Intervention de Virginie Klès

Monsieur le président, monsieur le garde des sceaux, mes chers collègues, je m’associe bien évidemment aux vœux de bienvenue adressés à notre collègue Guy Fischer. Qu’il ne soit pas inquiet, nous continuerons, avec lui, notre travail d’opposition chaque fois que cela sera nécessaire !

Aujourd'hui cependant, la proposition de résolution européenne qui nous est soumise recueille plutôt le consensus. Ce texte, sur lequel M. Sutour a travaillé aussi bien pour la commission des lois que pour la commission des affaires européennes, porte sur l’importante question de la protection des données privées à l’ère du numérique, c'est-à-dire à une époque où, comme cela a déjà été souligné, les technologies vont plus vite que l’esprit humain et peuvent, dans certains cas, mettre en danger le droit à la vie privée et à l’anonymat des individus.

Notre débat porte sur une proposition de règlement européen relatif aux fichiers commerciaux, mais nous savons qu’une proposition de directive européenne portant sur les fichiers dits de souveraineté est également à l’étude. Je le sais bien, en évoquant les premiers, on pense ne pas parler des seconds. Toutefois, j’aimerais appeler l’attention du Gouvernement et de mes collègues sur l’absence de séparation totale entre les fichiers de souveraineté et les fameux fichiers commerciaux qui nous occupent plus particulièrement aujourd'hui. En effet, il me semble nécessaire que le parlement français fasse bloc sur ces sujets afin de peser dans les négociations qui vont se poursuivre avec la Commission et nos partenaires européens.

Comment puis-je affirmer que la distinction entre les deux types de fichiers n’est pas si complète qu’elle devrait l’être ?

Si l’on prend le cas du fichier des cartes grises, qui doit permettre de lutter contre un certain nombre d’infractions, sachez qu’il peut être vendu par l’État à des sociétés commerciales dans des conditions qui, si elles sont encadrées, ne me permettent pas pour autant d’être certaine que chaque citoyen français a bien donné, de manière volontaire, son consentement libre, exprès et éclairé. Ce fichier peut ainsi être vendu à des sociétés sur lesquelles l’État peut, de façon assez discrétionnaire, demander des enquêtes administratives. Au vu du résultat de ces enquêtes, il acceptera ou non – on ne sait pas très bien sur la base de quels critères – de vendre ce fichier.

Il y a donc là, me semble-t-il, un lien fort entre les fichiers de souveraineté et les fichiers commerciaux. À partir du moment où le fichier des cartes grises et les données personnelles y figurant sont vendus à des garages ou à des sociétés automobiles, celui-ci tombe dans le domaine commercial, c'est-à-dire sous le coup du règlement et non plus de la directive.

Je le répète, il existe bel et bien des liens étroits entre les deux types de fichiers. Lorsque nous débattrons de la directive, nous ne devrons pas oublier de nous rappeler combien il est facile que des fichiers de souveraineté tombent rapidement en toute légalité, en tout cas jusqu’à présent, dans le domaine commercial. Ce point est d’autant plus important que, voilà peu de temps, nous avons évoqué ici même – j’espère que nous aurons l’occasion d’en reparler ultérieurement et que le combat n’est pas terminé – le fichier des cartes nationales d’identité biométriques, avec la question du lien fort et du lien faible. Il est donc important de protéger les données !

Si, demain, l’État veut vendre un certain nombre de données de ce fichier centralisé, qui comporte un lien fort entre les données biométriques et les données biographiques de tous les Français, rien ne l’en empêche ! Indépendamment même de la question de la vente, comment ces fichiers pourront-ils être protégés alors que des entreprises récupèrent déjà aujourd'hui, de façon illégale, des données dans le fichier des cartes grises ou dans d’autres fichiers et se les revendent entre elles ?

Mes chers collègues, vous voyez bien qu’il existe entre les fichiers de souveraineté et les fichiers commerciaux un lien parfois légal, parfois illégal, parfois sécurisé, parfois non sécurisé. Il me paraît primordial de garder cet aspect des choses en mémoire chaque fois que nous parlerons de fichiers et de réglementation européenne, qu’il s’agisse d’une proposition de directive ou de règlement.

Parmi les autres points qui ont été abordés par les orateurs précédents, le consentement exprès et éclairé me paraît particulièrement important. Je pense notamment aux notices qui ne doivent pas tourner à un fatras d’informations traduites dans un français si approximatif que personne ne les lit.

Je ne sais pas si beaucoup d’entre vous ont lu jusqu’au bout la licence d’utilisation d’un moteur de recherche américain bien connu. Pourtant, il y est spécifié que les données privées sont conservées dans un pays tiers de confiance… Mais la confiance pour qui, pour quoi et sur la base de quels critères ? Personne n’en sait rien ! Pour moi, il ne s’agit pas là d’un consentement exprès et éclairé. Nous devrons donc rester extrêmement attentifs à ce genre de situation.

Bien évidemment, nous l’avons tous dit aussi, l’objet des textes qui nous sont soumis est d’améliorer le niveau de protection des données et, dans le même temps, de simplifier certaines formalités, notamment pour les entreprises. Personnellement, j’estime que c’est une bonne chose de simplifier les formalités des entreprises, tant qu’elles relèvent de leur gestion interne, de leur permettre de travailler en toute sécurité juridique, de leur signifier précisément ce qu’elles ont le droit de faire et ce qu’elles n’ont pas le droit de faire. Mais, dès l’instant où l’action de l’entreprise a des répercussions sur la vie privée d’un citoyen, il faut appliquer le droit de l’État de résidence de ce dernier et non le droit de l’État du siège de l’entreprise.

À ce sujet, je voudrais faire un parallèle avec le droit du travail. Quand Disney s’installe à Paris, même si l’entreprise applique sa culture américaine à son processus de fonctionnement interne, c’est bien le droit du travail français, et non le droit du travail américain, qui sera appliqué à la gestion des salariés, qu’ils soient citoyens français ou américains. Une compagnie aérienne a récemment été confrontée au même genre de déconvenue.

La proposition, émise notamment par la CNIL et reprise par notre collègue Simon Sutour, d’opérer une distinction entre la résidence du citoyen et la résidence du siège de l’entreprise, selon qu’il est question de l’entreprise ou des individus, me paraît donc extrêmement intéressante. La notion d’État principal se doit d’être nuancée selon le sujet précis dont on parle.

Le droit à l’oubli est sans doute l’omission la plus importante de la proposition de règlement européen. Il faut insister auprès de l’Europe et de nos partenaires sur le déréférencement des données privées.