Intervention de Yves Détraigne

Madame la présidente, monsieur le garde des sceaux, mes chers collègues, en adoptant, il y a plus de trente ans, la loi du 6 janvier 1978 dite « informatique et libertés », notre pays a joué un rôle précurseur dans la protection des données personnelles. En dégageant les grands principes, rappelés par Anne-Marie Escoffier, de finalité, de proportionnalité, de droit d’accès et de rectification ainsi que de droit d’opposition à l’utilisation des données personnelles, le législateur français traçait la voie d’un cadre juridique visant à concilier le développement inévitable des fichiers informatiques avec la protection de la vie privée et des libertés individuelles.

En créant la CNIL, le législateur mettait également en place l’outil permettant de vérifier l’effectivité de ces principes et, le cas échéant, d’en sanctionner le non-respect.

Cette législation a largement contribué à l’élaboration du droit européen dans ce domaine et s’est avérée, au fil du temps, suffisamment souple et équilibrée pour conserver toute sa pertinence face aux nombreuses évolutions techniques et à la multiplication des traitements et fichiers auxquels nous n’avons cessé d’assister depuis lors dans le domaine du numérique, des nouvelles technologies et des pratiques qui en découlent.

Le développement exponentiel et sans frontière des technologies numériques de communication et d’enregistrement des données, d’une part, et la tendance de plus en plus forte des individus, notamment des plus jeunes, à communiquer par ce biais des informations personnelles et parfois sensibles, d’autre part, en particulier via les réseaux sociaux, nécessitent absolument que l’on revisite la législation applicable et qu’on l’adapte aux nouveaux défis auxquels sont confrontées la protection des données personnelles et la sauvegarde de la vie privée.

La proposition de loi, adoptée à l’unanimité par notre assemblée en mars 2010, à la suite du rapport d’information que j’avais publié avec Anne-Marie Escoffier en mai 2009, contenait un certain nombre de dispositions visant à répondre à ces nouveaux défis.

Je pense ainsi à la sensibilisation, dès l’école, des jeunes aux dangers de l’exposition de soi sur internet, mesure aujourd’hui inscrite dans la loi grâce à notre collègue Catherine Morin-Desailly, et dont il serait d’ailleurs intéressant que vous nous indiquiez, monsieur le garde des sceaux, comment elle est mise en application dans les faits.

Je pense également aux mesures visant à donner une plus grande effectivité au droit à l’oubli numérique, notamment par l’obligation de fournir aux internautes une information claire et accessible sur la durée de conservation de leurs données, l’exercice plus facile du droit à la suppression des informations personnelles, la possibilité de saisir plus efficacement qu’aujourd’hui les juridictions en cas d’impossibilité d’exercer ce droit ou encore le renforcement des moyens et des pouvoirs de sanction de la CNIL.

Force est cependant de constater que, si cette proposition de loi a été adoptée à l’unanimité au Sénat, elle l’a été contre l’avis du Gouvernement, et n’a jamais été inscrite à l’ordre du jour de l’Assemblée nationale.

Le Gouvernement a préféré s’orienter, en avril 2010, vers une charte sur le droit à l’oubli numérique, qui poursuivait un double objectif : d’une part, faciliter l’exercice d’un droit de suppression des informations sur une personne pouvant être publiées par des tiers et susceptibles de lui être un jour préjudiciables – cela concerne notamment les blogs, les réseaux sociaux et les sites de partage de vidéo ; d’autre part, améliorer la transparence de l’exploitation des traces de navigation – les fameux cookies – à des fins commerciales.

« C’est en travaillant tous ensemble que nous pourrons améliorer la protection de la vie privée et la mise en œuvre du droit numérique. Les acteurs du Web ont répondu à mon appel et participent à la concertation visant à définir les bonnes pratiques à mettre en œuvre », déclarait à cette époque la ministre en charge du dossier.

Las, si la charte a bien été signée par la plupart des acteurs du numérique en octobre 2010, notamment Microsoft, PagesJaunes, Copains d’avant, force est de constater que les deux géants du Web que sont Google et Facebook ne l’ont pas signée et ont préféré mettre en place leurs propres systèmes de protection des données, tout en multipliant – la presse s’en fait suffisamment l’écho – les systèmes d’interconnexion et de profilage de plus en plus précis des internautes, dont le moins que l’on puisse dire est qu’ils ne rassurent pas vraiment.

Voilà maintenant que la Commission européenne reprend la main en proposant un corpus de règles relatives à la protection des données et qui sera valable dans toute l’Union : obligation pour les gestionnaires de données de notifier dans les meilleurs délais à l’autorité nationale de contrôle les violations graves de données à caractère personnel ; droit à l’oubli numérique qui permettra aux citoyens de l’Union d’obtenir la suppression des données les concernant si aucun motif légitime ne justifie leur conservation ; renforcement des moyens des autorités nationales chargées de la protection des données. Autant de propositions qui figuraient dans le rapport de la commission des lois de mai 2009...

La Commission européenne prévoit également l’application des règles européennes aux traitements de données à caractère personnel réalisés hors Union européenne par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union ainsi que l’intervention – pour régler un problème lié à la protection des données – de l’autorité de protection du pays de l’Union où l’entreprise a son établissement principal, quel que soit le pays où ce problème a eu lieu.

Ce système va dans le bon sens en ce qu’il reprend les grands principes que nous avons proposés, mais, en choisissant de laisser la juridiction à la « CNIL », si je puis dire, du lieu d’implantation principale de l’entreprise fautive, on risque d’assister à une délocalisation de certains opérateurs du numérique vers les pays les moins-disants de l’Union européenne en matière de protection des données.

Quand on sait l’apport des nouvelles technologies à la création de richesses dans nos pays, en France notamment, je ne suis pas sûr que ce soit une bonne nouvelle pour notre pays.

Monsieur le garde des sceaux, faute d’avoir tenu compte des avertissements lancés à plusieurs reprises par notre collègue Alex Türk lorsqu’il était président de la CNIL et faute d’avoir donné suite à la proposition de loi que nous avions adoptée au Sénat en 2010, notre pays est maintenant au pied du mur. Comme Anne-Marie Escoffier – que je remercie d’avoir provoqué ce débat très intéressant d’aujourd’hui –, vous comprendrez donc que je souhaite que les intentions du Gouvernement dans ce domaine soient enfin, si je puis dire, précisées.

La commission des affaires européennes de l’Assemblée nationale, pas plus tard qu’hier – cela vient d’être dit –, a adopté une proposition de résolution de Philippe Gosselin sur la proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Dans cette proposition de résolution très détaillée, nos collègues députés s’inquiètent notamment de la juridiction qui serait donnée à l’autorité de contrôle du pays où l’entreprise fautive a son établissement principal et des conséquences négatives que j’évoquais rapidement à l’instant. Ce texte « invite le Gouvernement français à se saisir de cette question dans les plus brefs délais et à défendre une réforme plus respectueuse des droits de nos concitoyens, en accord avec la position défendue publiquement par la Commission nationale de l’informatique et des libertés ».

Monsieur le garde des sceaux, je ne peux que joindre ma voix à celle des députés.