Intervention de Christian Cointat

a rappelé que la proposition de loi de M. Yves Détraigne et Mme Anne-Marie Escoffier faisait suite au rapport d'information des mêmes auteurs, publié au nom de la commission des lois le 27 mai 2009, et traduisait plusieurs recommandations formulées dans ce rapport.

Après avoir relevé que les sujets abordés par ce texte sont sensibles et complexes, il a insisté sur la nécessité pour le législateur de trouver un équilibre entre l'accompagnement du développement des nouvelles technologies, facteur de progrès indiscutables, et un encadrement juridique destiné à combattre ses dérives, en particulier au regard de la protection des données personnelles et, plus généralement, de la vie privée, protection réclamée par les citoyens. A cet égard, il a regretté que de nombreux représentants d'entreprises et d'administrations aient, au cours de leur audition, plaidé pour le statu quo dans ce domaine.

Il a souhaité que la proposition de loi soit perçue à l'étranger comme un nouveau signal fort de la France en faveur d'un renforcement de la protection des données personnelles, à l'heure où des initiatives sont lancées pour faire évoluer le cadre juridique communautaire - et à terme international - de cette protection, trente ans après la loi « informatique et libertés » du 6 janvier 1978, texte précurseur en la matière.

Tout en souscrivant largement aux objectifs de la proposition de loi, il a souhaité la modifier afin qu'elle soit mieux comprise par les entreprises et par l'administration. Ainsi :

- sur l'article premier, il a indiqué que celui-ci complétait l'article L. 312-9 du code de l'éducation afin que l'initiation des élèves à l'usage d'Internet intègre autant les questions liées au téléchargement illégal que celles, tout aussi essentielles, de la protection des données personnelles et, plus généralement, de la vie privée. Son amendement n° 1 tend à en aménager la rédaction afin, en particulier, de prévoir que les enseignants ne doivent pas être « préalablement formés » sur la question de la protection des données mais « expérimentés en la matière ». En effet, la sensibilisation aux enjeux de la protection de la vie privée relève moins d'une discipline académique que d'une expérience et d'une appétence particulière de certains enseignants pour ce type de problématique. En conséquence, il s'est déclaré prêt à retirer son amendement au profit de celui déposé par Mme Catherine Morin-Desailly, rapporteur pour avis au nom de la commission de culture, de l'éducation et de la communication, tendant à inscrire la sensibilisation des élèves aux enjeux de la protection de la vie privée dans le cadre de l'éducation civique et non dans celui des cours consacrés aux nouvelles technologies. Ce rattachement est tout à fait cohérent avec le rapport d'information sur la vie privée à l'heure des mémoires numériques qui estime que cette sensibilisation peut être dispensée à l'occasion des cours d'éducation civique, dès lors qu'il s'agit de transmettre des valeurs plus que des connaissances techniques ;

- il a rappelé que l'article 2 visait à clarifier le statut de l'adresse IP. En effet, cette adresse constitue, selon le rapport d'information précité, un moyen indiscutable d'identification, fût-elle indirecte, d'un internaute, au même titre qu'une adresse postale ou un numéro de téléphone. Il a souhaité modifier la rédaction de cet article afin de faire clairement apparaître que l'adresse IP ne permet pas à elle seule d'identifier un internaute et ne constitue que l'élément d'un « faisceau d'indices » permettant d'identifier une personne physique ;

- il a expliqué que l'article 3 rendait obligatoires les correspondants « informatique et libertés » (CIL) lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre. Il a approuvé le principe posé par cet article, considérant que ce correspondant ne devait pas être perçu comme « un espion » qui entrave l'action de la structure dans laquelle il est désigné, mais comme une aide, une garantie et un conseil qui permet, d'une part, la diffusion de la culture « informatique et libertés » dans les structures dans lesquelles il a été désigné, d'autre part, et symétriquement, la diffusion de la culture « administration » ou « entreprises » au sein de la Commission nationale de l'informatique et des libertés (CNIL). Il a souhaité apporter quelques aménagements à l'article 3 jugeant fondées certaines craintes dont celle que la mutualisation des CIL serait dorénavant exclue. En conséquence, il a souhaité, d'une part, préciser que la désignation obligatoire du CIL pourrait intervenir dans un cadre mutualisé, d'autre part, maintenir la possibilité de mutualisation lorsque la création du CIL n'est pas obligatoire.

En outre, il a contesté que la mise en place de CIL soit coûteuse pour les structures dans lesquelles ils seront obligatoires, entreprises comme administrations pouvant respecter cette nouvelle obligation à moyens constants.

Enfin, s'agissant du seuil de 50 salariés ayant accès à un traitement de données personnelles, il a indiqué que celui-ci constituait une incitation pour les entreprises et administrations à limiter les accès aux fichiers tout en se déclarant ouvert à des amendements visant à relever ce seuil ;

- il a rappelé que l'article 4 réservait au législateur la compétence exclusive pour autoriser les catégories de fichiers nationaux de police et pour définir les principales caractéristiques de ces catégories (services responsables, finalités et durée de conservation des informations traitées), alors que les fichiers de police peuvent actuellement être autorisés par arrêté ou, s'ils comportent des données sensibles, par décret en Conseil d'Etat. Il a souhaité s'écarter de la rédaction proposée par la proposition de loi, pour deux raisons principales :

- d'une part, la rédaction de l'article 4 pourrait être dépourvue de caractère normatif, le législateur ordinaire n'étant pas susceptible de définir pour l'avenir sa propre compétence ;

- d'autre part, l'Assemblée nationale a adopté, le 2 décembre 2009, un article 29 bis lors de la première lecture de la proposition de loi de simplification et d'amélioration de la qualité du droit, présentée par M. Jean-Luc Warsmann. Cet article modifie l'article 26 de la loi « informatique et libertés » dans un sens qui préserve un équilibre entre la garantie des droits et libertés et la souplesse nécessaire pour permettre au Gouvernement de mettre en oeuvre des fichiers opérationnels dans des délais raisonnables. Le dispositif prévoit que tout fichier créé par arrêté ou par décret doit répondre à l'une des finalités qu'il énumère. A défaut, seul le législateur serait compétent.

Dans un souci de compromis, face aux objections du Gouvernement, le rapporteur s'est déclaré prêt à reprendre, sous réserve de quelques adaptations, ce dispositif qui présente l'avantage de mieux encadrer les fichiers de police au regard du droit actuel ;

- il a rappelé que l'article 6 apportait deux modifications importantes au régime juridique des « cookies ». D'une part, il renforce l'obligation d'information incombant au responsable du traitement. Tel qu'il est actuellement rédigé, l'article 32 de la loi « informatique et libertés » dispose que l'information doit être « claire et complète ». La rédaction proposée demande une information « spécifique, claire, accessible et permanente ». D'autre part, il impose le consentement de l'utilisateur avant tout stockage de « cookies » sur son ordinateur. Il a indiqué avoir cherché à assouplir ce dernier principe qui, appliqué de manière trop rigide, obligerait les internautes à réitérer trop fréquemment leur choix d'accepter ou de refuser les cookies pour chaque site, voire chaque page web, consultés. Les utilisateurs se verraient ainsi contraints en pratique d'interrompre leur navigation pour cliquer sur des fenêtres ou « pop-up » sur leur écran, ce qui, d'une part, constituerait une entrave à la navigation fluide et rapide des internautes, d'autre part, mettrait en grandes difficultés les professionnels du commerce en ligne. En conséquence, il a souhaité, d'une part, prévoir une information globale, et non au cas par cas, en matière de « cookies », d'autre part, que cette information renvoie l'utilisateur aux possibilités de paramétrage du navigateur Internet afin qu'il puisse exprimer un choix préalable, quel qu'il soit, en matière de « cookies », ce qui semble conforme aux choix récents du législateur communautaire ;

- il a rappelé que l'article 8 concernait le droit à l'oubli : il permet à chaque individu, pour des motifs légitimes, de demander à retirer d'Internet des données personnelles, qu'elles aient été livrées par la personne elle-même ou par des tiers. Il a expliqué que, n'ayant pu trouver une rédaction de nature à ne créer aucune difficulté d'interprétation, il avait jugé plus prudent de ne pas revenir sur la notion de « motifs légitimes », qui figure dans la proposition de loi tout en précisant, à l'inverse, que le droit à la suppression des données ne pourrait être exercé dans quatre nouveaux cas de figure :

- lorsque les données sont nécessaires à la finalité du traitement : il s'agit d'éviter que les données soient effacées dans le cas, par exemple, où un bien est toujours sous garantie ou n'a pas été entièrement payé par le consommateur ;

- lorsque le traitement est nécessaire à la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;

- lorsque le droit de suppression porte atteinte à une liberté publique garantie par la loi : il s'agit essentiellement de protéger la liberté de la presse ;

- lorsque les données constituent un fait historique : le droit de suppression ne peut avoir pour objet ou pour effet de réécrire ou de falsifier l'histoire ;

- il a rappelé que l'article 10 rendait systématiquement publiques les audiences de la formation restreinte de la CNIL alors que les audiences ne sont aujourd'hui publiques qu'à la demande des parties. Toutefois, il a estimé que la CNIL ne pouvait être regardée comme une juridiction et qu'elle n'avait donc pas à se conformer à toutes les exigences du procès équitable. En conséquence, il s'est prononcé en faveur de la suppression de cet article.