III. LA POSITION DE VOTRE COMMISSION
Votre commission considère qu'il convient de prendre acte des avancées que recèle la proposition de règlement européen sur la protection des données personnelles, même si des améliorations peuvent y être apportées (C).
Mais surtout, ce texte pose deux questions de principe, qui ont partie liée, l'une sur la marge conservée au législateur national pour adopter des mesures plus protectrices que le règlement européen (A), et l'autre sur l'autorité de contrôle compétente pour assurer le respect des droits des ressortissants d'un État membre (B).
A. CONSERVER AU LÉGISLATEUR NATIONAL LA POSSIBILITÉ D'ADOPTER DES DISPOSITIONS PLUS PROTECTRICES
En déposant une proposition de règlement plutôt qu'une proposition de directive se substituant à la précédente directive du 24 octobre 1995, la Commission européenne a fait le choix d'une harmonisation complète des règles applicables en Europe.
Mme Viviane Reding, vice-présidente de la Commission européenne chargée de la justice, des droits fondamentaux et de la citoyenneté l'a d'ailleurs confirmé lors de son audition conjointe par votre commission et la commission des affaires européennes : « Non, il n'y aura pas de niveaux de protection différents. C'est l'essence même d'un règlement : une loi identique pour tout le territoire de l'Union européenne. J'ai retenu les règles les plus protectrices des systèmes existants » 26 ( * ) .
Cette affirmation mérite cependant d'être discutée.
La protection des données personnelles relève du champ des droits fondamentaux. Elle participe de la protection de la vie privée, que le Conseil constitutionnel rattache à la liberté individuelle, mentionnée à l'article 2 de la déclaration des droits de l'homme et du citoyen 27 ( * ) . Cet ancrage constitutionnel de la protection des données personnelles justifie qu'elle prime les autres considérations , notamment les considérations économiques que la Commission européenne met en avant pour limiter les garanties apportées aux personnes.
En outre, elle s'applique à un échange inégal où l'une des parties, l'individu, cède - volontairement ou non - à une autre, le responsable de traitement, l'usage et la possession de données qui lui sont propres, parfois intimes, et qui lui appartiennent.
Elle se distingue en cela de la régulation des relations civiles ou commerciales où s'opposent deux intérêts équivalents ou deux droits d'égale portée.
Or, si, lorsque sont seuls en cause des intérêts économiques, on peut comprendre qu'un règlement arase toutes les législations nationales afin d'offrir au marché intérieur et au bénéfice des agents économiques, une unique loi, tel n'est plus le cas lorsqu'entrent en conflit les droits fondamentaux des personnes avec les intérêts économiques des entreprises et que les premières se trouvent démunies face à la puissance commerciale et financière des secondes.
Votre commission considère que, dans ce dernier cas, on peut attendre de la législation européenne non seulement qu'elle soit conçue sur le modèle des législations nationales les plus protectrices, mais encore qu'elle n'exclue pas la possibilité pour les États membres qui le souhaiteraient, d'adopter des dispositions nationales plus protectrices des droits fondamentaux ou plus favorables aux personnes.
En effet, pour ce qui touche aux droits les plus fondamentaux de la personne, ou à la protection du faible contre le fort, la construction européenne n'a de sens que si elle élève la protection commune, sans interdire les progrès promus par certains États membres , avant que tous les rejoignent plus tard.
Votre commission observe, d'ailleurs, qu'une telle conception a cours dans d'autres champs du droit européen, pourtant soumis eux aussi à des règlements communautaires, comme, par exemple, en droit de la consommation.
Or, force est de constater, qu'aussi poussée que soit la protection des données personnelles prévues par la proposition de règlement européen, la législation « Informatique et libertés » actuellement en vigueur en France est, sur plusieurs points, plus favorable aux individus.
Ainsi, le champ des fichiers dits « sensibles », soumis à un régime d'autorisation plus restrictif, est plus large en droit français, puisqu'il inclut notamment les fichiers interconnectés, lorsque leurs finalités sont différentes. En outre, le régime retenu est, dans tous les cas, celui de l'autorisation préalable 28 ( * ) , alors que la proposition de règlement ne soumet à autorisation préalable que les fichiers pour lesquels l'étude d'impact réalisée par le responsable de traitement lui-même a révélé une difficulté 29 ( * ) .
De la même manière, alors que la proposition de règlement est muette sur la question, la loi française prévoit qu'une personne peut exiger d'avoir communication des « informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à [son] égard » 30 ( * ) , ce qui lui permet alors, de contester utilement les motifs de la décision qui lui porte préjudice.
Une autre raison justifie de conserver au législateur national une marge d'appréciation suffisante : le droit, en matière de nouvelles technologies, doit être suffisamment réactif pour suivre les nouveaux usages émergents ou les innovations technologiques et prévoir des garanties adaptées. Il n'est pas possible de s'en remettre uniquement aux lenteurs de la législation communautaire pour tenter de suivre les évolutions très rapides des technologies de l'information et de la communication.
Pour toutes ces raisons, votre commission considère que si l'on peut se satisfaire d'une protection équivalente à celle que l'on connaît, on ne saurait se résoudre à diminuer la protection offerte au citoyen français par la loi « Informatique et libertés ».
Elle souligne toutefois que, pour être valables au regard du droit communautaire, les possibilités, pour les législations nationales, de déroger à un règlement européen doivent être prévues dès l'origine, soit sous la forme d'une clause générale, soit sous la forme de clauses ponctuelles, pour chaque question où l'on souhaite préserver la compétence du législateur national.
C'est pourquoi, votre commission vous propose d'appeler le Gouvernement à veiller, dans la négociation qui s'engage, à ce que l'harmonisation proposée ne s'effectue que dans le sens d'une meilleure protection des personnes et qu'elle ne prive pas les États membres de la possibilité d'adopter des dispositions nationales plus protectrices des droits individuels .
Elle observe, d'ailleurs, que la proposition de règlement renvoie près d'une cinquantaine de fois à des actes délégués ou des actes d'exécution, adoptés par la Commission européenne pour compléter la législation européenne en la matière. Le nombre et l'importance de ces renvois, qui ont été unanimement critiqués par les personnes entendues par votre rapporteur, manifestent l'incomplétude du dispositif proposé et la nécessité d'y apporter des précisions, voire des garanties nouvelles.
Pour cette raison, elle juge utile de rappeler , dans la proposition de résolution européenne, que de telles décisions ne peuvent échoir exclusivement à la Commission européenne et qu'elles doivent être débattues, selon le cas, par les législateurs européens ou nationaux ou les autorités de contrôle nationales, regroupées au niveau européen .
* 26 Cf. le compte rendu de cette audition, reproduit en annexe au présent rapport.
* 27 CC, n° 2004-504 DC du 12 août 2004, Loi relative à l'assurance maladie , Rec. p. 153, cons. 5.
* 28 Article 25 de la loi n° 78-17 précitée.
* 29 Articles 33 et 34 de la proposition de règlement COM 2012/11 final précitée.
* 30 Article 39 de la loi n° 78-17 précitée.