Monsieur le président, mes chers collègues, la mission d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française qui nous a été confiée en novembre dernier comporte des enjeux essentiels en matière économique, mais aussi en termes de protection des personnes, sur cet espace extrêmement concret qu'est internet.
La directive du 24 octobre 1995 a constitué une première étape dans l'élaboration à l'échelon européen d'un cadre juridique d'ensemble relatif à la protection des données personnelles. Cette époque était celle de l'arrivée des combinés téléphone-fax-imprimante, mais aussi des premiers téléphones portables – des modèles qui pesaient alors plus d'un kilo. La considérable évolution technologique à laquelle on a assisté en vingt ans a eu des conséquences très importantes en matière économique, ainsi qu'en termes d'indépendance nationale et d'activité concrète des personnes physiques et morales sur les réseaux sociaux, qui se sont développés massivement au cours de ces dernières années.
La directive, élaborée dans le contexte des débuts d'internet, n'a donc pas pris en compte les évolutions technologiques majeures intervenues du fait de son développement. De plus, les marges de manoeuvre laissées par le texte ont entraîné, en pratique, des différences substantielles dans les législations nationales à l'intérieur de l'Union européenne, ce qui n'est pas sans importance dans le contexte de compétition économique mondiale.
C'est pourquoi, compte tenu des évolutions du secteur, de sa force économique et de la nécessité de renforcer la protection offerte aux citoyens en la matière, la Commission européenne a souhaité, dès 2012, rénover le cadre existant afin de l'adapter aux nouvelles réalités du numérique. Après quatre ans de négociations lourdes, complexes, et ayant donné lieu à de nombreuses tergiversations, l'adoption du règlement général sur la protection des données, le 27 avril 2016 – sans doute sous l'influence de « l'affaire Snowden » – constitue l'aboutissement de cette volonté.
Ce règlement a été complété par une directive sur les données policières et judiciaires, ces deux textes constituant de fait le « paquet données personnelles ».
Le règlement du 27 avril 2016 sera applicable à compter du 25 mai 2018, date à laquelle la directive du 24 octobre 1995 sera abrogée. Il est donc nécessaire d'adapter préalablement notre cadre législatif, principalement défini par la loi du 6 janvier 1978, qui constitue le socle juridique de la protection des données personnelles en France et a été à l'origine de la création de la Commission nationale de l'informatique et des libertés (CNIL).
La loi du 7 octobre 2016 pour une République numérique, défendue au nom du Gouvernement par Mme Axelle Lemaire, a permis un renforcement significatif de la protection des données personnelles. Elle n'a pas cependant couvert l'ensemble du champ du règlement et une révision de la loi du 6 janvier 1978 est indispensable pour abroger les dispositions incompatibles ou redondantes et adopter des dispositions nouvelles répondant à l'évolution du paysage numérique et technologique en Europe et dans le monde.
Afin de préparer ces travaux législatifs, la commission des Lois a décidé, le 3 novembre 2016, la création d'une mission d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française. Compte tenu des délais restreints dans lesquels la mission d'information a mené ses travaux, nous avons fait le choix d'analyser en priorité l'impact du règlement, qui constitue le futur cadre général de la protection des données personnelles en Europe, donc en France.
De manière générale, la France a approuvé les objectifs d'approfondissement du cadre législatif de la directive du 24 octobre 1995 et de renforcement des droits des personnes concernées – contrairement à ce que l'on pourrait croire, cela n'est pas une évidence. Elle s'est opposée à toute disposition du règlement créant un recul par rapport au niveau de protection des droits des personnes tel qu'il était assuré jusqu'à présent par cette directive.
Elle s'est notamment montrée défavorable à l'établissement d'une catégorie distincte de données à caractère personnel pour les données pseudonymisées – ce qui a donné lieu à un vrai combat – et s'est opposée à l'application du critère de l'établissement principal pour déterminer quelle autorité de contrôle sera compétente en cas de traitement de données concernant les résidents de plusieurs États membres, afin d'éviter le phénomène de forum shopping, consistant, pour un demandeur, à choisir la juridiction du pays dont la loi lui est le plus favorable. Le règlement crée donc une instance de supervision européenne, indépendante de la Commission européenne et ayant une vocation supranationale pour régler les différends – ce qui constitue une avancée à mettre au crédit de la France et de l'Allemagne.
Le texte final est le résultat d'un compromis, mêlant des dispositions harmonisées à de multiples renvois aux droits nationaux – une cinquantaine, ce qui est beaucoup –, ce qui en fait un règlement sui generis. En dépit des nombreuses marges de manoeuvre laissées aux États membres, le règlement constitue une véritable révolution en matière de protection des données personnelles, dont il ne faut pas sous-estimer la portée pour notre pays et nos concitoyens.
En effet, le règlement consolide les droits des personnes en renforçant les conditions applicables au consentement des personnes au traitement des données les concernant et en consacrant de nouveaux droits, comme le droit au déréférencement ou le droit à la portabilité. Cette avancée, très novatrice à l'échelle européenne, n'est pas simple à mettre en oeuvre sur les plans technique et juridique : il y aura là beaucoup de travail, au cours des années qui viennent, pour les juristes comme pour les informaticiens.
Le règlement encadre également les conditions du recours au profilage, c'est-à-dire aux traitements de données personnelles visant à évaluer certains aspects personnels. Cette technique représente un risque pour la vie privée, qui ne doit pas être négligé.
Les actions collectives en matière de protection des données personnelles sont autorisées. Les États membres pourront prévoir dans leur droit national que ces actions peuvent tendre à la réparation du préjudice subi.
Par ailleurs, le règlement a un champ d'application élargi : le droit européen s'appliquera chaque fois qu'un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris par internet ou par le biais d'objets connectés.
Alors que la directive du 24 octobre 1995 concerne essentiellement les responsables de traitements, le règlement européen « égalise » les obligations applicables aux sous-traitants et aux responsables de traitements, qui verront leur responsabilité conjointement engagée en cas de manquement à leurs obligations. Ce n'était pas le cas auparavant, ce qui exonérait les grandes sociétés de services informatiques de toute responsabilité en la matière.
Alors que la directive de 1995 reposait en grande partie sur l'existence de formalités préalables – déclaration, autorisations –, le règlement européen repose sur une logique de conformité et de responsabilité, dite d'accountability. L'idée est de faire en sorte que les institutions chargées de protéger les Français n'aient pas pour seule attribution de délivrer des autorisations, mais aussi d'accompagner le développement de l'économie, de manière à assurer la protection des personnes sans entraver l'activité économique.
La responsabilisation des entreprises est concrétisée par l'affirmation des principes de la « protection des données dès la conception » – privacy by design – et de « protection des données par défaut » – privacy by default –, qui imposent aux responsables de traitement de mettre en oeuvre toutes les techniques nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service et par défaut. Nous sommes passés à une logique de prévention – chaque entreprise devra se demander si elle a fait tout ce qu'elle aurait dû ou pu faire pour assurer la protection de ses données –, ce qui constitue également une révolution.
Des analyses de l'impact des traitements sur la protection des données à caractère personnel devront être conduites par les responsables de traitement lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si la notion de « risque élevé » n'est pas définie, elle constitue cependant une condition à laquelle les entreprises devront veiller.
Avec ce règlement, nous sommes en train de construire à l'échelle européenne un droit constituant une interface entre la common law anglaise et le droit romain, fondement de la législation française.
La désignation d'un délégué à la protection des données sera obligatoire d'une part dans le secteur public, d'autre part dans le secteur privé lorsque l'activité principale d'une entreprise concernera le suivi régulier et systématique des personnes à grande échelle ou le traitement à grande échelle de données sensibles ou relatives à des condamnations – comme on le voit, le critère retenu est celui de la puissance, du nombre de fichiers, de la masse de données.
Les responsables de traitement devront notifier les violations de données personnelles à l'autorité de contrôle, ainsi qu'aux personnes concernées en cas de risque élevé pour leurs droits et libertés. Le règlement prévoit des délais assez courts pour que les entreprises découvrant une faille de sécurité en informent l'autorité de contrôle et règlent le problème.
Le règlement donne aux autorités de contrôle la possibilité de prononcer des amendes administratives pouvant atteindre, selon la catégorie de l'infraction, 10 à 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu : il est logique que, dans un secteur à forte valeur ajoutée, les amendes puissent atteindre des montants très élevés. Ces dispositions sont la manifestation de la puissance européenne.
Nous estimons qu'une attention particulière devra être accordée aux petites et moyennes entreprises, ainsi qu'aux entreprises naissantes, qui pourront rencontrer des difficultés pour respecter les nouvelles obligations posées par le règlement : en effet, il ne faudrait pas que le règlement empêche des TPE ou des PME d'émerger ou de se développer.
Enfin, ce règlement promeut l'affirmation d'une conception européenne de la protection des données personnelles, différant de celle promue notamment par les États-Unis. Comme l'ont rappelé plusieurs personnes entendues par la mission, cette conception, qui pourra paraître a priori contraignante pour les acteurs du numérique, constitue une opportunité de faire de l'Union européenne un espace où les entreprises, quelle que soit leur taille, pourront faire valoir la protection des données personnelles comme un avantage compétitif et non comme une restriction de leurs libertés. Si les personnes physiques sont souvent friandes de modernité, elles n'en sont pas moins attachées au respect de leur intimité.
L'Union européenne représente un marché de consommateurs important, notamment en matière de pouvoir d'achat, dans le domaine du numérique : il ne s'agit donc pas seulement d'un enjeu de protection des données des résidents européens, mais également d'un enjeu économique et technologique. Au sein de l'Europe, mais aussi à l'échelle du monde, il faut absolument que la France sache prendre la place qui lui revient au cours des années à venir.
Cependant, cette différence de conception entre les États-Unis et l'Union européenne n'est pas sans conséquence sur les transferts de données des usagers européens vers les entreprises américaines. En effet, si le règlement autorise les responsables de traitement et les sous-traitants à transférer des données hors de l'Union européenne, ce n'est que dans la mesure où ces transferts garantissent un niveau de protection suffisant et approprié des données personnelles. En la matière, il faudra donc faire preuve d'une vigilance particulière.
La Cour de justice de l'Union européenne a, par un arrêt Schrems du 6 octobre 2015, invalidé la décision de la Commission européenne constatant que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées et permettant l'application de l'accord conclu entre les États-Unis et l'Union européenne, appelé « Sphère de sécurité » ou Safe Harbor. À la suite de cet arrêt, la Commission a conclu en février 2016 un nouvel accord avec les États-Unis portant sur le cadre des transferts transatlantiques de données, le « bouclier vie privée Union européenne-États-Unis » – EU-US Privacy Shield.
Or la pérennité de cet accord pourrait être remise en question dans les mois qui viennent, compte tenu : de certaines réserves émises sur celui-ci par le groupe qui rassemble les « CNIL » des États membres – appelé G29 – ; de la remise en cause par le président américain Donald Trump – notamment par le décret adopté le 25 janvier 2017 – des garanties accordées aux citoyens de l'Union européenne en matière de protection des données personnelles sous la présidence de Barack Obama ; enfin du recours déposé par plusieurs associations contre cet accord devant la Cour de justice de l'Union européenne.
Le monde occidental se trouve donc à un moment de son histoire où il doit faire face à une situation compliquée, ce qui nous ouvre un espace de travail considérable dans les mois et les années à venir si l'on veut éviter que la question de la protection des données personnelles des résidents européens ne soit instrumentalisée par les États-Unis et leur président.