Intervention de Viviane Reding

vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté. - Nous y serions encore demain, car mon champ de compétences est extrêmement vaste. L'Union européenne n'est compétente en matière judiciaire que depuis le traité de Lisbonne. Le principe de subsidiarité s'applique toujours, et les systèmes judiciaires nationaux subsistent, mais je suis chargée de bâtir des ponts entre eux pour que les citoyens européens profitent pleinement de la libre circulation.

La Commission européenne, en revanche, est pleinement compétente en ce qui concerne le défi numérique et la modernisation de la protection des données. Je m'adresse à des experts, puisque le Sénat a publié à ce sujet plusieurs rapports entre 2009 et 2011. Sur le plan des valeurs et des droits individuels, la directive de 1995 n'a rien d'obsolète, mais à l'époque l'Internet n'existait pas : il faut donc adapter notre législation. Le paquet législatif que j'ai mis sur la table le 25 janvier comporte deux aspects : le renforcement des droits des citoyens, et une plus grande sécurité juridique pour nos entreprises.

Une plus grande sécurité juridique, parce que si le marché intérieur existe en théorie, il a du mal à exister en pratique : les entreprises qui veulent profiter de l'ensemble du marché européen sont confrontées à des règles différentes d'un pays à l'autre. En matière de protection des données, il existe au moins 27 régimes juridiques différents, non coordonnés et parfois contradictoires. A cela s'ajoute l'obligation de notification dans les différents pays, paperasserie inutile. Le coût de ces formalités, estimé à 2,3 milliards d'euros par an, pourrait être utilement économisé en temps de crise. En outre, les entreprises européennes sont pénalisées par une concurrence déloyale, puisque les firmes extra-européennes opèrent souvent dans des pays où elles n'ont pas à se soucier de pareille réglementation.

J'ai donc proposé le principe suivant : un continent, une règle. Je me suis inspirée des législations nationales les plus protectrices : l'harmonisation se fera par le haut. C'est très important pour la crédibilité de l'Union européenne : une législation unique pour 27 pays, plus rigoureuse que sur aucun autre continent, s'imposera au monde comme un modèle, bien loin que l'Europe imite le laxisme de certains pays.

Pour que des règles de haut niveau soient appliquées, il faut quelqu'un qui veille au grain, autrement dit un modèle de gouvernance efficace. Or les autorités nationales chargées de la protection des données se sont constituées au fil des ans, en France il y a plus de trente ans, ailleurs tout récemment. Certaines sont très bien équipées, d'autres non. La plupart ne sont pas en mesure de prononcer des sanctions. En outre, elles travaillent sans guère de coordination. Or les grands dossiers outrepassent les frontières. J'ai donc défini le coeur de métier des autorités et prévu entre elles un mécanisme de coopération et d'assistance mutuelle efficace, afin d'assurer une protection crédible et homogène, et d'obliger les entreprises extra-européennes à se plier à nos règles. Entreprises et individus disposeront d'un point de contact unique là où ils sont établis : c'était une aspiration légitime, et bien loin d'affaiblir les autorités nationales, cela renforcera les capacités des plus modestes.

Les règles étant les mêmes pour tous, cela comblera les vides juridiques dont profitent certaines entreprises. Ces règles sont très protectrices : la directive de 1995 l'était déjà, et depuis lors, le traité de Lisbonne et la Charte des droits fondamentaux ont renforcé les garanties. Toute nouvelle législation doit tenir compte de cette base que l'on peut qualifier de « constitutionnelle ».

Je me suis fondée sur un principe simple : les données personnelles appartiennent à l'individu, non à une entreprise ou une administration ; elles sont sa propriété, son patrimoine. L'individu a donc le droit de confier ou non ces données à une entreprise ; s'il le fait, celle-ci doit l'informer en toute transparence de l'usage qu'elle veut en faire, et l'individu doit donner son accord. Il peut aussi retirer à l'entreprise ces données et les donner à une autre : c'est le principe de portabilité, que j'avais, dans mes précédentes fonctions, introduit à propos du numéro de téléphone.

Les entreprises devront se doter d'un système de sécurité pour protéger les données dont elles ont la garde ; si toutefois un problème survenait, elles devraient le notifier dans les vingt-quatre heures au régulateur national et aux personnes concernées. On en est bien loin : récemment, vous vous en souvenez, des gens ont appris par hasard, plusieurs semaines après les faits, qu'une entreprise avait perdu des données relatives à leurs cartes de crédit... Les pouvoirs des autorités nationales seront homogénéisés ; elles pourront notamment prononcer des sanctions lourdes. J'espère qu'elles n'auront pas à le faire, mais si les policiers ne pouvaient pas dresser de procès-verbaux, le code de la route ne serait pas pris très au sérieux...

Les autorités nationales devront aussi travailler de manière plus cohérente. Vous avez souvent appelé au renforcement de la réunion des autorités de contrôle européennes, le « G 29 ». Je propose d'instituer un comité européen de la protection des données, dont le secrétariat sera assuré par le Contrôleur européen de la protection des données, doté d'un président élu pour cinq ans, ce qui en fera une puissance capable de faire respecter le droit européen partout où il serait bafoué. Vis-à-vis de nos partenaires mondiaux, l'Europe pourra ainsi parler d'une seule voix, faute de quoi elle ne s'imposera jamais. Soit dit en passant, ce projet de directive a donné lieu au lobbying le plus intense de l'histoire de la construction européenne...

J'ai aussi voulu consolider les outils existants pour contrôler les transferts internationaux de données : contrôle de l'adéquation, binding corporate rules et clauses contractuelles types. Il sera possible de commercer avec les pays tiers, à condition que nous déclarions leurs règles satisfaisantes.

Ce projet servira de base aux discussions dans les prochains mois.