des candidatures, fixé au 20 août 2008 ;

- le comité de sélection retient un Européen et quatre Américains ou représentants de sociétés ayant leurs principaux intérêts aux Etats-Unis, apparemment au regard de leurs seules compétences techniques ;

- le groupe d'experts ainsi constitué se réunit pour la première fois le 4 décembre 2008 ;

- le 14 janvier 2009, M. Alex Türk alerte les présidents des commissions des lois des deux assemblées, ainsi que le Gouvernement ;

- le 23 janvier 2009, M. Gilles Briatta, secrétaire général des affaires européennes, contacte le commissaire M. Jacques Barrot, en charge de la protection des données au titre de sa compétence « Justice », qui décide immédiatement de mettre un terme aux travaux de ce groupe d'experts ;

- M. Gilles Briatta en informe M. Alex Türk par courrier le 27 janvier 2009 ;

- le 28 janvier 2009, à l'occasion de la journée européenne de la protection des données, M. Jacques Barrot annonce publiquement le lancement d'une large consultation sur l'opportunité de réviser la directive de 1995, ce qui sous-entend la dissolution du groupe d'experts.

a ensuite déclaré avoir également reçu la confirmation de cette dissolution lors de l'audition de M. Jean Pic, secrétaire général adjoint pour les affaires européennes et de M. Philippe Setton, sous-directeur des Affaires internes au secrétariat d'État aux Affaires européennes.

De même, il a souligné avoir constaté que les pages Internet du groupe d'experts avaient été retirées du site de la Commission européenne.

Il s'est félicité de cette dissolution qui, a-t-il insisté, est intervenue grâce à la vigilance de M. Alex Türk et à la diligence de M. Jacques Barrot, qui a décidé de mettre un terme à ce groupe d'experts dès qu'il a été alerté par le Gouvernement.

En conséquence, il a considéré que la proposition de résolution européenne était devenue sans objet.

En conclusion, il a jugé souhaitable, comme semblait l'envisager M. Barrot, de remplacer le groupe d'experts par une nouvelle instance de réflexion : en effet, les nouvelles technologies (biométrie, nanotechnologies, technologies sans-contact RFID, moteurs de recherche...) et le développement de certaines pratiques (en particulier le développement des réseaux sociaux, tels que Facebook) posent des questions nouvelles et il est important d'examiner dans quelle mesure la directive de 1995 y apporte des solutions satisfaisantes ou non.

Ce groupe, a-t-il plaidé, devra être composé de manière équilibrée et pluraliste afin d'assurer la représentation de toutes les approches en matière de protection des données.

Il a ainsi souhaité la participation :

- de personnes défendant la position traditionnelle des Etats-Unis en matière de protection des données - dès lors que ceux-ci n'y sont pas majoritaires - et ce afin de poursuivre le dialogue transatlantique sur un sujet qui ne connaît pas de frontières ;

- de membres du G29, comme prévu dans le groupe d'experts dissous ;

- du contrôleur européen des données, dont la candidature n'avait pas été retenue par la Commission européenne ;

- de représentants de la société civile : universitaires, associations, ONG, usagers... ;

- enfin, du comité des experts du Conseil de l'Europe prévu par la Convention 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.