Nous devons effectivement toujours prendre en compte l'intérêt de nos entreprises quand nous voulons ajouter des normes.

Nous allons informer le Gouvernement, au travers d'un communiqué commun, que nous lui demanderons régulièrement de faire le point sur les questions que nous aurons identifiées.

La réunion est close à 10 heures.

- Présidence de M. Jean Bizet, président -

La réunion est ouverte à 10 heures.

Notre collègue Simon Sutour nous présente une communication sur le projet de loi relatif à la protection des données personnelles. C'est une première. Je vous rappelle, en effet, que la conférence des présidents a décidé de confier à la commission des affaires européennes, à titre expérimental, une mission de veille sur l'intégration des textes européens dans notre législation nationale. Il nous revient, à ce titre, de formuler des observations qui seront adressées à la commission saisie au fond, en l'espèce la commission des lois qui a désigné Sophie Joissains comme rapporteur. Ces observations doivent permettre d'identifier les objectifs à atteindre au sens du texte européen et d'informer, le cas échéant, le Sénat sur d'éventuelles sur-transpositions.

Lors de sa réunion du 21 février, la conférence des présidents a ainsi souhaité que nous puissions examiner deux textes : le projet de loi relatif à la protection des données personnelles et le projet de loi sur les services de paiement. Ces deux textes doivent être examinés respectivement par la commission des lois et par la commission des finances le 14 mars en vue d'un examen en séance publique les 21 et 22 mars. La réunion conjointe que nous venons de tenir avec la délégation aux entreprises a montré, si besoin est, l'ampleur des sur-transpositions en France qui pèsent sur la compétitivité des entreprises et sont susceptibles de créer un effet d'aubaine pour les concurrents non seulement européens mais également extra-européens au moment où nombre d'accords de libre-échange sont en cours de négociation, où les États-Unis ont des réflexes protectionnistes et où le président de la Commission européenne voudrait faire des normes européennes la référence internationale.

Compte tenu des délais et de la suspension des travaux parlementaires, j'ai pris l'initiative de solliciter Simon Sutour et Jean-François Rapin et je vous en ai informés par courrier. Je les remercie de s'être mobilisés rapidement pour nous présenter aujourd'hui le fruit de leurs réflexions.

Simon Sutour connaît bien le dossier de la protection des données personnelles. Il en assure le suivi pour notre commission depuis plusieurs années. Qui plus est, il a été le rapporteur, au titre à la fois de la commission des lois et de la commission des affaires européennes, de la résolution européenne que le Sénat a adoptée précisément sur le règlement et la directive qu'il s'agit désormais d'intégrer dans le droit national.

Je me réjouis également de la décision de la conférence des présidents. Ce regard de la commission des affaires européennes sur la transposition des textes européens, qui existe à l'Assemblée nationale, aurait d'ailleurs dû être mis en place il y a longtemps. Nous entrons dans une phase expérimentale dont j'espère qu'elle permettra l'inscription de cette mission dans le Règlement du Sénat.

J'indique par ailleurs que Sophie Joissains, qui rapporte le projet de loi pour la commission des lois, et moi parlons de la protection des données personnelles depuis quelques temps déjà et que nous sommes tout à fait en phase sur le sujet.

Le projet de loi sur la protection des données personnelles précise les modalités d'application en France du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que de la directive relative aux traitements des données pénales.

L'élaboration de ces deux textes a fait l'objet d'un suivi attentif par la commission des affaires européennes. J'ai notamment présenté et rapporté, en son nom et au nom de la commission des lois, deux propositions de résolutions européennes et un avis motivé entre 2011 et 2012, qui demandaient en particulier que des dispositions nationales plus protectrices puissent être conservées car, en la matière, il ne faut pas tirer vers le bas ceux qui, comme la France avec la loi informatique et libertés de 1978, sont au meilleur niveau. Ces résolutions demandaient également que les citoyens et les résidents français puissent saisir leur autorité nationale de contrôle, la CNIL, et non celle du pays d'établissement de l'entreprise traitant leurs données personnelles. L'autorité de contrôle irlandaise dont le territoire accueille les plus importantes d'entre elles ne dispose évidemment pas de moyens suffisants et n'a pas la proximité nécessaire avec nos concitoyens.

La négociation de ces textes a été longue et difficile, contrairement à ce qu'avait annoncé Mme Viviane Reding, alors commissaire à la Justice, lors de son audition par notre commission, mais le Règlement général de protection des données personnelles (RGPDP), qui entre en vigueur le 25 mai prochain, constitue désormais le cadre européen dans ce domaine. Afin de lever les obstacles aux flux de données au sein de l'Union, ce règlement, qui se substitue à la directive de 1995, harmonise les règles de protection des personnes physiques à l'égard des traitements de données à caractère personnel. D'application directe dans les États membres sans qu'il soit besoin de procéder à sa transposition, il est applicable aux opérateurs de l'Union européenne ou offrant des biens et services aux citoyens et résidents de l'Union.

Le règlement renforce les droits des personnes - droits d'accès, de rectification, de limitation du traitement - et définit l'expression du consentement libre et pleinement informé. Il ouvre de nouveaux droits : un « droit à la portabilité » des données personnelles, un droit d'opposition à leur réutilisation, un « droit à l'oubli », enfin la possibilité d'introduire des actions collectives en cas de violation du règlement. Il encadre en outre le « profilage » informatique. En cas de méconnaissance de ces droits, et comme l'avait souhaité le Sénat, les intéressés peuvent introduire une réclamation auprès de l'autorité nationale de contrôle de leur lieu de résidence. Si le traitement est transfrontalier, l'« autorité de contrôle chef de file » est toutefois celle de l'établissement responsable du traitement.

Le règlement organise la responsabilité première des opérateurs, qui se substitue au régime d'autorisation des traitements par les autorités nationales de contrôle. Le responsable du traitement doit ainsi mettre en oeuvre des mesures techniques et organisationnelles pour que le traitement soit effectué en conformité avec les règles de collecte, de traitement, de conservation et de sécurité définies par le règlement. Un délégué à la protection des données est en outre désigné pour les traitements de grande ampleur effectués par une autorité publique ou un organisme public. Il contrôle le respect du règlement et coopère avec l'autorité de contrôle dont il est le point de contact. Par exception, les traitements présentant un risque élevé pour les droits et libertés font l'objet d'une analyse d'impact préalable, et si des mesures spécifiques sont nécessaires pour atténuer ce risque, d'une consultation préalable de l'autorité de contrôle.

Les autorités nationales de contrôle accompagnent les acteurs privés dans l'application du règlement. Elles doivent mener des actions de prévention, notamment en favorisant l'élaboration de codes de conduite. Elles peuvent agréer des organismes experts pour en contrôler le respect et ont une capacité de certification en matière de protection des données. Leurs pouvoirs de contrôle et de sanctions sont accrus, en particulier la capacité d'infliger des sanctions dans la limite de 4 % du chiffre d'affaires annuel mondial consolidé de l'entreprise. Les exigences en matière d'indépendance, de pouvoirs d'enquête et de capacité à prendre des mesures provisoires coercitives sont également renforcées.

Enfin le règlement n'autorise le transfert de données personnelles dans un pays tiers que si la Commission a pris à son égard une décision d'adéquation du niveau de protection, ou moyennant l'existence de garanties appropriées, et à la condition que la personne concernée dispose de droits opposables et de voies de recours effectives.

La directive, quant à elle, reprend l'essentiel des règles posées par le règlement en les adaptant à la nature particulière des traitements de données pénales. Elle organise la coopération entre les États et soumet les personnes investies de l'autorité publique, ou les organismes auxquels est confié l'exercice de prérogatives de puissance publique, à des obligations comparables à celles qui s'appliquent aux entreprises, auxquelles s'ajoutent des obligations particulières en matière de sécurité des données. En raison de la nature de ces traitements, et on peut le comprendre dans le contexte actuel, la personne concernée ne bénéficie pas d'un droit d'opposition et ses droits d'accès, de rectification ou d'effacement peuvent être réduits pour assurer l'efficacité des enquêtes et des procédures, la protection de la sécurité publique ou des droits et libertés d'autrui.

Le projet de loi modifie la loi fondatrice de 1978. Le règlement étant d'application directe, il supprime les dispositions auxquelles celui-ci se substitue et prend les mesures d'application interne nécessaires, en particulier la modification et le renforcement des pouvoirs de la CNIL, ce qui pose la question de ses moyens.

Le règlement admet que des dispositions nationales précisent davantage l'application de ses règles et leur laisse ce qu'il appelle des « marges de manoeuvre » pour compléter les règles concernant les données dites « sensibles ». Par ailleurs, il n'exclut pas que des législations sectorielles nationales spécifiques, dans des domaines qui requièrent des dispositions plus détaillées, précisent les circonstances des situations particulières de traitement, y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite. Le projet de loi met à profit certaines de ces marges de manoeuvre pour conserver des règles plus protectrices en matière de traitement des données sensibles et limiter les droits des personnes pour des motifs stricts de sécurité publique. Ce sont avant tout ces dispositions qu'il convient d'examiner pour s'assurer qu'elles n'excèdent pas les marges autorisées, auquel cas elles seraient susceptibles de constituer une forme de sur-transposition.

Le projet de loi révise le régime particulier d'utilisation du numéro national d'identification des personnes : il supprime l'autorisation préalable de chaque traitement par décret en Conseil d'État et prévoit qu'un décret en Conseil d'État, pris après avis motivé et publié de la CNIL, détermine les catégories de responsables de traitement utilisant ce numéro et les finalités admissibles de ces traitements. Les régimes particuliers sont également maintenus et revus pour les traitements mis en oeuvre pour le compte de l'État intéressant la défense, la sûreté, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ainsi que certaines catégories particulières de traitements portant par exemple sur les condamnations pénales et mesures de sûreté. Pour tenir compte d'objectifs d'intérêt général, le droit à la communication d'une violation des données personnelles est réduit dans les limites autorisées par le règlement pour les traitements dont la liste sera fixée par décret en Conseil d'État, après avis de la CNIL.

Reprenant les exceptions admises par le règlement européen, le projet de loi définit des règles plus protectrices pour les données biométriques et les données génétiques. Il écarte en revanche les droits des personnes pour certains traitements à des fins archivistiques ou de recherches historiques. Il reprend par ailleurs la définition des données de santé figurant dans le règlement et introduit un nouveau dispositif régissant les traitements de ces données qui présentent une finalité d'intérêt public, ainsi que les traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé. Enfin il autorise l'administration à recourir à des décisions individuelles automatisées dès lors qu'elle offre des garanties aux administrés.

Le titre III du projet de loi procède à la transposition de la directive sur les traitements de données à caractère personnel en matière pénale. Il précise notamment les objectifs et les finalités de ces traitements, les données sur lesquelles ils peuvent porter et les autorités publiques ou organismes habilités à les mettre en oeuvre. Il réorganise l'exercice des droits des personnes et supprime l'actuel exercice indirect des droits d'accès, de rectification et d'effacement. Il introduit un droit à l'information de la personne concernée pour les traitements intéressant la police judiciaire. Aucune de ces dispositions n'apparaît de nature à nuire aux droits des personnes, à entraver la circulation des données personnelles au sein du marché intérieur, ni à alourdir la compétitivité des entreprises françaises.

Je vous propose de formuler les observations qui vont ont été distribuées, pour constater en particulier que les régimes spéciaux révisés et les règles nationales applicables aux données les plus sensibles s'inscrivent dans la logique du maintien d'un haut niveau national de protection en la matière souhaité par le Sénat, sans excéder les marges de manoeuvre ouvertes par le règlement ; une interrogation en revanche porte sur les traitements de données en matière de Renseignement qui utilisent des traitements de données constituées à d'autres fins.

Je vous propose également de relever la faculté pour tout résident en France de saisir la CNIL, quand bien même le traitement est effectué dans un autre État, et, de manière plus critique, de souligner la charge que représente l'obligation de mise en conformité à très brève échéance pour les petites collectivités territoriales. Sur l'âge du consentement des enfants, fixé à 15 ans par l'Assemblée nationale dans une approche mesurée qui s'inscrit dans l'une des marges de manoeuvre ouvertes par le règlement, je suis peut-être un peu vieux jeu mais je crois qu'il est effectivement nécessaire de protéger nos enfants qui n'ont pas conscience de tous les enjeux quand ils fournissent des données personnelles.

Je vous propose également d'insister sur la nécessité de s'assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Enfin, il me paraît souhaitable de recommander que la possibilité, introduite par l'Assemblée nationale, de demander, dans le cadre d'une action de groupe, non seulement la cessation du manquement mais également une réparation pécuniaire, faculté prévue en droit européen pour d'autres actions de groupe, soit envisagée au niveau européen et assortie d'enregistrement des associations.

Le sujet est complexe mais crucial. Les moyens de la CNIL, qui est présidée par une personne remarquable, doivent être renforcés pour pouvoir remplir les missions qui lui sont confiées. Quant à la mise en conformité des traitements de données des collectivités territoriales, le défi est d'importance pour elles.

Je suis totalement en accord avec les observations proposées par Simon Sutour. La version finale du règlement comporte des avancées véritables qu'avait souhaitées le Sénat, en particulier la compétence de l'autorité de résidence. J'observe par ailleurs que le Gouvernement n'a pas abusé des marges de manoeuvre ouvertes par le règlement.

La question des collectivités territoriales est cruciale. Seules 10 % d'entre elles sont en voie de mise en conformité. Ni le texte européen ni le projet de loi ne prévoient de marge de manoeuvre en la matière. Or toutes les collectivités locales sont concernées, dès qu'elles ont une cantine scolaire qui tient compte des interdits alimentaires des enfants ou qu'elles enregistrent les skieurs qui font l'acquisition d'un forfait pour leur envoyer plus tard une publicité sur la station. On pourrait prévoir que la CNIL n'infligera pas d'amendes pendant deux ans, qu'elle accompagne en outre les collectivités territoriales, par exemple en déployant des points relais dans les territoires. La mutualisation des traitements doit également être encouragée.

Sur l'âge du consentement, nous avons entendu l'association e.Enfance qui préconise de le fixer à 13 ans dès lors qu'un régime spécifique de protection des enfants serait défini. La baisse éventuelle de l'âge du consentement pourrait être subordonnée à la mise en place de ce régime par les opérateurs qui doivent être responsabilisés en la matière. Le double consentement prévu par le règlement européen est purement déclaratif dans la mesure où il n'y a pas de procédure de vérification.

Je me félicite du regard de la commission des affaires européennes sur la transposition et de son souci de prévenir les sur-transpositions. Son rôle en amont, lors de la négociation, a été très actif. Les synergies permettent de renforcer notre influence.

Je remercie les rapporteurs. J'observe que le règlement fait une cinquantaine de renvois aux textes nationaux ce qui pourrait conduire à multiplier les régimes spécifiques. Or, il ne faut pas perdre de vue les enjeux de compétitivité économique. On sait combien les petits États sont soucieux d'attirer la manne fiscale. Il faudrait donc voir à quel type de transposition ils ont procédé.

S'agissant de la CNIL, elle est dorénavant chargée d'un contrôle a posteriori mais il faut la doter de moyens suffisants. À titre de comparaison, il n'y a pas moins de 600 personnes au CSA, surtout des ingénieurs !

Les collectivités territoriales sont au coeur des cités intelligentes et il faut, pour les aider à s'adapter, trouver des solutions dans le peu de marge ouverte par le règlement. J'observe par ailleurs que sont dispensées des formalités les plus lourdes les entreprises employant moins de 250 salariés sauf si leurs activités de traitements de données sont importantes. Comment déterminera-t-on cette importance ? Aucune indication n'est fournie à cet égard ni par le règlement ni par le projet de loi. Enfin, je rappelle que l'action de groupe est très encadrée et qu'aujourd'hui deux associations seulement répondent aux critères.

Dès le mois de décembre, je me suis inquiétée des conséquences du règlement pour les collectivités territoriales. La question écrite que j'ai adressée au Gouvernement est restée sans réponse à ce jour. Or, plus de la moitié de nos collectivités ont moins de 500 habitants et sont sollicitées par des cabinets qui leur proposent une mise en conformité moyennant un coût souvent trop élevé pour elles. Il me semble que les départements devraient avancer sur la mutualisation de leurs ressources en la matière. Par ailleurs, qui sera le correspondant pour les données personnelles ? Son niveau de compétence n'est pas précisé ni sa responsabilité juridique.

La question de la responsabilité des collectivités territoriale est une question clé. Je vais proposer à la commission des lois de décaler de deux ans l'effectivité de celle-ci.

L'action de groupe me paraît devoir comprendre la réparation mais à condition que les associations qui les portent soient agréées comme c'est le cas en matière de consommation.

Le projet de loi a été rédigé très tardivement pour une entrée en vigueur au 25 mai 2018. Le texte, qui a souhaité conserver la loi de 1978 pour des raisons symboliques, est en l'état très peu lisible et se juxtapose au règlement général qu'il ne peut pas reproduire. Le Gouvernement renvoie à une ordonnance pour en clarifier la lecture, ce qui ne saurait susciter l'enthousiasme dans le contexte actuel.

À aucun moment, le projet de loi n'évoque les collectivités territoriales alors qu'il prévoit des dispositions spécifiques bienvenues pour les TPE/PME. Or, elles sont fortement impactées.

La question de la valeur économique des données est soulevée par le droit à la portabilité. Quelle est votre position sur ce sujet ?

Les conséquences d'une patrimonialisation des données sont trop graves pour que l'on puisse en accepter le principe. Le risque d'une cession à vil prix est en outre très fort.

Pierre Bellanger nous a récemment exposé dans le cadre de ses travaux sur la souveraineté numérique que les gens produisent des données sur autrui qui n'entrent pas dans la notion de données personnelles. Les intéressés ne peuvent donc pas les récupérer alors même qu'ils sont traçables sur un nombre croissant de réseaux sociaux.

Il est effectivement intéressant de suivre le fil de son identité sur Google ! Je suis favorable à la réparation pécuniaire mais il faut l'encadrer.

Nous allons envoyer ces observations à la commission des lois. Notre collègue Simon Sutour pourra d'ailleurs les appuyer devant elle puisqu'il en est membre.

À l'issue de ce débat, la commission a, à l'unanimité, autorisé la publication du rapport d'information portant observations et adopté les observations dans la rédaction suivante.

(1) Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP ») constitue un cadre général de protection des données personnelles au sein de l'Union européenne applicable également aux opérateurs installés hors de l'Union européenne qui offrent leurs biens et services aux Européens, destiné à lever les obstacles aux flux de données à caractère personnel au sein de l'Union et à assurer une application cohérente et homogène des règles de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données.

(2) Plus particulièrement,

(3) - il renforce les droits des personnes (droit d'accès, droit de rectification, droit à la limitation du traitement) et en facilite l'exercice en définissant l'expression du consentement libre et pleinement informé, avec des conditions particulières pour les enfants ;

(4) - il ouvre de nouveaux droits aux personnes, en particulier un « droit à la portabilité » des données, qui permet à une personne de récupérer, sous une forme facilement réutilisable, les données qu'elle a fournies, un droit d'opposition à la réutilisation des données personnelles et un droit à l'effacement des données ou « droit à l'oubli » ;

(5) - il prévoit la faculté d'introduire des actions collectives en matière de protection des droits et libertés des personnes en matière de protection des données et un droit à réparation du dommage matériel ou moral causé par une violation des règles qu'il définit ;

(6) - il supprime l'autorisation préalable des traitements de données à caractère personnel et prévoit que les responsables de ces traitements doivent mettre en oeuvre des mesures techniques et organisationnelles pour s'assurer, et être en mesure de démontrer, que le traitement des données est effectué en conformité avec les règles applicables en matière de collecte, de traitement, de conservation et de sécurité de ces données ; il prévoit toutefois que les entreprises employant moins de 250 salariés peuvent être dispensées de certaines de ces obligations sauf si les traitements qu'elles effectuent portent sur certaines données sensibles et que les traitements présentant un risque élevé pour les droits et libertés des personnes doivent faire l'objet d'une analyse d'impact préalable ;

(7) - il révise le rôle des autorités nationales de contrôle dont il conforte l'indépendance et les moyens, renforce les pouvoirs coercitifs et organise leur coopération en cas de traitements transfrontaliers ;

(8) - il encadre l'exportation des données personnelles vers des pays tiers en la subordonnant à une décision d'adéquation du niveau de protection prononcée par la Commission européenne ou l'existence de garanties appropriées ;

(9) - il laisse des « marges de manoeuvre » aux États membres pour maintenir ou introduire des conditions supplémentaires pour le traitement des « données sensibles », n'exclut pas des législations sectorielles nationales spécifiques et reconnaît aux États membres, pour l'exercice de missions d'intérêt public ou relevant de l'autorité publique, la possibilité de limiter certains droits, dès lors qu'il s'agit de mesures nécessaires et proportionnées au regard de l'objectif poursuivi.

(10) La directive UE 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales harmonise le droit européen en la matière en leur étendant les principes fixés par le RGPDP, sous réserve de restrictions justifiées par la nature des données et des finalités des traitements dont elles font l'objet.

(11) Plus particulièrement,

(12) - elle crée un droit à l'information de la personne dont les données sont traitées ;

(13) - elle lui permet d'exercer directement les droits reconnus à la personne concernée (droit à l'information, droits d'accès, de rectification et d'effacement), sauf si restrictions justifiées par des motifs qu'elle encadre ;

(14) - elle encadre les transferts de ces données vers des pays n'appartenant pas à l'Union européenne.

(15) Vu l'article 2 de la déclaration des droits de l'Homme et du citoyen,

(16) Vu le traité sur le fonctionnement de l'Union européenne, notamment l'article 16,

(17) Vu la Charte sur les droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

(18) Vu le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP »),

(19) Vu la directive (UE) 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales,

(20) Vu la résolution européenne du Sénat n° 105 (2011-2012),

(21) Vu la résolution européenne du Sénat n° 110 (2011-2012),

(22) Vu la résolution européenne du Sénat n° 108 (2012-2013),

(23) Vu le projet de loi adopté par l'Assemblée nationale relatif à la protection des données personnelles,

(24) La commission des affaires européennes fait les observations suivantes :

(25) - elle constate que l'article 1er du projet de loi charge la CNIL d'accompagner les responsables de traitements de données à caractère personnel par la mise en place d'éléments de droit souple (lignes directrices, recommandations et référentiels) et prévoit, en matière de sécurité des données, qu'elle élabore des règlements types de sécurité et qu'elle peut procéder à une évaluation préalable des risques et certifier des organismes compétents en la matière, autant de mesures, prévues par le règlement, qui sont de nature à faciliter la tâche des entreprises et des administrations ;

(26) - elle regrette toutefois le caractère tardif des mesures d'application du RGPDP, qui est susceptible de soulever des difficultés pour les acteurs, en particulier les petites collectivités territoriales qui n'ont pas toujours pu anticiper les nouvelles obligations qui s'imposeront à elles dans quelques semaines, sans compter qu'elles représentent pour elles un coût non négligeable ;

(27) - elle observe en revanche avec satisfaction que les entreprises employant moins de 250 salariés sont dispensées de certaines obligations administratives dès lors que le traitement de données à caractère personnel constitue pour elles une activité auxiliaire ;

(28) - elle constate que le projet de loi maintient des régimes spéciaux et des règles nationales pour les données les plus sensibles, sans excéder les marges de manoeuvre ouvertes par le règlement, dans le sens du maintien du haut niveau de protection nationale en la matière souhaité par le Sénat ;

(29) - elle observe toutefois que certains traitement de données publics sont également utilisés à des fins de renseignement, mais que le projet de loi est peu explicite quant aux conditions d'une telle utilisation ;

(30) - elle constate avec satisfaction que toute personne résidant en France peut saisir la CNIL en cas d'utilisation irrégulière de ses données personnelles, même si le responsable du traitement n'est pas établi en France, ce qui est de nature à assurer une effectivité et une proximité plus grande à la protection des droits des personnes physiques sur le territoire national ;

(31) - elle insiste sur la nécessité impérative de s'assurer, tant au niveau national qu'au niveau européen, de la protection effective des données à caractère personnel et des droits des personnes en cas de transfert vers des pays tiers ;

(32) - elle relève que l'âge du consentement autonome des mineurs fixé à 16 ans par le règlement a été abaissé à 15 ans par l'Assemblée nationale ;

(33) - elle considère qu'il convient d'avoir une approche mesurée en la matière, qui tienne compte de la forte appétence des adolescents pour les échanges sur internet et de la nécessité qu'ils aient une conscience suffisante des risques associés à la communication et au traitement incontrôlés de leurs données personnelles ;

(34) - elle constate que l'Assemblée nationale a introduit la possibilité d'obtenir, dans le cadre d'actions de groupe exercées en France au nom de résidents français, non seulement la cessation du manquement aux obligations relatives à la protection des données personnelles, mais également des réparations pécuniaires ;

(35) - elle observe que cette faculté de demander une indemnisation n'est pas prévue par le règlement européen mais que celui-ci ne l'interdit pas ;

(36) - elle constate au surplus que cette faculté s'inscrit dans la logique d'autres actions de groupe prévues par le droit européen ;

Nous allons entendre maintenant la communication de Jean-François Rapin sur le projet de loi concernant les services de paiement dans le marché intérieur.

Ce projet de loi tend à ratifier une ordonnance qui transpose une directive de 2015. Les enjeux sont potentiellement importants puisque sont en cause les conditions d'exercice des prestataires de services de paiement mais aussi les droits et obligations des utilisateurs. Des exigences en matière d'informations relatives aux services de paiement sont également prévues. De même, sont traitées la sécurité des paiements électroniques et la protection des données financières des consommateurs.

C'est le rapporteur général Albéric de Montgolfier qui en est le rapporteur au titre de la commission des finances.

Encore une ordonnance ! Les délais très brefs pour procéder à l'examen de ce texte avant la réunion de la commission des finances la semaine prochaine ne m'ont pas permis de procéder à des auditions. Je le regrette dans la mesure où elles auraient notamment permis de clarifier la question de l'extension de l'agrégation des informations financières aux comptes d'épargne.

La deuxième directive sur les services de paiement entend favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs.

L'ordonnance du 9 août 2017 qui procède à sa transposition est soumise au Sénat aux fins de ratification. C'est l'occasion pour notre commission de s'assurer que les modifications et compléments qu'elle a apportés à cet effet au code monétaire et financier ne comportent pas d'éléments de sur-transposition. Ceux-ci sont en effet susceptibles de nuire au bon fonctionnement du marché intérieur et à pénaliser ce faisant les consommateurs. De nature à générer une surcharge administrative et des coûts supplémentaires pour les entreprises, ils sont en outre susceptibles de nuire à leur efficacité concurrentielle.

La directive, qui se substitue à la directive de 2007 qu'elle abroge, révise les conditions d'agrément et d'exercice des services de paiement fournis par les banques et les autres établissements de paiement, et renforce les exigences de sécurité et de protection des données ainsi que les droits des utilisateurs de ces services.

Les services dont il s'agit sont les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements ou transmissions de fonds. La directive y ajoute deux services de paiement connexes innovants dits « tiers » dont les fournisseurs sont des sociétés de technologie financière (les «FinTech»). Tout d'abord, le service d'initiation de paiement (SIP), qui initie les paiements à la demande et pour le compte de clients à partir des comptes de paiement que ceux-ci détiennent auprès de prestataires de services de paiement : il donne au commerçant l'assurance que le paiement a été initié, ce qui lui permet de livrer sans délai les biens ou de fournir les services. Le second service tiers est le service d'information sur les comptes (SIC), qui fournit au client une vue agrégée d'ensemble sur ses comptes de paiement et soldes disponibles.

La directive encadre ces services de paiement tiers et prévoit des conditions d'agrément et d'enregistrement tenant compte du fait que leurs prestataires ne détiennent pas les fonds des clients. Elle leur impose en revanche de souscrire une assurance de responsabilité civile professionnelle couvrant les territoires où ils proposent des services, ou une garantie comparable. Afin que ces prestataires puissent avoir matériellement accès aux informations utiles auprès des établissements de crédit, elle impose aux gestionnaires des comptes des obligations de communication d'informations via des interfaces respectant les normes techniques figurant dans un règlement dérivé de la Commission.

La directive révise par ailleurs les conditions d'agrément et d'exercice des services de paiement, en particulier le capital initial minimum. Elle prévoit un contrôle des cessions des participations qualifiées, fixe le mode calcul des fonds propres, définit les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement, et précise les règles comptables applicables. Elle précise également les modalités de surveillance prudentielle des établissements de paiement, organise les échanges d'informations entre les autorités nationales compétentes et instaure un système de règlement des différends entre les autorités nationales de supervision.

La directive renforce en outre les exigences de sécurité des données en imposant des normes techniques rigoureuses comme l'« authentification forte » des clients, afin de mieux les protéger lorsqu'ils effectuent des paiements ou des transactions en ligne, y compris pour régler des achats de biens ou de services. Les prestataires de services de paiement devront prouver qu'ils ont mis en oeuvre, testé et vérifié ces mesures de sécurité. L'accès aux données personnelles des clients, leur utilisation et leur traitement sont subordonnés à leur autorisation expresse préalable. La protection des clients en cas d'opération de paiement frauduleuse est améliorée et les délais de remboursement réduits à un jour franc au plus. Enfin, en cas d'utilisation frauduleuse d'un instrument de paiement à la suite de sa perte ou d'un vol, le laissé à charge est abaissé à 50 euros, contre 150 euros actuellement.

J'en viens maintenant à l'ordonnance de transposition. Les dispositions figurant dans la directive précédente et d'ores et déjà transposées dans le code monétaire et financier sont modifiées à la marge. D'autres les complètent substantiellement ou sont totalement nouvelles, ce qui se traduit par l'insertion d'articles additionnels, voire, par exemple, pour les prestataires de services de paiement tiers, de dispositifs complets entièrement nouveaux mettant en place un régime prudentiel dérogatoire, des conditions allégées d'enregistrement et de radiation, et des règles de responsabilité spécifiques. Enfin, l'ordonnance a retenu quelques-unes des facultés ouvertes aux États membres.

Sous condition de notification à la Commission européenne avant le 13 janvier 2018, la directive ouvre en effet la possibilité aux États membres d'alléger les conditions d'agrément et d'exercice des petits établissements de paiement dont la moyenne mensuelle de la valeur totale des opérations de paiement est inférieure à 3 millions d'euros. Le code monétaire et financier prévoit désormais une procédure simplifiée d'agrément pour ces établissements et un niveau moins élevé d'exigences prudentielles.

L'ordonnance fait également usage de la faculté ouverte par la directive pour faciliter la supervision des activités transfrontalières en imposant la désignation d'un point de contact central à tous les établissements de paiement agréés dans un autre État membre qui ont recours en France à des agents en libre établissement ou à des succursales.

Pour terminer, je souhaiterais évoquer un point particulier : l'agrégation des comptes d'épargne. La directive concerne le marché intérieur des paiements et les services de paiement. Elle ne couvre donc pas l'information sur des comptes autres que les comptes de paiement, en particulier les comptes d'épargne. Or ces comptes constituent la part la plus importante de la situation financière des personnes physiques, les agrégateurs utilisant les données de connexion que leur transmettent les titulaires de ces comptes pour recueillir les données utiles par voie dite de « scraping », c'est-à-dire par capture d'écrans.

L'opportunité d'une extension à ces comptes a été évoquée au sein de la commission des finances de l'Assemblée nationale et lors d'une audition récente à la commission des finances du Sénat. Elle permettrait de répondre aux attentes des consommateurs et de réduire l'incertitude actuelle quant au régime de responsabilité applicable en cas d'utilisation frauduleuse des données de connexion. Sans doute s'agit-il d'une extension du champ d'application de la directive mais il paraît difficile de ne pas encadrer rapidement cette activité. La France pourrait utilement porter cette question au niveau européen, en concertation avec les prestataires de services financiers, en particulier pour déterminer les exigences de sécurité et répartir la charge du financement de l'interfaçage.

Un mot sur le « cash back » qui permet de se faire rembourser en espèces un bien réglé par carte au moment où on le restitue. Cette pratique me semble ouvrir un vrai risque alors que l'on s'efforce de limiter les transactions en espèces pour réduire la fraude.

Dans les zones rurales, les commerçants ont la faculté d'encaisser une prestation de carte bancaire et de remettre du numéraire en contrepartie. Cette pratique est utile lorsqu'il n'y a pas de distributeur automatique de billets et me paraît en l'état correctement encadrée.

À l'issue de ce débat, la commission a, à l'unanimité, autorisé la publication du rapport d'information et adopté les observations dans la rédaction suivante :

(1) La directive (UE) 2015/2366 concernant les services de paiement vise à favoriser l'innovation, la concurrence, l'efficience et la sécurité des services de paiement fournis au sein de l'Union européenne afin d'élargir et d'améliorer les choix des consommateurs et de faciliter les achats en ligne.

(2) Plus particulièrement,

(3) - elle complète les conditions d'octroi et de retrait d'agrément des prestataires de services de paiement ainsi que les conditions d'exercice de ces services définies par la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur à laquelle elle se substitue ;

(4) - elle créée et encadre les services de paiement tiers en matière d'initiation de paiement (SIP) et d'information sur les comptes (SIC) ;

(5) - elle fixe le mode calcul des fonds propres et renforce les exigences de protection des fonds reçus des utilisateurs des services de paiement ou d'autres prestataires de services de paiement ;

(6) - elle précise les activités complémentaires que les établissements de paiement sont autorisés à exercer et encadre l'externalisation de leurs activités ;

(7) - elle renforce les modalités de surveillance prudentielle des établissements de paiement en organisant les échanges d'informations entre les autorités nationales compétentes, en instaurant un système de règlement des différends entre les autorités nationales de supervision et en leur ouvrant la possibilité de demander l'assistance de l'Autorité bancaire européenne (ABE) ;

(8) - elle étend les pouvoirs des États membres d'accueil en cas de non-conformité des établissements de paiement aux règles générales s'imposant à eux ;

(9) - elle renforce les exigences de sécurité des données en prévoyant des normes techniques exigeantes comme l'« authentification forte » des clients qui combine plusieurs éléments d'authentification afin de mieux protéger les consommateurs lorsqu'ils effectuent des paiements ou des transactions électroniques ;

(10) - elle renforce la protection des données à caractère personnel en soumettant tout accès, utilisation ou traitement à l'autorisation expresse préalable de la personne, et le respect des droits prévus par le règlement général sur la protection des données à caractère personnel ;

(11) - elle renforce les droits des utilisateurs : en particulier elle réduit de 150 euros à 50 euros le laisser à charge en cas de perte occasionnées par l'utilisation frauduleuse d'une carte de paiement par un tiers et prévoit une procédure de réclamation au sein des établissements de paiement avant l'engagement d'une procédure de règlement extrajudiciaire ou judiciaire.

(12) Vu l'article 288 du Traité sur le fonctionnement de l'Union européenne,

(13) Vu la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,

(14) Vu l'article 70 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique,

(15) Vu le projet de loi ratifiant l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,

(16) Vu l'ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive (UE) 2015/2366 du Parlement et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur,

(17) La commission des affaires européennes fait les observations suivantes :

Le groupe de subsidiarité qui s'est réuni ce matin, a identifié un problème de subsidiarité sur un texte portant sur les technologies de santé. Je vous propose de désigner Pascale Gruny et Laurence Harribey pour approfondir la question et conclure, si nécessaire, à l'adoption d'un avis motivé.

Pascal Allizard et Didier Marie pourraient être chargés de rapporter la proposition de résolution européenne de notre collègue Jean-Claude Requier sur le projet d'accord entre l'Union européenne et le Mercosur.

Il en est ainsi décidé.

La réunion est close à 11h15.