Intervention de Simon Sutour

Je vous remercie, monsieur le président.

Les deux commissions partagent la même analyse. Ces deux textes devant être adoptés selon la procédure législative ordinaire, c’est-à-dire par codécision entre le Parlement européen et le Conseil de l’Union européenne, le processus de négociation entamé va durer quelque temps.

Compte tenu des brefs délais qui nous sont impartis et du fait que ces deux textes abordent des problématiques différentes, la proposition de résolution soumise à votre examen ne porte que sur la proposition de règlement relatif aux fichiers privés et commerciaux. Nous aurons l’occasion de revenir par la suite sur ces sujets, particulièrement sur la proposition de directive relative aux fichiers de souveraineté, que nous laissons aujourd’hui de côté.

Parallèlement à la présente proposition de résolution adressée au Gouvernement, la commission des affaires européennes a déposé, le 23 février dernier, sur le fondement de l’article 73 octies de notre règlement, une proposition de résolution adressée cette fois directement aux institutions européennes et portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement. Ce texte est devenu résolution du Sénat le 4 mars 2012, après son adoption par la commission des lois, compétente au fond.

La proposition de résolution qui vous est soumise aujourd’hui vise exclusivement la proposition de règlement européen relatif aux fichiers privés ou commerciaux, qui a vocation à remplacer la directive de 1995. Très largement inspiré de la législation française, pionnière en la matière, ce texte a marqué, en son temps, une avancée décisive.

Cependant, de l’avis général, il est aujourd’hui nécessaire de franchir une nouvelle étape en matière de protection européenne des données personnelles, et ce pour trois raisons.

Premièrement, la directive de 1995 n’a pas permis une harmonisation suffisante de la protection des données personnelles dans les États membres de l’Union européenne. Ainsi, par exemple, jusqu’en 2011, l’autorité de contrôle britannique ne disposait d’aucun pouvoir de sanction contre les responsables de traitement.

Deuxièmement, la directive est devenue obsolète. La révolution des nouvelles technologies, l’explosion d’internet, la multiplication des réseaux sociaux et leur place toujours grandissante, l’indexation massive des contenus publiés en ligne sont autant d’éléments qui accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de leur consultation ou de leur exploitation à des fins notamment commerciales.

Enfin, la dernière raison qui justifie une révision de la législation communautaire tient à l’internationalisation croissante des transferts de données entre les États membres de l’Union européenne eux-mêmes, mais aussi entre ces derniers et les États tiers à l’Union européenne. Le régulateur national ne peut plus agir seul. Nous devons unir nos forces –et donc unifier notre droit – pour imposer, notamment aux États non européens, le respect des règles de protection des données relatives aux citoyens européens.

La Commission européenne s’est saisie de ce dossier. Elle a appelé, dans une communication de novembre 2010, à une approche globale de la protection des données personnelles en Europe. La proposition de règlement constitue l’aboutissement de ces travaux et doit conduire, selon elle, à une harmonisation du droit applicable sur le modèle des droits les plus avancés en la matière. C’est ce que nous a indiqué notamment la vice-présidente de la Commission européenne, Mme Reding, lorsque nous l’avons auditionnée voilà quelques jours.

L’heure est décisive. En effet, le texte qui nous est présenté est une proposition de règlement. Nous n’aurons plus à en connaître, une fois adoptée, contrairement à ce qui se passe pour une directive – ou plutôt, monsieur le ministre, contrairement à ce qui devrait se passer, car le Parlement est de plus en plus souvent tenu à l’écart des transpositions de directive, mais c’est là un autre sujet, sur lequel nous reviendrons. Si nous voulons peser, c’est maintenant, dans la phase de négociation, qu’il faut agir. Il est essentiel, sur un sujet qui engage autant les droits fondamentaux de la personne, que la représentation nationale se fasse entendre.

La proposition de règlement comporte un certain nombre d’améliorations dont le texte qui vous est présenté prend acte. Elle prévoit notamment que le consentement de la personne à l’utilisation de ses données personnelles devra être exprès. Elle reconnaît aux internautes un « droit à la portabilité » de leurs données, qui leur permettra de s’affranchir de l’autorité de traitement sans perdre l’usage de leurs données. Elle réaffirme le droit d’opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité, pour les responsables de traitement, de soumettre les données qu’ils ont recueillies à un « profilage » informatique. Elle consacre un droit à l’oubli numérique, permettant à chacun d’obtenir l’effacement des données personnelles qui lui portent préjudice.

La proposition de règlement prévoit de nouvelles règles d’autorisation des fichiers reposant, notamment pour les plus sensibles d’entre eux, sur l’obligation de les soumettre à une étude d’impact. Elle modifie la réglementation relative au transfert de données vers des pays tiers à l’Union européenne.

Parallèlement, le texte fait peser sur les responsables de traitement des obligations nouvelles, comme la désignation d’un délégué à la protection des données dans les entreprises de plus de 250 salariés ou le renforcement des sanctions contre les entreprises ne respectant pas les règles fixées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant notamment un comité européen de la protection des données, auquel sera associé le Contrôleur européen de la protection des données, qui se substituera à l’actuel groupe de travail réunissant les « CNIL européennes », dit « Groupe de l’article 29 » ou « G29 ».

Cette proposition de règlement contient donc de réelles avancées par rapport aux règles communautaires en vigueur. Certaines, comme l’exigence du consentement exprès, le droit d’opposition ou de rectification ou le statut d’indépendance et les pouvoirs de l’autorité de contrôle existent cependant déjà dans notre droit national. D’autres consacrent des évolutions attendues. Je tiens, à cet égard, à rendre hommage au travail précurseur effectué par nos collègues Yves Détraigne et Anne-Marie Escoffier, …