Je tiens tout d'abord à excuser le Président de notre mission d'information, M. Gaëtan Gorce, retenu par d'autres engagements.

Permettez que nous vous félicitions, Monsieur Albrecht, pour votre succès aux élections de dimanche dernier, qui n'ont été guère faciles en Europe. Nous avons grand plaisir à avoir cet échange avec vous, tant il est vrai que vous êtes particulièrement impliqué, en tant que rapporteur de la commission des libertés civiles, de la justice et des affaires intérieures, dans le projet de règlement relatif à la protection des données.

Je vous remercie de vos félicitations. Nos travaux vont recommencer dans quelques semaines, et l'échange que nous avons aujourd'hui est donc important, spécialement en matière de protection des données.

Vous êtes l'auteur d'un rapport sur le projet de règlement sur la protection des données à caractère personnel : pouvez-vous nous rappeler vos objectifs et les points les plus saillants de vos préconisations ?

L'idée du règlement sur la protection des données n'a pas consisté à reformuler totalement le droit en la matière. Il s'agit plutôt, sans s'écarter des principes existants dans la directive de 1995, d'harmoniser ce droit de manière à construire le marché intérieur.

Or, cette directive de 1995 a été transposée de vingt-huit manières distinctes, dans un marché intérieur unique, avec des règles de concurrence différentes. Les dispositions ne sont donc pas les mêmes d'un pays à l'autre ; cela présente une certaine insécurité juridique, aussi bien pour les entreprises que pour les utilisateurs, les citoyens ne connaissant pas le droit applicable.

C'est le défi auquel le Parlement européen a décidé de s'attaquer car, si l'on bénéficie d'un marché unique, avec des produits numériques et des flux de données transfrontaliers, on ne sait plus où sont exactement stockées les données. Il nous faut donc une réglementation unifiée en matière de protection des données.

C'est sur la base de cette situation que nous avons commencé à négocier concrètement. La première question à se poser est celle des définitions. Celles de 1995 sont-elles toujours valables ? Sont-elles suffisamment concrètes ? Que représentent les données à caractère personnel ? Il existe beaucoup de données, mais elles n'ont pas toutes un caractère personnel.

On s'est également interrogé sur le fait de savoir comment relier la collecte des données avec leur utilisation ; en effet, beaucoup sont collectées sans que l'on sache comment elles sont ensuite utilisées. On a ainsi essayé de limiter les utilisations à mauvais escient.

De nouvelles idées ont également émergé, comme le fait de savoir comment intégrer les principes de la protection des données dans la technologie, en particulier en matière d'équipements. On a aussi fixé un certain nombre de règles concernant le Data Profiling ou le Data Mining, la mise en place de profils de personnalités pouvant être liée à la protection des données ; dans ces domaines, nous sommes parvenus en grande partie à des solutions de compromis. Je suis très fier de dire que l'on pourra proposer un standard uniforme européen, avec un degré de protection suffisant, permettant également d'avoir le même niveau de concurrence pour toutes les entreprises à travers l'Europe.

La protection des données repose aussi sur la possibilité de faire appliquer des sanctions. Les entreprises tirent une grande partie de leur chiffre d'affaires du traitement des données : il faut donc pouvoir leur offrir la possibilité d'intégrer cette notion dans leur budget.

On ne peut se contenter de laisser perdurer la situation. Il faut que les consommateurs européens sachent qu'il existe une réglementation européenne, et qu'ils peuvent s'appuyer sur celle-ci. C'est le sens dans lequel nous avons voulu aller, et nous avons fait un pas vers le marché numérique européen. La protection des données est un premier élément ; nous aurons bien sûr d'autres débats, comme par exemple celui portant sur la propriété intellectuelle.

Votre rapport a été adopté il y a deux mois par le Parlement européen à une large majorité, de plus de 500 voix. Vous avez parlé de compromis : quels sont les points qui, pour vous, ont fait l'objet d'un compromis et qui auraient mérité d'aller au-delà ?

En second lieu, que pensez-vous qu'il advienne du texte de votre rapport au moment du trilogue entre le Parlement, le Conseil et la Commission ? Doit-on redouter que certains pays, comme la Grande-Bretagne, ou d'autres, surnégocient vos propositions ?

Ce sont effectivement là deux points essentiels de la future procédure.

Trois grands domaines sont concernés par les compromis que nous avons négociés dans le cadre de ce règlement sur la protection des données. Le premier réside dans le fait de savoir quand autoriser le traitement de données à caractère personnel.

Nous souhaitions tout d'abord savoir à quel moment l'accord de la personne s'avérait nécessaire, et voulions définir l'intérêt légitime : le consommateur peut-il accepter qu'une entreprise collecte les données qui l'intéressent, dès lors qu'il réalise un achat dans cette entreprise ? Je pense qu'il existe finalement très peu de cas où les utilisateurs considèrent que leurs données sont collectées sans accord préalable. Dans le marketing direct, des listes sont utilisées pour envoyer de la publicité. La même chose existe sur l'Internet, qui traite nos données personnelles, alors que l'on n'a rien demandé !

C'est un domaine extrêmement important, sur lequel nous avons beaucoup travaillé. Nous avons conclu qu'il fallait pouvoir tabler sur un fonctionnement dynamique. Les attentes des consommateurs évoluent, et il doit exister un lien entre le consommateur et celui qui collecte les données. On ne peut en effet accepter qu'il n'en aille pas ainsi.

En second lieu, il sera également nécessaire de réaliser une évaluation de l'impact sur la protection des données à partir du moment où l'on met un produit sur le marché, ou de déterminer dans quelle mesure les entreprises doivent disposer d'une personne chargée de la protection des données, en fonction du nombre de salariés ou de l'activité, par exemple. Il faudra aussi que les entreprises s'adressent obligatoirement au responsable de la protection des données pour déterminer si elles peuvent ou non utiliser telle ou telle donnée. Il conviendra enfin de tenir compte du coût que cela représente pour ceux qui sont en charge de la protection des données.

Faudra-t-il, en troisième lieu, dans le futur, qu'une administration spécialisée se charge du traitement de ces questions, ou bien l'intégrer dans une coopération européenne plus large ? Nous aurions par exemple la possibilité, pour des consommateurs français ou italiens, de voir le sujet traité à l'échelon européen.

Les administrations chargées de la protection des données seront de toute façon amenées à collaborer de plus en plus étroitement à l'échelon européen. Lorsque des mesures sont à prendre, il est nécessaire d'avoir l'accord des autres pays, et il peut exister des problèmes de mise en oeuvre. Il est donc indispensable de mettre en place un mécanisme fonctionnel.

Ce sont les trois domaines à propos desquels se dégage un consensus. On devrait parvenir à trouver une position commune avec le Conseil. Le Conseil des ministres débat de ce sujet depuis maintenant deux ans ; renvoyer la discussion devant le nouveau Parlement européen n'aurait aucun sens ! Si la Grande-Bretagne, ou d'autres pays, ne sont pas d'accord, le Conseil des ministres devra constater l'absence de consensus -mais je n'imagine pas que ces pays n'acceptent pas une réforme de ce type. Il faut trouver des solutions : s'ils ont des réserves, encore faut-il qu'elles s'intègrent dans une volonté commune de parvenir à un résultat.

Quelles sont, selon vous, les chances que le Conseil des ministres conserve la disposition que le Parlement a introduite dans le projet de règlement de la Commission européenne, qui vise à soumettre le transfert de données personnelles des Européens vers les États tiers à l'autorisation des autorités de protection des données ?

Au cours des deux dernières années, le Parlement européen a eu des contacts réguliers et des échanges intensifs dans ce domaine avec la Commission européenne.

Depuis le début, nous avons eu la volonté de parvenir rapidement à un accord entre le Parlement et le Conseil. La question de l'échange des données avec les pays tiers a fait l'objet d'un débat approfondi ; le problème de la surveillance de certaines personnes ou de certaines entreprises a été pris en compte, et nous sommes partis du principe que le transfert de ces données ne peut s'effectuer que si l'on a une base légale à l'échelon européen, soit par le biais de la loi sur la protection des données, soit par le biais des administrations chargées de leur protection, ou dans le cadre d'un accord spécifique entre l'Union européenne et le pays concerné. C'est ce qui a fait l'objet des discussions entre le Conseil et le Parlement.

Quelle est votre réaction à l'arrêt de la Cour de Justice de l'Union européenne, rendu en avril dernier, invalidant entièrement la directive du 15 mars 2006 sur la conservation des données ? Cet arrêt aura-t-il des conséquences sur le nouveau règlement européen en discussion ?

L'arrêt de la Cour de Justice de l'Union européenne concernant la conservation des données constitue une étape clé. C'est, selon moi, une orientation importante. C'est en effet la première fois que la Cour de Justice de l'Union européenne joue un rôle de tribunal constitutionnel, en s'appuyant sur les droits fondamentaux de l'Union européenne. Le message est tout à fait clair : on a considéré que le traitement et la conservation des données portaient atteinte aux droits fondamentaux, et que ceci devrait être justifié par une base légale.

La conservation des données pour raisons de sécurité doit également reposer sur une raison valable. Je pense que c'est une position très claire. Il faut un soupçon concret. Ceci doit être considéré dans le cadre de la réforme du droit de la protection des données.

Une telle décision peut-elle accélérer la constitution d'un cloud européen, dans la mesure où celui-ci garantirait la conservation des données sur le territoire, avec toutes les exigences que l'Europe met autour de cette conservation ?

Il ne faut pas simplement parler d'un cloud européen, mais d'un espace juridique européen. Ce qui est important, c'est que l'on applique le droit de l'Union européenne dans l'Union européenne, et non celui d'autres pays. C'est une préoccupation tout à fait légitime, et il faut que les choses soient claires.

Ceci ne peut fonctionner que si l'on est dans l'obligation d'appliquer le droit européen. À partir du moment où l'on déplace les ordinateurs et les serveurs à l'extérieur de l'Union européenne -par exemple aux États-Unis- les données seront traitées ailleurs ; dès lors, c'est un autre droit que le nôtre qui s'appliquera : il faut faire en sorte que ce ne soit pas possible ! On a besoin de règles qui empêchent les entreprises de transférer ces données dans des pays tiers, sans base juridique, ni autorisation ou nécessité.

La conservation des données par d'autres pays ne doit pas permettre de ne pas appliquer les droits fondamentaux européens. Aux États-Unis, au titre du Privacy Act, les citoyens de l'Union européenne n'ont aucun droit sur la protection de leurs propres données. Il est important de le souligner. Il faut donc continuer à travailler en ce sens, sans se limiter à la notion de concurrence.

Quel jugement portez-vous sur le Safe Harbor, dont une résolution du Parlement européen a demandé la suspension ? Croyez-vous que la négociation entre l'Union européenne et les États-Unis pour renforcer le Safe Harbor peut être concluante ? Peut-on espérer que les États-Unis signent la Convention 108 du Conseil de l'Europe, qui permettrait d'assurer une protection juridique suffisante pour les données personnelles des Européens ?

La demande de dénonciation de l'accord Safe Harbor est tout à fait justifiée, dans la mesure où une telle déclaration ne peut être acceptée que si elle est vraiment appliquée et garantit un niveau comparable aux règles européennes existant en matière de protection des données. Je pense qu'il est temps que la Commission pèse de tout son poids sur la mise en place de normes de protection transatlantiques. C'est très important, mais l'on n'y parviendra que si l'on exerce des pressions fortes en menaçant de dénoncer cet accord Safe Harbor.

En ce qui concerne la convention 108, il serait judicieux que d'autres États adhèrent à cette convention, mais ce ne sera pas suffisant. Nous avons en effet besoin de règles concrètes, et il n'existe pour l'instant aucune base suffisante pour cela. Il faut donc à la fois renforcer la législation et parvenir à un accord transatlantique.

Notre mission commune d'information sur la gouvernance de l'Internet et sur le rôle que l'Europe pourrait jouer dans ce domaine a été mise en place à la suite des révélations de M. Snowden.

Selon vous, l'Europe devrait-elle légiférer pour mieux protéger les données personnelles des Européens contre le comportement excessivement intrusif de nos agences de renseignements ?

La publication de ces articles montre qu'il est essentiel de garantir ces droits fondamentaux en Europe. Aussi avons-nous affirmé, dans notre rapport d'investigation, qu'il fallait apporter certaines améliorations à ce sujet. On ne peut admettre que les échanges entre les services de renseignements contournent les lois. Les services secrets britanniques surveillent les Français, les Français surveillent les citoyens allemands, etc., et chacun échange des données comme bon lui semble ! Ceci n'est pas approprié, et il nous faut des règles communes dans ce domaine.

Toutefois, les questions de sécurité étant considérées comme relevant de la compétence exclusive des États, il va nous falloir des règles transitoires négociées entre eux.

Il n'y a pas que le contrôle qu'exercent les services de renseignements ; il y a aussi l'utilisation des données qui peut être réalisée. Les ordinateurs des municipalités utilisent beaucoup de matériels Microsoft. Il est clair que les mairies doivent respecter certaines exigences en matière de protection, mais elles ne peuvent pas nécessairement le faire, Microsoft empêchant que l'on pénètre à l'intérieur de ses logiciels. Il est important que des avancées soient réalisées en matière de protection des données liées à la technologie. Actuellement, ces dispositions ne sont pas suffisamment appliquées. C'est ce que nous voulons résoudre à travers la réglementation. Nous croyons en effet qu'il existe un potentiel d'améliorations important en matière de sécurité, et que cela va dans le sens du respect des droits fondamentaux.

Vous avez évoqué la possibilité de disposer, au sein des entreprises, d'une personne chargée des données personnelles en fonction de la taille de la société. La commission des affaires européennes du Sénat a eu ce débat, il y a un an et demi à deux ans, à propos du projet de règlement proposé par Mme Reding. Nous étions alors arrivés à la conclusion que le critère de taille était obsolète au regard du fait que des sociétés de 25 personnes gèrent parfois des millions de données : Facebook, il y a cinq ans, avait moins de 150 salariés, et gérait déjà des centaines de millions de données personnelles ! A-t-on avancé sur ce point ?

C'est une question qui a fait l'objet de discussions très approfondies. L'idée qui prévaut, au sein du Parlement européen, est qu'il est important d'avoir des responsables de la protection des données, car il n'est techniquement plus possible de contrôler l'ensemble des flux des administrations. Un contrôle interne est donc nécessaire ; en Allemagne, de plus en plus d'entreprises ont des responsables de la sécurité des données. La Commission européenne considère qu'à partir d'un certain nombre de salariés, on a besoin d'un responsable, mais tout ceci est passé de mode, une personne seule, dans son garage, pouvant traiter des millions de données ! Ce n'est donc pas le nombre de salariés qui doit être pris en compte, mais le nombre, le volume ou le caractère des données. Au bout du compte, il faudra bien trouver une solution à cette question. La question essentielle qui va se poser au Conseil est de savoir si l'on met ou non en place une obligation dans ce domaine. Je pense qu'il serait très utile que le Conseil aille en ce sens.

On a également envisagé la possibilité de charger de cette mission une société de conseil externe, ou un salarié à temps partiel, en fonction des volumes qui doivent être traités. Il ne s'agit pas d'ajouter une bureaucratie compliquée à l'ensemble, mais de mettre en place des critères minimums. On a besoin d'un responsable des ressources humaines : c'est ainsi qu'il faut considérer cette fonction.

Nous avons débattu hier, dans l'hémicycle du Sénat, de la protection des données biométriques qui, pour nous, soulèvent des interrogations spécifiques. Pensez-vous qu'il faille leur réserver un traitement particulier ?

Nous avons des règles particulières pour le traitement de certaines données, comme celles concernant la santé. Nous avons rédigé des règlements-cadres qui pourront ensuite être spécifiés nationalement. Nous ne pourrons, dès le départ, fixer des règles harmonisées pour tous les types de données. Je pense qu'il est bon qu'il existe un certain espace pour les États, en particulier en matière de données de santé, ou en ce qui concerne les données sensibles.

Pour ce qui est des données biométriques, je pense qu'il conviendra de fixer des exigences et des critères additionnels. Lesquels ? Ceci touche le secteur de la santé et restera donc du ressort des législations nationales. De nombreuses discussions ont eu lieu à ce sujet, mais nous ne pouvons, pour l'instant, pas traiter de tous les types de données dans le détail. Nous allons donc nous concentrer sur de grandes orientations générales. Je pense qu'il est néanmoins possible de continuer à discuter de ces questions dans le cadre des négociations, afin de parvenir à des résultats plus concrets.

Les techniques de reconnaissance faciale, les empreintes, destinées à faciliter un certain nombre de services et d'usages, comme par exemple la cantine, sont les plus susceptibles de poser des questions.

Les données biométriques, dans tous les cas, sont considérées comme sensibles, et doivent être traitées comme telles. Ceci signifie que des conditions-cadres plus strictes devront être fixées en matière de traitement de ces données. Pour l'instant, on n'a pas spécifié les objectifs pour lesquels ces données peuvent être utilisées ; des lois nationales qui fixent les modalités de traitement et d'utilisation de ces données sont selon moi nécessaires.

Cela concernera les institutions publiques qui seront chargées du traitement de ces données, mais également les entreprises privées. Il est important que les conditions soient précisées.

Nous vous remercions infiniment pour ces réponses, qui permettront d'éclairer notre réflexion.

Je suis à votre disposition. Votre travail m'intéresse beaucoup, et je suis prêt à échanger à nouveau avec vous.