Intervention de Michel Mercier

C’est ainsi que les droits des personnes ont été consolidés. L’ordonnance du 24 août 2011, que vous avez oublié de citer, transposant la directive 2002/58/CE modifiée concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, interdit d’installer sur l’équipement d’un utilisateur des logiciels qui observent sa navigation sur internet sans l’en avoir informé et avoir recueilli son accord.

De même, ce texte a imposé aux fournisseurs de communications électroniques de notifier à la Commission nationale de l’informatique et des libertés et, dans certaines hypothèses, à l’abonné ou l’utilisateur, l’existence d’une faille de sécurité.

Par ailleurs, les moyens d’action de la CNIL ont été renforcés. En effet, cette autorité de contrôle doit disposer des ressources propres à garantir l’efficacité de son action au service de la protection des données personnelles.

Son budget a ainsi connu une augmentation de près de 50 % entre 2007 et 2010, passant de 9, 9 millions d’euros à 14, 7 millions d’euros. Ses effectifs, qui étaient de 105 personnes, ont également été sensiblement renforcés, pour atteindre le nombre de 148 personnes.

Ses moyens d’action juridique ont également été accrus. Le droit de visite inopinée dans les locaux des responsables de traitement a été inscrit à l’article 7 de la loi du 29 mars 2011 relative au Défenseur des droits, sous réserve que la CNIL ait obtenu l’autorisation préalable du juge des libertés et de la détention.

À son article 8, que votre commission des lois avait d’ailleurs enrichi au cours du débat parlementaire, cette même loi du 29 mars 2011 a conféré à la CNIL le pouvoir de faire publier les sanctions qu’elle prononce, même en l’absence de mauvaise foi du responsable de traitement défaillant. Cette publicité garantit la diffusion auprès du grand public et des organismes concernés des comportements sanctionnés par la CNIL.

Si des avancées ont été obtenues, il est bien évident qu’il reste encore beaucoup à faire.

Précisément, le Gouvernement est aujourd’hui engagé, avec ses partenaires européens, dans la négociation de nouveaux instruments communautaires relatifs à la protection des données personnelles.

Comme l’a rappelé M. Jeannerot, la Commission européenne a rendu public, le 25 janvier dernier, deux projets de textes tendant à harmoniser, sur l’ensemble du territoire de l’Union européenne, le droit applicable à la protection des données personnelles. Je me félicite de cette initiative, car, par définition, internet dépasse les frontières des États. C’est donc d’abord à l’échelon européen que doivent être redéfinis les principes applicables en la matière, pour une effectivité plus grande des droits de nos concitoyens.

La Commission a proposé un projet de règlement applicable à l’ensemble des traitements de données personnelles, à l’exclusion des fichiers de police et de justice, qui font l’objet d’un projet de directive.

Alors que débute la négociation de ces deux textes, il est d’ores et déjà possible d’identifier des évolutions positives. Il faut ainsi saluer la volonté de la Commission que le droit européen soit mieux opposable aux opérateurs basés hors de l’Union européenne qui traitent des données concernant des personnes résidant sur le territoire européen. De même, plusieurs dispositions sont de nature à assurer un renforcement des droits des personnes, par exemple la consécration du principe du consentement préalable ou la prise en compte des spécificités des données relatives aux mineurs, qui font l’objet d’une protection renforcée.

Cela dit, d’autres aspects de ce texte appellent à ce stade, de la part du gouvernement français, des réserves de principe.

Tout d’abord, la Commission a choisi de proposer un règlement – en lieu et place de la directive du 24 octobre 1995 – applicable au traitement des données personnelles. On peut s’interroger sur l’opportunité de retenir un texte d’application directe, alors que la législation française, la plus ancienne en la matière dans les pays de l’Union européenne, est bien souvent plus protectrice que celle de nos partenaires.

Ensuite, sur le fond, plusieurs points doivent retenir notre attention afin de ne pas amorcer de recul par rapport aux protections apportées par notre droit.

Le critère du « principal établissement » retenu par la Commission ne me semble pas acceptable. Sa mise en œuvre conduirait à ce que des citoyens français soient obligés de s’adresser, par exemple, à l’organisme de protection irlandais pour toute contestation relative au site internet d’une entreprise dont le principal établissement se trouverait en Irlande. Que la CNIL ne puisse pas faire prévaloir la loi française en dehors du territoire français est une chose, mais qu’on l’empêche d’intervenir lorsque la protection de la vie privée de citoyens français est en cause en est une autre. Clairement, cette évolution ne va pas dans le bon sens et le gouvernement français sera ferme sur ce point.