compte rendu intégral
Présidence de Mme Bariza Khiari
vice-présidente
Secrétaires :
M. Jean Boyer,
M. Jean Desessard.
1
Procès-verbal
Mme la présidente. Le compte rendu analytique de la précédente séance a été distribué.
Il n’y a pas d’observation ?…
Le procès-verbal est adopté sous les réserves d’usage.
2
Demande d’inscription à l’ordre du jour d’une proposition de résolution
Mme la présidente. Comme annoncé en séance le jeudi 2 février, je rappelle au Sénat que Mme Brigitte Gonthier-Maurin, présidente de la délégation aux droits des femmes et à l’égalité des chances entre les hommes et les femmes, a demandé l’inscription à l’ordre du jour de la proposition de résolution n° 200, présentée en application de l’article 34-1 de la Constitution, relative à l’application de certaines dispositions de la loi du 9 juillet 2010 concernant les violences faites aux femmes, aux violences au sein des couples et aux incidences de ces dernières sur les enfants, déposée le 15 décembre 2011.
Cette demande a été communiquée au Gouvernement dans la perspective de la réunion de notre conférence des présidents qui se tiendra ce soir.
3
Droit à la protection de la vie privée
Discussion d’une question orale avec débat
Mme la présidente. L’ordre du jour appelle la discussion, à la demande du groupe RDSE, de la question orale avec débat n° 9 de Mme Anne-Marie Escoffier à M. le garde des sceaux, ministre de la justice et des libertés sur le droit à la protection de la vie privée.
Cette question est ainsi libellée :
« Mme Anne-Marie Escoffier attire l’attention de M. le garde des sceaux, ministre de la justice et des libertés, sur la nécessité de garantir à nos concitoyens un véritable droit à la protection de la vie privée.
« Elle rappelle que les progrès technologiques de ces dernières années ont conduit au développement de nouveaux usages des technologies de l’information et de la communication, ainsi qu’à l’apparition de nouveaux comportements de la part de leurs utilisateurs. Dans un monde toujours plus globalisé et dépendant de ces technologies, ces profonds bouleversements ont concomitamment facilité la collecte massive des données personnelles relatives à des millions d’individus, le plus souvent à leur insu, engendrant de la sorte de nouvelles “mémoires numériques”.
« Cette accélération ne va évidemment pas sans soulever des problèmes inédits quant à la protection de la vie privée des individus, a fortiori au regard de la démocratisation de nouvelles formes de sociabilité virtuelle. De surcroît, la lutte contre l’insécurité tend à devenir un prétexte au durcissement des systèmes de contrôle, le champ des libertés se réduisant en conséquence.
« Il importe donc aujourd’hui de mettre en place un droit à l’oubli numérique, corollaire d’une protection effective de la vie privée des citoyens-internautes. Cette indispensable évolution nécessite aujourd’hui de renforcer le poids de la Commission nationale de l’informatique et des libertés, la CNIL, d’une part, en consolidant ses moyens, et, d’autre part, en renforçant ses pouvoirs, et cela, en particulier, au moment où va être révisée la directive européenne de 1995 relative à la protection de la vie privée et des données personnelles, sur l’initiative de la Commission européenne. Un tel élargissement de la légitimité de la CNIL induit notamment de déconcentrer ses moyens d’action au niveau interrégional. Mais cela implique aussi qu’elle soit enfin dotée d’une capacité d’expertise et d’action à la hauteur des nouveaux enjeux, par exemple en matière d’information des usagers, de communication de la durée de conservation des données ou encore de recueil de l’intégralité des failles de sécurité notifiées. Enfin, il conviendrait de faciliter sa saisine par les citoyens et de durcir ses pouvoirs de sanction.
« Tel était le sens du rapport d’information que Mme Anne-Marie Escoffier avait déposé avec son collègue M. Yves Détraigne, La vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l’information (n° 441 2008-2009). Tel était également l’objet de la proposition de loi visant à garantir le droit à la vie privée à l’heure du numérique, adoptée par le Sénat le 23 mars 2010, mais toujours en attente d’inscription à l’ordre du jour de l’Assemblée nationale.
« En conséquence, elle souhaiterait connaître ses intentions sur cette question et plus largement sur la politique que le Gouvernement entend mener pour que soit, enfin, garanti le droit à la protection de la vie privée. »
La parole est à Mme Anne-Marie Escoffier, auteur de la question.
Mme Anne-Marie Escoffier, auteur de la question. Madame la présidente, monsieur le garde des sceaux, ministre de la justice et des libertés, mes chers collègues, lorsque le président du groupe du RDSE a demandé l’inscription de la question orale avec débat sur le droit à la protection de la vie privée à l’ordre du jour de la Haute Assemblée, il ne pouvait prévoir que l’actualité alimenterait notre débat dans les proportions que nous connaissons aujourd’hui.
Avec mon collègue Yves Détraigne, que je salue très amicalement, dès la fin de l’année 2008, nous nous étions saisis, au sein de la commission des lois, du problème de la vie privée à l’heure du numérique. Sur la base de notre rapport publié en mai 2009, le Sénat a adopté, en mars 2010, une proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique.
Les débats suscités par ces deux textes avaient largement mis au jour leurs implications dans les domaines juridiques, économiques, dans les questions de société, et ce bien au-delà de nos seules frontières nationales. Nous avions alors mesuré l’absolue nécessité d’une vigilance accrue sur les nouvelles facilités apportées par les technologies de la communication et de l’information ; cependant, nous nous étions bien gardés de diaboliser d’une quelconque manière un outil – l’informatique – qui, en tant que tel, doit être mis au service de l’homme sans jamais l’asservir.
Avec les avancées technologiques, qui, chaque jour, rendent ces outils à la fois plus performants et plus intrusifs, avec la propension des administrations à vouloir mieux maîtriser l’information sous toutes ses formes, avec le renforcement du besoin sécuritaire et du concept du « zéro risque » jusqu’à l’excès, avec les formidables opportunités qu’offrent les opérateurs sur internet à des publics peu vigilants, avec la multiplication des réseaux sociaux – et j’en passe –, vous l’aurez compris, on met en péril la protection des données personnelles.
Or, « on », ce n’est pas seulement l’autre, ce n’est pas seulement Google, qui, sous couvert d’une nouvelle charte de confidentialité, va permettre de croiser des données privées et de les diffuser presque sans limites ; ce ne sont pas uniquement tous ces réseaux sociaux qui peuvent aller jusqu’à nous dépouiller de notre dignité ; « on », c’est chacune et chacun de nous qui, consciemment ou non, s’expose et expose autrui.
Dès lors s’impose, à nos yeux, la nécessité d’ouvrir une nouvelle fois ce débat en nous interrogeant non seulement sur les garanties que les dispositifs juridiques existants apportent à notre liberté, mais aussi sur les déviations éventuelles auxquelles il nous faut être particulièrement vigilants et sur les solutions à apporter pour que la protection des données personnelles s’inscrive dans une démarche cohérente et pérenne.
Monsieur le garde des sceaux, en tant que ministre de la justice et des libertés, vous ne pouvez être que sensible à ce débat qui vise à défendre l’une des valeurs essentielles de la République : la liberté du citoyen.
Permettez-moi de revenir un instant sur la proposition de loi que M. Yves Détraigne et moi-même avions déposée avec conviction et enthousiasme. (M. Yves Détraigne acquiesce.) Examiné par la commission des lois, ce texte avait été enrichi des apports de notre rapporteur, Christian Cointat, et des amendements de la Haute Assemblée.
Nous nous étions fondés sur le constat que le droit à la vie privée de tout individu est aujourd’hui indissociable de l’exercice par celui-ci de ses propres libertés. Ce droit recouvre à la fois la notion d’intimité, qui exclut toute immixtion extérieure dans la sphère privée, et celle d’autonomie, à savoir le droit de mener son existence comme on l’entend, sous réserve de limitations légitimes.
Si la protection de la vie privée est consacrée par le droit, notamment par la Déclaration universelle des droits de l’homme, la Convention européenne des droits de l’homme et par le code civil, dont l’article 9 édicte le principe à valeur constitutionnelle de droit à la protection de la vie privée, il n’existe, en revanche, aucune définition légale de cette notion ; la délimitation de ses contours est laissée à l’initiative de la jurisprudence.
Or l’émergence de nouvelles technologies dans la vie quotidienne a pour effet de soulever des problématiques inédites quant à la protection de la vie privée : les différentes formes de traçabilité des faits et gestes des individus, dans l’espace et le temps, avec les systèmes de géolocalisation, de vidéosurveillance – aujourd’hui qualifiés de systèmes de vidéoprotection – ou, par exemple, les nanotechnologies, peuvent constituer autant d’atteintes à la vie privée.
Toutefois, le danger ne vient pas toujours des autres ou des instruments extérieurs, il procède parfois de l’individu lui-même, qui développe l’exposition volontaire de sa propre vie privée à autrui, notamment sur les blogs et les réseaux sociaux.
On l’a récemment constaté, cette tendance est à la fois propre aux mineurs et aux adultes – qu’ils soient jeunes ou non, du reste – qui se laissent séduire par ces nouveaux modes de communication que d’aucuns analysent comme une réaction à une société de l’isolement et de l’enfermement.
Face à ces deux tendances privatives de liberté – dans des formes certes différentes – se pose la question de savoir si le cadre juridique français est adapté et suffisant pour concilier le droit à la vie privée et la liberté de tout individu.
Notre corpus juridique repose essentiellement sur le triptyque suivant : la loi du 6 janvier 1978 dite « informatique et libertés », la directive européenne de 1995 relative à la protection des données personnelles et la loi du 6 août 2004, qui procède à la transposition de cette directive européenne.
Cette législation a le mérite d’avoir fixé des principes indépendants de l’évolution des technologies et, partant, pérennes, qui imposent pour chaque application informatique que soient préservées les sept règles suivantes : la finalité, la proportionnalité, la sécurité des données, le droit d’accès et de rectification, le droit à l’information, le droit d’opposition et le droit au consentement préalable.
Néanmoins, face aux évolutions sociétales, confronté au droit international, notre cadre juridique actuel est clairement insuffisant, et l’objectif de la Haute Assemblée, en adoptant notre proposition de loi, était de lui apporter les adaptations nécessaires. J’en rappellerai rapidement les six principales.
Premièrement : faire du citoyen un homo numericus responsable, en confiant à l’éducation nationale une mission d’information sur la protection des données personnelles et en apportant une meilleure information, spécifique, claire, accessible et permanente sur toutes les formes de données.
Deuxièmement : assurer une plus grande effectivité au droit à l’oubli numérique, en facilitant l’exercice du droit à la suppression de certaines données, notamment auprès des juridictions civiles.
Troisièmement : conforter le statut et les pouvoirs de la CNIL pour promouvoir une culture « informatique et libertés », notamment dans le cadre du développement des correspondants informatique et libertés, du renforcement des sanctions et de la notification obligatoire des failles de sécurité.
Quatrièmement : clarifier le statut de l’adresse IP comme donnée personnelle ; il s’agit d’un point essentiel que nous avions tenu à inscrire dans notre proposition de loi.
Cinquièmement : mieux encadrer la création de fichiers de police.
Sixièmement, enfin : anticiper la révision de la directive européenne de 1995 au regard du droit applicable aux responsables de traitement informatique situés en dehors de l’Union européenne, mais visant un public français.
Au total, ce texte, adopté à l’unanimité – je le souligne, monsieur le garde des sceaux –, traduisait résolument la volonté de concilier de manière équilibrée les différents intérêts en présence, qu’il s’agisse des internautes, des responsables de traitement des données ou des opérateurs, en veillant à l’harmonie entre protection de la vie privée et liberté des systèmes d’information.
Dès lors, comment comprendre et comment accepter que ce texte, transmis pour examen à l’Assemblée nationale, ait été purement et simplement écarté, oublié ? Nous avions certes mesuré qu’il était encore perfectible, mais c’est précisément pourquoi nous comptions sur le travail de nos collègues députés.
Au demeurant, le Gouvernement nous avait indirectement suggéré tout l’intérêt de notre démarche, qui, en anticipant la révision de la directive européenne, contraignait l’Europe à prendre position sur un dossier reconnu par tous comme essentiel. Il avait même le projet de conclure, très vite disait-on, une charte protectrice des données personnelles. Au lieu de cela, rien !
Nous aimerions bien comprendre, monsieur le garde des sceaux, les raisons de ce vide et les éventuels intérêts qu’il dissimule. Nombreux sont en effet les problèmes qui se posent chaque jour et qui auraient pu trouver, avec ce texte, ne serait-ce qu’un début de solution. C’est précisément le deuxième sujet que je souhaite aborder aujourd’hui.
Comme tous les parlementaires, me semble-t-il, j’ai été interrogée par le collectif national de résistance à « base élèves ». J’avais déjà été questionnée à ce sujet, et ce depuis longtemps, par les enseignants et les parents d’élèves de mon département.
Je m’étais efforcée d’expliquer aux Aveyronnais que le fichier « base élèves », expurgé des données contestables retirées par l’arrêté d’octobre 2008, était un fichier « pur », de simple gestion administrative, remplaçant simplement les bonnes vieilles fiches papier écrites au crayon.
C’était sans compter avec la juxtaposition de deux nouveaux fichiers, la base nationale des identifiants élèves, la BNIE, et l’identifiant national élève, ou INE, qui permet l’interconnexion et la traçabilité complète d’un enfant pendant sa vie scolaire, étudiante, voire professionnelle, si on lui applique la loi relative à l’orientation et à la formation professionnelle tout au long de la vie.
Fort heureusement, par un arrêt du 19 juillet 2010, le Conseil d’État a annulé l’arrêté de création du fichier « base élèves premier degré » du ministre de l’éducation nationale, au motif que les services du ministère avaient commencé à utiliser le fichier sans attendre le récépissé de la déclaration à la CNIL.
Ce problème de forme, et non de fond, a provoqué la même sanction pour le deuxième fichier, la BNIE, qui attribue un matricule à chaque enfant scolarisé dès trois ans.
Mais qu’en est-il du troisième fichier, l’INE, dont j’ignore le parcours et les intentions du ministre de l’éducation nationale à son égard ? Peut-être les connaissez-vous, monsieur le garde des sceaux ? À défaut, vous aurez probablement le souci d’interroger votre collègue sur ce point. Notre crainte, vous l’aurez deviné, est de voir entrer par la fenêtre ce qui a été chassé par la porte.
L’autre problème, que vous connaissez bien et qui nous a opposés, est celui de la proposition de loi relative à la protection de l’identité, une proposition toujours en navette, qui vise notamment à réglementer les bases de données biométriques relatives aux titres d’identité et qui entend renforcer les garanties de protection des données.
Députés et sénateurs butent sur l’utilisation du fichier biométrique à des fins de recherche criminelle. Avec M. Pillet, rapporteur de ce texte pour le Sénat, je plaide pour l’utilisation d’une technologie dite « à lien faible », qui limite l’usage du fichier à la seule lutte contre la fraude documentaire et qui interdit que soit fiché l’ensemble de la population vivant sur notre territoire national, ce que permettrait la technologie proposée par l’Assemblée nationale, beaucoup plus invasive.
Je voudrais encore évoquer les débats que nous avons eus ici s’agissant du passeport biométrique. Pour répondre au règlement de l’Union européenne du 13 décembre 2004, lui-même dicté par l’Organisation de l’aviation civile internationale, qui prévoyait un « support de stockage de haute sécurité » pour les passeports délivrés par les États membres, la France a mis en œuvre, dans deux décrets successifs, des mesures de collecte et de traitement des données personnelles contestables et contestées.
C’est d’abord un décret du 30 décembre 2005 qui a prévu l’inclusion dans les passeports d’un « composant électronique » comprenant l’ensemble des mentions devant figurer sur le passeport ainsi que l’image numérisée du visage du demandeur. Dans le même temps, ce décret a autorisé la création d’un fichier informatique national destiné non seulement à mettre en œuvre les procédures d’établissement, de délivrance, de renouvellement, de remplacement et de retrait des passeports, mais aussi à prévenir, détecter et réprimer leur falsification et leur contrefaçon.
C’est ensuite un décret du 30 avril 2008, modifiant celui de 2005, qui a prévu d’inclure sur ledit passeport l’image numérisée du visage ainsi que des empreintes digitales de huit doigts du demandeur, et non pas seulement des deux doigts exigés par le règlement de 2004 de l’Union européenne. Ce décret prévoyait en outre que l’ensemble de ces données biométriques seraient enregistrées dans le fichier national dénommé TES, titres électroniques sécurisés.
Saisi par plusieurs associations de défense des droits, le Conseil d’État a eu à se prononcer sur ces dispositions réglementaires et a jugé que le système centralisé TES ne portait pas atteinte au droit des individus au respect de leur vie privée. En revanche, il a jugé que la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles qui figurent dans le composant électronique ne sont ni adéquates ni pertinentes et qu’elles apparaissent excessives au regard des finalités du traitement informatisé. Il a donc annulé partiellement l’article 5 du décret, en tant qu’il prévoit la conservation des empreintes digitales qui ne figurent pas dans le composant électronique du passeport.
Ces trois exemples – base élèves, protection de l’identité, passeport biométrique –, parmi d’autres, permettent de souligner, une fois encore, la sensibilité du sujet et la vigilance qu’il nous faut, ensemble, exercer à l’endroit de ces dispositifs. S’ils peuvent, de prime abord, paraître anodins, ils ne le sont en vérité nullement, dès lors qu’ils contreviennent au principe premier de la protection de la vie privée.
J’en viens maintenant à mon troisième point, d’une actualité toute récente et qui ne manque pas de créer une véritable inquiétude chez toutes celles et tous ceux qui sont attachés au principe fondamental que je viens de rappeler. Je veux parler des orientations fixées par la Commission européenne dans sa communication du 25 janvier dernier relative à la protection des données, communication préparatoire à la révision de la directive européenne de 1995.
Puis-je à nouveau, monsieur le garde des sceaux, vous faire observer que je regrette profondément, avec d’autres, que notre proposition de loi n’ait pas dépassé les marches du Sénat : nous ne serions probablement pas confrontés aux difficultés que je vais à présent souligner.
Je reviens donc à cette communication, dont se dégagent trois axes de réflexion : le renforcement des droits des personnes physiques quant à la protection des données personnelles ; la simplification de l’environnement juridique favorisant le développement de l’économie numérique dans l’ensemble du marché unique de l’Union européenne ; enfin, la coopération entre les autorités répressives, gage d’efficacité de la lutte contre la cybercriminalité en Europe.
Sur le premier point, celui de la maîtrise pour les personnes physiques des données les concernant, nous ne pouvons que nous réjouir des conclusions retenues, qui confortent les notions de consentement exprès, de droit à l’oubli et de droit à l’information, qui renforcent la sécurité des données et qui accroissent la responsabilité des personnes traitant les données.
S’agissant de la simplification en matière de formalités administratives pour les entreprises, il faut saluer la place accordée aux correspondants informatique et libertés et la mise en place d’outils de protection au sein même des entreprises. Ces dernières se verront sanctionnées plus lourdement qu’aujourd’hui si elles ne respectent pas les nouvelles obligations qui leur seront imposées. Il faut relever encore l’amélioration qu’apportera une coopération accrue sur le plan européen.
En revanche, la CNIL, qui est au cœur du dispositif de régulation et de contrôle du traitement des données informatiques, a eu l’occasion, tant auprès de la commission des lois que de moi-même, de venir dire son inquiétude sur le risque important d’éloignement entre les citoyens européens et leurs autorités nationales.
Le projet de règlement prévoit en effet que l’autorité compétente soit celle où se situe l’établissement principal d’une entreprise, quel que soit le public ciblé par son activité. Ainsi, sur la base de ce critère d’établissement principal, le plus souvent hors de notre périmètre européen, le système de régulation que nous connaissons se trouvera décentré, ce qui réduira l’autorité française à un simple rôle information. En effet, dans ce système, les autorités nationales verront leur rôle limité, au mieux, à une simple consultation.
Une telle réforme, si elle était actée, aurait pour conséquence grave de renforcer l’image bureaucratique et lointaine des institutions communautaires, avec une gouvernance mal assise.
La CNIL a eu l’occasion de dire sa vive opposition à un tel système, qui constituerait « une véritable régression vis-à-vis des droits des citoyens » et conduirait « à une centralisation de la régulation de la vie privée au profit d’un nombre limité d’autorités, au profit également de la Commission, qui dispose d’un pouvoir normatif important ».
Nous sommes nombreux à avoir perçu les dangers d’un système qui renierait le besoin de coopération approfondie entre autorités compétentes.
À l’instant, je viens d’apprendre que la proposition de résolution européenne de notre collègue député Philippe Gosselin a été adoptée hier par la commission des affaires européennes de l’Assemblée nationale. Belle initiative que le Sénat pourrait reprendre à son compte pour que soit préservé, dans un contexte de forte concurrence internationale, le droit fondamental à la vie privée, qui conditionne l’exercice de bien d’autres libertés !
M. Gaëtan Gorce. Très bien !
Mme Anne-Marie Escoffier. Monsieur le garde des sceaux, mes chers collègues, je vous remercie des apports, réflexions et autres observations que vous apporterez à mon intervention, pour nourrir un débat dont chacun a pu mesurer l’intérêt et les conséquences dans notre vie de tous les jours. (Applaudissements.)
Mme la présidente. La parole est à M. Yves Détraigne.
M. Yves Détraigne. Madame la présidente, monsieur le garde des sceaux, mes chers collègues, en adoptant, il y a plus de trente ans, la loi du 6 janvier 1978 dite « informatique et libertés », notre pays a joué un rôle précurseur dans la protection des données personnelles. En dégageant les grands principes, rappelés par Anne-Marie Escoffier, de finalité, de proportionnalité, de droit d’accès et de rectification ainsi que de droit d’opposition à l’utilisation des données personnelles, le législateur français traçait la voie d’un cadre juridique visant à concilier le développement inévitable des fichiers informatiques avec la protection de la vie privée et des libertés individuelles.
En créant la CNIL, le législateur mettait également en place l’outil permettant de vérifier l’effectivité de ces principes et, le cas échéant, d’en sanctionner le non-respect.
Cette législation a largement contribué à l’élaboration du droit européen dans ce domaine et s’est avérée, au fil du temps, suffisamment souple et équilibrée pour conserver toute sa pertinence face aux nombreuses évolutions techniques et à la multiplication des traitements et fichiers auxquels nous n’avons cessé d’assister depuis lors dans le domaine du numérique, des nouvelles technologies et des pratiques qui en découlent.
Le développement exponentiel et sans frontière des technologies numériques de communication et d’enregistrement des données, d’une part, et la tendance de plus en plus forte des individus, notamment des plus jeunes, à communiquer par ce biais des informations personnelles et parfois sensibles, d’autre part, en particulier via les réseaux sociaux, nécessitent absolument que l’on revisite la législation applicable et qu’on l’adapte aux nouveaux défis auxquels sont confrontées la protection des données personnelles et la sauvegarde de la vie privée.
La proposition de loi, adoptée à l’unanimité par notre assemblée en mars 2010, à la suite du rapport d’information que j’avais publié avec Anne-Marie Escoffier en mai 2009, contenait un certain nombre de dispositions visant à répondre à ces nouveaux défis.
Je pense ainsi à la sensibilisation, dès l’école, des jeunes aux dangers de l’exposition de soi sur internet, mesure aujourd’hui inscrite dans la loi grâce à notre collègue Catherine Morin-Desailly, et dont il serait d’ailleurs intéressant que vous nous indiquiez, monsieur le garde des sceaux, comment elle est mise en application dans les faits.
Je pense également aux mesures visant à donner une plus grande effectivité au droit à l’oubli numérique, notamment par l’obligation de fournir aux internautes une information claire et accessible sur la durée de conservation de leurs données, l’exercice plus facile du droit à la suppression des informations personnelles, la possibilité de saisir plus efficacement qu’aujourd’hui les juridictions en cas d’impossibilité d’exercer ce droit ou encore le renforcement des moyens et des pouvoirs de sanction de la CNIL.
Force est cependant de constater que, si cette proposition de loi a été adoptée à l’unanimité au Sénat, elle l’a été contre l’avis du Gouvernement, et n’a jamais été inscrite à l’ordre du jour de l’Assemblée nationale.
Le Gouvernement a préféré s’orienter, en avril 2010, vers une charte sur le droit à l’oubli numérique, qui poursuivait un double objectif : d’une part, faciliter l’exercice d’un droit de suppression des informations sur une personne pouvant être publiées par des tiers et susceptibles de lui être un jour préjudiciables – cela concerne notamment les blogs, les réseaux sociaux et les sites de partage de vidéo ; d’autre part, améliorer la transparence de l’exploitation des traces de navigation – les fameux cookies – à des fins commerciales.
« C’est en travaillant tous ensemble que nous pourrons améliorer la protection de la vie privée et la mise en œuvre du droit numérique. Les acteurs du Web ont répondu à mon appel et participent à la concertation visant à définir les bonnes pratiques à mettre en œuvre », déclarait à cette époque la ministre en charge du dossier.
Las, si la charte a bien été signée par la plupart des acteurs du numérique en octobre 2010, notamment Microsoft, PagesJaunes, Copains d’avant, force est de constater que les deux géants du Web que sont Google et Facebook ne l’ont pas signée et ont préféré mettre en place leurs propres systèmes de protection des données, tout en multipliant – la presse s’en fait suffisamment l’écho – les systèmes d’interconnexion et de profilage de plus en plus précis des internautes, dont le moins que l’on puisse dire est qu’ils ne rassurent pas vraiment.
Voilà maintenant que la Commission européenne reprend la main en proposant un corpus de règles relatives à la protection des données et qui sera valable dans toute l’Union : obligation pour les gestionnaires de données de notifier dans les meilleurs délais à l’autorité nationale de contrôle les violations graves de données à caractère personnel ; droit à l’oubli numérique qui permettra aux citoyens de l’Union d’obtenir la suppression des données les concernant si aucun motif légitime ne justifie leur conservation ; renforcement des moyens des autorités nationales chargées de la protection des données. Autant de propositions qui figuraient dans le rapport de la commission des lois de mai 2009...
La Commission européenne prévoit également l’application des règles européennes aux traitements de données à caractère personnel réalisés hors Union européenne par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union ainsi que l’intervention – pour régler un problème lié à la protection des données – de l’autorité de protection du pays de l’Union où l’entreprise a son établissement principal, quel que soit le pays où ce problème a eu lieu.
Ce système va dans le bon sens en ce qu’il reprend les grands principes que nous avons proposés, mais, en choisissant de laisser la juridiction à la « CNIL », si je puis dire, du lieu d’implantation principale de l’entreprise fautive, on risque d’assister à une délocalisation de certains opérateurs du numérique vers les pays les moins-disants de l’Union européenne en matière de protection des données.
Quand on sait l’apport des nouvelles technologies à la création de richesses dans nos pays, en France notamment, je ne suis pas sûr que ce soit une bonne nouvelle pour notre pays.
Monsieur le garde des sceaux, faute d’avoir tenu compte des avertissements lancés à plusieurs reprises par notre collègue Alex Türk lorsqu’il était président de la CNIL et faute d’avoir donné suite à la proposition de loi que nous avions adoptée au Sénat en 2010, notre pays est maintenant au pied du mur. Comme Anne-Marie Escoffier – que je remercie d’avoir provoqué ce débat très intéressant d’aujourd’hui –, vous comprendrez donc que je souhaite que les intentions du Gouvernement dans ce domaine soient enfin, si je puis dire, précisées.
La commission des affaires européennes de l’Assemblée nationale, pas plus tard qu’hier – cela vient d’être dit –, a adopté une proposition de résolution de Philippe Gosselin sur la proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Dans cette proposition de résolution très détaillée, nos collègues députés s’inquiètent notamment de la juridiction qui serait donnée à l’autorité de contrôle du pays où l’entreprise fautive a son établissement principal et des conséquences négatives que j’évoquais rapidement à l’instant. Ce texte « invite le Gouvernement français à se saisir de cette question dans les plus brefs délais et à défendre une réforme plus respectueuse des droits de nos concitoyens, en accord avec la position défendue publiquement par la Commission nationale de l’informatique et des libertés ».
Monsieur le garde des sceaux, je ne peux que joindre ma voix à celle des députés. (Applaudissements sur les travées de l'UCR, du groupe socialiste et du groupe écologiste, ainsi que sur certaines travées du RDSE.)