Intervention de Jean-Pierre Sueur

Je suis heureux de vous accueillir, Madame la présidente. Je remercie l'ensemble des collègues présents et vous prie de bien vouloir excuser l'absence de certains de nos collègues, retenus en séance ou en audition. En effet, notre ordre du jour est particulièrement chargé.

Par courrier en date du 13 décembre, vous avez appelé mon attention sur le fait que la Commission européenne devrait présenter, fin janvier 2012, une proposition de révision de la directive européenne 95/46/CE qui fixe le cadre juridique européen en matière de protection des données personnelles. Vous m'avez fait part de votre inquiétude devant la volonté de la Commission de retenir désormais le critère du « principal établissement » d'un responsable de traitement pour désigner l'autorité de protection compétente. Il en résulterait une perte de compétence pour la CNIL. Nous y reviendrons sans doute au cours de nos échanges mais je tiens à vous dire d'emblée que je partage vos préoccupations.

Mme Isabelle Falque-Pierrotin, présidente de la CNIL. - La CNIL est encore mal connue de nos concitoyens. Elle est pourtant devenue au fil des ans une « grande maison » : la CNIL dispose ainsi en 2011 de 154 postes, ce qui représente un doublement des effectifs depuis 2004 ; ses missions sont sans cesse plus larges et l'institution est de plus en plus sollicitée : elle reçoit ainsi 6000 plaintes par an.

L'univers technologique dans lequel évolue la CNIL est en perpétuelle mutation : face à ce processus, qui crée de nouveaux risques mais aussi de nouveaux besoins, la CNIL doit s'adapter. Les principes fondateurs de la loi « informatique et libertés » doivent-ils pour autant être remis en cause ? Je ne le crois pas. En revanche, nous devons les appliquer en liaison étroite avec les différents acteurs. La CNIL n'est pas une institution « éthérée », hors du temps, défendant des principes idéologiques. Elle doit, au contraire, proposer des solutions concrètes, pragmatiques et réalistes, comme elle l'a fait récemment à propos de la carte d'identité biométrique.

Notre mission de régulation ne doit pas être exercée de manière trop brutale : nous devons avant tout nous appuyer sur les différents acteurs publics et privés pour qu'ils s'approprient la culture « informatique et libertés ».

A cet égard, je souhaiterais donner deux exemples.

En premier lieu, la CNIL possède une compétence de plus en plus large en matière de vidéoprotection. Pour y faire face, nous nous sommes rapprochés de l'AMF, avec pour objectif de diffuser la culture « informatique et libertés » auprès des élus locaux et de limiter ainsi les manquements à la loi de 1978.

En second lieu, les grands acteurs de l'Internet que sont Google, Facebook... sont de plus en plus sensibilisés aux enjeux « informatique et libertés », sous la pression des internautes eux-mêmes qui réclament une meilleure protection de leurs données personnelles. D'ailleurs, la CNIL a rendu publique hier une étude sur les « Smart phones » qui met en évidence une vigilance de plus en plus grande des utilisateurs à l'égard des risques inhérents aux nouvelles « mémoires numériques ».

En conséquence, la CNIL doit accompagner et encourager cette prise de conscience. Elle doit ainsi se rapprocher des industriels pour obtenir des engagements précis dans le cadre, par exemple, de chartes. Certes, ces documents relèvent de ce que d'aucuns appellent le « droit mou » dans la mesure où ils sont dépourvus de force juridique contraignante. Toutefois, ils présentent l'intérêt de pouvoir aborder la problématique « informatique et libertés » de manière beaucoup plus fine et détaillée que ne pourrait le faire une disposition juridique.

J'en viens aux enjeux internationaux de la protection des données. Ces enjeux sont majeurs car l'avenir ne se joue plus seulement en France, mais également en Europe et dans le monde. Les grands espaces géographiques que sont les Etats-Unis, l'Europe et l'Asie se livrent à une concurrence féroce sur le plan commercial. Dans ce contexte, la tentation est grande de privilégier l'attractivité économique au détriment de la protection des données.

S'agissant du processus de révision de la directive de 1995, la Commission européenne, vous l'avez dit, Monsieur le Président, risque d'introduire le critère du « principal établissement ». C'est en tout cas ce qui ressort de nos échanges avec Mme Viviane Reding, Commissaire en charge de la justice, des droits fondamentaux et de la citoyenneté. Concrètement, de quoi s'agit-il ? A titre d'exemple, si un responsable de traitement est établi dans trois pays, la France, l'Espagne et l'Irlande et que son principal établissement est situé en Irlande, seule l'autorité irlandaise serait compétente pour l'ensemble des traitements, qu'ils soient réalisés en Irlande, en France ou en Espagne. Dans cet exemple, la CNIL perdrait toute compétence. La solution envisagée par la Commission européenne porterait atteinte à la protection des données personnelles de la population et aussi aux intérêts économiques de notre pays. Elle pourrait, en effet, favoriser les délocalisations d'entreprises vers des Etats dont les autorités de protection des données personnelles privilégient une approche plus souple et moins exigeante que celle retenue par la France.

Mme Reding nous répond :

1° que la Commission souhaite garantir un haut niveau de protection des données partout en Europe ; c'est pourquoi serait privilégiée l'adoption d'un Règlement en lieu et place d'une nouvelle directive ;

2° qu'il est nécessaire de simplifier le cadre juridique pour les entreprises et de donner à ces dernières un interlocuteur unique ;

3° que la Commission, prenant en compte les inquiétudes exprimées par la CNIL, pourrait proposer un système dit de « consistency », fondé sur la coopération entre autorités de protection de données : dès lors qu'un traitement aurait un impact sur un territoire, l'autorité nationale pourrait faire part à l'autorité compétente de son désaccord éventuel avec la position prise par cette dernière. Si les autorités ne parvenaient pas à trouver une approche commune, chacune d'elle aurait la possibilité de faire remonter le différend au niveau du G29 (instance qui regroupe les autorités de protection des 29 pays membres de l'Union européenne), qui serait alors compétent pour adopter un avis sur la question.

Nous ne sommes pas convaincus par les réponses apportées par Mme Reding. En effet, même si l'adoption d'un Règlement ne peut que conduire à une harmonisation des législations nationales, plus que ne le fait l'actuelle directive de 1995, il n'en demeure pas moins que les approches culturelles sont différentes d'un Etat à un autre au sein de l'Union européenne et que certaines autorités de protection, en particulier celles du Royaume-Uni et de l'Irlande, sont plus clémentes que d'autres. En outre, la protection des données personnelles interagit avec certaines branches du droit, telles que le droit social, le droit fiscal... Lorsque la CNIL traite un dossier, elle l'examine en tenant compte des spécificités et des exigences de droits connexes. Comment l'autorité de protection irlandaise pourrait-elle procéder à une analyse aussi fine, qui suppose une connaissance approfondie des textes et des pratiques de notre pays ? Par ailleurs, le système dit de « consistency » ne nous paraît pas satisfaisant en l'état car il ne préserve pas la souveraineté de la CNIL.