Séance en hémicycle du 17 octobre 2013 à 9h30

Le compte rendu analytique de la précédente séance a été distribué.

Il n’y a pas d’observation ?…

Le procès-verbal est adopté sous les réserves d’usage.

L’ordre du jour appelle le débat sur la protection des données personnelles, organisé à la demande de la commission des lois et de la commission des affaires européennes.

La parole est à M. Yves Détraigne, pour la commission des lois.

Monsieur le président, madame la ministre, mes chers collègues, la commission des lois a souhaité organiser ce débat, conjointement avec la commission des affaires européennes, à la suite d’une communication du président de la commission des affaires européennes, M. Simon Sutour, au sujet de la proposition de directive européenne relative au traitement des données dans le cadre de la coopération policière et judiciaire en matière pénale.

L’actualité européenne relative à la protection des données personnelles, à la suite de la proposition en 2012 de règlement général sur la protection des données, sur laquelle le président de la commission des affaires européennes reviendra, tout comme les discussions en cours sur le projet de directive PNR, ou Passenger Name Record, pour laquelle nous sommes attentifs à préserver l’équilibre entre sécurité et liberté, a incité nos deux commissions à proposer au Sénat de débattre de ces sujets.

Cependant, la question est vaste et ne saurait se cantonner au renouvellement du cadre juridique relatif à cette matière au sein de l’Union européenne.

Si la commission des lois s’est saisie dès le mois de février 2012 des propositions de la Commission européenne, c’est que l’enjeu est de taille pour notre législation. Le règlement, lorsqu’il sera adopté, s’imposera en effet à la France et se substituera à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. C’est pourquoi la commission des lois avait présenté une proposition de résolution européenne que le Sénat a adoptée le 6 mars 2012.

Cette résolution demandait notamment au Gouvernement de veiller à ce que la possibilité pour les États membres d’adopter des mesures plus protectrices des données personnelles soit préservée. Je réitère ici cette demande.

Ce débat est ainsi l’occasion pour nos deux commissions de signifier au Gouvernement qu’elles sont vigilantes dans le suivi des résolutions européennes adoptées par notre assemblée, que ces dernières portent sur le nouveau cadre juridique de l’Union européenne pour la protection des données personnelles, sur les fichiers de passagers de transport aérien, le fichier PNR, ou encore sur l’utilisation à des fins répressives des empreintes digitales des demandeurs d’asile recueillies dans la base Eurodac ou des étrangers entrant dans l’espace Schengen pour un court séjour.

Ce débat est également l’occasion de dresser un bilan des travaux menés par la commission des lois sur les questions posées par la protection des données personnelles et d’ouvrir des perspectives.

Avec notre ancienne collègue, Anne-Marie Escoffier, j’ai été le coauteur du rapport relatif au respect de la vie privée à l’heure des mémoires numériques, présenté en commission des lois en 2009, et de la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont notre excellent collègue Christian Cointat était le rapporteur et qui a été adoptée par notre assemblée le 23 mars 2010. Malheureusement, ce dernier texte est toujours en attente de discussion à l’Assemblée nationale. Malgré les années écoulées, certaines des difficultés que nous avions soulevées à l’époque demeurent, et certaines de nos propositions n’ont malheureusement toujours pas trouvé d’écho.

Le premier constat que nous avions formulé à l’époque était la méconnaissance de nos concitoyens, notamment des plus jeunes, des conséquences que pouvait avoir l’utilisation des nouvelles technologies de l’information sur leur vie privée. Je pense à la divulgation volontaire d’informations personnelles via les réseaux sociaux – Facebook, Google +, Twitter ou autres –, mais également à tous les outils mis en œuvre par les opérateurs pour recueillir des données personnelles à l’insu des utilisateurs : les cookies, ces petits fichiers qui facilitent certes la navigation des internautes mais permettent également de conserver en mémoire un grand nombre d’informations relatives aux habitudes de navigation ; la géolocalisation, qui permet de « tracer » les individus ayant utilisé, par exemple, un GPS ; la biométrie, bien souvent présentée comme un confort pour les individus, mais qui emporte en contrepartie leur « fichage » dans des bases de données ; le « profilage ».

Le rapport se félicitait de la prise de conscience des autorités et des efforts mis en œuvre pour réguler ces pratiques. Toutefois, le contentieux qui oppose aujourd’hui la Commission nationale de l’informatique et des libertés, la CNIL, à Google montre que le chemin est encore long, et qu’il passe en grande partie par l’éducation et par l’information des citoyens.

Ainsi, la première recommandation du rapport portait-elle sur le renforcement de la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires. La deuxième recommandation était relative à la diffusion d’une campagne d’information à grande échelle destinée à sensibiliser les citoyens aux enjeux liés à la vie privée et à la protection des données à l’heure du numérique, ainsi qu’à les informer des droits que leur reconnaît la loi « informatique et libertés ».

Afin de prévenir une défiance excessive des citoyens, il était préconisé parallèlement la mise en place de labels identifiant et valorisant des logiciels, applications et systèmes protecteurs de la vie privée. En 2011, la CNIL a mis en œuvre une procédure de labellisation des produits ou des procédures respectueux de la vie privée des internautes, basée sur le volontariat. C’est une initiative qui mérite d’être saluée et encouragée.

Je ne voudrais pas déflorer, s’agissant des moyens mis à disposition de la CNIL et de leur adéquation à ses missions sans cesse accrues, le prochain avis budgétaire de notre collègue Virginie Klès, qui veille à ces sujets chaque année dans la lignée des travaux de la commission.

En revanche, on peut regretter que la recommandation de rendre obligatoire la désignation de correspondants « informatique et libertés » pour les structures publiques et privées de plus de cinquante salariés n’ait toujours pas été suivie d’effets. Actuellement, cette démarche reste fondée sur le volontariat.

De même, il serait temps de relever le plafond des sanctions pécuniaires susceptibles d’être prononcées par la CNIL. L’article 47 de la loi de 1978 limite en effet la sanction financière à 150 000 euros, ou à 300 000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d’affaires hors taxes du dernier exercice clos. Face à la puissance financière de groupes mondiaux comme Google, on mesure la faiblesse du pouvoir d’intimidation de l’autorité française...

Par ailleurs, il serait grand temps de trancher la controverse juridique et de reconnaître à l’adresse IP le statut de donnée personnelle. Cette adresse numérique utilisée par les ordinateurs pour « communiquer » entre eux sur les réseaux est en effet considérée par le juge et le législateur européens comme une donnée personnelle ; cependant, cet acquis est fragile, comme le montre le projet de règlement européen. En France, la controverse n’est toujours pas définitivement tranchée, l’appréciation du juge dépendant de la faculté offerte ou non par le traitement de données d’identifier une personne physique. Une clarification au niveau national permettrait, à n’en pas douter, une meilleure défense des intérêts des internautes aux niveaux européen et international.

Dans le même ordre d’idée, notre droit mériterait d’être complété d’un droit à l’oubli sur Internet. À cet égard, la proposition de règlement européen pourrait être un complément utile à notre législation nationale dans la mesure où elle consacre le droit de toute personne à obtenir du responsable d’un traitement de données l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données.

La question de l’articulation de ce nouveau droit avec l’exercice de la liberté d’expression se pose néanmoins, ainsi que la commission des lois a pu le constater lors de l’examen, l’hiver dernier, de la proposition de loi relative à la suppression de la discrimination dans les délais de prescription prévus par la loi sur la liberté de la presse du 29 juillet 1881.

Pour perfectible que soit notre législation, la commission des lois se félicite, à raison, du haut niveau de protection garanti aux citoyens par la loi de 1978, qui a inspiré la directive européenne de 1995. Le rapport du groupe de travail appelait donc à soutenir la dynamique en cours tendant à la définition de standards internationaux dans le domaine de la protection des données personnelles. Cette intention était louable, mais, dans la perspective des négociations en cours au niveau de l’Union européenne, on peut craindre que le nivellement des législations en Europe ne se fasse par le bas plutôt que par le haut. Madame la ministre, à chaque fois que vous lutterez pour défendre le maintien d’un haut standard de protection pour nos concitoyens, vous pourrez compter sur le soutien du Sénat.

Je ne peux laisser de côté l’un des sujets de préoccupation majeure de la commission des lois du Sénat : la question des fichiers.

Le rapport précité recommandait de réserver au législateur la compétence exclusive pour créer un fichier de police. Sur ce point, les deux chambres du Parlement étaient unanimes, une mission d’information de la commission des lois de l’Assemblée nationale ayant abouti strictement aux mêmes conclusions que la commission des lois du Sénat. Les articles 25 et 26 de la loi de 1978 n’ont cependant toujours pas été modifiés en ce sens, en dépit du dépôt par nos collègues de l’Assemblée nationale d’une proposition de loi.

Le législateur, lui-même, doit préserver un équilibre vertueux entre sécurité et liberté lorsqu’il s’agit de créer de nouveaux fichiers. Ainsi, la commission des lois du Sénat n’aura de cesse d’appeler à la vigilance lorsqu’il s’agit de constituer des bases de données contenant des données personnelles et d’insister, à ce propos, sur la jurisprudence du Conseil constitutionnel.

Je rappellerai donc que, appelé à se prononcer sur la constitutionnalité de la création d’un fichier central biométrique des cartes nationales d’identité et des passeports, lors de l’examen de la loi relative à la protection de l’identité, le Conseil constitutionnel a censuré cette disposition, considérant que, « eu égard à la nature des données enregistrées » – il s’agissait de données biométriques –«, à l’ampleur de ce traitement » – il concernait potentiellement la quasi-totalité de la population française –«, à ses caractéristiques techniques » – il permettait non seulement l’authentification, mais également l’identification des personnes – « et aux conditions de sa consultation » – la pluralité de ses finalités –«, les dispositions de l’article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ».

À cet égard, je relève que le juge constitutionnel a repris la position défendue par le Sénat sur l’initiative de notre collègue François Pillet, donnant ainsi raison aux arguments avancés par la commission des lois lors des débats parlementaires.

Cette position nous rappelle que la protection des données personnelles, au titre du droit au respect de la vie privée, concerne chacun d’entre nous. L’évolution des technologies ne doit pas nous faire perdre de vue ce principe constitutionnel, non plus que notre responsabilité de législateur pour en assurer la préservation.

Le rapport du groupe de travail de la commission des lois concluait d’ailleurs ses recommandations par la proposition d’inscrire dans notre Constitution la notion de droit au respect de la vie privée, ainsi que cela avait déjà été proposé par le projet de loi constitutionnelle issu des travaux du Comité Vedel, en 1993.

Utopie !

La parole est à M. le président de la commission des affaires européennes.

Monsieur le président, madame la ministre, mes chers collègues, je voudrais tout d’abord remercier le Gouvernement d’avoir accepté ce débat dont mon collègue Jean-Pierre Sueur et moi-même avons souhaité la tenue. Le Sénat est en effet ici dans son rôle, car la protection des données personnelles touche directement aux libertés fondamentales de nos concitoyens.

Chaque jour, nous pouvons constater de nouveaux progrès accomplis par les technologies de l’information et de la communication. Ils présentent bien des avantages. Ils accélèrent la circulation de l’information, la rendent plus rapidement disponible. Ils simplifient beaucoup d’actes de la vie quotidienne. Ils rapprochent les individus par-delà les distances qui les séparent. Ces progrès sont aussi des atouts pour la croissance économique. Ils offrent également de nouveaux instruments pour agir plus efficacement face aux nouvelles menaces que sont le terrorisme ou la criminalité transfrontière.

Mais nos concitoyens sont aussi en droit d’attendre que leurs données personnelles ne soient pas utilisées pour des finalités multiples, sans leur consentement. Les données qu’ils ont transmises un jour ne doivent pas ensuite pouvoir être diffusées très largement à leur insu. Nos concitoyens veulent voir leurs droits protégés face aux risques de nombreux abus. Ils veulent légitimement avoir des garanties. Ils doivent disposer de voies de recours leur permettant d’accéder à leurs données personnelles afin de les faire rectifier ou effacer.

Tout cela montre qu’une grande vigilance s’impose. C’est le devoir du législateur, qu’il soit national ou européen, d’établir des règles sûres pour prévenir les abus. C’est aussi la responsabilité des pouvoirs publics de veiller à ce que les données personnelles de nos concitoyens ne soient pas transférées de façon erratique à d’autres pays.

Le monde a découvert tout récemment avec stupéfaction l’existence du programme américain PRISM. Ce programme a permis aux services de sécurité américains de surveiller les communications des non-Américains transitant par les serveurs de Google, Facebook, Yahoo ! ou encore Microsoft, et d’accéder aux bases de ces entreprises.

Un « groupe d’experts » a été créé pour faire la lumière sur ce scandale. Il réunit les États membres, la Commission européenne et les autorités américaines. Nous voulons être informés des résultats de ces travaux.

Le Parlement européen a lui-même décidé, en juillet dernier, de créer une commission d’enquête. Cette commission devra récolter auprès de sources européennes et américaines tous les faits liés à PRISM. Il en évaluera les conséquences sur les droits des citoyens.

En septembre, des informations de presse ont indiqué que les services américains auraient surveillé l’entreprise Swift. Basée en Belgique, cette société sécurise les transferts bancaires internationaux. Si tel était le cas, ce serait une violation ouverte de l’accord conclu en 2010 entre l’Union européenne et les États-Unis.

Dans une résolution du 21 novembre 2009 – mon collègue Yves Détraigne y a fait référence –, le Sénat avait souligné les garanties qui devraient figurer dans un tel accord : garanties sur le respect des finalités de la transmission de données, sur la durée de leur conservation, sur les limitations de l’accès aux données. De fait, l’accord a prévu certaines garanties, en particulier sur la détention des données Swift dans un environnement sécurisé et avec un stockage séparé des autres données.

Quelle est l’appréciation du Gouvernement, madame la ministre ? Y a-t-il eu selon vous violation de l’accord ?

Au-delà, nous devons nous interroger sur l’efficacité du cadre juridique européen de la protection des données. Il est en cours de révision. J’ai été amené à présenter au Sénat des propositions de résolution au titre de la commission des affaires européennes et de la commission des lois, sur les textes proposés par la Commission européenne.

Le premier texte est une proposition de règlement qui fixera un nouveau cadre général pour la protection des données personnelles. Ce texte sera d’application directe dans tous les États membres. Le Sénat a mené un débat approfondi sur ce dispositif. Il fut d’autant plus approfondi que, durant tout un après-midi, nous avions auditionné la commissaire européenne Mme Viviane Reding, avec laquelle nos échanges furent francs et même parfois un peu vifs. Dans une résolution du 6 mars 2012, nous avions en particulier affirmé la nécessaire compétence de l’autorité de contrôle du pays de résidence. C’est une garantie essentielle pour les citoyens.

Plusieurs options seraient en discussion au Conseil. Au Parlement européen, la commission des libertés civiles, de la justice et des affaires intérieures, dite « commission LIBE », doit se prononcer prochainement. Notre position est claire et unanime : nos concitoyens doivent pouvoir continuer à s’adresser à leur autorité de contrôle, à savoir la CNIL, qui a depuis longtemps fait ses preuves.

Par ailleurs, l’étendue des délégations de pouvoir accordées à la Commission européenne ne nous avait pas paru acceptable. Nous avions aussi dénoncé les dérogations inopportunes aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données. Plus profondément, il nous était apparu essentiel que les États membres gardent la possibilité de garantir un haut niveau de protection des droits des personnes concernées. Nous avons la chance en France – c’est le fruit de notre histoire et d’un certain consensus national – d’avoir une haute protection des données. Nous ne voulons pas qu’une harmonisation au niveau européen aboutisse à une uniformisation par le bas, même si nous savons que nous avons la possibilité, en le demandant, de conserver ce haut niveau.

Madame la ministre, j’aimerais connaître la position du Gouvernement sur ce sujet. Où en est la négociation sur cette question au Conseil ?

Notre pays a joué un rôle moteur dans la protection des données personnelles en Europe. Notre loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, a largement inspiré la directive européenne de 1995. Elle offre à nos concitoyens un cadre de protection efficace et éprouvé. Il faut bien sûr avancer sur la voie de l’harmonisation européenne. Mais, comme je l’ai indiqué précédemment, notre pays ne peut accepter de voir le niveau de protection régresser au motif de cette harmonisation. Il faut donc promouvoir une harmonisation par le haut et préserver le niveau de garanties qu’offre notre législation.

Tout cela nous avait conduits à adopter également un avis motivé sur la subsidiarité au titre de l’article 88-6 de la Constitution. En effet, c’est aussi le devoir du Sénat de veiller à ce que les propositions de la Commission européenne n’excèdent pas ce qui est nécessaire pour atteindre l’objectif.

Pouvez-vous nous dire, madame la ministre, si, en l’état de la négociation, le texte permet de préserver notre niveau élevé de protection des données personnelles ?

La Commission européenne a par ailleurs fait le choix, que nous approuvons, de traiter dans un texte spécifique – une proposition de directive – la question de la protection des données personnelles dans le cadre de la coopération policière et judiciaire pénale.

Nous avons exprimé plusieurs préoccupations dans une résolution du 12 mars 2013. Oui, la sécurité des citoyens est un objectif essentiel. Il faut donc développer la coopération judiciaire et policière. Mais il faut aussi maintenir un niveau élevé de protection des droits fondamentaux, en particulier dès lors que sont en cause les données personnelles.

Là encore, que constatons-nous ? Que notre cadre juridique permet d’avoir un haut niveau de protection. Je rappelle qu’il repose sur un principe fondamental. Les traitements de données nécessaires dans le cadre des activités répressives de l’État doivent être mis en œuvre conformément aux principes généraux de protection des données. Cela n’exclut pas l’existence de dérogations à condition qu’elles soient justifiées et surtout proportionnées aux besoins.

Il faut donc dire clairement que la directive ne fournit qu’un seuil minimal de garanties. Les États membres doivent pouvoir aller au-delà et prévoir des dispositions nationales plus protectrices. Là aussi, je vous interroge sur les intentions du Gouvernement, que vous représentez ici ce matin, madame la ministre.

Nous estimons également que la directive devra être beaucoup plus précise quant aux personnes habilitées à avoir accès aux données.

Nous considérons que l’utilisation de données sensibles doit en principe être interdite. Les dérogations éventuelles à cette règle ne peuvent être tolérées que de manière exceptionnelle. En outre, le traitement des données biométriques devrait faire l’objet d’un encadrement spécifique. La durée de conservation des données est un autre enjeu majeur. Les États membres doivent prévoir un délai de conservation précis. Enfin, nous avons considéré que le dispositif sur les transferts de données aux pays tiers était largement insuffisant.

Où en est, madame la ministre, la négociation de ce texte ? Nos objections sont-elles prises en compte dans les discussions en cours ? Comme mon ami M. Détraigne l’a indiqué, si nous avons souhaité, dans le cadre de cette semaine de contrôle, instituer ce débat, c’est pour avoir un suivi quant à l’« efficacité » de nos propositions de résolution, même si nous ne méconnaissons pas les contraintes qui sont celles du Gouvernement.

L’Union européenne négocie par ailleurs avec les États-Unis un accord-cadre sur la protection des données. Où en est la négociation de cet accord ? Un lien sera-t-il établi avec les accords PNR, ou Passenger Name Record ? Cet accord-cadre respectera-t-il une cohérence avec la révision en cours du cadre juridique européen ?

La Commission européenne a en outre proposé un texte visant à créer un PNR européen. Au sein du Parlement européen, les députés de la commission LIBE ont rejeté ce texte. Ils ont considéré que la protection des données personnelles était insuffisante.

Dans une résolution du 30 mai 2009, le Sénat avait lui-même estimé que le régime de protection des données devait être clarifié. Nous avions souhaité un haut niveau de protection par référence aux standards du Conseil de l’Europe. Là encore, nous avons demandé l’exclusion des données sensibles. Le Sénat avait préconisé une durée de conservation des données de trois ans plutôt que la durée de sept ans initialement proposée. Il avait jugé nécessaires des garanties renforcées pour le transfert de données aux pays tiers.

Où en est-on de ces négociations ? Le Gouvernement a-t-il pris en compte les priorités du Sénat ?

Telles sont, mes chers collègues, les observations que je voulais faire au nom de la commission des affaires européennes sur ce sujet très important. Ce sont les libertés fondamentales qui sont concernées. Dans un contexte en constante évolution, les motifs d’inquiétude ne manquent pas. Le Sénat, madame la ministre, attend des réponses aux priorités qu’il a mises en avant, dans son rôle de vigilance pour la protection des droits fondamentaux. §

La parole est à M. François Pillet.

Monsieur le président, madame la ministre, mes chers collègues, après l’affaire du fichier SAFARI, le système automatisé pour les fichiers administratifs et le répertoire des individus, la France a adopté, voilà plus de trente ans, la loi fondatrice du 6 janvier 1978 dite « informatique et libertés ». La France a donc été un précurseur majeur en matière de protection des données. Cette loi, qui est le fondement de la protection des citoyens face aux traitements de données à caractère personnel, a doté la France d’une autorité de contrôle : la CNIL. Elle a réglementé la manière dont sont collectées, exploitées et conservées les données personnelles par les entreprises, les administrations et les individus eux-mêmes.

Pour autant, le développement rapide des nouvelles technologies suscite de nouveaux défis de taille s’agissant de la protection des données à caractère personnel et, par conséquent, de la vie privée des individus. Internet est un vecteur sans précédent de la liberté d’expression et de communication.

Eu égard au contexte de mutation technologique rapide que nous connaissons, l’effectivité du droit au respect de la vie privée suppose d’adapter les instruments juridiques propres à garantir la protection des données à caractère personnel.

La législation communautaire a été fortement inspirée par l’exemple français. Le socle de la législation européenne en matière de protection des données est constitué par la directive européenne du 24 octobre 1995, mais ce texte est aujourd’hui obsolète.

En effet, les données personnelles des citoyens sont désormais traitées par différents acteurs publics et privés à l’échelon international, et non plus seulement dans un cadre national. Les données à caractère personnel sont exploitées par les entreprises et sont précieuses pour leur activité économique.

Depuis 1995, le secteur de la donnée a été totalement bouleversé. L’État s’est doté de très nombreux fichiers, procédant à l’interconnexion de certains d’entre eux. Mes chers collègues, vous pouvez le vérifier en constatant la fréquence de publication au Journal officiel d’annonces de mise en œuvre de nouveaux traitements de grande envergure par des administrations.

Avec le développement d’Internet, les individus sont de plus en plus les acteurs de la diffusion de leurs données. Le commerce électronique implique la communication de données à un cybermarchand, tout comme la gestion d’un compte bancaire en ligne. Au-delà, le développement des forums de discussion et des réseaux sociaux a permis aux internautes, à tous les particuliers, d’être à l’origine de la diffusion de nombreuses données personnelles qui soit les concernent, soit – c'est peut-être pis encore ! – sont relatives à des tiers.

Avec le développement du numérique et le fait que ce dernier soit dorénavant au cœur de toutes les industries, les données sont un carburant essentiel de notre économie, à l’origine de gains de productivité ou de nouveaux modèles économiques, de revenus, de croissance et, au final, de création d’emplois.

Le domaine de la donnée s’est donc considérablement élargi : tous les acteurs, tous les secteurs sont à l’origine de la collecte et de la diffusion des données, et ce sans aucune mesure. C'est la raison pour laquelle il est nécessaire d’avoir une réforme globale du cadre applicable.

Madame la ministre, la Commission européenne prépare actuellement un projet de règlement, qui a été évoqué par les orateurs précédents. Nous attendons avec impatience et intérêt que vous nous apportiez des précisions sur l’état des négociations.

Ce règlement européen doit avoir une ambition forte : harmoniser au niveau européen le cadre protecteur des données personnelles. En effet, l’Europe au travers de son Digital agenda souhaite développer un marché unique européen dans le domaine du numérique. Ce marché unique numérique ne peut exister que si un cadre communautaire, harmonisé, commun à tous les pays européens est créé en parallèle.

Cette harmonisation est d’autant plus nécessaire que les consommateurs sont mobiles. Grâce au commerce électronique, un internaute français peut acheter des produits auprès de marchands situés au Royaume-Uni, en Espagne ou en Pologne, et inversement. Mais surtout, grâce à l’espace Schengen, il est dorénavant possible aux citoyens, et à leurs données, de se déplacer physiquement dans les différents pays de l’Union européenne.

La création d’un tel marché unique est aussi prédestinée par un autre facteur : les relations avec les autres régions et les autres continents du monde. Chaque année, la CNIL autorise plus de 800 entreprises à envoyer leurs données en dehors de l’Union européenne.

En parallèle, de plus en plus de multinationales offrent des services à des citoyens européens et français sans être physiquement installées sur le territoire français.

Construire un cadre européen uniforme rendra l’Union européenne plus forte et plus attractive. Ce cadre pourrait reposer sur plusieurs principes.

D’abord, il est nécessaire de prévoir une harmonisation maximale au sein de l’Union européenne. Il faut en effet en finir avec les « paradis numériques » : les droits et obligations reposant sur une société doivent être les mêmes que celle-ci soit établie en France, en Irlande, au Luxembourg ou en Bulgarie. C’est pourquoi le principe d’un règlement européen est la bonne voie.

Ensuite, il faut harmoniser les contrôleurs européens. Nous sommes face à un enjeu : créer un guichet unique à la fois pour les entreprises, afin de simplifier leurs démarches, et pour les consommateurs, pour rendre effectifs leurs droits. Pour autant, il faut veiller à préserver l’efficacité des réglementations nationales lorsque celles-ci protègent davantage les droits des consommateurs et la vie privée de nos concitoyens.

Au-delà de ces principes, il convient de créer, sur des bases solides, de nouveaux droits pour les consommateurs. Ces droits devront avoir un point commun : le respect, à l’avenir, de la vie privée. On ne sait pas aujourd’hui de quoi cet avenir sera fait. Nous sommes un peu inquiets face à l’apparition de techniques que l’on peut ne plus maîtriser. Le droit sait-il se rendre maître des techniques ?

Non !

Quelles seront les applications ? Comment l’État ou les entreprises utiliseront-ils les données ? Jusqu’où la recherche scientifique, médicale ou universitaire s’aventurera-t-elle dans le secteur de la donnée massive ?

Les législateurs que nous sommes se doivent donc de concilier deux concepts qui peuvent paraître antinomiques : la stabilité juridique pour les entreprises dans un monde mouvant et la protection constante des individus.

Pour atteindre cet objectif, plusieurs principes doivent être établis : la transparence, le contrôle et la sécurité ; voilà quel doit être le triptyque de la protection des données personnelles dans cette nouvelle révolution industrielle.

La transparence est un principe clé qui doit s’appliquer aussi bien aux États qu’aux entreprises. L’individu doit être en mesure de savoir les raisons pour lesquelles ses données sont collectées, comment elles seront utilisées et à quelle finalité.

Le contrôle est le second principe clé. Il faut redonner aux utilisateurs la possibilité, le soin même, de contrôler l’usage de leurs données. Cela signifie, par exemple, qu’il faut leur permettre de demander la suppression de données qu’ils ont mises sur un blog ou sur un réseau social. C’est le fameux droit à l’oubli. Il faut également offrir la possibilité aux utilisateurs de récupérer, de télécharger l’ensemble des données dont ils sont à l’origine. C’est le droit à la portabilité, que pousse le règlement européen. Ce droit au contrôle a également une signification forte : il ne revient pas à un intermédiaire, à un tiers de décider ce qu’il va advenir de mes données. C’est au citoyen d’en conserver la maîtrise.

Quant à la sécurité, elle est indispensable : il n’y a pas de vie privée sans sécurité. Il ne se passe pas une semaine sans que la presse se fasse l’écho d’un vol de données, d’une violation de sécurité. La sécurité doit donc être une priorité, et les précédents intervenants ont tenu des propos forts sur ce point.

Madame la ministre, de nombreuses actions sont à entreprendre, dont l’adoption d’un cadre européen de qualité qui soit compatible avec le besoin de renforcer une stabilité pour les entreprises et – j’insiste sur ce point auquel je suis très attaché, comme notre assemblée d’ailleurs – une meilleure protection des consommateurs et de la vie privée. Le Sénat l'a toujours démontré, en particulier dans les débats qui ont été évoqués, il est le gardien du respect de la vie privée et de la liberté personnelle de nos concitoyens.

Très bien !

Il semble néanmoins urgent de privilégier la qualité à la rapidité.

Une seule question persiste : comment serons-nous jugés plus tard si nous ne veillons pas aujourd'hui à protéger des dérapages techniques la liberté et la vie privée de nos concitoyens ? C'est un défi fondamental !

Madame la ministre, vous pouvez compter sur le soutien unanime tant du Sénat que de l'Assemblée nationale pour faire respecter ces fondements essentiels de notre société. §

La parole est à Mme Éliane Assassi.

Monsieur le président, madame la ministre, mes chers collègues, les possibilités techniques de collecter des données personnelles sans que les personnes concernées en soient forcément conscientes ne cessent de croître.

Tout au long de sa vie, tout individu est susceptible d’être fiché, et ce à son insu, par la simple mise en œuvre de moyens techniques lors de ses déplacements, connexions, consultations d’informations ou transactions.

De plus, la lutte contre l’insécurité, le terrorisme et l’immigration est devenue, depuis une dizaine d’années, un élément de justification commode des fichages en tout genre, au mépris des libertés individuelles et publiques, dont le respect est pourtant au cœur de la démocratie.

Nous avons eu l’occasion de dénoncer ce fait à plusieurs reprises : on assiste désormais à la mise en œuvre d’une surveillance policière doublée d’un contrôle social généralisé de la population.

Ce fichage « tentaculaire » touche aussi bien les acteurs de l’éducation nationale, les bénéficiaires d’allocations sociales, les consommateurs, les clients des banques et des assurances, les nationaux étrangers, les personnes placées sous main de justice ou faisant l’objet d’un suivi psychiatrique.

Dans le même temps, le développement des réseaux sociaux a favorisé la mise à disposition volontaire d’informations personnelles, mais sans que l’on puisse réellement connaître et maîtriser l’usage qui en est fait, ni décider de leur retrait ultérieur.

Ainsi, les fichiers informatiques et les traitements automatisés de données à caractère personnel qui y sont associés sont devenus de véritables outils de gestion de la société, en même temps que de formidables pourvoyeurs d’une manne financière, par la commercialisation, de manière occulte et accélérée, de ces données auprès d’entreprises désireuses de cibler leurs offres publicitaires.

L’adoption voilà dix-sept ans de la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données fut l’acte fondateur de la protection de la vie privée à l’échelle communautaire. Toutefois, la modernisation de ce texte semble désormais à la fois urgente et indispensable.

La Commission européenne a fait le choix de réviser la directive européenne de 1995 par l’intermédiaire de deux instruments juridiques distincts.

L’un de ces instruments est une directive spécifique traitant des questions relevant de l’ancien « troisième pilier » communautaire, relatif à la coopération policière et judiciaire.

On peut regretter qu’il ait été choisi d’instaurer des règles spécifiques s’agissant de la coopération policière et judiciaire en matière pénale : les mêmes dispositions devraient au contraire s’appliquer, particulièrement dans un contexte de multiplication des fichiers en matière policière et judiciaire. Nous devrons veiller à ce que les règles applicables en matière de police et de justice ne soient pas moins protectrices que les autres.

Cela étant dit, les nouveaux droits qui semblent actuellement se dessiner pour l’ensemble des citoyens européens représentent de réelles avancées permettant de faire face aux défis des technologies informatiques. Mais ces avancées devraient, me semble-t-il, être plus ambitieuses pour être à la hauteur de l’enjeu qui concerne chacun d’entre nous : la garantie du respect de notre vie privée au sein d’un univers qui a tellement changé depuis dix ans.

Cet enjeu est de taille, et nous avons quelques inquiétudes.

D’abord, nous voulons nous assurer que les garanties offertes par notre droit national ne seront pas réduites.

Ensuite, la proximité des citoyens avec l’autorité de protection des données doit être préservée. Il ne s’agit pas de se prononcer contre un guichet unique, mais de prendre en compte la préoccupation des citoyens sur les données qui les concernent, dans leur propre langue.

La Commission nationale de l’informatique et des libertés, qui a développé depuis plus de trente ans une connaissance des acteurs comme des processus et qui participe actuellement à une démarche constructive et positive pour l’amélioration du futur cadre juridique commun, ne doit pas en ressortir affaiblie.

La résolution de notre collègue Simon Sutour adoptée par le Sénat a permis d’attirer l’attention du Gouvernement sur ce point. Le débat d’aujourd’hui doit être l’occasion de réaffirmer le souhait de notre assemblée de préserver les pouvoirs de la CNIL.

La consultation préalable de la CNIL doit être requise autant que possible dans les cas où le traitement créé contient des données sensibles et lorsqu’il utilise de nouvelles technologies susceptibles de porter atteinte aux droits fondamentaux, et ce aussi bien pour la création d’un nouveau fichier que pour ses modifications ultérieures. De même, le pouvoir de contrôle a posteriori de la CNIL doit aussi être préservé.

Un autre point crucial est le droit à l’oubli. Tout comme la CNIL, nous déplorons le manque d’ambition de la Commission européenne en la matière. Ce droit doit être renforcé, et des obligations doivent peser sur les moteurs de recherche pour assurer sa garantie effective.

Très bien !

Mes chers collègues, si la révision de la directive de 1995 est nécessaire afin que l’Europe soit plus forte et mieux armée pour faire face à la mondialisation des transferts de données, nous devrons veiller à ne pas rogner sur nos dispositions parfois plus protectrices. Nous devrons aussi penser à les améliorer, car, bien que plus protectrices, elles n’en demeurent pas moins imparfaites.

Permettez-moi de vous rappeler, par exemple, qu’il existe dans notre législation nationale un fichier national automatisé des empreintes génétiques, créé à l’origine pour les délinquants sexuels, mais qui a été élargi à quasiment tous nos concitoyens, y compris le simple manifestant. N’y voyez aucune allusion à la proposition de loi adoptée par le Sénat sur l’initiative de notre groupe et aujourd’hui bloquée à l’Assemblée nationale, dont l’une des dispositions vise à retirer de ce fichier un certain nombre de personnes, en l’occurrence des manifestants qui n’ont rien à y faire...

Ainsi, vous le constatez, mes chers collègues, au niveau aussi bien européen que national, la mise en place d’un corpus juridique efficace en matière de protection des données personnelles est loin d’être achevé. Dans ce travail, gardons à l’esprit nos principes et nos valeurs dont le citoyen est le centre de gravité ! §

La parole est à Mme Françoise Laborde.

Monsieur le président, madame la ministre, mes chers collègues, fidèle à sa tradition de défenseur en toutes circonstances des libertés publiques, le groupe du RDSE se réjouit naturellement de la tenue de ce débat sur un sujet qui préoccupe de plus en plus nos concitoyens.

Il s’en réjouit d’autant plus qu’il s’en était emparé très tôt au travers de la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, déposée par notre ancienne collègue Anne-Marie Escoffier et par Yves Détraigne, votée par le Sénat le 23 mars 2010 mais toujours en attente d’examen à l’Assemblée nationale. Nous ne pouvons que répéter notre regret que nos collègues députés tardent tant à agir sur une problématique aussi fondamentale pour les libertés et évolutive du point de vue technologique.

Désormais, nous connaissons bien les termes de la problématique : comment concilier les progrès des technologies de l’information et leurs apports sur l’économie ou la vie quotidienne avec le respect des droits fondamentaux de la personne, à commencer par le droit au respect de la dignité humaine et à celui de la vie privée ?

À cette question cruciale, le droit n’a pas encore su apporter de réponse satisfaisante. Un récent sondage a ainsi montré que 80 % des Français ne croient pas à la confidentialité de leurs données personnelles sur Internet. Les faits leur donnent raison : l’expansion continue d’Internet a pour corollaire l’explosion des données rendues publiques hors de tout contrôle, qu’il s’agisse des informations stockées par les moteurs de recherche ou les cybermarchands, des moyens de paiement ou encore des dérives des réseaux sociaux.

L’actualité nous montre à quel point il est urgent d’agir, de l’affaire Snowden, qui a mis au jour les agissements tentaculaires de la National Security Agency, ou NSA, aux propensions des géants comme Google ou Facebook à monnayer à des fins commerciales les données personnelles qu’ils collectent – ouvertement ou pas, d’ailleurs. Je pense en particulier au conflit qui oppose Google à la CNIL et à ses équivalents européens, s’agissant des règles de confidentialité. Plus près de nous, il n’est désormais pas rare que les recruteurs fouillent la vie privée des candidats sur les réseaux sociaux ou que le harcèlement des plus jeunes sur Internet favorise la marginalisation ou pis encore.

Madame la ministre, la France avait su, en son temps, se montrer à la pointe du sujet en promulguant, dès 1978, la loi dite « informatique et libertés ». La décision politique, pour être efficace, ne peut pourtant aujourd’hui intervenir que dans un cadre au minimum européen.

De ce point de vue, nous nous félicitons du volontarisme qui semble enfin se faire jour, comme en témoigne, par exemple, la tenue la semaine dernière d’un Conseil « Justice et affaires intérieures » consacré à cette question. Nous approuvons ainsi la proposition de la mise en place d’un guichet unique au niveau européen, qui permettrait l’harmonisation de la surveillance des traitements de données personnelles, sous la réserve, bien sûr, que tous les États membres adoptent les mêmes standards de protection de la vie privée.

C’est d’ailleurs pour contourner cette éventuelle difficulté que la garde des sceaux, avec l’appui implicite de la CNIL, a récemment mis en avant l’idée d’une procédure de codécision qui associerait chaque autorité de contrôle nationale aux procédures concernant l’un de ses résidents. Cette mesure nous paraît conforme au but recherché, à savoir garantir aux citoyens comme aux entreprises un niveau de protection optimal.

Nous serons attentifs à l’évolution de cette question dès le prochain Conseil européen qui se tiendra les 24 et 25 octobre prochain, et dont un point de l’ordre du jour sera consacré au numérique.

Madame la ministre, mes chers collègues, nous ne perdons pas de vue la question de fond, à savoir la création d’un véritable droit à l’oubli numérique.

Peu de personnes ont conscience que le moindre clic sur Internet est tracé, conservé, utilisé à des fins de profilage publicitaire, lorsque ce n’est pas à des fins policières, légales ou non. Le droit à l’oubli numérique demeure, à ce stade, une chimère. Nous militons ardemment pour son instauration, dans la lignée des propositions qu’avaient formulées nos collègues Anne-Marie Escoffier et Yves Détraigne. D'ailleurs, ce point concerne aussi bien les fichiers de données créés par les autorités que ceux qui sont créés par des entreprises.

La lutte contre l’insécurité sous toutes ses formes ne doit pas servir de prétexte à la banalisation des outils de surveillance de la population, sans que celle-ci en ait du reste toujours conscience.

La question du fichier des données des passagers des transports aériens – les « données PNR » – est l’illustration de ces dérives : sous couvert de renforcer la lutte antiterroriste, la Commission européenne, influencée par les États-Unis, souhaite contraindre les compagnies aériennes à transmettre aux gouvernements des vingt-sept États membres des informations personnelles sur les passagers entrant dans l’Union européenne ou en sortant, comme leur adresse, leur numéro de téléphone ou encore leur numéro de carte bancaire. C’est à bon droit que la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a rejeté cette proposition, arguant de préoccupations quant à la conformité de cette dernière aux droits fondamentaux de la personne.

Dans le même registre, la vidéosurveillance a été benoîtement renommée « vidéoprotection », tandis que la création de fichiers a atteint un rythme quasiment industriel, qui donne le tournis à la CNIL.

Dans tous les cas, la conservation des données et le détournement de leur usage constituent une question sensible sur laquelle notre pays n’est pas exempt de reproches : je songe, par exemple, aux données du fichier automatisé des empreintes digitales, qui peuvent être conservées vingt-cinq ans en dehors de toute condamnation et ont valu à la France une condamnation par la Cour européenne des droits de l’homme, le 18 avril dernier, pour atteinte disproportionnée au droit à la vie privée.

Mes chers collègues, pour notre part, nous plaidons pour une sensibilisation aux dangers de la vie numérique dès le plus jeune âge, afin que les enfants deviennent, demain, des citoyens numériques informés et responsables. Faire de l’éducation au numérique une grande cause nationale pour l’année 2014, comme le soutient la CNIL, nous paraît essentiel dans notre société démocratique en mutation constante, où l’ignorance numérique produit de véritables ravages et aggrave la fracture entre citoyens. Le groupe du RDSE apporte son soutien à cette initiative et souhaite, madame la ministre, que le Gouvernement fasse de même. §

La parole est à Mme Hélène Lipietz.

Monsieur le président, madame la ministre, mes chers collègues, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui, dans son article 2, définit la notion de « donnée à caractère personnel », est-elle toujours suffisante ?

Si donner son numéro de sécurité sociale était inadmissible il y a quarante ans, remettre sa carte Vitale à une préparatrice en pharmacie pour lui permettre de savoir si vous avez déjà bénéficié d’un traitement paraît aujourd’hui normal ; et la lecture de cette carte n’est pourtant pas protégée.

Déposer sur Facebook la liste de ses exploits sexuels, voire délictueux est devenu banal.

Il n’y a guère longtemps, les parents ne connaissaient les résultats de leur enfant qu’une fois par trimestre, via le bulletin scolaire « papier », ce qui laissait à leur progéniture la possibilité de différer l’annonce des mauvaises nouvelles jusqu’à l’arrivée d’une note meilleure…

Dans le même temps, les empreintes digitales sont devenues un moyen de contrôler non pas le délinquant, mais l’accès à certaines cantines scolaires.

Le site internet qui permet la délivrance d’un extrait de casier judiciaire n’a prévu aucun contrôle du destinataire : la seule protection de cette donnée personnelle est l’indication – certes, à trois endroits différents du site – que « la loi interdit de faire délivrer votre bulletin à une tierce personne ». Mes chers collègues, je vous invite à le constater par vous-mêmes en vous connectant à ce site, comme je l’ai fait hier !

Le fichier génétique est au cœur même de l’intime. Initialement prévu pour les délinquants sexuels, il a été progressivement étendu à la délinquance aux biens, y compris pour les faucheurs volontaires. Or la comparaison génétique amène à y trouver une personne non fichée mais dont l’un des parents l’est, ce qui, sur trois générations, voire sur deux, étendra le champ des personnes fichées à toute la société !

Des entreprises internationales – acteurs aujourd’hui incontournables – imposent à la planète des conditions juridiques d’utilisation des données personnelles des plus douteuses, mais parfaitement légitimes au regard des normes en vigueur outre-Atlantique.

On le voit, la définition même de « donnée à caractère personnel » n’est la même ni d’une époque à l’autre, ni d’une personne à l’autre, ni d’un organisme public à l’autre, ni d’un continent à l’autre.

De plus, les données personnelles individuelles peuvent se révéler des « données personnelles sociales », nécessaires à la collectivité sans que l’identification de la personne soit pour autant requise. Ainsi, si les données médicales sont des données personnelles, elles deviennent des « données personnelles sociales » lorsqu’il s’agit de les exploiter dans l’intérêt de la société. En Suède, par exemple, toutes les données médicales sont rendues anonymes puis centralisées pour l’étude automatique des cohortes, afin d’en tirer des indications permettant une meilleure prévention, une meilleure qualité des soins ainsi qu’une meilleure utilisation des capacités médicales. La société entière – donc chacun en particulier – bénéficie de cette utilisation collective des données anonymisées de chacun.

En France, la collecte de telles données nécessite la bonne volonté des médecins, ce qui la rend moins systématique et moins exhaustive. Il est vrai que, depuis le douloureux souvenir du « fichier des Juifs », retrouvé quarante ans plus tard, la société française a totalement bloqué sa réflexion sur l’utilisation des informations personnelles sociales collectées – quand bien même elles seraient anonymisées –, notamment les données liées à l’origine ethnique.

Ce scrupule, les multinationales ou d’autres pays ne l’ont pas actuellement. En effet, ces données personnelles individuelles ou sociales sont aussi des données économiques lucratives. Aujourd’hui, notre vie privée intéresse les marchands de tout poil, les assureurs, les banques et autres services privés, qui peuvent ainsi mieux cibler leur offre de services – et mieux nous prendre dans leurs filets –, sans compter les services secrets, au nom d’une veille antiterroriste généralisée.

En réalité, le problème est double. D’une part, comment protéger les citoyens, parfois contre eux-mêmes ? D’autre part, comment utiliser les données individuelles dans un but collectif ?

Si la publication des données collectivisées et anonymisées, de manière large, gratuite et sans aucune possibilité de rétro-information individuelle, est une nécessité citoyenne, il n’empêche qu’il faut restreindre à tout prix l’accès aux données personnelles, les réserver aux services régaliens et aux usages indispensables pour l’intérêt de la personne. C’est le porteur de données qui doit être le seul et unique bénéficiaire des données le concernant.

En ce qui concerne les données sociales, l’enjeu est de couper le cordon ombilical entre la donnée personnelle et la collectivisation de ces données, sans aucune possibilité de retour en arrière.

Ce double défi passe d’abord et avant tout par la prévention, et donc par l’éducation à l’usage d’Internet. Nous devons apprendre et apprendre à nos enfants à rester maîtres de nos données.

La CNIL, en partenariat avec ses équivalents européens, pourrait jouer le rôle de gendarme, dans un cadre européen et dans le respect des exigences républicaines actuelles. Cela dit, face à la course technologique, est-elle en mesure de jouer ce rôle aujourd'hui de la même manière qu’en 1978 ? A-t-elle les moyens humains de faire face au poids économique de nos données ? Ne pourrait-on pas penser à la faire évoluer pour lui permettre de mieux répondre à ces nouveaux enjeux ?

Ne faut-il pas aussi criminaliser ceux qui veulent faire de nos vies une nouvelle marchandise et, surtout, augmenter de manière dissuasive le montant des amendes qui leur sont infligées ? Nous ne pouvons faire l’économie de cette réflexion.

Bravo !

La parole est à Mme Catherine Morin-Desailly.

Monsieur le président, madame la ministre, mes chers collègues, pour le rapport que j’ai présenté, en mars dernier, au nom de notre commission des affaires européennes, j’ai retenu un titre volontairement provocateur : L’Union européenne, colonie du monde numérique ?

Oui, la colonisation numérique de l’Europe est en marche, et j’ai souhaité contribuer à une prise de conscience politique et à un sursaut français et européen. En effet, l’approche européenne du numérique manque d’envergure politique : qui se soucie de savoir si l’Union européenne sera consommatrice ou productrice sur le marché unique numérique ? Qui s’inquiète de la perte de souveraineté de l’Union européenne sur ses données?

C’est animée par ces préoccupations que, sur mon initiative, notre commission, dont je remercie le président, a adressé en juin dernier à la Commission européenne un avis politique fondé sur les conclusions de mon rapport. Dans la réponse qu’elle m’a adressée dans le courant du mois de septembre, la Commission énumère tous les projets législatifs en cours qui peuvent contribuer à la croissance numérique de l’Europe. Cette réponse n’est pas à la hauteur de l’enjeu stratégique, je dirais même de l’ « enjeu de civilisation » qui se joue derrière le numérique.

Mais les questions que j’ai soulevées font leur chemin, et je m’en félicite : la semaine prochaine, pour la première fois, le Conseil européen consacrera le premier point de son ordre du jour au numérique. En outre, la commission des affaires européennes de l’Assemblée nationale vient à son tour de publier un rapport appelant à une stratégie européenne concrète en la matière.

Je me suis réjouie à sa lecture : j’y ai en effet retrouvé beaucoup des préconisations que j’avais formulées au printemps dernier.

L’heure du sursaut, madame la ministre, semble donc enfin avoir sonné en France. Elle doit maintenant sonner aussi au niveau européen car, aujourd’hui, la souveraineté de l'Union européenne sur les données qu’elle produit en ligne se trouve menacée.

Les révélations sur le programme Prism déployé par l’agence de sécurité américaine, avec la contribution des géants du net, n’ont constitué, pour moi, qu’une demi-surprise. En effet, dans le rapport, j’insistais déjà très largement sur cette perte de maîtrise des Européens sur leurs données. Perte grave, car elle engage aussi bien la protection de la vie privée que le potentiel économique que représentent ces données.

Bien sûr, l’adoption du nouveau règlement européen harmonisant les législations en la matière permettra d’accroître l’efficacité de la protection des données. Au vu de la résistance affichée par Google, qui refuse d’opérer les modifications demandées par la CNIL et ne semble pas craindre les sanctions prévues par la loi Informatique et libertés, on ne peut qu’espérer une adoption rapide du texte européen.

Malgré tout, je m’interroge sur la capacité de l’Union européenne à maîtriser de manière effective les données de ses citoyens, et ce à un double titre.

Je formulerai ainsi une première réserve concernant les menaces croissantes d’espionnage via les éléments physiques des réseaux. Les textes n’y pourront rien changer. Nous devons donc développer les capacités de cyberdéfense des États membres et renforcer les obligations des opérateurs d'importance vitale en matière de sécurisation informatique.

La Commission européenne semble en être désormais convaincue, mais a-t-elle réalisé que l’Union européenne devait alors disposer d’une base industrielle pérenne en matière de cybersécurité et d’équipements de confiance ? Voilà qui suppose la mise en œuvre d’une véritable politique industrielle dans ce domaine.

À plus court terme, je propose que l’Union européenne conditionne l’achat d’équipements hautement stratégiques, comme les routeurs de cœur de réseau, à leur labellisation par une autorité publique de sécurité. L'objectif est de nous prémunir contre l’espionnage par les pays fournisseurs.

On pourrait aussi inclure dans le périmètre des marchés de sécurité l’achat d’équipements numériques hautement stratégiques afin de pouvoir leur appliquer la préférence communautaire, qui est déjà implicitement reconnue par les règles européennes pour les marchés de défense et de sécurité.

J’en arrive à ma seconde réserve : comment le nouveau texte européen pourrait-il assurer la maîtrise des données face au développement du cloud computing – l'informatique en nuage –, qui mettra toujours plus de données entre les mains de ses fournisseurs ?

Procurant à distance l’accès à un réservoir de données et de services, le cloud computing constitue une chance, surtout pour les PME, qui peuvent ainsi profiter de facilités informatiques à la carte, sans faire d’investissements considérables. Or, ces prestataires de services en nuage sont le plus souvent américains.

Madame la ministre, votre collègue Arnaud Montebourg se trompe quand il dit que la solution, c’est que toute donnée collectée en Europe soit stockée et traitée en Europe. Il devrait connaître le caractère extraterritorial des lois américaines, …

Il devrait, en effet !

… qui permet aux autorités américaines d’accéder aux données européennes, même localisées sur notre territoire, dès lors qu’elles sont traitées par des entreprises relevant de la juridiction américaine.

La solution est donc assurément d'encourager l'émergence d'un cloud européen. Et, plutôt qu’un monopole public, il faudrait ici soutenir l'émergence d'acteurs privés, notamment en soutenant leur croissance par l'achat public.

L’Union européenne entend s’appuyer sur l’achat public pour promouvoir une offre commerciale d’informatique en nuage en Europe qui soit adaptée aux besoins européens. Je m'alarme, une fois de plus : l'objectif est de stimuler l’usage européen du cloud mais pas nécessairement les fournisseurs européens de ces services.

Ajoutons que le stockage à distance des données est d’autant plus préoccupant que se développe l’Internet des objets qui, en faisant communiquer entre eux tous les objets de notre quotidien, démultipliera encore les données.

En attendant, l'Union européenne doit absolument négocier un accord transatlantique à côté du partenariat commercial dont la négociation est ouverte. Elle doit pouvoir interdire le transfert de données hors de son territoire sur une requête d’une autorité d’un pays tiers, sauf autorisation expresse.

Tout cela exige donc une mobilisation politique de l’Union européenne au plus haut niveau, à la mesure des enjeux de souveraineté qui sont ici soulevés et qui en font une question absolument stratégique.

L’opportunité d’une plus grande implication de l’Union européenne dans la gouvernance de l’Internet mondial s’ouvre justement aujourd’hui, madame la ministre, à la suite des révélations d’Edward Snowden sur l’espionnage d’internet par les États-Unis : pas plus tard que la semaine dernière, le 7 octobre précisément, les grands organismes de régulation de l’Internet réunis à Montevideo, en Uruguay – parmi lesquels se trouvait l’ICANN, l'association américaine qui gère le système des noms de domaine pour le web mondial – ont tous pris leur distance vis-à-vis de la mainmise américaine sur la gouvernance actuelle de l’Internet.

Rappelons que le système de gestion des noms de domaine reste aujourd’hui directement contrôlé par le département du commerce américain !

Vous vous doutez bien que ce pouvoir de contrôle est crucial et permettrait d’effacer de la carte d’internet les ressources de pays entiers. Pour les États-Unis, le contrôle de cette ressource est devenu aussi fondamental, mes chers collègues, que celui de l'eau ou de l'énergie : c'est un enjeu majeur, tant en termes de souveraineté qu’en termes de développement de leurs industries. Mais, aujourd’hui, il leur est difficile de maintenir le statu quo…

Nous sommes donc parvenus à un tournant dans l’histoire du numérique. L’Union européenne doit absolument profiter de ce qui vient de se passer à Montevideo pour réclamer, comme très récemment la présidente du Brésil, Dilma Rousseff, une gestion multilatérale de ce système d'attribution de noms de domaine. Désormais, la supervision des fonctions critiques de l'ICANN doit être confiée à une structure multilatérale collégiale.

Il revient donc aujourd'hui à l’Union européenne d’entrer dans le jeu et, aux côtés des États-Unis, de construire une gouvernance de l’Internet réellement fondée sur des principes démocratiques et, bien sûr, conforme à notre charte des droits fondamentaux.

La parole est à M. Gaëtan Gorce.

Monsieur le président, madame la ministre, mes chers collègues, le débat qui nous est proposé ce matin atteste l'attention constante que porte le Sénat aux questions liées à la protection des données personnelles et à l'évolution de la réglementation numérique, ce dont je me félicite.

Ce débat s'inscrit dans la perspective de l'adoption d'un règlement européen sur le sujet, texte dont on peut regretter qu’il tarde un peu à être adopté même si, naturellement, notre attention porte d'abord sur son contenu et sur les protections que cette réglementation pourra comporter.

En la matière, je note que notre Commission nationale de l'informatique et des libertés est en pointe. Elle aura besoin du soutien actif du Gouvernement dans son expression sur ces différentes questions.

Mais, plutôt que de m'interroger, comme de nombreux collègues l'ont fait avant moi, sur le contenu de cette négociation et de cette réglementation, je voudrais insister sur le type de société que nous voulons. Car tel est bien l'enjeu de fond qui ne saurait être masqué par nos débats : quelles sont les valeurs que nous tentons de promouvoir dans la construction d'une société où le numérique tiendra une place croissante ?

La première observation que je formulerai – non pour « casser l'ambiance », mais seulement pour attirer l'attention sur les préoccupations qui doivent être les nôtres –, c'est que, si le développement du numérique recèle évidemment des chances considérables – y compris pour les citoyens, et même dans le domaine des libertés –, il comporte aussi de très nombreuses menaces pour nos libertés individuelles, si nous ne prenons pas garde.

Aujourd'hui, l'interconnexion généralisée que permet internet est utilisée par les entreprises, exploitée pour les gouvernements et favorisée par nos concitoyens au travers des réseaux sociaux. Il suffit d'énoncer les menaces qui en découlent pour éveiller notre vigilance...

On a tendance à présenter ces évolutions comme positives ; je pense plutôt qu’elles sont neutres, et qu’elles peuvent devenir négatives si notre attention se relâche.

Je ferai allusion, par exemple, à ce que l'on désigne, dans ce langage caractéristique tout imprégné d’anglo-saxon, le Big data, c'est-à-dire cette masse de données que les entreprises peuvent désormais exploiter pratiquement sans limites, soit qu’elles se les procurent directement auprès de leurs clients, soit qu’elles les obtiennent par d'autres détours, notamment via les réseaux sociaux, parfois sans le consentement direct des personnes concernées.

Ce phénomène permet non seulement de développer des stratégies de marketing, ce qui est en soi acceptable, mais aussi d'établir le profil des clients et d'atteindre à une connaissance assez profonde de l'état de l'opinion d'une personne au regard de ses achats, voire de son état de santé, ce qui ne peut être accepté sans que l'on ne se pose certaines questions au préalable.

Dois-je évoquer, à ce propos, le sujet délicat de l'Open data, cette ouverture des données publiques à l'ensemble des citoyens ? Le principe n’en est pas contestable : il s'agit d'accroître encore la transparence en permettant à chaque citoyen de contrôler directement, par la consultation de ses données détenues par les administrations, la manière dont elles fonctionnent et les bilans dont elles disposent.

Mais la mise en place de ce dispositif, très fortement encouragée aujourd'hui, se fait sans aucune évaluation préalable des conséquences éventuelles sur la vie privée, car on présuppose que ces risques n’existent pas, au lieu de les anticiper et de tenter de les évaluer.

Dois-je aussi évoquer les problèmes posés par la biométrie et le fait que l'on est de plus en plus souvent confronté à ce type de contrôle qui utilise un élément du corps humain ou un prolongement du corps humain…

Voilà !

… pour contrôler l'accès à des restaurants scolaires, à des équipements sportifs ? Comme s'il était normal que notre corps soit asservi à ces dispositifs, sans que nous puissions réellement en débattre…

Dois-je évoquer, enfin, après mon collègue Simon Sutour, les problèmes que soulève l'exploitation des données personnelles par les structures de renseignement, par des structures policières intervenant parfois en dehors du cadre légal, comme nous l'avons vu avec l'affaire du programme de surveillance Prism, qui permet à des services étrangers de contrôler les communications des citoyens français comme des citoyens européens ?

De la même manière, quelles garanties avons-nous aujourd'hui, en France, que nos services ne se livrent pas au même exercice, …

Secret défense !

… n’était la conviction qu’ils sont parfaitement loyaux et respectueux des lois de la République ?

Nous savons, par exemple, que nos ministères, que nos services de renseignement sont soumis au respect de la loi. Pour autant, nous n’avons pas les moyens de vérifier qu’ils n’ont pas constitué les mêmes fichiers ou qu’ils ne procèdent pas aux mêmes contrôles, puisque ni la CNIL ni la délégation parlementaire au renseignement ne peuvent aller le vérifier…

Eh non !

J’en resterai là, afin de ne pas noircir le tableau à l'excès, et saisirai plutôt l'occasion qui m'est donnée pour poser plusieurs questions auxquelles les réponses me semblent dépendre non pas de considérations économiques, industrielles ou technologiques, mais d'abord d'une approche politique, philosophique et morale.

En effet, si nous renonçons à aborder ces questions selon cette approche, alors nous nous livrons pieds et poings liés, non seulement à une technologie, mais encore aux intérêts qui la gouvernent et mettent notre société cul par-dessus tête au regard des principes qui sont normalement les siens.

La première question, qui n’est pas mince et que plusieurs d'entre vous ont déjà abordée, est celle de savoir si nous ne sommes pas en train d'assister à la disparition de la notion même de « vie privée ».

Eh oui !

Je suis frappé d’observer que certains, des techniciens, défendent avec une certaine ardeur, qui n’est pas celle des néophytes, le développement du numérique en expliquant que nous devons reconsidérer la notion de « vie privée » au regard de ce développement, plutôt que de limiter cette technologie au regard de l'idée que nous nous faisons de la vie privée.

Naturellement, ce processus est également favorisé, pour une part, par le comportement de nos concitoyens. L'individu est devenu l'axe de l'organisation sociale ; les réseaux sociaux et la possibilité que nous avons de communiquer en nous exposant à la vue des autres nous donnent encore plus d'importance et nous incitent à livrer sur nous-mêmes des informations qui en disent trop, même si, à un moment donné, nous pouvons avoir le sentiment qu’elles servent à nous valoriser dans une société où, d'une façon générale, l'information et la communication sont devenues déterminantes.

Si, cependant, nous ne devons pas protéger les personnes contre elles-mêmes, nous devons réaffirmer un principe, et le faire dans notre droit.

En effet, nous sommes confrontés à la difficulté de définir la notion de « respect de la vie privée » – cette part d'intimité que nous devons protéger, qui ne doit être connue que de nous-mêmes et de notre famille, ce « misérable petit tas de secrets » dont parle un philosophe, qui ne mérite d’être connu que de nous-mêmes…

Cette vie privée, nous ne disposons pas aujourd'hui des moyens juridiques suffisants pour la protéger, car la notion de « respect de la vie privée », affirmée dans son principe général, n’est jamais définie, y compris par rapport aux enjeux du numérique. Il serait temps que nous nous en saisissions et que nous fassions de cette préoccupation un des centres de notre activité législative.

Une proposition existe, au Sénat, des textes y font référence – la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, notre code civil, le projet de règlement européen –, mais il est temps de rappeler ce que nous pourrions considérer comme étant l'ordre public en la matière, c'est-à-dire ce à quoi il n’est pas possible de porter atteinte, qu’il s'agisse de la santé, des opinions et de bien d'autres domaines sur la définition desquels nous devrions travailler, dans l'intérêt même de nos concitoyens.

La deuxième question est celle de savoir si nous serons capables – cela a été évoqué par Simon Sutour et Yves Détraigne – de recouvrer la maîtrise de ces évolutions technologiques. Nous devrons, en effet, nous garder de certaines dérives régulièrement constatées.

La première de ces dérives est une foi naïve dans les bienfaits de la technologie. Lorsque je suis intervenu sur les questions de l'Open data – l'ouverture des données –, j’ai été frappé par le déferlement de critiques qui m'ont été adressées au motif que je remettais en cause l'évolution de la technologie et ses bienfaits naturels. Comme si la technologie pouvait être, en elle-même, bonne – ou mauvaise, ce que je ne prétends pas non plus. Je dis simplement qu’elle doit être soumise au droit, c'est-à-dire aux valeurs de notre société.

Cela suppose aussi que nous sachions nous défier d'une sorte d'économisme primaire, autre dérive possible. En effet, on a très souvent tendance à aborder ces questions selon des points de vue certes d'importance - l'avenir industriel, technologique et économique de l'Europe et de la France, nos activités en la matière -, mais en oubliant que ces données doivent toujours rester subordonnées à d'autres préoccupations, celles qui se rapportent au type de société que nous voulons construire.

Madame la ministre, j’ai noté que vous n’échappiez pas tout à fait à ces tentations d’économisme à travers les déclarations qui étaient encore récemment les vôtres devant la commission des affaires européennes de l’Assemblée nationale, où vous avez indiqué qu’il ne faudrait pas que nous appliquions trop de contraintes aux entreprises européennes, alors que celles qui sont en dehors du continent européen en subissent moins. Notre préoccupation serait-elle d’abord économique, avant d’être juridique et politique ? Je souhaite que nous inversions cet ordre des choses dans notre approche de ces sujets.

Troisième et dernière question : serons-nous également capables de mettre de l’ordre, sur le plan international, dans un droit qui reste diffus ? Le comportement des États-Unis, notamment à travers la fameuse loi FISA – Foreign Intelligence Surveillance Act –, qui permet aux autorités américaines d’exiger des entreprises la communication de données, y compris provenant de citoyens européens, sans que ces entreprises puissent le révéler, puisque la loi le leur interdit, et sans que l’on sache ni pour quelle finalité, ni pour quel fonctionnaire, ni pour quelle durée, un tel comportement donc est insupportable et nous devrions le dénoncer.

De ce point de vue, madame la ministre, je regrette que le Gouvernement soit resté d’une expression si prudente dans l’affaire Snowden. Soit nous savons des choses sur cette affaire qui nous incitent à cette prudence, et il faut l’expliquer ; soit nous considérons au contraire que M. Snowden a mis le doigt sur une menace essentielle pour l’avenir de nos libertés, et alors nous devons la dénoncer et dire au gouvernement américain, dans le cadre des négociations qui s’ouvrent, qu’il n’est pas question de l’accepter.

Nous pouvons évidemment reporter de quelques jours un rendez-vous sur une négociation transatlantique, mais, au vu de l’ampleur des sujets, il me semble que nous devrions indiquer que ces pratiques sont contraires aux conceptions que nous nous faisons de l’avenir de nos sociétés, que nous ne pouvons y consentir et qu’elles posent un problème politique de fond.

Très juste !

Si la France, comme l’Europe, d'ailleurs, ne s’exprime pas d’une manière forte dans ces domaines, il ne faudra pas s’étonner qu’elle soit, demain plus encore qu’aujourd'hui, soumise à la loi imposée par ces grandes multinationales et, derrière, par le gouvernement américain, pour des motifs de sécurité.

Voilà les quelques éléments que je voulais aborder dans ce débat, non pas, je le répète, pour noircir le tableau ou casser l’ambiance, mais pour rappeler que, derrière ces questions, c’est notre conception de la société qui est en jeu. Madame la ministre, mes chers collègues, avant d’être un enjeu technologique et économique dont on ne saurait minimiser l’importance, la protection des données personnelles est d’abord une question de société.

La parole est à Mme Nathalie Goulet.

Monsieur le président, madame la ministre, mes chers collègues, pour reprendre l’expression de notre collègue Gaëtan Gorce, je vais, pour ma part, casser un peu l’ambiance…

Notre débat est, comme l’enfer, pavé de bonnes intentions, mais nos concitoyens du XXIe siècle – y compris les jeunes qui sont dans nos tribunes aujourd'hui - ont abdiqué la protection des données personnelles. Et toutes les CNIL du monde n’y pourront rien, pas plus que le législateur que nous sommes, parce que, volontairement ou non, nous adhérons au système, comme je vais vous le démontrer.

Je voudrais savoir, rejoignant les propos de Gaëtan Gorce, comment les psychiatres et les sociologues analysent notre rapport avec ces petits objets transitionnels, iPod, iPad et autres, que nous tenons en main fiévreusement pour « twitter », « facebooker », échanger rageusement, souvent d’ailleurs des banalités et des séquences de notre vie privée. Comment faisait-on avant ?

Notre accord est si évident pour l’usage d’internet que Twitter et Facebook sont exclus des politiques de protection, par application, sans doute, comme M. Jourdain faisait de la prose, du principe de droit volenti non fit injuria – il n’est pas porté atteinte à celui qui consent.

Mais précisément, à quoi consent-on quand on clique ? Question existentielle dans notre monde dématérialisé, question philosophique, sociale et juridique, aussi, mon cher collègue.

Un petit clic est la porte ouverte à vos données personnelles, vos localisations, vos photos : votre maison apparaît même avec une précision telle que l’on peut lire la plaque d’immatriculation de la voiture qui est garée devant chez vous, qui n’est pas forcément la vôtre, d’ailleurs. Quant au floutage, n’importe quel technicien peut l’enlever.

On abdique le respect de la vie privée, le secret de l’instruction, le droit au respect à une procédure contradictoire ; on renonce à poursuivre les sites et les auteurs grâce à l’usage de l’anonymat. Alors, l’internaute n’a plus que des droits et, dans ce contexte, aucune obligation.

Diffamez, diffamez, il en restera toujours quelque chose, et en toute impunité, madame le ministre, du fait de l’anonymat et de l’usage de pseudonymes, souvent d’un goût douteux… Nous revoilà dans le débat sur ces sénateurs ringards qui ne comprennent rien et veulent restreindre la liberté d’expression !

Oui, nous avons abdiqué, mais je persiste. Je milite, vous le savez, pour que l’adresse IP – Internet Protocol – ne soit pas une donnée personnelle, afin qu’il soit plus facile de poursuivre les personnes qui diffament sur le net. Je suis vraiment désolée de rester la seule de mon espèce à vouloir défendre ce principe, mais je considère que la liberté des uns s’arrête où commence celle des autres !

Mais, voyez-vous, la vague est trop forte, trop haute, et les plus courageux renoncent à se battre, sachant qu’ils n’obtiendront pas gain de cause, même si la cause est juste et légitime.

Il reste le droit à l’oubli sur internet, qui a été brièvement évoqué. La question interpelle. À cet égard, il faut mentionner la nouvelle législation qui entrera en vigueur en Californie au mois de janvier 2015 ; elle est intéressante, puisqu’elle donnera aux mineurs le droit d’effacer de manière permanente, sur simple demande, leurs erreurs de jeunesse en ligne. Les commentaires embarrassants ou vulgaires, les vidéos et les photos compromettantes pourront ainsi disparaître sans laisser de traces, et les sites seront tenus d’offrir aux usagers le moyen de le faire.

Internet et vie privée, c’est évidemment un sujet extrêmement important ; l’adaptation de notre droit de la presse à ces nouveaux médias aussi.

Pour conclure, mon temps de parole touchant à sa fin, je dirai simplement que la technique l’emportera sur le droit. Nous serons évidemment comme dans la lutte entre l’obus et le blindage : le temps de concevoir le blindage, l’obus sera plus performant encore.

Dans un contexte postérieur au 11-Septembre, où même quand le terrorisme ne fait pas rage, le ressenti, la peur du terrorisme est telle dans nos civilisations que tous se méfient de tous, où nous avons besoin de transmettre des données personnelles dans les avions, où nous avons augmenté les capacités des forces de police et de gendarmerie sur les écoutes et le stockage des données, je doute vraiment que nos débats, encore une fois, pavés de bonnes intentions débouchent sur un résultat. La France se situera une nouvelle fois au niveau des principes, mais ne pourra ni les faire partager ni les appliquer techniquement.

Pour le coup, ces principes valent la peine d’être défendus, même si c’est, selon moi, peine perdue !

La parole est à Mme Virginie Klès.

Monsieur le président, madame la ministre, mes chers collègues, même si malheureusement nous sommes peu nombreux aujourd’hui, le débat qui nous réunit tient en quatre mots : « protection des données personnelles ». La thématique semble simple, et n’exige pas que l’on consulte le dictionnaire pour la comprendre, mais elle m’inspire de nombreuses questions.

Protection, oui, mais pourquoi ? Protection contre qui ? Protection contre quoi ? Contre le vol, la diffusion, la falsification, la collecte de données personnelles, leur utilisation nuisible ?

Et que recouvre cette notion de « données personnelles » ? Notre vie privée ? Notre identité ? Mais laquelle ? Notre identité sociale, civile, numérique, commerciale, bancaire, biométrique ? Les traces que nous laissons partout à chaque clic sur Internet, à chaque paiement par carte bancaire, à chaque passage au télépéage sur l’autoroute ?

Les deux intervenants précédents ont raison : il s’agit d’un phénomène de société. Il faut donc s’interroger : dans quelle société vivons-nous, et dans quelle société voulons-nous vivre ?

Si l’on considère que les données personnelles sont d’abord et avant tout notre identité, quel rôle l’État doit-il jouer dans la protection de cette identité, c’est-à-dire dans la production d’un document de confiance garanti par lui, qui atteste dans notre vie quotidienne notre singularité sans pouvoir être ni falsifié, ni dissimulé, ni volé, en d’autres termes, une identité de confiance ?

Avec les possibilités technologiques actuelles, par exemple la biométrie, on pourrait penser que les documents d’identité signés par l’État sont des documents de confiance. Or je suis choquée de constater que l’on peut exiger jusqu’à trois pièces d’identité différentes pour un paiement par chèque, comme si aucune d’elles n’était une pièce d’identité de confiance. N’est-ce pas là déjà un problème ?

Le passeport biométrique, présenté comme le nec plus ultra, nous permet certes de nous rendre aux États-Unis sans visa, mais chacun d’entre nous est-il parfaitement conscient des traces qu’il laisse avec son passeport biométrique quand il passe une frontière, et pas seulement celle des États-Unis ? Chacun d’entre nous est-il réellement conscient de ce qu’a fait ou n’a pas fait l’État, à l’occasion de la production de ce passeport biométrique, pour protéger nos données personnelles, quand nous partons en Albanie, en Égypte, en Afrique ?

On s’interroge beaucoup sur le Passenger Name Record, le PNR, …

Eh oui !

… mais guère sur ce que font aujourd’hui les autres pays des données contenues dans notre passeport biométrique français.

Les données personnelles, sensibles, quelles sont-elles, finalement ? La perception que nous en avons dépend beaucoup de notre culture, de notre façon de vivre. Sans aller chercher chez nos amis outre-Atlantique, même en Europe, on constate que les données biométriques, qui sont considérées en France comme des données sensibles, ne le sont pas en Allemagne.

Les données biométriques sont d'ailleurs classées en France en deux catégories, selon qu’elles sont avec traces et sans traces : la distinction est-elle encore valable ? La voix n’est-elle pas devenue une donnée biométrique avec traces ? Dans un passé peu éloigné, des reconstitutions de voix ont permis d’identifier des suspects dans plusieurs affaires dont certaines avaient défrayé la chronique.

L’empreinte digitale, nous dit-on, est traçante. Or il est aujourd'hui possible de fabriquer de fausses empreintes digitales et d’en laisser partout. Par ailleurs, dans le cas de la combinaison d’une empreinte digitale et d’une empreinte morphologique interne, comme le lacis veineux d’un doigt, sommes-nous encore dans un concept d’empreinte biométrique traçante ? Ce n’est pas sûr !

Cette conception même des empreintes, traçantes et non traçantes, des données, sensibles et non sensibles, n’est-elle pas en train d’être dépassée ? Ne convient-il pas justement de se pencher sur la question ? Face aux évolutions technologiques, faut-il se contenter des classifications établies et s’en tenir aux principes initiaux ou bien ne doit-on pas aller de l’avant et même prendre les devants ?

Nos données bancaires sont-elles des données sensibles ? Mon compte en banque ne regarde que moi, a-t-on envie de répondre. Pourtant, il a été décidé ici même, voilà peu, de rendre publiques les données bancaires et patrimoniales de certains d’entre nous en tant que personnes publiques.

Par conséquent, les frontières évoluent sur ces questions de données sensibles, données privées, et ne répondent pas aux classifications simples de type oui/non, blanc/noir.

Chacun d’entre nous a-t-il bien conscience de toutes les traces qu’il laisse dès qu’il clique sur internet ? Les citoyens sont-ils bien conscients de la valeur commerciale de ces traces, qui, amalgamées, constituent des fichiers dont ils n’ont pas forcément connaissance de l’existence même ?

On a parlé du profilage, réalisé la plupart du temps à notre insu, de ces fichiers d’une grande valeur commerciale qui attisent les convoitises, y compris celle des hackers, et peuvent se trouver transférés dans d’autres mains, pour d’autres objectifs que ceux pour lesquels les données sont initialement collectées.

Mme Lipietz disait qu’il faut parfois protéger les citoyens contre eux-mêmes, contre leur gré. Dès lors, faut-il toujours recueillir l’accord des citoyens pour récolter des données ? L’accord exprès des personnes souffrant d’une addiction au jeu, par exemple, est-il nécessaire pour, de façon anonyme, leur interdire l’entrée des salles de jeu ? Dans certains cas, la protection des personnes ne prime-t-elle pas sur la nécessité de recueillir leur accord ?

Toutes ces frontières et distinctions paraissent évidentes en théorie, mais les termes du débat se révèlent plus complexes. Nous nous rejoindrons donc sur les principes, le double souci de la protection des libertés publiques et de la sécurité, mais d’autres questions appellent des réponses particulièrement complexes si l’on refuse de se laisser envahir par la technologie ou entraîner par elle, et si l’on veut, bien au contraire, la maîtriser en amont.

Comment conserver l’équilibre entre, d’une part, les avancées de la technologie et les bienfaits qu’elles peuvent nous apporter et, d’autre part, leur régulation, leur contrôle ? Les « CNIL » du monde entier ont-elles les moyens, aujourd’hui, de tout contrôler ? Les contrôles, quant à eux, doivent-ils être réalisés produit par produit ou selon des processes et des méthodes normalisées ?

Il est beaucoup question du contrôle privacy by design. Peut-être faut-il s’y rallier, mais peut-être faut-il aussi sanctionner très fortement – en tout cas plus qu’aujourd’hui – les entreprises qui ne sont pas capables de faire respecter le process qu’elles ont mis en place afin de garantir la sécurité et le respect de la vie privée.

Oui, cher Gaëtan Gorce, je suis entièrement d’accord avec vous : nous avons tous droit – tous ! – à ce morceau de vie privée qui ne concerne personne d’autre que nous. Il faut impérativement le respecter, même si l’équilibre est difficile à trouver. Certes, nous devons protéger les intérêts économiques de nos entreprises, en Europe et dans le monde, parce qu’il nous faut rester présents à l’échelle planétaire si nous voulons garder voix au chapitre, mais nous devons aussi garder le contrôle et savoir dans quelle société nous voulons vivre.

Notre débat n’apportera sans doute pas toutes les réponses - la matière est par nature trop compliquée -, mais, si nous avons pu soulever de bonnes questions, nous aurons avancé et servi la société dans laquelle nous voulons vivre.

La parole est à M. Jean-Yves Leconte.

Monsieur le président, madame la ministre, mes chers collègues, je crois que nous aurions dû dédier ce débat à Edward Snowden, réfugié à Moscou. C’est à ce dernier que nous devons en effet des révélations sur le programme Prism qui témoignent de la capacité des autorités américaines – et de leur volonté, aussi - à surveiller une part significative des communications mondiales et des échanges de données.

M. Snowden a permis de mettre en évidence la faiblesse de toutes les protections dont nous disposons au niveau national, l’exigence d’une meilleure gouvernance mondiale sur cette question et l’obligation de chacun de ne pas être un simple consommateur, mais bien un citoyen du net, conscient de ses propres limites et de celles du net, ainsi que des risques afférents.

Cet apport significatif au débat méritait d’être salué. Avant de revenir sur ces sujets, je voudrais vous faire part de quelques chiffres, de quelques estimations : la quantité de données produite et stockée par l’homme depuis l’aube de l’humanité jusqu’en 2003 était équivalente à deux jours de production de données en 2011 ; aujourd’hui, la même quantité de données est générée en moins de dix minutes ! En dix ans, le volume de l’ensemble des données enregistrées de par le monde a été multiplié par 1 million !

Avec de tels chiffres et sachant comment les données circulent, peut-on sérieusement garantir le droit à l’oubli ? Comment éviter que les données ne circulent ou ne soient partagées sur des serveurs relevant de législations différentes ?

Dès lors qu’une personne dispose d’un accès à internet, d’une messagerie, d’une inscription dans des réseaux sociaux ou qu’elle procède à un achat sur le net, est-il possible de lui garantir le respect de son intimité, du cheminement de sa pensée, de sa correspondance, de ses identités ? Les derniers mois ont démontré que non.

Il s’agit pourtant d’un des fondements essentiels des droits de l’homme. Peut-on garantir que les données collectées, alors qu’elles peuvent avoir une valeur commerciale significative, ne seront pas valorisées, commercialisées, transmises par celui qui en est le porteur ?

Comment assurer à l’usager que la finalité de la collecte de données sera toujours respectée et que ces données ne seront pas indûment conservées ? Quelle législation appliquer lorsque l’information, les échanges, les fournisseurs, mais aussi les consommateurs, se jouent des frontières ?

Pour protéger l’individu, doit-on brider, contrôler internet, formidable outil permettant aujourd’hui à des milliards d’individus de communiquer au-delà des frontières, de se jouer des limitations des libertés que certains régimes politiques voudraient imposer ? Peut-on les suivre sur cette voie ? Cette orientation n’est pas la bonne et ne résisterait pas longtemps au progrès de la technique.

L’Internet, opportunité inouïe d’échanger et de partager des connaissances, est probablement le plus grand défi à la conception traditionnelle de la souveraineté des États et des nations. Nous devons en avoir conscience.

Nation, espace de solidarité ; nation, espace où l’on attend de l’État qu’il garantisse la sécurité des citoyens. Que ce soit en termes de données personnelles, de maîtrise des flux financiers et de la fiscalité, de délocalisation du travail, de protection du consommateur, de lutte contre la contrefaçon, internet constitue sans doute, sur tous ces aspects, un défi immense pour les États, qui doivent réinventer la manière de tenir leur rôle, non pas en multipliant le nombre de fichiers pour prétendument protéger les citoyens, mais en participant à la création d’une gouvernance mondiale, seule réponse face à cet enjeu.

Cette constatation va à l’encontre des aspirations de ceux qui prônent le repli sur soi, le recul identitaire, le refus de la globalisation comme salut face aux défis du monde. À tourner le dos à la réalité, à refuser de voir les enjeux posés par l’évolution de la technique, à se plonger dans la nostalgie, on ne rend pas service aux citoyens, on ne les protège pas : on en fait de simples sujets de la mondialisation.

Dès lors, quelles pistes proposer ?

Nous devons d’abord faire en sorte que les enjeux du numérique – ce que cela change dans la conception de la vie privée, la manière dont sont conservées et transmises les données, ce que signifie « stockage dans un nuage »… – soient compris par le plus grand nombre de citoyens.

Pour comprendre ces évolutions techniques, pour pouvoir mieux protéger, il est également important de disposer d’une avance technique. Cela passe non seulement par des investissements dans le numérique afin d’être à la pointe, mais aussi par une politique de long terme d’accueil des entreprises, de start-up, travaillant dans ce domaine. Sans compétence technique, sans capacités de stockage ou de calcul autonomes, nous ne pèserons rien quand il s’agira de défendre nos propres principes.

Un projet de règlement européen est en discussion. La position de la France, selon laquelle, lorsqu’il s’agit d’un acte entre un citoyen et une entreprise d’un pays de l’Union européenne, les autorités de type CNIL des deux pays concernés peuvent agir conjointement, doit être soutenue. En effet, ce projet ne doit pas remettre en cause les acquis obtenus par l’action de la CNIL, reconnue en France comme une institution réactive, préoccupée par la meilleure défense possible des libertés pour la protection des données et la finalité des fichiers. La CNIL rappelle ses principes utilement à chaque fois qu’une évolution législative ou réglementaire peut faire évoluer nos équilibres. Il est heureux qu’elle pilote le « groupe de l’article 29 », ou « G29 », rassemblant les autorités similaires des vingt-huit États membres.

La mise en place d’un front européen pour demander à Google de se conformer aux législations nationales relatives aux protections de données est une excellente chose. Toutefois, ces autorités expriment également des réserves sur le projet de règlement européen relatif aux données personnelles qu’il nous faut partager, qu’il s’agisse de la bonne définition des données personnelles, cela a été évoqué, de l’affirmation du droit à l’oubli, du renforcement des droits des personnes, qu’il s’agisse encore de la responsabilité de l’ensemble des opérateurs ayant à traiter des données personnelles, de l’encadrement des transferts de donnés hors de l’Union européenne ou encore de la possibilité de donner aux citoyens des droits de recours effectifs.

Madame la ministre, pouvez-vous nous indiquer quelle est la position de la France face aux réserves émises par le G29 ?

Le débat sur ces questions semble aujourd’hui se limiter à un échange entre les États-Unis et l’Union européenne, à l’asymétrie des transmissions et à l’illégitimité des traitements qui ont été faits des données transmises aux États-Unis. Je pense bien entendu au PNR, dispositif relatif aux données des passagers aériens, et à l’accord sur le suivi du financement du terrorisme. Les faits sont établis.

L’Europe doit trouver le moyen d’agir dans une relation plus équilibrée avec les États-Unis. L’objet des échanges ne doit pas être détourné. S’il y a des désaccords, l’Europe doit pouvoir parler d’une seule voix.

Madame la ministre, comment établir ce partenariat plus équitable avec nos partenaires américains ? Ne s’agit-il pas d’un préalable à la négociation sur un traité de libre-échange ?

S’il semble ne s’agir que d’un débat États-Unis - Union européenne, c’est en raison de la place des États-Unis dans l’économie mondiale et, de manière encore plus significative, dans l’économie numérique.

Cependant, cette situation ne perdurera peut-être pas. L’économie numérique mondiale sera probablement de plus en plus multipolaire, ce qui rendra sa régulation encore plus compliquée. Dans ces conditions, notre rôle est de favoriser la concentration des compétences en Europe sur cette question, de mettre en place une régulation interne permettant de peser face aux autres acteurs mondiaux.

Nous avons beaucoup critiqué les États-Unis lors de ce débat, mais nous devons aussi savoir que le mot « liberté » est inscrit dans l’ADN de cette nation, et ce quelles que soient les dérives constatées aujourd’hui. Il s’agit tout de même d’une certaine garantie. Cela pourrait ne pas être le cas plus tard, si d’autres puissances économiques émergentes devenaient, elles aussi, des puissances du numérique. Prenons-y garde, car la menace serait alors grave pour l’ensemble du monde.

Madame la ministre, comment faire de l’Europe en général, et de la France en particulier, une terre d’accueil, de développement de l’économie du numérique ? Comment mieux attirer les start-up et les entreprises face au dumping fiscal et aux crédits d’impôt offerts par certains États du Canada et des États-Unis ?

C’est en effet à cette condition d’excellence et de compétence technique et d’innovation que nous pourrons peser de tout notre poids pour la défense de notre conception de la vie privée et des valeurs que défendait Gaëtan Gorce.

Madame la ministre, mes chers collègues, c’est un enjeu fondamental pour notre démocratie que d’être à la pointe de la technique afin de bien défendre nos valeurs.

La parole est à Mme la ministre déléguée.

Monsieur le président, mesdames, messieurs les sénateurs, je vais, dans un propos liminaire, répondre à un grand nombre des questions ayant trait à l’économie numérique en France et dans l’Union européenne. Je reviendrai ensuite plus précisément sur les questions relatives aux fichiers de police, qui relèvent davantage de mon collègue Manuel Valls.

Avant de présenter la vision que je souhaite défendre des enjeux qui se rattachent aux données personnelles dans le cadre de la politique française de l’économie numérique, il me semble important de resituer cette question des données dans le contexte d’une société et d’une économie qui deviennent dans leur ensemble numériques, comme cela a été souligné par quasiment tous les orateurs : les données, personnelles ou non, sont désormais la ressource-clé, le carburant, de cette « société de la connaissance » ou de cette « société de l’information », pour reprendre des expressions sans doute aujourd’hui quelque peu « datées », mais parlantes .

« Le numérique dévore le monde » : il a changé en profondeur notre accès à la culture, puis à l’information et bientôt à l’éducation. Il a profondément modifié des secteurs aussi traditionnels que le commerce ou la réservation hôtelière. Demain, il va changer l’économie de l’automobile, car celui qui maîtrisera les données d’une voiture pourra créer une valeur économique et une valeur d’usage pour l’assurance, l’aide à la conduite, la géolocalisation ou le confort des occupants ; Google ne s’y est d’ailleurs pas trompé.

Demain, le numérique va changer la gestion de nos réseaux urbains, je parle bien entendu des « villes intelligentes », en permettant de développer de nouveaux usages pour nos concitoyens et de nouvelles potentialités pour les collectivités territoriales.

Demain, le numérique va permettre un vrai dialogue entre nous et les acteurs de la santé et du bien-être, pour notre bénéfice, sans minimiser l’enjeu évidemment pour les comptes de la sécurité sociale.

Sur quoi repose cette transformation numérique ? Sur la capacité à traiter des grandes masses de données, à les visualiser, à les mettre en relation, à leur donner un sens, à les analyser. La capacité de notre société à maîtriser cette économie des données conditionnera des pans entiers de notre vie quotidienne, de notre économie et de notre souveraineté.

Je pense qu’il faut d’abord avoir en tête cette dynamique aujourd’hui engagée, avec ses menaces, mais aussi et surtout ses opportunités, avant d’aborder les enjeux relatifs aux données personnelles.

Permettez-moi de rappeler les trois phases de l’histoire des données personnelles.

La première phase correspond à la protection des citoyens contre la tentation de l’État de tout surveiller, de tout contrôler. La CNIL a été créée il y a trente-cinq ans. Il est normal que les débats suscités par la CNIL, ou à son propos, persistent encore dans notre société ; il s’agit d’un signe de vigilance et de vitalité démocratiques.

La deuxième phase a été celle de l’harmonisation européenne via la directive de 1995, transposée neuf ans plus tard par la France. À l’époque, le sujet semblait encore mineur, mais cette directive a déplacé le débat sur le terrain du contrôle des entreprises privées, cette fois, tout en conservant le même objet : protéger le citoyen et, in fine, limiter la collecte de données personnelles.

Nous sommes aujourd’hui dans la troisième phase : qu’on le veuille ou non, des centaines, des milliers de données sont collectées chaque jour sur chacun d’entre nous, parce qu’internet fait partie de notre quotidien, parce que nous avons des smartphones et que toutes ces machines produisent « naturellement », si j’ose dire, des données. Demain, les objets connectés envahiront notre quotidien.

La question n’est pas de savoir si cela est bien ou mal, elle est de redéfinir des règles adaptées, dans le contexte que j’ai rappelé en commençant.

Le respect des libertés publiques est toujours un enjeu, et même plus que jamais. La semaine dernière, par exemple, nous avons appris que la CNIL avait mis en demeure le CHU de Saint-Malo, car des données de santé étaient trop facilement accessibles. Ce n’est pas acceptable : personne ne doit voir ses données de santé exposées à des inconnus.

Mais ce premier enjeu se double d’un autre, majeur, de nature économique, celui-là. Il faut garder à l’esprit que le projet de règlement européen sur la protection des données, en cours de discussion à Bruxelles, a fait l’objet de 4 000 amendements, provenant, pour la plupart, des sociétés américaines du net. Elles ont bien compris l’enjeu ! Et nous ? Partiellement…

C’est – entre autres – pour répondre à cette question que je proposerai au Parlement d’adopter une loi sur la confiance et l’innovation dans l’économie numérique. Les deux termes – « confiance », « innovation » – ont leur importance.

Aujourd’hui, en Europe, nous sommes faibles pour ce qui est du numérique, car nous n’avons pas compris ce qui se jouait lors de la décennie écoulée : la transformation de toute notre société et de toute notre économie, et non pas seulement la réglementation des télécommunications ou la production de contenus culturels numériques !

Ce que nous a montré l’affaire Prism, c’est que, en l’absence d’une industrie européenne du numérique, nous ne sommes pas capables de définir des règles du jeu conformes à notre intérêt, à nos valeurs, à notre souveraineté. Que les géants du net américains travaillent en étroite collaboration avec l’État américain ne serait pas surprenant. Il ne faut pas être naïf. Ce qui est grave, c’est que nous n’avons aucune prise sur eux pour défendre nos valeurs.

La semaine dernière encore, nous avons appris que la société Google considérait que la loi Informatique et libertés ne lui était pas applicable. Or Google, je le rappelle, est utilisé par 95 % des Français pour leurs recherches sur internet ! Ce n’est pas plus acceptable. Il faut se l’avouer : nous sommes mal armés pour faire face à ces problèmes.

Aujourd’hui, notre cadre juridique est exigeant sur le fond, mais inopérant dans un certain nombre de cas. Par exemple, la Commission européenne a négocié en 2000 un accord, dit « Safe Harbor », avec les États-Unis. Depuis treize ans, cet accord permet aux entreprises américaines un accès au marché européen à des conditions moins exigeantes que celles qui s’imposent à nos propres entreprises ! Ce n’est pas normal. Disant cela, je ne suis pas inspirée par vision uniquement économiste de la société ; pour défendre nos valeurs, nous devons faire en sorte que l’ensemble des contraintes qui pèsent sur les sociétés et les entreprises européennes s’appliquent également à celles qui se considèrent en dehors de notre juridiction.

À ce sujet, j’entends que certains, des acteurs européens, surtout, proposent d’instaurer un « espace Schengen des données personnelles ». À mon sens, il faut d’abord se pencher sur la question des transferts de données hors d’Europe, afin de sécuriser les données de nos concitoyens, avant de se lancer dans des projets protectionnistes.

Le constat est lucide, mais c’est le prérequis pour définir une politique offensive en faveur du numérique. Mesdames, messieurs les sénateurs, aujourd’hui, rien n’est perdu : le numérique procède par vagues d’innovations qui redistribuent les cartes tous les quatre ou cinq ans. Nous l’avons vu à nos dépens avec la disparition des fabricants européens de téléphones mobiles. La prochaine vague d’innovation reste à la portée des acteurs européens.

C’est pourquoi il faut s’assigner une vraie ambition industrielle à l’échelle européenne ; elle prend ici tout son sens. Nous devons nous donner les moyens de reconstruire une industrie numérique européenne de rang mondial. C’est l’un des trois chantiers que le Président de la République a annoncés pour l’Europe, et c’est notre principal objectif pour le Conseil européen de la semaine prochaine.

Nous devons définir une politique numérique offensive en Europe, pour gagner les prochains cycles d’innovation. C’est notre seule véritable option : toute tentative de construire des abris anti-numériques pour défendre nos valeurs serait vouée à l’échec !

Quels sont les prochains cycles ? Vous êtes nombreux à les avoir évoqués.

Il s’agit, d’abord, des objets connectés, qui vont envahir notre quotidien, à la maison comme dans les entreprises. Ces objets vont générer un déluge de données – c’est le Big data -, qui ne prendront de valeur économique ou d’usage que parce que nous saurons les traiter.

Le traitement et le stockage des données, les services associés, seront également disponibles dans une infrastructure à distance, le « cloud », ou « nuage » en français. Les nouveaux usages vont exploser dans l’éducation, dans la santé, dans les villes intelligentes. Cette vague d’innovations est une menace, mais elle est surtout une opportunité pour toute notre économie. Elle ne pourra se déployer que si nous garantissons des réseaux de qualité et, surtout, la confiance numérique.

Vous comprenez sans doute mieux les raisons pour lesquelles nous avons besoin d’une loi équilibrée, qui repose sur deux composantes complémentaires : l’innovation et la confiance dans l’économie numérique.

Cette vision industrielle, qui doit se traduire par la création d’emplois sur notre territoire, c’est aussi celle des 34 plans pour une « nouvelle France industrielle », dont 12 ont trait au numérique et portent sur les thèmes que je viens d’évoquer.

Tout cela requiert de faire respecter des règles, nos règles, par les acteurs globaux, qu’ils soient installés en France ou non. Cela impose aussi de définir ces règles de manière qu’elles stimulent l’innovation et intègrent, dès la conception, la protection de la vie privée. En France, un grand acteur de la distribution a engagé le dialogue avec la CNIL pour préparer l’arrivée des puces sans contact, qui soulèvent de nombreuses questions sur la vie privée. C’est le type d’initiative qu’il faut encourager pour que les entreprises européennes profitent d’un réel avantage compétitif.

Pour conclure cette partie liminaire, je veux redire ici l’urgence pour notre pays et notre continent de reprendre la main dans le domaine du numérique. Nous devons le faire de manière réaliste, avec pour objectif la construction d’une société de l’innovation et de la confiance numérique.

J’identifie trois leviers d’action : une ambition pour une industrie numérique européenne et française forte et responsable ; une priorité à l’éducation au numérique – à ce titre, je soutiens le projet de faire de l’éducation au numérique la grande cause nationale pour 2014 et suis heureuse de constater que la loi sur la refondation de l’école de Vincent Peillon inclut pleinement cette dimension – ; enfin, l’adoption d’une loi sur la confiance et l’innovation dans l’économie numérique, car il faut clarifier un certain nombre de points de notre cadre juridique.

De manière plus générale, il est nécessaire d’extraire les débats des cercles d’experts : les enjeux ne sont pas seulement techniques, ils sont au cœur de notre projet politique, mesdames, messieurs les sénateurs.

Je me suis engagée à revenir sur les questions liées aux fichiers personnels et à la biométrie. Je souhaite donc vous apporter quelques précisions sur ces points, en fonction des informations dont je dispose.

Je commencerai par aborder la question des conséquences à tirer des révélations liées au programme Prism. Bien entendu, le Gouvernement partage les préoccupations de la CNIL en matière de protection des données à caractère personnel, et entend continuer d’inscrire son action dans le strict cadre de la loi Informatique et libertés. Une réponse des ministères de l’intérieur et de la défense à la présidente de la CNIL, qui a souhaité obtenir des informations sur le risque d’utilisation d’un dispositif d’interception massive par les services français, est actuellement en cours de rédaction.

J’en viens aux questions relatives à la biométrie et au PNR.

Comme l’ont fait certains États depuis plusieurs années – États-Unis, Grande-Bretagne, Canada, Australie –, ou comme d’autres envisagent de le faire à brève échéance, l’Union européenne et la France souhaitent s’appuyer sur les données API, pour Advanced Passenger Information, ainsi que sur les données PNR et leur traitement, afin de permettre aux services de police, de gendarmerie, de douanes et de renseignement de lutter plus efficacement contre le terrorisme, la criminalité grave et les atteintes aux intérêts fondamentaux de la nation, dont les auteurs, vous le savez, sont de plus en plus mobiles, et empruntent souvent la voie aérienne. C’est pourquoi, vous l’avez rappelé, monsieur Sutour, un projet de directive est actuellement à l’étude.

Concernant la France, notre architecture juridique reste limitée, notamment en matière de finalités, de données recueillies, d’espace géographique et de traitement mis en œuvre. Elle ne permet pas de répondre au projet de directive, du point de vue tant de la fonctionnalité que de l’organisation. Elle n’est pas, non plus, à la mesure de la menace. Cela est particulièrement vrai pour le crime organisé et le terrorisme.

C’est pourquoi la France souhaite se doter de cet outil supplémentaire. C’est l’objet de l’article 10 du projet de loi de programmation militaire, qui sera soumis très prochainement à votre assemblée.

Le Gouvernement a fait le choix d’un outil performant, mais il est évident que ce dernier doit également être protecteur des libertés. C’est la raison pour laquelle nous avons choisi de suivre très exactement le projet de directive en matière de garantie et de protection des données des passagers aériens : effacement des données sensibles dès leur réception, durée de conservation limitée à cinq ans, dont trois masqués, mise en place d’une « unité d’information passagers », qui sera l’interface entre la base de données et les services opérationnels, et, enfin, traçabilité des accès et des contenus.

Le ministre de l’intérieur l’a rappelé à plusieurs reprises devant votre assemblée, mesdames, messieurs les sénateurs : la menace terroriste requiert une constante adaptation de nos services de renseignement, qui doivent disposer, dans le cadre des principes républicains, des outils juridiques nécessaires. C’est dans la recherche de cet équilibre, largement éclairée par le rapport du président de la commission des lois de l’Assemblée nationale sur le renseignement, que s’inscrivent les dispositions de la loi de programmation militaire.

Le Gouvernement ne doute pas, mesdames, messieurs les sénateurs, que vos travaux permettront d’enrichir ce texte.

C’est pour lundi prochain !

J’en viens au fichier national automatisé des empreintes génétiques, ou FNAEG. Mme Assassi a indiqué que ce fichier avait été créé, à l’origine, pour suivre les délinquants sexuels, et seulement eux, alors qu’il permettrait aujourd’hui d’enregistrer également les empreintes génétiques des manifestants.

Il semble donc nécessaire de préciser le champ d’application de ce fichier. Aujourd’hui, il n’est possible d’enregistrer les empreintes génétiques d’un individu que dans le cadre de la commission des infractions recensées à l’article 706-55 du code de procédure pénale, parmi lesquelles figurent les infractions de nature sexuelle, les crimes contre l’humanité, les délits d’atteinte à la vie, et les atteintes aux intérêts fondamentaux de la nation. Y ont été ajoutés les crimes et délits de vols, d’extorsions, d’escroqueries, de destructions, de dégradations, de détériorations et de menaces d’atteintes aux biens.

Aucun article du code pénal n’incrimine le fait de participer pacifiquement à une manifestation, mesdames, messieurs les sénateurs. La liberté de manifester fait en effet partie des droits et libertés inclus dans le bloc de constitutionnalité.

Il faut également souligner l’intérêt du FNAEG. Le fichier permet l’identification de cadavres anonymes à la suite d’une catastrophe naturelle, ainsi que la recherche de personnes disparues à l’aide de leur profil génétique, de celui de leurs descendants ou de leurs ascendants.

Je souhaite également apporter un certain nombre de précisions sur le fichier automatisé des empreintes digitales, le FAED.

Le 18 avril 2013, la Cour européenne des droits de l’homme a rendu une décision invitant à modifier le décret du 8 avril 1987 relatif au FAED, géré par le ministère de l’intérieur, en considérant que certaines de ses dispositions, ainsi que l’application qui en avait été faite, étaient contraires à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, portant sur le respect de la vie privée. Un projet de décret modifiant ce texte de 1987 est en cours d’adoption par le Gouvernement.

Il a pour objectif de limiter aux seuls crimes et délits le champ infractionnel au sein duquel il est possible de recourir au traitement. Il vise également à garantir un droit effectif à l’effacement des données personnelles des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un classement sans suite ou d’un non-lieu avant vingt-cinq ans, la durée maximale de conservation des données.

Dans ces hypothèses, l’effacement, demandé par l’intéressé, serait de plein droit. Le procureur de la République pourra cependant prévoir, pour les cas de non-lieu ou de classement sans suite pour insuffisance de charges, que les données seront conservées pour une durée variable de trois à dix ans, en fonction de la nature de l’infraction, pour des raisons liées à la finalité du traitement.

Ce projet de décret en Conseil d’État, dont le ministère de l’intérieur a saisi le ministère de la justice en juillet 2013, doit recueillir l’avis de la CNIL très prochainement.

Toujours dans le champ des données personnelles, j’en viens à des questions qui concernent plus particulièrement l’économie numérique.

Monsieur Détraigne, vous avez dit que le Gouvernement pourrait compter sur le Sénat chaque fois qu’il lutterait pour le maintien d’un niveau élevé de protection. C’est bien ce que le Gouvernement, singulièrement Christiane Taubira, cherche à faire dans les discussions sur le projet de règlement européen, notamment sur les questions relatives au guichet unique et aux transferts de données, que de nombreux orateurs ont abordées.

Mesdames, messieurs les sénateurs, nous voulons maintenir un très haut niveau de protection des données. Cela peut être considéré comme une contrainte par certains opérateurs économiques en Europe, mais c’est pour nous, aussi, un facteur de la compétitivité de nos sociétés et de nos économies.

À la suite des révélations liées au programme Prism, certaines entreprises américaines s’inquiètent de voir fondre leur chiffre d’affaires, parce que la confiance dans leur capacité à protéger les données économiques ou personnelles est partiellement rompue.

Vous le voyez, mesdames, messieurs les sénateurs, un haut niveau de protection des données personnelles de nos concitoyens peut également être un élément d’attractivité et de compétitivité pour notre économie.

Dans nos discussions européennes sur le sujet, nous ne militerons donc pas pour un nivellement par le bas des exigences de protection. Nos préoccupations sont bien celles que j’ai décrites au début de mon intervention. Je le sais très bien, le Sénat est en pointe en la matière, et nous pourrons compter sur la vigilance de ses membres.

J’en viens à la question des pouvoirs de la CNIL, évoquée par Mme Lipietz et M. Détraigne.

Le 28 février dernier, le Gouvernement a annoncé qu’il souhaitait renforcer les pouvoirs de la CNIL dans le cadre de la loi sur l’innovation et la confiance dans l’économie numérique, afin de les adapter au monde numérique actuel.

La relation entre la CNIL, autorité de contrôle, les entreprises et les utilisateurs doit évoluer. Elle doit probablement être moins réglementaire et davantage orientée vers l’accompagnement des acteurs.

Deux instruments me paraissent pouvoir être mobilisés à cette fin. Je pense, bien sûr, au règlement européen, qui modifiera les missions des autorités de contrôle nationales, comme la CNIL, mais également à la loi sur la confiance et l’innovation dans l’économie numérique que je souhaite déposer et dont l’objectif sera de clarifier certains dispositifs.

Le droit à l’oubli – question qui a été évoquée pratiquement par tous les intervenants – figure dans le projet de règlement sous la forme d’une disposition qui vise à étendre le droit de suppression par la personne concernée de contenus accessibles via des intermédiaires tels les moteurs de recherche ou les réseaux sociaux. Ce droit à l’oubli nous paraît aujourd’hui effectivement nécessaire.

Cette disposition suscite cependant de nombreuses contestations et des polémiques, notamment au regard de la liberté d’expression. Mais je dois bien dire qu’aucune solution alternative n’a été apportée pour répondre au problème posé, qui est le suivant : que puis-je faire, en tant que personne, quand je ne parviens pas à faire effacer des informations me concernant par les mécanismes classiques du droit de suppression ?

Il me semble indispensable de répondre à ce besoin par l’introduction d’un principe, celui du droit à l'oubli. Ce principe est en effet pertinent parce que, in fine, il permettra au juge de trouver, au cas par cas, l'équilibre entre le droit à l'oubli et la liberté d’expression, et éventuellement la liberté de la presse. Cet équilibre sera évidemment différent selon qu’il s’agira d’une personne non publique, c’est-à-dire un particulier, ou d’une personne publique.

La question de l’applicabilité de la loi française ou de la territorialité de la loi française a également été soulevée, notamment par M. Sutour. Il s’agit effectivement d’une question extrêmement importante, car nous avons parfois bien des difficultés non seulement à faire respecter la loi mais encore à trouver des solutions pour la faire respecter.

Le cadre actuel utilise des critères pour la loi applicable qui ne sont, à l’évidence, pas adaptés au monde numérique d’aujourd’hui : il s’agit de la localisation de l'établissement principal et des « moyens de traitement ».

Le règlement européen est précisément l’occasion de clarifier l’application de la loi européenne à tous les services opérant en Europe. Cela implique de définir un critère clair de territorialité, par exemple le ciblage de résidents en Europe et la garantie de la possibilité pour chacun de faire appel à son autorité nationale.

Par ailleurs, la législation prévoit aujourd’hui plusieurs moyens pour transférer les données hors d’Europe. Ce cadre a apporté dans les faits une protection extrêmement relative des données des personnes hors d’Europe. Une révision est aujourd’hui nécessaire afin que le niveau de protection soit consolidé et que le système proposé soit acceptable dans le cadre des relations transatlantiques.

Le Safe harbor doit également être revu, afin d’assurer que le transfert des données personnelles des citoyens européens vers des pays tiers, qui n’ont pas forcément le même niveau de protection des données personnelles et de respect de la vie privée, s’opère dans des conditions qui soient plus protectrices pour nos concitoyens.

S’agissant de la question de savoir si le règlement est aujourd'hui adapté et comment doit se faire l’harmonisation des réglementations – soit par le haut, soit par le bas –, je crois qu’il est important de rappeler que, si les principes de base sont plus ou moins partagés en Europe, il reste tout de même des divergences extrêmement fortes dans leur application, entre, d’un côté, des pays qui sont plutôt protecteurs, plutôt régulateurs, tels que la France, l’Allemagne, les pays latins, et, de l’autre, des pays plus libéraux, comme le Royaume-Uni, l’Irlande, les Pays-Bas ou les pays scandinaves.

Ces différences dans les réglementations reflètent des cultures et des histoires différentes. Ainsi, par exemple, après la Seconde Guerre mondiale, l’Allemagne a inscrit dans sa loi fondamentale l’interdiction de créer un fichier central de la population.

En raison de ces différences, la question est donc posée de savoir s’il est préférable d’adopter un règlement ou une directive. Le règlement offre selon moi le double avantage de renforcer l’intégration européenne et de simplifier le cadre juridique pour les entreprises. Cependant, il présente effectivement un risque, celui de réduire le niveau de protection actuelle des personnes en entraînant un nivellement par le bas sous l’influence, notamment, des pays les plus libéraux.

Mesdames, messieurs les sénateurs, oui, il nous faut ensemble faire en sorte que nous puissions défendre le maintien d’un haut niveau de protection et que les négociations préalables à l’adoption de ce règlement ne se fassent pas dans le sens d’une moindre protection pour les libertés publiques comme pour le respect de la vie privée.

Pour Mme Morin-Desailly, « l’heure du sursaut semble avoir sonné en France ». Nous avons beaucoup œuvré en ce sens. Nous avons d’abord travaillé dans le cadre des discussions sur le règlement européen, en particulier en ce qui concerne le guichet unique et la renégociation de l’accord de Safe harbor. Nous avons aussi et surtout œuvré – ce sera l’actualité de la semaine prochaine – à la mobilisation, notamment de nos homologues européens, autour du prochain Conseil européen, qui sera consacré au numérique.

Vous avez fait allusion à la nécessité de travailler sur l’industrie numérique européenne pour faire en sorte que nous soyons moins dépendants à l’égard d’acteurs non européens qui ne respectent pas nos réglementations, que ce soit en matière de libertés publiques, de protection de la vie privée ou de fiscalité. Il est effectivement très urgent de faire en sorte que nous puissions, par une action avisée et collective sur l’écosystème de l’économie numérique, créer des champions, des acteurs qui auront une taille mondiale et qui, eux, respecteront nos valeurs et nos réglementations.

La meilleure des batailles est bien celle-ci, selon moi : reconquérir une forme de souveraineté économique à travers l’émergence d’un véritable écosystème numérique européen. En effet, nos valeurs et nos réglementations ne prévaudront que si nous avons des acteurs qui entendent s’y soumettre.

La France a également joué un rôle important dans cette prise de conscience de la nécessité de travailler sur l’environnement de l’économie numérique afin de recouvrer cette forme de souveraineté. Nous nous sommes efforcés de mobiliser, notamment lors d’une réunion que j’ai tenu à organiser le mois dernier avec mes homologues européens, pour faire avancer cet agenda européen qui porte non pas uniquement sur la régulation des télécommunications, mais aussi sur les moyens que l’Europe doit se donner pour créer une véritable Europe du numérique fondée sur des acteurs économiques puissants.

Monsieur Gorce, à propos notamment de l’Open data, vous avez raison, il faut réfléchir aussi à un modèle de société, à la défense de nos valeurs. Je pense avoir partiellement répondu en disant que nous n’avons pas, d’un côté, ceux qui ont une vision trop économique des choses et qui essayent de courir après les acteurs américains du numérique, y compris en faisant parfois des concessions sur nos valeurs, et, de l’autre, ceux qui défendraient ces mêmes valeurs.

L’enjeu est au contraire d’aider les acteurs français et européens à acquérir ce pouvoir de marché qui nous permettra, demain, de faire prévaloir un certain nombre de valeurs et de faire en sorte que ces acteurs respectent nos réglementations, ce qui n’est pas le cas aujourd’hui pour tous ceux qui, non européens, s’estiment soumis à d’autres juridictions.

Pour en revenir à l’ouverture des données publiques, il est vrai que c’est un enjeu de développement économique, mais pas seulement. Ainsi, j’ai pu constater qu’aux États-Unis l’ouverture d’un certain nombre de données publiques de santé a permis d’énormes progrès en épidémiologie, pour anticiper l’arrivée du virus de la grippe, par exemple.

Ces données sont bien entendu libérées moyennant des garanties d’anonymisation, afin que l’on ne puisse pas mettre en ligne des données - ou y avoir accès - qui comporteraient des indications sur des personnes nommément désignées.

Cette question comporte donc à la fois des enjeux de société, des enjeux de prévention en matière de santé publique, des enjeux économiques…

Cette politique relative aux données publiques doit évidemment être conduite d’une manière qui ne soit pas trop naïve ou trop systématique, et s’inscrire dans un cadre réfléchi établissant la manière dont nous entendons protéger la vie privée, les données personnelles, et les données publiques.

Avec quelles garanties ?

Cela fait partie de l’évolution du cadre juridique de la CNIL.

C’est la raison pour laquelle je souhaite vraiment que nous puissions avoir ensemble, au sein des assemblées, ce débat sur la manière dont nous faisons évoluer les cadres juridiques en matière de droit et de liberté numériques. Le Premier ministre l’a annoncé lors du séminaire gouvernemental sur le numérique, et c’est aussi un engagement du Président de la République.

Ces questions ne peuvent pas se régler très simplement, mais je pense qu’aujourd'hui il est important d’ouvrir avec vous ce débat sur la manière dont nous devons concilier la défense de nos valeurs avec la prise en compte du progrès de la technologie. Il ne faut pas non plus, en effet, considérer que la technologie est mauvaise en soi : elle est en elle-même plutôt neutre, ce sont la façon dont on l’utilise et les traitements que l’on en fait qui peuvent être bons ou mauvais, en fonction des valeurs que l’on souhaite défendre.

À l’heure où nous arrive le Big data – vous en avez rappelé les enjeux –, ce débat sur le cadre juridique est nécessaire, pour l’innovation. Il ne serait pas dans notre intérêt, en effet, d’empêcher l’ensemble de nos acteurs économiques d’innover et de proposer de nouveaux services à nos concitoyens : d’autres les proposeraient de toute façon, et nous ne serions plus alors que les consommateurs passifs de services développés ailleurs, avec une intelligence et des produits venus d’ailleurs.

Il faut donc à la fois permettre l’innovation et créer un cadre juridique adapté à ces nouvelles technologies, qui respecte les valeurs que nous entendons défendre dans un cadre républicain.

Le problème, c’est que l’on ouvre le débat après avoir décidé d’ouvrir les données. J’aurais préféré que nous fassions l’inverse !

Nous le faisons en même temps, monsieur le sénateur !

À Mme Klès, qui m’a interrogée sur la biométrie et les autres types de données - j’ai déjà parlé des fichiers de police -, je répondrai que l’enjeu du règlement est bien d’harmoniser les réglementations en Europe. Il s’agit de doter l’Europe d’un cadre fort, pour la biométrie comme pour les autres types de fichiers. Le problème est vraiment très urgent et le gouvernement français l’aura bien en tête lors des négociations du règlement européen.

Sur l’ensemble de ces questions, nous pourrions débattre pendant des heures, mesdames, messieurs les sénateurs. Je suis tout à fait ravie de constater que ces sujets intéressent autant votre assemblée, qu’il s’agisse des données personnelles ou plus généralement de l’économie numérique et de l’impact de la transition ou de la révolution numérique sur notre société et notre économie.

Je souhaite que nous puissions avoir très prochainement – idéalement, en début d’année prochaine - un débat plus précisément axé sur ce que nous pouvons ensemble construire comme cadre pour favoriser l’innovation, créer les conditions du développement de l’économie numérique en France et en Europe et, évidemment, protéger les droits de nos concitoyens face à une révolution, dont parfois, c’est vrai, nous ne maîtrisons pas tous les tenants et les aboutissants.

Nous en avons terminé avec le débat sur la protection des données personnelles.

L’ordre du jour de ce matin étant épuisé, nous allons maintenant interrompre nos travaux ; nous les reprendrons à quinze heures.

La séance est suspendue.