Intervention de Michel Mercier

Monsieur le président, monsieur le président de la commission des lois, monsieur le rapporteur, mesdames, messieurs les sénateurs, je pourrais me borner à dire que le Gouvernement est heureux de constater que le Sénat tout entier soutient sa position et partage ses craintes sur cette proposition de règlement européen. Il me semble néanmoins nécessaire d’expliquer les raisons pour lesquelles le projet de la Commission européenne ne nous satisfait pas.

Voilà plus de trente ans, en adoptant la loi fondatrice du 6 janvier 1978 dite « informatique et libertés », la France a été un précurseur en la matière qui nous occupe. Cette loi, qui est la pierre angulaire de la protection des citoyens face aux traitements de données à caractère personnel, a doté la France d’une autorité de contrôle : la CNIL. Elle a réglementé la manière dont sont collectées, exploitées et conservées les données personnelles par les entreprises, les administrations et les individus eux-mêmes.

Pour autant, le développement rapide des nouvelles technologies suscite de nouveaux défis de taille s’agissant de la protection des données à caractère personnel et, par conséquent, de la vie privée des individus.

Internet est un vecteur sans précédent de la liberté d’expression et de communication. Le Conseil constitutionnel lui-même a eu l’occasion, dans sa décision du 10 juin 2009, de relever « l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions ».

Vous l’avez souligné, monsieur le rapporteur, eu égard au contexte de mutation technologique rapide que nous connaissons, l’effectivité du droit au respect de la vie privée suppose d’adapter les instruments juridiques propres à garantir la protection des données à caractère personnel.

Je veux rappeler que, pleinement conscient des enjeux grandissants de cette révolution numérique, le Gouvernement s’est attaché à renforcer la protection des données personnelles.

Ainsi, les droits des personnes ont été consolidés, notamment par l’ordonnance du 24 août 2011, qui interdit d’installer sur l’équipement d’un utilisateur des logiciels qui observent sa navigation sur internet sans l’en avoir informé et sans avoir recueilli son accord. Ce texte a également imposé aux fournisseurs de communications électroniques de notifier à la CNIL l’existence d’une faille de sécurité.

De même, les moyens d’action de la CNIL ont été renforcés pour que cette autorité de contrôle puisse disposer pleinement des moyens propres à garantir l’efficacité de son action au service de la protection des données personnelles.

Le budget de la CNIL a été augmenté et ses moyens d’action juridiques accrus. La loi du 29 mars 2011 relative au Défenseur des droits a conféré à la CNIL un droit de visite inopinée dans les locaux des responsables de traitement, droit dont l’exercice est subordonné à l’autorisation préalable du juge des libertés et de la détention afin de garantir le respect des droits des intéressés.

Cette même loi autorise par ailleurs la CNIL à faire publier les sanctions qu’elle prononce, même lorsque celles-ci sont infligées à des responsables de traitement défaillants dont la mauvaise foi n’a pas été établie. Cette publicité garantit une meilleure connaissance, par le grand public et les organismes éventuellement concernés, des comportements susceptibles d’être sanctionnés par la CNIL.

Si des avancées ont donc été obtenues, il est bien évident qu’il reste encore beaucoup à faire.

Précisément, le Gouvernement est aujourd’hui engagé, avec ses partenaires européens, dans la négociation de nouveaux instruments communautaires relatifs à la protection des données personnelles.

La Commission européenne a rendu publics, le 25 janvier dernier, deux projets de texte tendant à harmoniser, sur l’ensemble du territoire de l’Union européenne, le droit applicable à la protection des données personnelles.

Le Gouvernement se félicite de cette initiative car, par définition, internet dépasse les frontières des États. C’est donc d’abord au niveau européen que doivent être redéfinis les principes applicables en la matière, pour une effectivité plus grande des droits de nos concitoyens.

La Commission européenne a proposé un projet de règlement applicable à l’ensemble des traitements de données personnelles, à l’exclusion des fichiers de police et de justice, qui font l’objet d’un projet de directive. Mme Reding, commissaire européenne, est venue elle-même vous présenter ces projets le 21 février dernier.

Alors que débute la négociation sur ces deux textes, il est d’ores et déjà possible d’identifier des évolutions positives.

Il faut ainsi saluer la volonté de la Commission européenne de rendre le droit européen véritablement opposable aux opérateurs.

Par ailleurs, le projet de règlement vise à renforcer le contrôle que les individus peuvent exercer sur leurs propres données à caractère personnel.

En outre, plusieurs dispositions, telle la consécration du principe du consentement préalable et explicite, sont de nature à assurer un renforcement des droits des personnes.

Cela étant posé, à ce stade, d’autres aspects appellent de fortes réserves de la part du Gouvernement français, réserves partagées par la commission des affaires européennes et la commission des lois du Sénat.

Tout d’abord, la Commission européenne a choisi de proposer de substituer un règlement à la directive du 24 octobre 1995 applicable au traitement des données personnelles. Nous pensons, à l’instar de nombreux autres États membres, parmi lesquels l’Allemagne, la Finlande, la Suède, la Slovénie, la Belgique, l’Estonie, l’Espagne et le Portugal, que l’harmonisation proposée au travers de ce projet de texte serait mieux mise en œuvre par le biais d’une directive détaillée, laquelle permettrait aux États membres de conserver les spécificités de leur législation nationale, qui se révèle être sur plusieurs points – je rejoins tout à fait, sur ce sujet, l’opinion de M. Sueur – plus protectrice que le projet de règlement. §C’est là une question de principe, sur laquelle le Gouvernement entend être ferme.

En effet, un règlement européen n’a vocation ni à fixer des règles minimales ni à déterminer un objectif à atteindre. Directement applicable dans l’ordre juridique des États membres, il exclut toute forme de compétence nationale dans le domaine qu’il traite.

En réalité, l’essentiel est que le texte européen soit suffisamment précis sur les droits et obligations des responsables de traitement et des personnes concernées. En revanche, il n’est pas nécessaire de rechercher l’uniformisation du régime juridique en la matière.

Il n’y a notamment aucune raison de penser que le régime juridique de protection des données constitue le critère décisif d’investissement d’une entreprise dans tel ou tel État membre. Si c’était le cas, nous l’aurions déjà constaté dans le cadre de la mise en œuvre de la directive n° 95/46/CE. Ainsi, le risque de « forum shopping » ne doit pas être surestimé.

En conséquence, le Gouvernement considère que remplacer une directive par un règlement n’est pas la bonne option.

Sur le fond, plusieurs points doivent retenir notre attention, afin d’empêcher que ne s’amorce un recul par rapport aux protections apportées par notre droit.

Le Gouvernement, à l’instar de ses homologues de certains États membres, comme la Finlande, l’Irlande, la Suède, l’Italie, la Slovénie, l’Autriche, l’Espagne, le Royaume-Uni et la Lituanie, ainsi que de vous-même, monsieur Sutour, déplore le recours systématique et excessif aux actes délégués et aux actes d’exécution, tant dans la proposition de règlement que dans la proposition de directive.

Certes, comme l’a précisé Mme Reding lors de son audition par la commission des lois et la commission des affaires européennes du Sénat, le recours à ces actes est lié à la nature même du projet de texte. Toutefois, nous sommes convaincus que, en de nombreuses occurrences, les précisions nécessaires pourraient être apportées par le règlement lui-même, sans qu’il soit nécessaire de déléguer à la Commission européenne le soin d’adopter par la suite de tels actes.

Le recours à une directive permettrait de confier en tout ou partie l’élaboration de cette réglementation aux parlements nationaux, afin de mieux tenir compte des spécificités nationales relatives au droit à la protection de la vie privée.

De surcroît, le critère du « principal établissement » retenu par la Commission européenne pour déterminer la compétence territoriale de l’organe de contrôle n’est pas pertinent.

En effet, comme certains d’entre vous l’ont souligné lors de l’audition de Mme Reding, de même d’ailleurs que les représentants de nombreux États membres à l’occasion des deux premières journées de travail à Bruxelles, les 23 et 24 février dernier, cette notion est peu claire et devrait être précisée. À défaut, elle risque d’être interprétée différemment selon les États membres.

En outre, la mise en œuvre de ce critère éloignerait l’autorité de protection des données compétente du citoyen concerné. Or il est d’une particulière importance que les personnes résidant en France puissent s’adresser à la CNIL pour les dommages subis de la part de responsables de traitement dont le principal établissement se situe dans un autre pays de l’Union européenne. Le renforcement de l’effectivité des droits garantis aux citoyens de l’Union européenne suppose de rendre plus facile à ces derniers l’exercice du droit de réclamation auprès des autorités chargées de la protection des données.

Par exemple, l’adoption de ce critère conduirait à ce que des citoyens français soient obligés de s’adresser à l’organisme de protection irlandais pour toute contestation relative au site internet d’une entreprise dont le principal établissement se trouverait en Irlande. Que la CNIL ne puisse pas faire prévaloir la loi française en dehors du territoire français est une chose, mais qu’on l’empêche d’intervenir lorsque la protection de la vie privée de citoyens français est en cause en est une autre. Une telle évolution n’irait clairement pas dans le bon sens : si l’on veut véritablement privilégier l’intérêt du citoyen, on ne peut pas conserver le critère du principal établissement pour déterminer quelles sont les autorités de protection des données à caractère personnel compétentes.

En outre, le Gouvernement, qui ne partage pas l’opinion exprimée par Mme Reding, regrette que, au nom d’un objectif, certes louable, de simplification de la vie des entreprises et de développement du marché intérieur, il soit prévu que les fichiers ne fassent même plus, dans un grand nombre de cas, l’objet d’une simple déclaration à la CNIL avant leur mise en œuvre. Cela reviendrait à priver la CNIL d’une source précieuse d’informations et amenuiserait sa capacité à orienter au mieux ses contrôles.

S’agissant de la création d’un droit à l’oubli numérique, le Gouvernement souhaite qu’il n’y ait aucune ambiguïté. Si ce droit n’est certes pas expressément consacré dans notre ordre juridique, la loi « informatique et libertés » a prévu des mécanismes, tels le droit d’opposition et le droit de rectification ou d’effacement des données concernant une personne, y compris sur internet.

Cette loi permet également à la CNIL, dont je rappelle que les effectifs et les moyens budgétaires ont été renforcés, de sanctionner tout responsable de traitement qui méconnaîtrait les droits d’opposition, de rectification et de suppression des citoyens sur leurs données personnelles.

Au-delà des pétitions de principe sur la proclamation d’un nouveau droit, il convient surtout de chercher à assurer l’effectivité de celui-ci dans le contexte de l’internet.

Le projet de règlement rendu public par la Commission européenne prévoit de conférer aux internautes un droit effectif à l’oubli numérique dans l’environnement en ligne, c’est-à-dire le droit à faire effacer les données les concernant s’ils retirent leur consentement et si aucun autre motif légitime ne justifie la conservation de celles-ci.

Toutefois, Mme Reding a reconnu que de nombreux experts extérieurs à la Commission européenne doutaient de l’application effective de cette disposition : selon eux, ce droit serait techniquement difficile à mettre en œuvre. C’est pourquoi le Gouvernement veillera à ce que ces dispositions, qui doivent être soutenues, n’entraînent pas, paradoxalement, un recul des droits des personnes en dehors de la sphère numérique.

Enfin, le Gouvernement est très réservé quant à l’obligation de désigner systématiquement un délégué à la protection des données au sein des structures, publiques ou privées. Nous estimons que la mise en place de tels délégués doit demeurer facultative. En effet, le succès des correspondants à la protection des données, prévus par la loi depuis 2004, repose précisément sur le caractère facultatif de leur désignation, qui seul est de nature à favoriser la diffusion de la culture de la protection des données dans un esprit de confiance. Une logique de contrainte risquerait d’être contre-productive.

En conséquence, le projet de règlement proposé par la Commission européenne devra faire l’objet de modifications importantes, afin de garantir la meilleure protection possible de nos concitoyens.

Mesdames, messieurs les sénateurs, avec le développement spectaculaire du monde numérique, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est devenue un texte fondamental pour la protection des droits de nos concitoyens. C’est en respectant l’équilibre qu’elle a établi entre la protection de la vie privée et le libre développement du traitement des données que nous ferons face au défi que représente l’essor de l’outil numérique. C’est dans cet esprit que le Gouvernement français participe activement aux travaux actuellement menés au niveau européen, auxquels les parlementaires seront bien entendu associés.

En conclusion, je voudrais dire que le Gouvernement se félicite du dépôt de cette proposition de résolution, qu’il considère comme une invitation à poursuivre sur la voie dans laquelle il s’est engagé en vue d’assurer à nos concitoyens la meilleure protection possible de leurs données personnelles, sujet particulièrement sensible à l’heure de la révolution numérique permanente. §