Intervention de Simon Sutour

… qui, dans leur rapport d’information sur la vie privée à l’heure des mémoires numériques, puis dans la proposition de loi issue de leurs travaux et rapportée par notre éminent collègue Christian Cointat, ont présenté certaines des évolutions aujourd’hui consacrées par la proposition de règlement, telles la reconnaissance du droit à l’oubli ou l’obligation de désignation de délégués à la protection des données.

Monsieur le ministre, on ne peut que regretter que cette proposition de loi, adoptée à l’unanimité au Sénat il y a près de deux ans, n’ait jamais été examinée par l’Assemblée nationale.

Malgré ces avancées notables, le dispositif proposé comporte de réelles lacunes, qu’il revient au Sénat de dénoncer. La présente proposition de résolution a pour objet d’attirer l’attention du Gouvernement sur ces lacunes, au moment où s’engagent les négociations.

La proposition de règlement doit tout d’abord aller plus loin sur certains points : le droit à l’oubli et les moteurs de recherche, le statut juridique de l’adresse IP, l’encadrement des transferts internationaux de données, la désignation obligatoire d’un délégué à la protection des données ou le renforcement des pouvoirs des autorités de contrôle nationales.

Sur ce dernier point, j’indique que, sur l’initiative de M. Jean-Paul Amoudry et de plusieurs de ses collègues du groupe de l’Union centriste et républicaine, la proposition de résolution appelle le Gouvernement à faire preuve de la plus grande vigilance, monsieur le garde des sceaux, sur l’encadrement, trop restrictif, des pouvoirs d’investigation des autorités de contrôle nationales.

J’en viens maintenant au cœur de la proposition de résolution qui est soumise à votre examen, mes chers collègues, à savoir les deux questions de principe que soulève le texte de la Commission européenne.

La première question porte sur la marge que conserve le législateur national pour adopter des dispositions nationales plus protectrices. La Commission européenne a fait le choix d’une proposition de règlement plutôt que d’une proposition de directive afin de garantir une harmonisation complète des législations. Il est évidemment souhaitable que celle-ci se fasse par le haut, et non par le bas.

Une question fondamentale se pose donc pour des États comme la France, dont la législation en matière de protection des données personnelles est souvent pionnière. La protection apportée par ce texte constituera-t-elle un plancher ou un plafond ? Serait-il envisageable que, en élevant le niveau moyen de protection apporté à l’ensemble des citoyens européens, le règlement diminue celle dont bénéficiaient ceux qui résidaient dans un État membre ayant fait le choix de prévoir des garanties complémentaires ?

Lors de son audition par la commission des lois et par la commission des affaires européennes, le 21 février dernier, Mme Reding, commissaire européen chargée de ce dossier, nous a indiqué clairement qu’elle entendait faire respecter le principe « un continent, une règle ». Elle a même ajouté qu’elle était « entre nos mains ». Nous avons toutefois plutôt eu le sentiment que c’était l’inverse…

Or la protection des données personnelles participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle mentionnée à l’article 2 de la Déclaration des droits de l’homme et du citoyen. Cet ancrage constitutionnel de la protection des données personnelles justifie que celle-ci prime sur toutes autres considérations, notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes.

La présente proposition de résolution européenne invite donc le Gouvernement français à veiller à ce que l’harmonisation s’effectue sans préjudice de la possibilité, pour les États membres, d’adopter des dispositions plus favorables à la protection des données personnelles. Cela suppose notamment que de telles possibilités de dérogation allant dans le sens du « mieux disant » soient expressément mentionnées dans le règlement.

J’observe par ailleurs que la proposition de règlement ne définit même pas avec suffisamment de précision le cadre légal qu’elle vise à mettre en place. Cela se manifeste par le fait que le texte renvoie à près de cinquante reprises à des actes délégués ou à des actes d’exécution adoptés par le collège des commissaires pour préciser les modalités d’application du règlement.

Toutes les personnes que j’ai entendues ont critiqué ce renvoi massif à la législation déléguée. La proposition de résolution insiste sur la nécessité de veiller à ce que les compétences normatives des législateurs européens et nationaux ou celles des régulateurs nationaux ne soient pas ainsi abandonnées à la seule compétence de la Commission européenne.

La résolution du Sénat portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement que j’ai évoquée précédemment et qui a été adoptée par la commission des affaires européennes met particulièrement l’accent sur ce point.

Le texte pose une seconde question de principe. C’est celle qui a le plus focalisé l’attention de la Commission nationale de l’informatique et des libertés, comme en a témoigné l’audition de sa présidente par la commission des lois, en novembre dernier. Le dispositif du « guichet unique » proposé par la Commission européenne attribue la compétence pour instruire les requêtes des citoyens européens à l’autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement. L’objectif avoué de ce dispositif est de faciliter les démarches administratives des entreprises, qui n’auront plus qu’un interlocuteur unique à l’échelle européenne.

Cependant, il est paradoxal que le citoyen soit moins bien loti – j’insiste sur ce point – que l’entreprise responsable de traitement. Il sera en effet privé de la possibilité de voir l’ensemble de ses plaintes instruites par son autorité de contrôle nationale. Or il me semble que, lorsqu’il s’agit d’assurer la meilleure protection possible du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l’intéressé de s’adresser à l’autorité la plus proche de lui et auprès de laquelle il a l’habitude d’accomplir ses démarches.

En outre, sans même évoquer le risque de « forum shopping » dénoncé par la CNIL, le dispositif du « guichet unique » présente de multiples inconvénients.

Sa mise en place pose la question des moyens de l’autorité de contrôle nationale : par exemple, Facebook étant installé en Irlande, l’autorité de ce pays disposera-t-elle des moyens suffisants pour faire face à l’afflux de contentieux en provenance des autres pays européens ?

Ce dispositif crée en outre une asymétrie, pour le plaignant, entre les recours administratifs exercés auprès de l’autorité étrangère dont dépend le principal établissement du responsable de traitement et les recours juridictionnels portés devant le juge national.

La Commission européenne a certes prévu des aménagements au principe du « guichet unique » : elle propose un mécanisme de coordination entre autorités de contrôle et prévoit que l’autorité nationale se chargera de la transmission de la plainte à l’autorité étrangère. Ces expédients sont cependant insuffisants. Le citoyen se trouve à la fois privé de la possibilité de voir sa demande instruite par l’autorité de contrôle qui lui est le plus proche et le plus accessible, et privé de celle de se voir appliquer les dispositions de droit national plus favorables.

C’est pourquoi la proposition de résolution appelle le Gouvernement à veiller, dans la négociation qui s’ouvre, à ce que le critère du « principal établissement » soit abandonné au profit de l’application du principe selon lequel l’autorité de contrôle compétente est celle du pays de résidence de l’intéressé.

Monsieur le président, monsieur le garde des sceaux, mes chers collègues, tel est le sens de la proposition de résolution européenne que la commission des lois, unanime, vous propose d’adopter. §