Intervention de André Gattolin

Monsieur le président, monsieur le garde des sceaux, chers collègues, la protection des données personnelles est un droit reconnu au plus haut niveau de la législation communautaire. Elle est consacrée par l’article 16 du traité sur le fonctionnement de l’Union européenne et par l’article 8 de la charte des droits fondamentaux.

Son application concrète repose sur une directive qui date de 1995 et qui paraît, malgré ses dix-sept ans à peine, bien âgée. Il est vrai qu’une révolution technologique est intervenue depuis lors, qui est aussi une révolution sociologique et économique. Les nouvelles technologies de l’information, notamment l’internet et le développement des réseaux sociaux, ont bousculé l’ordre des choses.

Aujourd’hui, les bases de données peuvent être totalement dématérialisées. Elles se créent en permanence, s’échangent en une fraction de seconde, franchissent les frontières très rapidement. Les internautes eux-mêmes nourrissent, souvent sans s’en rendre compte, cette dynamique.

Les premiers utilisateurs d’internet étaient surtout des consommateurs de données ; ils allaient sur internet pour y trouver des informations. Ils accèdent désormais au statut de producteurs de données, car ils passent une bonne partie de leur temps à écrire et à diffuser des informations sur eux-mêmes et sur les autres, à laisser plus ou moins volontairement une multitude de traces qui permettent de dessiner leur portrait et qui font la fortune de certaines entreprises, parfois « à l’insu de leur plein gré ».

Il y a trois ans déjà, une revue française, , s’était amusée à dresser le portrait très détaillé d’un inconnu, Marc L., uniquement à partir des informations que ce dernier avait rendues disponibles sur internet, parfois en connaissance de cause, souvent sans le savoir. Le résultat, comme on le constate à la lecture de cet article, est absolument édifiant, « violemment impudique », comme le dit lui-même l’auteur de l’article qui a compilé les renseignements composant ce portrait. Toute la vie de cette personne a pu être exposée, à l’aide de simples recoupements de données par un tiers.

Aujourd’hui, des logiciels de plus en plus élaborés apparaissent dans l’univers numérique. Je pense ainsi à un logiciel de reconnaissance visuelle qui, en recourant à une base de données, permet de vous identifier avec une assez grande fiabilité à partir d’une photographie diffusée sur internet. Imaginez tout ce que cela peut signifier en termes de nouvelles protections pour que ces usages ne deviennent pas encore plus attentatoires à la vie privée des personnes.

C’est dans ce contexte que la Commission européenne a présenté la proposition de règlement sur laquelle porte la proposition de résolution déposée par notre collègue Simon Sutour.

Cette proposition de résolution, en faveur de laquelle les écologistes voteront – elle fait d’ailleurs l’unanimité au sein de nos commissions –, souligne l’évidente actualisation de la directive de 1995, devenue largement obsolète. Elle pointe également, en dépit des avancées notables que contient le texte de la Commission européenne, les nombreux problèmes qui se posent encore.

Au titre des avancées très positives, figure notamment l’introduction, pour la première fois dans le droit communautaire, du droit à l’oubli numérique. Même s’il est précisé en bien des points, ce droit aurait toutefois mérité d’être mieux défini, plus approfondi, surtout dans la manière dont on peut le faire respecter.

J’en viens aux points qui posent problème.

Comme cela a été souligné par plusieurs orateurs, notamment le rapporteur, le président de la commission des lois et le garde des sceaux, la Commission européenne renvoie de trop nombreuses mesures à la mise en place de futurs actes délégués ou actes d’exécution. Cette procédure est non seulement discutable, mais elle revient également à priver les parlements de l’examen de ces dispositions, alors même qu’un règlement est, par définition, d’application directe dans nos législations nationales.

Le problème du « guichet unique » ayant déjà été évoqué, je n’y reviendrai donc pas. En revanche, un autre point a été peu abordé au cours de nos débats, même si le garde des sceaux en a parlé mais nous différons dans notre approche : il concerne la volonté de la Commission européenne de contraindre les entreprises de plus de 250 salariés à se doter d’un délégué à la protection des données. Celui-ci serait chargé de veiller en interne au respect de la loi et d’assurer l’interface avec les autorités et les consommateurs.

Outre que ce dispositif m’apparaît relativement lourd, le seuil de 250 salariés est aberrant : il ne correspond nullement à la réalité du monde de l’entreprise numérique. Aujourd'hui, les entreprises qui gèrent des fichiers de données personnelles sont souvent loin d’atteindre les 250 salariés. Ce sont des entreprises spécialisées, parfois des start-up, subdivisables à volonté par le biais de la sous-traitance. Il conviendrait donc définir au moins un secteur, celui qui regroupe des entreprises gérant de gros volumes de traitement.

Je rappelle, par exemple, qu’une société mondialement connue comme Twitter, qui compte aujourd'hui des millions d’utilisateurs, n’emploie à l’heure actuelle que 700 salariés et qu’elle fonctionnait il y a un an et demi avec moins de 250 salariés. Twitter pourrait donc être dispensée d’un tel dispositif tandis que certaines PME faisant un usage limité des données se verraient contraintes de le mettre en place.

En conclusion, beaucoup de travail reste à faire. Pour toutes ces raisons et pour d’autres, que le temps imparti ne me permet pas d’évoquer, il nous semble indispensable que la Commission européenne revoie sa copie, apporte des précisions ou procède aux adaptations nécessaires afin d’être plus opérante en matière de protection de la vie privée. §