Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Simon Sutour
Commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale — Réunion du 22 février 2012 : 1ère réunion
Protection des personnes physiques à l'égard du traitement des données à caractère personnel — Communication
Simon Sutour, rapporteur :Le sujet est particulièrement important. Jusqu'ici, la protection des données personnelles était régie au niveau européen par une directive de 1995 et une décision-cadre de 2008. Les choses ont beaucoup évolué depuis leur entrée en vigueur, avec le développement d'Internet, et il faut modifier la législation. La Commission a choisi de procéder par voie de règlement sur les matières couvertes par la directive de 1995, et par voie de directive sur celles couvertes par la décision-cadre de 2008. Or un règlement est d'application directe, et ne se transpose pas dans la législation nationale : les Parlements nationaux n'auront donc pas à débattre de ce texte après son adoption.
Voilà pourquoi notre commission s'est saisie, dès le 8 février dernier, des deux propositions de textes, sur le fondement de l'article 73 quinquies du Règlement du Sénat. La commission des affaires européennes s'en est saisie pour avis, et les examinera aussi sous l'angle de la subsidiarité. Ces deux textes, présentés par la Commission européenne le 25 janvier, devront être adoptés selon la procédure législative ordinaire, c'est-à-dire par codécision entre le Parlement européen et le Conseil de l'Union européenne - la généralisation de cette procédure représentant un grand progrès. Les négociations, d'après le Secrétariat général aux affaires européennes, devraient durer deux ou trois ans, mais Mme Reding est un peu plus optimiste.
Jusqu'ici, je l'ai dit, le socle du droit européen de la protection des données personnelles était constitué par la directive du 24 octobre 1995, relative aux fichiers civils et commerciaux, et par la décision-cadre du 27 novembre 2008, qui porte sur les fichiers dits « de souveraineté », utilisés notamment dans le cadre de procédures pénales. La proposition de résolution que je vous soumets ne concerne que la proposition de règlement relatif aux fichiers civils ou commerciaux, destinée à se substituer à la directive de 1995, car les problèmes posés par la proposition de directive sont très différents, et il était difficile d'aborder les deux textes de front dans le délai imparti. Le second pourra faire l'objet ultérieurement d'un examen plus approfondi par nos deux commissions.
Très largement inspirée de la législation française, pionnière en la matière, la directive de 1995 a marqué en son temps une avancée décisive. Cependant, de l'avis général, il est aujourd'hui nécessaire de franchir une nouvelle étape. Car cette directive n'a pas permis une harmonisation suffisante de la protection des données personnelles dans les Etats membres : ainsi, jusqu'en 2011, l'autorité de contrôle britannique ne disposait d'aucun pouvoir de sanction contre les responsables de traitements. En outre, la mondialisation a multiplié les transferts de données avec des Etats tiers, et il convient d'unir nos forces pour imposer aux Etats non européens le respect de certaines règles. Enfin, la directive de 1995 est obsolète : la révolution des nouvelles technologies, l'explosion d'Internet, la multiplication et la place toujours plus importante des réseaux sociaux, l'indexation massive des contenus publiés en ligne accroissent considérablement le volume des données personnelles collectées et échangées, ainsi que les possibilités de consultation ou d'exploitation, notamment à des fins commerciales.
La Commission européenne a appelé, dans une communication de novembre 2010, à une approche globale du problème, et la proposition de règlement est l'aboutissement de ses travaux. Ce texte renforce sensiblement la protection des personnes. Il impose leur consentement exprès à l'utilisation des données qui les concernent. Il reconnaît aux internautes un « droit à la portabilité » de leurs données, grâce auquel ils pourront s'affranchir de l'autorité de traitement sans perdre l'usage de leurs données. Il réaffirme le droit d'opposition de chacun au traitement de ses données personnelles et encadre strictement la possibilité pour les responsables de traitement de soumettre les données recueillies à un « profilage » informatique. Il consacre un droit à l'oubli numérique, en permettant à chacun d'obtenir l'effacement des données personnelles qui lui portent préjudice.
Les fichiers seraient soumis à de nouvelles règles d'autorisation ; les plus sensibles devraient faire l'objet d'une étude d'impact. La règlementation relative au transfert de données vers des pays tiers serait modifiée.
Les responsables de traitement se verraient imposer des obligations nouvelles, comme la désignation d'un délégué à la protection des données dans les entreprises de plus de 250 salariés, et les sanctions contre les entreprises contrevenantes seraient renforcées. La proposition de règlement adapte aussi le système de contrôle des responsables de traitement en créant un comité européen de la protection des données, auquel serait associé le Contrôleur européen de la protection des données, qui se substituerait à l'actuel groupe de travail réunissant les « Cnil » européennes, dit « G 29 ».
On doit se féliciter de ces propositions. Certaines de ces mesures sont déjà en vigueur dans notre droit, comme l'exigence du consentement exprès, le droit d'opposition ou de rectification, ou encore l'indépendance et les pouvoirs de l'autorité de contrôle. Sous d'autres aspects, le texte consacre des évolutions attendues. Je rends hommage à nos collègues Yves Détraigne et Anne-Marie Escoffier qui, dans leur rapport d'information sur la vie privée à l'heure du numérique, puis dans leur proposition de loi rapportée par Christian Cointat, suggéraient déjà de reconnaître le droit à l'oubli et d'imposer la désignation de délégués à la protection des données. Regrettons que cette proposition de loi, adoptée à l'unanimité par le Sénat il y a près de deux ans, n'ait jamais été examinée par l'Assemblée nationale...
Sur d'autres points, il serait possible d'aller plus loin, comme sur le droit à l'oubli et les moteurs de recherche, le statut juridique de l'adresse IP, l'encadrement des transferts internationaux de données, ou encore l'obligation de désigner un délégué à la protection des données personnelles.
Surtout, la proposition de règlement pose deux questions de principe. On se demande d'abord dans quelle mesure le législateur national pourra adopter des dispositions plus protectrices que le droit européen. La Commission a fait le choix d'un règlement plutôt que d'une directive, afin de mieux harmoniser les législations. Mais s'agira-t-il d'un plancher ou d'un plafond ? Peut-on envisager qu'en élevant le niveau moyen de protection apporté aux citoyens européens, le règlement diminue celui dont bénéficient les résidents d'un Etat membre qui a fait le choix de garanties complémentaires ? La question intéresse tout particulièrement les Français, qui bénéficient d'une législation pionnière en la matière.
La protection des données personnelles participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle, mentionnée à l'article 2 de la Déclaration des droits de 1'homme et du citoyen. Cet ancrage constitutionnel justifie que la protection des données prime toutes les autres considérations, notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes. J'ai été un peu choqué d'entendre Mme Reding insister hier sur l'intérêt pour les entreprises d'avoir affaire à un interlocuteur unique, beaucoup plus que sur les droits des citoyens.
