N° 344
SÉNAT
SESSION ORDINAIRE DE 2017-2018
Enregistré à la Présidence du Sénat le 8 mars 2018 |
RAPPORT D'INFORMATION
FAIT
au nom de la commission des affaires européennes (1) sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles (n° 296, 2017-2018),
Par M. Simon SUTOUR,
Sénateur
(1) Cette commission est composée de : M. Jean Bizet, président ; MM. Philippe Bonnecarrère, André Gattolin, Mmes Véronique Guillotin, Fabienne Keller, M. Didier Marie, Mme Colette Mélot, MM. Pierre Ouzoulias, Cyril Pellevat, André Reichardt, Simon Sutour, vice-présidents ; M. Benoît Huré, Mme Gisèle Jourda, MM. Pierre Médevielle, Jean-François Rapin, secrétaires ; MM. Pascal Allizard, Jacques Bigot, Yannick Botrel, Pierre Cuypers, René Danesi, Mme Nicole Duranton, MM. Thierry Foucaud, Christophe-André Frassa, Mme Joëlle Garriaud-Maylam, M. Daniel Gremillet, Mme Pascale Gruny, Laurence Harribey, M. Claude Haut, Mmes Christine Herzog, Sophie Joissains, MM. Guy-Dominique Kennel, Claude Kern, Jean-Yves Leconte, Jean-Pierre Leleux, Mme Anne-Catherine Loisier, MM. Franck Menonville, Jean-Marie Mizzon, Georges Patient, Michel Raison, Claude Raynal, Mme Sylvie Robert. |
AVANT-PROPOS
Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP ») définit un niveau cohérent et élevé de protection des personnes physiques et lève les obstacles aux flux de données à caractère personnel au sein de l'Union. Il harmonise à cet effet les règles de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données dont il entend assurer une application homogène.
D'application directe dans les États membres sans qu'il soit besoin de procéder à une transposition, le RGPDP constitue dorénavant le cadre général de la protection des données personnelles applicable aux opérateurs de l'Union européenne ou offrant des biens et services aux citoyens et résidents de l'Union. Il renvoie toutefois à des mesures d'application internes, comme la désignation de l'autorité nationale de contrôle compétente. Surtout, face à la grande inégalité des régimes de protection au sein de l'Union européenne et pour répondre à la sensibilité particulièrement forte en la matière de certains États comme la France, il autorise les États membres à maintenir ou à introduire des dispositions nationales pour préciser davantage l'application de ses règles et leur laisse des « marges de manoeuvre » pour compléter les dispositions concernant le traitement de catégories particulières de données à caractère personnel, dénommées « données sensibles ». Par ailleurs, il n'exclut pas que des législations sectorielles nationales spécifiques, dans des domaines qui requièrent des dispositions plus détaillées, précisent les circonstances des situations particulières de traitement, y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est alors licite.
Le projet de loi relatif à la protection des données personnelles transpose la directive (UE) 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales et précise les modalités d'application en France du RGPDP. Dans la mesure où celui-ci ouvre des marges de manoeuvre, la commission des affaires européennes du Sénat a souhaité s'assurer qu'il n'alourdissait pas à l'excès les règles nationales. La sur-transposition des textes européens peut en effet nuire au bon fonctionnement du marché intérieur et pénaliser, ce faisant, les consommateurs. De nature à générer une surcharge administrative et des coûts supplémentaires pour les entreprises, elle est en outre susceptible de nuire à leur efficacité concurrentielle.
Cette problématique préoccupe la Commission européenne 1 ( * ) tout comme le Gouvernement français 2 ( * ) . Celui-ci s'est ainsi engagé à limiter le nombre de normes, notamment lors de la transposition du droit européen en droit interne 3 ( * ) , et entend examiner le droit en vigueur pour identifier et évaluer les sur-transpositions existantes. De son côté, la commission des affaires européennes du Sénat a entrepris en janvier 2018, conjointement avec la délégation aux entreprises, une démarche de recensement, auprès des entreprises, des sur-transpositions que celles-ci estiment pénalisantes pour l'exercice de leurs activités 4 ( * ) .
La Conférence des présidents a en outre confié à la commission des affaires européennes, le 21 février dernier, à titre expérimental, une mission de veille sur l'intégration des textes européens en droit interne afin notamment d'informer le Sénat sur d'éventuelles sur-transpositions. C'est dans cette optique que la commission des affaires européennes a examiné le projet de loi relatif à la protection des données personnelles et a formulé plusieurs observations.
I. LE RGPDP : UN CADRE UNIFIÉ, COHÉRENT ET ÉLEVÉ DE PROTECTION DES DONNÉES PERSONNELLES
La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental formalisé tant dans la Charte des droits fondamentaux de l'Union européenne que dans le traité sur le fonctionnement de l'Union européenne 5 ( * ) .
Une première étape essentielle a été franchie en 1995 avec l'adoption de la directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données 6 ( * ) . Cette directive a défini un ensemble de principes directeurs communs, mis en place un cadre visant à permettre le libre flux des données à caractère personnel entre les États membres et prévu la création d'organismes nationaux indépendants chargés de la protection de ces données sur le modèle de la Commission nationale de l'informatique et des libertés (CNIL). Outre la protection de la vie privée des personnes, qui a été étendue aux contenus échangés par le biais des communications électroniques par une directive de 2002 7 ( * ) , la directive de 1995 avait également pour préoccupation de donner plus de lisibilité aux entreprises dans le cadre de la libre circulation des marchandises, des personnes, des services et des capitaux.
Le RGPDP actualise cette directive. D'application directe dans les États membres, il renforce la protection des citoyens tout en améliorant la sécurité juridique des entreprises et marque une nouvelle étape dans l'intégration européenne en matière de protection de ces données.
A. UN PROCESSUS DE DISCUSSION ET D'ADOPTION LONG ET MALAISÉ
Dès 2009, la Commission européenne a constaté que le cadre défini en 1995 n'était pas en mesure de prendre en compte la rapidité des évolutions technologiques et la mondialisation des réseaux d'échanges d'informations qui ont considérablement accru le nombre des données à caractère personnel collectées, utilisées et transférées, et ce d'autant que les écarts de transposition de la directive entre les États membres sont particulièrement forts. Pour mieux faire face à la progression de ces flux, notamment via les réseaux sociaux, l'informatique en nuage (ou « cloud computing ») et les moteurs de recherche qui ont augmenté d'autant la perte de contrôle des données à caractère personnel, elle a estimé qu'il convenait de réviser le cadre européen et de procéder à une harmonisation renforcée.
Après une première phase de consultation des parties prenantes en 2009, suivie d'une communication fin 2010 8 ( * ) sur une « approche globale de la protection des données à caractère personnel dans l'Union européenne » puis de nouvelles consultations en 2011, sur la base de sa « Stratégie visant à renforcer les règles de l'Union européenne en matière de protection des données », la Commission a présenté, le 25 janvier 2012, un « paquet européen de protection des données personnelles ». Celui-ci comprenait une proposition de règlement général sur la protection des données personnelles et une proposition de directive spécifique pour les données traitées dans le cadre de la coopération policière et judiciaire en matière pénale, destinées à harmoniser les règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers pour renforcer la protection des personnes physiques à l'égard du traitement de ces données.
La sensibilité de certaines données personnelles, notamment en matière de santé, les enjeux de souveraineté et les demandes de simplification des entreprises sont à l'origine de la longueur du processus de discussion et d'adoption du règlement.
Le Parlement européen a modifié la proposition de règlement et l'a adoptée en première lecture le 12 mars 2014. Les négociations se sont ensuite poursuivies entre les délégations de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne et ont pris fin le 15 décembre 2015 et le texte a finalement été adopté par le Parlement européen après plus de quatre ans de travaux.
1. Les débats au Parlement européen : finalité des traitements et transferts des données
Les points les plus discutés au Parlement européen ont été :
- l'encadrement du transfert des données vers les pays tiers ;
- les sanctions pour les entreprises qui ne respectent pas les règles ;
- l'affirmation du principe de finalité des traitements et le principe, en corollaire, de l'« intérêt légitime » du responsable du traitement pour une autorisation autre de traitement des données personnelles ;
- le droit à l'effacement de ses données personnelles ;
- le consentement explicite de la personne au traitement de ses données personnelles ;
- le droit de la personne concernée à une information dans un langage simple et clair ;
- l'encadrement du profilage ;
- la mise en place de délégués à la protection des données personnelles dans les institutions publiques et les grandes entreprises responsables de ces traitements ;
- le droit pour les personnes concernées d'introduire une plainte auprès des autorités de protection des données de leur choix ;
- l'établissement d'une autorité compétente (« guichet unique ») pour toutes les activités de traitement.
S'agissant de la proposition de directive, au-delà de la nécessité d'appliquer un niveau de protection élevé aux données pénales à caractère personnel, le Parlement a surtout insisté sur l'encadrement du transfert de ces données à des pays tiers et l'interdiction de les utiliser à d'autres fins que celles pour lesquelles elles ont été collectées. D'une manière générale, il a souhaité que les autorités répressives aient accès aux données des personnes reconnues coupables d'une infraction pénale pour des motifs raisonnables, les données des autres personnes n'étant susceptibles d'être traitées que pour la durée nécessaire à l'enquête ou à des fins ciblées et préventives.
L'articulation de la proposition de directive avec la directive « PNR européen » sur le registre européen des passagers alors en cours de discussion et finalement adoptée en avril 2016, a en outre contribué à ralentir son processus d'adoption.
2. L'invalidation du « safe harbour » américain : l'arrêt Schrems de la CJUE
Le processus d'examen a également été perturbé par la décision rendue par la Cour de justice de l'Union européenne le 6 octobre 2015, invalidant le « safe harbour » établi en 2000 par voie d'accord entre la Commission européenne et le département américain du commerce, « pour faciliter le commerce et les relations d'affaires entre les États-Unis et l'Union européenne », qui fournissait un cadre juridique à la circulation des données à caractère personnel en provenance de l'Union vers les États-Unis.
La Cour a en effet estimé que la Commission européenne n'était pas compétente pour assurer que la législation en vigueur aux États-Unis garantissaient « un niveau de protection adéquat » dès lors que les entreprises souscrivaient à un code de conduite après autoévaluation et autocertification de conformité, ce qui leur permettait, sans autre autorisation, de procéder au transfert de données personnelles de citoyens européens.
Dès lors, le Parlement européen a souhaité mieux encadrer les décisions des autorités nationales de contrôle sur le niveau de protection adéquat dans les pays tiers en prévoyant des mécanismes d'évaluation régulière et en élargissant les possibilités de suspension des transferts de données.
* 1 Voir notamment la communication au Conseil COM 2010/543 du 8 octobre 2010 « Une réglementation intelligente au sein de l'Union européenne ».
* 2 Voir notamment l'étude du Conseil d'État « Directives européennes : anticiper pour mieux transposer » (2015).
* 3 La circulaire du Premier ministre du 26 juillet 2017 pose notamment que « toute mesure allant au-delà des exigences de la directive est en principe proscrite ».
* 4 Une plateforme de consultation a été mise en place, dans un premier temps, à l'occasion de l'examen du projet de loi pour un État au service d'une société de confiance qui sera très prochainement examiné par le Sénat. La présidente de la délégation aux entreprises et le président de la commission des affaires européennes ont présenté une communication sur les réponses reçues lors d'une réunion commune le 8 mars 2018.
* 5 Respectivement, art. 8, §1 et art. 16, § 1.
* 6 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, qui ne concerne pas les traitements de données effectués dans le champ de la sécurité publique, la défense ou la sûreté de l'État.
* 7 Directive 2002/58/CE du 12 juillet 2002 du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »).
* 8 COM (2010) 609 final du 4 novembre 2010.