Après l'alinéa 18

Insérer un alinéa ainsi rédigé :

Demande, lorsque plusieurs technologies peuvent être mises en œuvre pour l'élaboration des fichiers de données personnelles, que la plus protectrice des droits des personnes soit choisie.

La discussion de la proposition de loi relative à l'identité a donné lieu à un désaccord de fond entre le Sénat et l'Assemblée nationale, s'agissant de la question fondamentale du fichier central biométrique. Le Sénat a été amené lors de chacune des lectures du texte à choisir la technologie dite à lien faible, présentée à juste titre comme plus protectrice des droits et libertés des personnes. Le présent amendement s'inscrit dans la même logique, en confortant dans la présente proposition de résolution européenne les positions qu'il a exprimées.

Après l’alinéa 5, insérer un alinéa ainsi rédigé :

« Vu la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel du 6 août 2004, »

Amendement rédactionnel. Cet amendement ajoute une référence à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel du 6 août 2004.

L’adoption de cette loi, en 1978, a fait de la France l’un des premiers Etats au monde à se doter d’une législation et d’une autorité de protection sur cette question. Les principes cette loi ont fortement inspiré les dispositions de la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dont l’adoption, en 1995, a constitué l’acte fondateur de la politique européenne dans ce domaine.

A l’alinéa 16,

Remplacer le mot « regrette » par les mots « estime inopportunes »

Amendement rédactionnel. L’encadrement des conditions de transferts internationaux de données personnelles est une exigence dans une économie mondialisée, où les échanges de données s’affranchissent des frontières traditionnelles des Etats membres. Il serait inopportun de maintenir les dérogations en la matière offertes par la proposition de Règlement de la Commission européenne.

A l’alinéa 21,

Remplacer « son autorité de contrôle nationale » par les mots « l’autorité de contrôle de son propre pays »

Amendement rédactionnel.

Après l’alinéa 22, ajouter un alinéa ainsi rédigé :

 « Exprime ses plus vives inquiétudes quant à l’encadrement particulièrement restrictif des pouvoirs de contrôle conférés aux autorités de protection nationales. Conditionner la possibilité, pour ces autorités, de mener des investigations à l’existence d’un « motif raisonnable » de supposer qu’un responsable de traitement exerce une activité contraire aux dispositions du présent Règlement limitera leurs pouvoirs de contrôle, au détriment de la protection des droits des citoyens européens ; »

La proposition de Règlement de la Commission européenne conditionne la possibilité, pour les autorités de protection, de mener des investigations à l’existence d’un « motif raisonnable » de supposer qu’un responsable de traitement exerce une activité contraire aux dispositions du présent Règlement. L’introduction de cette condition à l’exercice des pouvoirs de contrôle des autorités limiterait de fait les prérogatives de ces autorités, qui fait peser un risque important sur le niveau de protection des droits des citoyens européens.

Le maintien de larges pouvoirs d’investigation aux autorités de protection est une nécessité, alors même que la proposition de Règlement prévoit la suppression de la quasi totalité des formalités préalables, ce qui réduira l’information des autorités de protection quant aux traitements mis en oeuvre par les entreprises et les structures publiques.

Par cet amendement, il convient de souligner les plus vives inquiétudes du Sénat quant à cette restriction des pouvoirs des autorités de protection en matière de contrôle.

Après l’alinéa 22, ajouter un alinéa ainsi rédigé :

« Regrette la concentration de pouvoirs considérables entre les mains de la Commission européenne, au dépend des autorités de protection, quant à l’élaboration des lignes directrices en matière de protection des données personnelles et à la définition des modalités d’application des nouvelles dispositions. Il est favorable au respect du principe de subsidiarité, par un rééquilibrage de ces compétences au profit des autorités de protection, par l’intermédiaire du comité européen de la protection des données, qui bénéficient de l’expérience et de l’expertise technique indispensable à cette mission.

La proposition de Règlement confère à la seule Commission européenne le pouvoir de déterminer et de préciser les conditions d’application concrètes, tant juridiques que techniques, des dispositions et des droits nouveaux. Ainsi, une quarantaine d’actes délégués et d’actes d’exécution seront nécessaires pour une application totale du Règlement.

Au regard de la complexité des questions traitées, il faut s’attendre à un encombrement des services de la Commission européenne en charge de ces sujets, ce qui aboutira nécessairement à des délais d’adoption considérables de ces actes. La Commission européenne évoque elle-même une dizaine d’années nécessaires pour une application totale du Règlement.

De plus, la centralisation de ces pouvoirs considérables entre les mains de la Commission européenne limite le rôle des autorités de protection nationales et du G29, et porte atteinte, de fait, au principe de subsidiarité, ce à quoi le Sénat entend s’opposer par l’adoption de cet amendement. Il appelle à une meilleure répartition de ce pouvoir normatif entre la Commission européenne et les autorités de protection nationales, au travers du futur comité européen de la protection des données.