Intervention de Anne-Marie Escoffier

Nous nous étions fondés sur le constat que le droit à la vie privée de tout individu est aujourd’hui indissociable de l’exercice par celui-ci de ses propres libertés. Ce droit recouvre à la fois la notion d’intimité, qui exclut toute immixtion extérieure dans la sphère privée, et celle d’autonomie, à savoir le droit de mener son existence comme on l’entend, sous réserve de limitations légitimes.

Si la protection de la vie privée est consacrée par le droit, notamment par la Déclaration universelle des droits de l’homme, la Convention européenne des droits de l’homme et par le code civil, dont l’article 9 édicte le principe à valeur constitutionnelle de droit à la protection de la vie privée, il n’existe, en revanche, aucune définition légale de cette notion ; la délimitation de ses contours est laissée à l’initiative de la jurisprudence.

Or l’émergence de nouvelles technologies dans la vie quotidienne a pour effet de soulever des problématiques inédites quant à la protection de la vie privée : les différentes formes de traçabilité des faits et gestes des individus, dans l’espace et le temps, avec les systèmes de géolocalisation, de vidéosurveillance – aujourd’hui qualifiés de systèmes de vidéoprotection – ou, par exemple, les nanotechnologies, peuvent constituer autant d’atteintes à la vie privée.

Toutefois, le danger ne vient pas toujours des autres ou des instruments extérieurs, il procède parfois de l’individu lui-même, qui développe l’exposition volontaire de sa propre vie privée à autrui, notamment sur les blogs et les réseaux sociaux.

On l’a récemment constaté, cette tendance est à la fois propre aux mineurs et aux adultes – qu’ils soient jeunes ou non, du reste – qui se laissent séduire par ces nouveaux modes de communication que d’aucuns analysent comme une réaction à une société de l’isolement et de l’enfermement.

Face à ces deux tendances privatives de liberté – dans des formes certes différentes – se pose la question de savoir si le cadre juridique français est adapté et suffisant pour concilier le droit à la vie privée et la liberté de tout individu.

Notre corpus juridique repose essentiellement sur le triptyque suivant : la loi du 6 janvier 1978 dite « informatique et libertés », la directive européenne de 1995 relative à la protection des données personnelles et la loi du 6 août 2004, qui procède à la transposition de cette directive européenne.

Cette législation a le mérite d’avoir fixé des principes indépendants de l’évolution des technologies et, partant, pérennes, qui imposent pour chaque application informatique que soient préservées les sept règles suivantes : la finalité, la proportionnalité, la sécurité des données, le droit d’accès et de rectification, le droit à l’information, le droit d’opposition et le droit au consentement préalable.

Néanmoins, face aux évolutions sociétales, confronté au droit international, notre cadre juridique actuel est clairement insuffisant, et l’objectif de la Haute Assemblée, en adoptant notre proposition de loi, était de lui apporter les adaptations nécessaires. J’en rappellerai rapidement les six principales.

Premièrement : faire du citoyen un homo numericus responsable, en confiant à l’éducation nationale une mission d’information sur la protection des données personnelles et en apportant une meilleure information, spécifique, claire, accessible et permanente sur toutes les formes de données.

Deuxièmement : assurer une plus grande effectivité au droit à l’oubli numérique, en facilitant l’exercice du droit à la suppression de certaines données, notamment auprès des juridictions civiles.

Troisièmement : conforter le statut et les pouvoirs de la CNIL pour promouvoir une culture « informatique et libertés », notamment dans le cadre du développement des correspondants informatique et libertés, du renforcement des sanctions et de la notification obligatoire des failles de sécurité.

Quatrièmement : clarifier le statut de l’adresse IP comme donnée personnelle ; il s’agit d’un point essentiel que nous avions tenu à inscrire dans notre proposition de loi.

Cinquièmement : mieux encadrer la création de fichiers de police.

Sixièmement, enfin : anticiper la révision de la directive européenne de 1995 au regard du droit applicable aux responsables de traitement informatique situés en dehors de l’Union européenne, mais visant un public français.

Au total, ce texte, adopté à l’unanimité – je le souligne, monsieur le garde des sceaux –, traduisait résolument la volonté de concilier de manière équilibrée les différents intérêts en présence, qu’il s’agisse des internautes, des responsables de traitement des données ou des opérateurs, en veillant à l’harmonie entre protection de la vie privée et liberté des systèmes d’information.

Dès lors, comment comprendre et comment accepter que ce texte, transmis pour examen à l’Assemblée nationale, ait été purement et simplement écarté, oublié ? Nous avions certes mesuré qu’il était encore perfectible, mais c’est précisément pourquoi nous comptions sur le travail de nos collègues députés.

Au demeurant, le Gouvernement nous avait indirectement suggéré tout l’intérêt de notre démarche, qui, en anticipant la révision de la directive européenne, contraignait l’Europe à prendre position sur un dossier reconnu par tous comme essentiel. Il avait même le projet de conclure, très vite disait-on, une charte protectrice des données personnelles. Au lieu de cela, rien !

Nous aimerions bien comprendre, monsieur le garde des sceaux, les raisons de ce vide et les éventuels intérêts qu’il dissimule. Nombreux sont en effet les problèmes qui se posent chaque jour et qui auraient pu trouver, avec ce texte, ne serait-ce qu’un début de solution. C’est précisément le deuxième sujet que je souhaite aborder aujourd’hui.

Comme tous les parlementaires, me semble-t-il, j’ai été interrogée par le collectif national de résistance à « base élèves ». J’avais déjà été questionnée à ce sujet, et ce depuis longtemps, par les enseignants et les parents d’élèves de mon département.

Je m’étais efforcée d’expliquer aux Aveyronnais que le fichier « base élèves », expurgé des données contestables retirées par l’arrêté d’octobre 2008, était un fichier « pur », de simple gestion administrative, remplaçant simplement les bonnes vieilles fiches papier écrites au crayon.

C’était sans compter avec la juxtaposition de deux nouveaux fichiers, la base nationale des identifiants élèves, la BNIE, et l’identifiant national élève, ou INE, qui permet l’interconnexion et la traçabilité complète d’un enfant pendant sa vie scolaire, étudiante, voire professionnelle, si on lui applique la loi relative à l’orientation et à la formation professionnelle tout au long de la vie.

Fort heureusement, par un arrêt du 19 juillet 2010, le Conseil d’État a annulé l’arrêté de création du fichier « base élèves premier degré » du ministre de l’éducation nationale, au motif que les services du ministère avaient commencé à utiliser le fichier sans attendre le récépissé de la déclaration à la CNIL.

Ce problème de forme, et non de fond, a provoqué la même sanction pour le deuxième fichier, la BNIE, qui attribue un matricule à chaque enfant scolarisé dès trois ans.

Mais qu’en est-il du troisième fichier, l’INE, dont j’ignore le parcours et les intentions du ministre de l’éducation nationale à son égard ? Peut-être les connaissez-vous, monsieur le garde des sceaux ? À défaut, vous aurez probablement le souci d’interroger votre collègue sur ce point. Notre crainte, vous l’aurez deviné, est de voir entrer par la fenêtre ce qui a été chassé par la porte.

L’autre problème, que vous connaissez bien et qui nous a opposés, est celui de la proposition de loi relative à la protection de l’identité, une proposition toujours en navette, qui vise notamment à réglementer les bases de données biométriques relatives aux titres d’identité et qui entend renforcer les garanties de protection des données.

Députés et sénateurs butent sur l’utilisation du fichier biométrique à des fins de recherche criminelle. Avec M. Pillet, rapporteur de ce texte pour le Sénat, je plaide pour l’utilisation d’une technologie dite « à lien faible », qui limite l’usage du fichier à la seule lutte contre la fraude documentaire et qui interdit que soit fiché l’ensemble de la population vivant sur notre territoire national, ce que permettrait la technologie proposée par l’Assemblée nationale, beaucoup plus invasive.

Je voudrais encore évoquer les débats que nous avons eus ici s’agissant du passeport biométrique. Pour répondre au règlement de l’Union européenne du 13 décembre 2004, lui-même dicté par l’Organisation de l’aviation civile internationale, qui prévoyait un « support de stockage de haute sécurité » pour les passeports délivrés par les États membres, la France a mis en œuvre, dans deux décrets successifs, des mesures de collecte et de traitement des données personnelles contestables et contestées.

C’est d’abord un décret du 30 décembre 2005 qui a prévu l’inclusion dans les passeports d’un « composant électronique » comprenant l’ensemble des mentions devant figurer sur le passeport ainsi que l’image numérisée du visage du demandeur. Dans le même temps, ce décret a autorisé la création d’un fichier informatique national destiné non seulement à mettre en œuvre les procédures d’établissement, de délivrance, de renouvellement, de remplacement et de retrait des passeports, mais aussi à prévenir, détecter et réprimer leur falsification et leur contrefaçon.

C’est ensuite un décret du 30 avril 2008, modifiant celui de 2005, qui a prévu d’inclure sur ledit passeport l’image numérisée du visage ainsi que des empreintes digitales de huit doigts du demandeur, et non pas seulement des deux doigts exigés par le règlement de 2004 de l’Union européenne. Ce décret prévoyait en outre que l’ensemble de ces données biométriques seraient enregistrées dans le fichier national dénommé TES, titres électroniques sécurisés.

Saisi par plusieurs associations de défense des droits, le Conseil d’État a eu à se prononcer sur ces dispositions réglementaires et a jugé que le système centralisé TES ne portait pas atteinte au droit des individus au respect de leur vie privée. En revanche, il a jugé que la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles qui figurent dans le composant électronique ne sont ni adéquates ni pertinentes et qu’elles apparaissent excessives au regard des finalités du traitement informatisé. Il a donc annulé partiellement l’article 5 du décret, en tant qu’il prévoit la conservation des empreintes digitales qui ne figurent pas dans le composant électronique du passeport.

Ces trois exemples – base élèves, protection de l’identité, passeport biométrique –, parmi d’autres, permettent de souligner, une fois encore, la sensibilité du sujet et la vigilance qu’il nous faut, ensemble, exercer à l’endroit de ces dispositifs. S’ils peuvent, de prime abord, paraître anodins, ils ne le sont en vérité nullement, dès lors qu’ils contreviennent au principe premier de la protection de la vie privée.

J’en viens maintenant à mon troisième point, d’une actualité toute récente et qui ne manque pas de créer une véritable inquiétude chez toutes celles et tous ceux qui sont attachés au principe fondamental que je viens de rappeler. Je veux parler des orientations fixées par la Commission européenne dans sa communication du 25 janvier dernier relative à la protection des données, communication préparatoire à la révision de la directive européenne de 1995.

Puis-je à nouveau, monsieur le garde des sceaux, vous faire observer que je regrette profondément, avec d’autres, que notre proposition de loi n’ait pas dépassé les marches du Sénat : nous ne serions probablement pas confrontés aux difficultés que je vais à présent souligner.

Je reviens donc à cette communication, dont se dégagent trois axes de réflexion : le renforcement des droits des personnes physiques quant à la protection des données personnelles ; la simplification de l’environnement juridique favorisant le développement de l’économie numérique dans l’ensemble du marché unique de l’Union européenne ; enfin, la coopération entre les autorités répressives, gage d’efficacité de la lutte contre la cybercriminalité en Europe.

Sur le premier point, celui de la maîtrise pour les personnes physiques des données les concernant, nous ne pouvons que nous réjouir des conclusions retenues, qui confortent les notions de consentement exprès, de droit à l’oubli et de droit à l’information, qui renforcent la sécurité des données et qui accroissent la responsabilité des personnes traitant les données.

S’agissant de la simplification en matière de formalités administratives pour les entreprises, il faut saluer la place accordée aux correspondants informatique et libertés et la mise en place d’outils de protection au sein même des entreprises. Ces dernières se verront sanctionnées plus lourdement qu’aujourd’hui si elles ne respectent pas les nouvelles obligations qui leur seront imposées. Il faut relever encore l’amélioration qu’apportera une coopération accrue sur le plan européen.

En revanche, la CNIL, qui est au cœur du dispositif de régulation et de contrôle du traitement des données informatiques, a eu l’occasion, tant auprès de la commission des lois que de moi-même, de venir dire son inquiétude sur le risque important d’éloignement entre les citoyens européens et leurs autorités nationales.

Le projet de règlement prévoit en effet que l’autorité compétente soit celle où se situe l’établissement principal d’une entreprise, quel que soit le public ciblé par son activité. Ainsi, sur la base de ce critère d’établissement principal, le plus souvent hors de notre périmètre européen, le système de régulation que nous connaissons se trouvera décentré, ce qui réduira l’autorité française à un simple rôle information. En effet, dans ce système, les autorités nationales verront leur rôle limité, au mieux, à une simple consultation.

Une telle réforme, si elle était actée, aurait pour conséquence grave de renforcer l’image bureaucratique et lointaine des institutions communautaires, avec une gouvernance mal assise.

La CNIL a eu l’occasion de dire sa vive opposition à un tel système, qui constituerait « une véritable régression vis-à-vis des droits des citoyens » et conduirait « à une centralisation de la régulation de la vie privée au profit d’un nombre limité d’autorités, au profit également de la Commission, qui dispose d’un pouvoir normatif important ».

Nous sommes nombreux à avoir perçu les dangers d’un système qui renierait le besoin de coopération approfondie entre autorités compétentes.

À l’instant, je viens d’apprendre que la proposition de résolution européenne de notre collègue député Philippe Gosselin a été adoptée hier par la commission des affaires européennes de l’Assemblée nationale. Belle initiative que le Sénat pourrait reprendre à son compte pour que soit préservé, dans un contexte de forte concurrence internationale, le droit fondamental à la vie privée, qui conditionne l’exercice de bien d’autres libertés !