Accéder au dossier législatif

Rapport n° 135 (2006-2007) de M. Philippe NOGRIX , fait au nom de la commission des affaires étrangères, déposé le 20 décembre 2006

Disponible au format Acrobat (193 Koctets)

N° 135

SÉNAT

SESSION ORDINAIRE DE 2006-2007

Annexe au procès-verbal de la séance du 20 décembre 2006

RAPPORT

FAIT

au nom de la commission des Affaires étrangères, de la défense et des forces armées (1) sur le projet de loi autorisant l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel , concernant les autorités de contrôle et les flux transfrontières de données,

Par M. Philippe NOGRIX,

Sénateur.

(1) Cette commission est composée de : M. Serge Vinçon, président ; MM. Jean François-Poncet, Robert del Picchia, Jacques Blanc, Mme Monique Cerisier-ben Guiga, MM. Jean-Pierre Plancade, Philippe Nogrix, Mme Hélène Luc, M. André Boyer, vice - présidents ; MM. Daniel Goulet, Jean-Guy Branger, Jean-Louis Carrère, Jacques Peyrat, André Rouvière, secrétaires ; MM. Bernard Barraux, Jean-Michel Baylet, Mme Maryse Bergé-Lavigne, MM. Pierre Biarnès, Didier Borotra, Didier Boulaud, Robert Bret, Mme Paulette Brisepierre, M. André Dulait, Mme Josette Durrieu, MM. Hubert Falco, Jean Faure, Jean-Pierre Fourcade, Mmes Joëlle Garriaud-Maylam, Gisèle Gautier, MM. Jean-Noël Guérini, Michel Guerry, Robert Hue, Joseph Kergueris, Robert Laufoaulu, Louis Le Pensec, Philippe Madrelle, Pierre Mauroy, Louis Mermaz, Mme Lucette Michaux-Chevry, MM. Charles Pasqua, Jacques Pelletier, Daniel Percheron, Xavier Pintat, Yves Pozzo di Borgo, Jean Puech, Jean-Pierre Raffarin, Yves Rispat, Josselin de Rohan, Roger Romani, Gérard Roujas, Mme Catherine Tasca, MM. André Trillard, André Vantomme, Mme Dominique Voynet.

Voir le numéro :

Sénat : 37 (2006-2007)

Traités et conventions.

INTRODUCTION

Mesdames, Messieurs,

La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a été signée le 28 janvier 1981 à Strasbourg.

Négociée dans le cadre du Conseil de l'Europe, elle est le premier instrument international à traiter de cette question.

Prenant acte du développement du traitement informatique des données, elle a pour objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à caractère personnel et de réglementer les flux transfrontaliers de données.

Outre des garanties pour le traitement automatisé des données à caractère personnel, elle proscrit, en l'absence de garanties offertes par le droit interne, le traitement des données "sensibles" relatives à l'origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc... La Convention garantit également le droit des personnes concernées à connaître les informations stockées à leur sujet et à exiger le cas échéant des rectifications.

La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel est entrée en vigueur le 1 er octobre 1985. Trente-huit Etats, sur les quarante-six Etats membres que compte le Conseil de l'Europe, ont ratifié ce texte. La France, pour sa part, a ratifié la Convention en mars 1983.

Ouvert à la signature le 8 novembre 2001, le Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données, qui fait l'objet du présent projet de loi, vise à conforter la mise en oeuvre de la Convention. Il ne traite pas de principes fondamentaux, déjà garantis par la Convention mais des moyens de les mettre effectivement en oeuvre.

I. LE PROTOCOLE ADDITIONNEL CONCERNANT LES AUTORITÉS DE CONTRÔLE ET LES FLUX TRANSFRONTIÈRES DE DONNÉES

Il vise à conforter la mise en oeuvre de la Convention en imposant l'institution d'une autorité de contrôle et en encadrant les flux de données à caractère personnel vers les pays non Parties à la Convention.

Il comporte un préambule et trois articles.

Le préambule rappelle « l'importance de la circulation de l'information entre les peuples » mais souligne la nécessité, devant l'intensification des transferts de données, de protéger les droits de l'homme et des libertés fondamentales.

A. LES AUTORITÉS DE CONTRÔLE

L'article premier du Protocole prescrit la mise en place d'une ou plusieurs autorités pour la protection des individus dans le traitement des données à caractère personnel. Il prévoit, de façon précise, que ces autorités doivent disposer de pouvoirs d'investigation et d'intervention ainsi que de la capacité d'ester en justice ou de porter d'éventuelles violations devant l'autorité judiciaire. Elles doivent pouvoir être saisies par les particuliers, exercer leurs fonctions en toute indépendance et leurs décisions faisant grief doivent pouvoir faire l'objet d'un recours juridictionnel.

L'article premier établit également le principe de la coopération entre autorités nationales, notamment par l'échange d'informations, en complément de l'entraide entre les parties déjà prévue par la Convention.

B. LES FLUX TRANSFRONTIÈRES DE DONNÉES

L'article 2 est relatif aux flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie à la Convention.

A titre d'exemple de transfert de données, on peut citer une opération, fréquente au sein des groupes multinationaux et menée dans un souci d'économies et d'efficacité : la centralisation de la base de données de gestion des ressources humaines.

Il pose le principe qu'un tel transfert ne peut être effectué que si l'Etat destinataire des données « assure un niveau de protection adéquat pour le transfert réalisé », afin d'éviter un contournement des règles de la protection des données.

Des dérogations à ce principe sont possibles, si le droit interne le prévoit, pour les intérêts spécifiques de la personne concernée ou lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants. Des garanties peuvent également résulter de clauses contractuelles fournies par la personne responsable du transfert si elles sont jugées suffisantes par les autorités compétentes, conformément au droit interne.

C. DISPOSITIONS FINALES

Les dispositions finales sont conformes à l'usage.

L'entrée en vigueur du Protocole était subordonnée à la ratification de cinq signataires, elle est intervenue trois mois après que cette condition a été remplie, le 1 er juillet 2004.

II. L'APPLICATION DU PROTOCOLE PAR LA FRANCE

La France se conforme d'ores et déjà aux obligations du protocole additionnel.

A. LA CNIL, AUTORITÉ DE CONTRÔLE DEPUIS 1978

Après la Suède et le Land allemand de Hesse, la France est, en 1978, l'un des premiers Etats à s'être doté d'une loi « informatique et libertés » et d'une autorité de contrôle indépendante, la Commission nationale « Informatique et libertés » (CNIL).

B. LES TRANSFERTS DE DONNÉES, UNE PROCÉDURE HARMONISÉE À L'ÉCHELLE EUROPÉENNE

Le niveau de protection des données personnelles dans l'Union européenne a été harmonisé par une directive du 24 octobre 1995. A ce jour, les 25 États membres disposent d'une loi «informatique et libertés» et d'une autorité de contrôle indépendante.

La directive communautaire a été transposée en droit français par la loi 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

Cette loi a accru les pouvoirs de la CNIL afin de lui permettre d'assurer un contrôle a posteriori efficace de la mise en oeuvre des fichiers et des traitements informatisés. Ses pouvoirs d'investigation ont été rendus contraignants et ses pouvoirs d`intervention et de sanction, étendus. La loi traite également des transferts de données en direction d'Etats n'appartenant pas à l'Union européenne en prévoyant, dans son article 68, que ces transferts ne peuvent s'effectuer que si l'Etat « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux de la personne à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ».

La Commission européenne a le pouvoir de reconnaître qu'un pays accorde une protection adéquate ou suffisante, dans une décision spécifique appelée « décision d'adéquation ».

En fonction de ces décisions, la CNIL distingue ainsi :

- les « pays équivalents », dont la législation offre le même degré de protection que la législation française et vers lesquels le transfert de données ne doit pas faire l'objet de formalités spécifiques (UE-25 et Etats membres de l'Espace économique européen : Islande, Liechtenstein et Norvège);

- les pays tiers qui offrent un niveau de protection « adéquat » vers lesquels le transfert de données ne fait pas l'objet d'un encadrement spécifique (ils sont peu nombreux : Argentine, Canada, Suisse et entreprises américaines ayant adhéré au « Safe Harbor 1 ( * ) » ou sphère de sécurité, un système de certification négocié entre la Commission européenne et le ministère du commerce);

- les pays dont le niveau de protection n'est pas adéquat et en direction desquels les transferts sont en principe proscrits.

Le site Internet de la CNIL fournit la classification de l'ensemble des Etats dans ces trois catégories. Il faut noter que parmi les pays « non-adéquats » figurent des Etats ayant ratifié le Protocole additionnel comme l'Albanie, la Bosnie-Herzégovine, la Croatie ou encore la Roumanie.

La CNIL peut néanmoins autoriser un transfert vers un pays tiers ne disposant pas d'un niveau de protection adéquat lorsque « le traitement garantit un niveau de protection suffisant en raison des clauses contractuelles ou règles internes dont il fait l'objet ». Elle en informe la Commission européenne qui a défini des clauses contractuelles types permettant de sécuriser le transfert sur le plan juridique. Dans les cas où le traitement des données est mis en oeuvre pour le compte de l'Etat, une autorisation de transfert ne peut être donnée que par décret en Conseil d'Etat après avis motivé et publié de la CNIL.

D'autres dérogations sont possibles dans les cas suivants :

- la personne concernée a consenti au transfert ou

- le transfert est nécessaire à la sauvegarde de la vie de la personne, à la sauvegarde de l'intérêt public, au respect d'obligations permettant d'assurer l'exercice d'un droit en justice, à la consultation d'un registre public, à l'exécution d'un contrat ou à sa conclusion.

Le non-respect de ces règles est soumis à des sanctions pénales : les transferts non-autorisés sont passibles de cinq ans d'emprisonnement et de 300 000 euros d'amende, autant que pour le traitement illégal de données.

C. UNE VIGILANCE À MAINTENIR : L'EXEMPLE DE L'ACCORD PNR UE/ETATS-UNIS

L'enjeu de la protection des données personnelles a été rappelé avec acuité par les différentes étapes du dossier PNR.

Les données PNR ( Passenger Name Record ) sont des informations collectées par les agences de voyage et les compagnies aériennes auprès des passagers. Stockées de façon standardisée, elles sont échangées par les différentes entreprises intervenant dans la réalisation des prestations demandées.

Dans le cadre de la lutte contre le terrorisme, les autorités américaines ont souhaité que ces données soient communiquées aux services des douanes et de sécurité américains. En mai 2004, après plusieurs mois de négociations, la Commission européenne a adopté une décision reconnaissant une protection adéquate pour les données personnelles des passagers et la Communauté européenne, le 28 mai 2004 a signé un accord international avec les Etats-Unis, dont le Parlement a saisi la Cour de justice des Communautés.

Le 30 mai 2006, cet accord était annulé par la CJCE, cette annulation rendant nécessaire l'ouverture de nouvelles négociations et la conclusion d'un nouvel accord.

Un nouvel accord a été finalisé le 10 octobre 2006 par lequel l'Union européenne permet que les données personnelles puissent être transmises à d'autres agences gouvernementales américaines chargées de la lutte contre le terrorisme tandis que l'administration américaine s'engage à ce que tous les destinataires garantissent le même niveau de protection des données que les douanes américaines, premier destinataire. Le niveau de protection garanti porte sur le respect de la finalité première du transfert de données, la lutte contre le terrorisme, la limitation du nombre de catégories de données accessibles, l'obligation de détruire les fichiers non consultés à l'issue d'une durée de trois ans et demi et le droit d'accès et de rectification des personnes aux données les concernant.

La CNIL exprimait cependant son inquiétude en ces termes, dans un communiqué : « Au vu de l'ensemble des dispositions identifiées amendant le précédant accord, nos autorités nationales de protection des données entendent demeurer vigilantes et continuer d'exercer leur contrôle aux côtés de la Commission européenne sur le respect des garanties des droits des personnes et de la vie privée par l'ensemble de ces futures autorités et agences américaines. Cependant, les conditions d'exercice de ce contrôle ont elles-mêmes été remises en cause, perdant leur caractère annuel obligatoire de "révision conjointe annuelle" et pouvant laisser craindre que le compromis ne se transforme en renoncement. »

Dans sa communication devant la délégation pour l'Union européenne, le 10 octobre 2006, notre collègue, le président Hubert Haenel soulignait l'enjeu de la renégociation de l'accord ainsi qu'un point touchant à l'intervention du Parlement français dans la procédure :

« Tout laisse à penser que c'est lors de la renégociation de cet accord que l'essentiel devra se jouer. Ainsi, la question de la durée de conservation des données PNR, qui est fixée à trois ans et demi, sur laquelle les autorités américaines voulaient revenir car elles estiment qu'elle est beaucoup trop courte, a été renvoyée aux discussions futures relatives à la renégociation de l'accord. (...)

Enfin, dans nos conclusions, nous avions tenu à réaffirmer la position selon laquelle les accords conclus sur la base de l'article 24 du traité sur l'Union européenne devaient faire l'objet d'une procédure de ratification parlementaire. Compte tenu des conditions de notre saisine aujourd'hui, cette position me paraît d'autant plus justifiée. En effet, le caractère extrêmement bref du délai dont nous disposons pour nous prononcer exclut le dépôt d'une proposition de résolution et toute discussion en séance publique. Et cela, alors que le Gouvernement s'était précédemment engagé à tenir le plus grand compte de l'avis des assemblées à propos des accords conclus sur la base de l'article 24 du traité sur l'Union européenne. Il me paraît donc indispensable que cet accord, qui porte sur un sujet sensible et qui concerne directement les droits individuels, soit soumis au Parlement pour un débat et pour un vote conditionnant son approbation. Cela permettrait, en effet, la tenue d'un débat au Parlement sur cet accord, sans pour autant retarder sa conclusion, puisque l'article 24 du traité prévoit la possibilité d'une application provisoire. »

Sur ce dernier point, le premier ministre a réaffirmé le 12 décembre 2006, la position du gouvernement qui, s'appuyant sur un avis du Conseil d'Etat du 7 mai 2003 interprète la réserve d'ordre constitutionnel du paragraphe 5 de l'article 24 du Traité sur l'Union européenne comme un moyen d'assurer uniquement « le respect de règles de fond d'ordre constitutionnel » et non pas des règles de procédure fixées par l'article 53 de la Constitution . Afin d'associer le Parlement à la conclusion des accords par l'Union, il a proposé « de procéder à la transmission systématique au Parlement, au titre de la clause facultative de l'article 88-4 de la Constitution, de tout projet d'accord à conclure par l'Union sur le fondement combiné des articles 24 et 38 du Traité sur l'Union européenne, dès sa transmission au Conseil ». Le Sénat, via la délégation pour l'Union européenne, devrait donc avoir à connaître de cet accord.

CONCLUSION

La France remplit donc déjà ses obligations à l'égard du Protocole additionnel à la Convention pour la protection des personnes à l `égard du traitement automatisé des données à caractère personnel concernant les autorités. De surcroît, la ratification de ce protocole ne devrait rien changer à la pratique des transferts de données vers les Etats non-membres de l'Union européenne puisque la qualification du caractère adéquat ou non du pays destinataire a été communautarisée et relève de la Commission européenne.

Indirectement, ce Protocole pose la question de la juxtaposition et de la superposition partielle des deux espaces de droit que sont le Conseil de l'Europe et l'Union européenne dans les domaines où ils interviennent concurremment. La législation de la dernière relève souvent de standards plus exigeants que celle du premier et dispose de moyens de contrôle et d'application plus efficaces.

S'il ne change que peu de choses pour la France, le protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a le mérite d'élargir le champ géographique de la protection des données personnelles. Il reste à en garantir l'effectivité puisque certains pays, Parties à la Convention et à son Protocole, sont néanmoins considérés comme n'assurant pas un niveau de protection adéquat.

Au demeurant, la question de l'effectivité de la protection des personnes n'est pas propre aux Etats tiers. Elle est aujourd'hui soumise au double défi de la technologie et de l'acceptation des citoyens eux-mêmes d'atteintes à leur vie privée face aux exigences de la lutte contre le terrorisme.

Votre Commission vous recommande l'adoption du présent projet de loi.

EXAMEN EN COMMISSION

La Commission a examiné ce projet de loi au cours de sa réunion du 20 décembre 2006.

A la suite de l'exposé du rapporteur, M. André Trillard s'est demandé si le niveau de protection accordé aux citoyens ne nuisait pas dans certains cas à l'intérêt de l'Etat. Il a ainsi considéré que l'adjonction du numéro de sécurité sociale dans les fichiers relatifs au revenu minimum d'insertion permettrait de réduire notablement la fraude sans nuire aux droits des personnes. Estimant que l'usage abusif fait, aux Etats-Unis, des fichiers de données personnelles devait susciter la vigilance, il a considéré que, dans la nécessaire recherche d'un équilibre, le droit d'accès et de rectification des données par les personnes concernées était un droit absolu.

M. Philippe Nogrix, rapporteur, a rappelé que le texte examiné était relatif aux transferts transfrontaliers de données. Il a souligné que si l'adéquation des données figurant sur un fichier donné par rapport à ses objectifs pouvait être appréciée relativement facilement, cet exercice était beaucoup plus complexe lors du croisement de plusieurs fichiers. En réponse à M. André Trillard, qui estimait que la constitution de fichiers par des multinationales pour les besoins de leur gestion des ressources humaines ne lui semblait pas injustifiée, il a précisé que ce type de demande était généralement accepté, sous réserve que ne figurent dans le fichier que les seules données strictement nécessaires. Il a souligné qu'une réticence spécifique se manifestait à l'égard des demandes formulées par les Etats-Unis, l'usage des données pouvant permettre des intrusions dans la vie privée des personnes, sans leur accord.

En réponse à M. André Dulait, qui s'interrogeait sur la possibilité de disposer d'informations relatives aux condamnations individuelles prononcées, M. Philippe Nogrix, rapporteur, a indiqué que l'absence de ce type de données dans un fichier poursuivant un tout autre objet n'excluait pas la coopération judiciaire.

La commission a alors adopté le projet de loi et proposé qu'il fasse l'objet d'une procédure d'examen simplifiée en séance publique.

PROJET DE LOI

(Texte proposé par le Gouvernement)

Article unique

Est autorisée l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, fait à Strasbourg le 8 novembre 2001, et dont le texte est annexé à la présente loi. 2 ( * )

ANNEXE I - ÉTUDE D'IMPACT3 ( * )

I - Etat du droit existant

Par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, qui modifie la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la France a transposé la directive 95/46/CE du Parlement et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce faisant, elle s'est acquittée de son obligation de transposer les dispositions du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données.

Ainsi, les pouvoirs de la CNIL ont été considérablement accrus, afin de permettre à celle-ci d'assurer un contrôle a posteriori efficace de la mise en oeuvre de fichiers et des traitements automatisés. Ses pouvoirs d'investigation deviennent contraignants et ses pouvoirs d'intervention et de sanction étendus.

S'agissant du transfert de données, la loi nouvelle, qui consacre les articles 68 et 69 à la question des transferts de données en direction d'Etats n'appartenant pas à l'Union européenne, prend en compte les préoccupations développées dans le protocole à la convention pour la protection des personnes à l'égard du traitement des données à caractère personnel, puisque s'agissant d'un Etat tiers au sens dudit protocole, le transfert ne pourra s'effectuer que si « cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux de la personne à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ».

II - Modifications à apporter au droit existant

Néant (cf supra I).

ANNEXE II - ÉTAT DES RATIFICATIONS

* 1 Le Safe Harbor est une démarche volontaire d'entreprises établies aux Etats-Unis qui s'auto-certifient en adhérant à une série de principes de protection des données personnelles et de protection de la vie privée, publiés par le ministère du commerce des Etats-Unis. Ces principes, négociés par la Commission européenne avec le ministère du Commerce sont relatifs à l'information des personnes, à la possibilité de s'opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes, au consentement explicite pour les données sensibles, au droit d'accès..., principes très proches de ceux de la directive communautaire.

* 2 Voir le texte annexé au document Sénat n° 37 (2006-2007).

* 3 Texte transmis par le Gouvernement pour l'information des parlementaires.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page