Les récents progrès technologiques ont suscité de nouveaux usages qui, au-delà de l'attrait qu'ils peuvent susciter, sont susceptibles de porter atteinte au respect de la vie privée. Les enjeux sont à la fois civils et commerciaux, et liés à la lutte contre le crime organisé et le terrorisme. La difficulté à les traiter se traduit notamment dans la durée des négociations en cours entre l'Union européenne et les États-Unis sur l'accord sur les données des passagers aériens (dit accord « PNR »). Notre assemblée a régulièrement l'occasion de débattre de ces sujets : en février 2012, notre collègue Philippe Gosselin avait présenté devant la commission des Affaires européennes des conclusions qui restent très pertinentes sur le projet de révision de la directive européenne du 24 octobre 1995 relative à la protection des données personnelles. Cette révision offre l'occasion unique de relever le niveau de protection en Europe.
Il existe d'ores et déjà un cadre juridique européen riche et exigeant en matière de protection des données personnelles, qui repose principalement sur la directive du 24 octobre 1995. Ce texte européen de référence, qui s'applique à toutes les bases de données personnelles, tant dans le secteur public que dans le secteur privé, assure un champ de protection large, reprenant l'essentiel des dispositions de notre loi « Informatique et libertés » du 6 janvier 1978. La directive du 24 octobre 1995.
Le Traité de Lisbonne a cependant introduit une nouvelle base juridique pour la protection des données à caractère personnel dans l'ensemble des politiques de l'Union. En effet, l'article 16 du traité sur le fonctionnement de l'Union européenne rappelle que « toute personne a droit à la protection des données à caractère personnel la concernant » et confie, pour ce faire, au Parlement européen et au Conseil « le soin de fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données ». Dans cette perspective, la révision de la directive du 24 octobre 1995 est l'occasion pour l'Union européenne de se doter d'un corpus de règles générales sur la protection des données personnelles, dont l'application serait étendue aux domaines de la coopération policière et judiciaire en matière pénale.
Le processus de révision du cadre juridique européen en matière de protection des données personnelles a été initié en 2009. À la suite de nombreuses consultations, la Commission européenne a publié le 4 novembre 2010 une communication stratégique intitulée : Une approche globale de la protection des données à caractère personnel dans l'Union européenne, marquant ainsi le lancement de ses travaux.
La révision de cette directive, qui se veut ambitieuse, globale et cohérente, est fondamentale, puisqu'elle doit être l'occasion d'un alignement par le haut des législations nationales régissant la protection des données personnelles. En effet, certains de nos voisins européens ne partagent pas tous cette ambition et souhaitent des règles du jeu a minima.
En l'état actuel, la directive du 24 octobre 1995 n'a que partiellement rempli son objectif d'une harmonisation des législations nationales en matière de protection des données personnelles. En effet, la directive reconnaît aux États membres une marge de manoeuvre dans certains domaines et elle les autorise à maintenir ou à introduire des régimes particuliers pour des situations spécifiques. Ces éléments, combinés au fait que les États membres appliquent parfois incorrectement la directive, sont à l'origine de divergences entre les législations nationales la transposant.
Le 25 janvier 2012, après avoir hésité à présenter un texte unique, révisant à la fois la directive du 24 octobre 1995 et la décision-cadre du 27 novembre 2008, la Commission européenne a présenté deux projets distincts relatifs à la protection des données :
— d'une part, une proposition de règlement révisant la directive du 24 octobre 1995 et concernant donc principalement les fichiers civils et commerciaux ;
— d'autre part, un projet de directive, révisant la décision-cadre du 27 novembre 2008 sur les fichiers de souveraineté qui inclut les traitements nationaux de fichiers des États membres.
Les principales modifications envisagées par la Commission européenne, dans sa proposition de règlement, sont notamment les suivantes :
— un corpus unique de règles relatives à la protection des données s'appliquera de manière homogène dans toute l'Union. Dans cette perspective, la Commission européenne propose de réviser la directive du 24 octobre 1995 par un règlement, qui sera donc d'application directe et immédiate et ne nécessitera pas de transposition ; cet instrument permettra plus de cohérence dans les pratiques des États, mais suppose aussi une plus grande vigilance de notre part, en amont de son adoption définitive ;
— les entreprises et autres organisations devront, sans retard et si possible dans un délai de 24 heures, notifier les violations graves de données personnelles à l'autorité nationale de contrôle compétente ;
— les règles de recueil du consentement des citoyens seront renforcées, afin d'arriver à un meilleur équilibre entre l'utilité de la circulation accrue des données personnelles et la nécessité de renforcer le niveau de leur protection. Ainsi, chaque fois que le consentement de la personne concernée est exigé pour que ses données personnelles soient collectées et traitées, ce consentement ne sera pas présumé mais devra être donné explicitement, suivant la règle de l'« opt-in » ;
— l'accès des personnes concernées à leurs propres données personnelles sera facilité – cela semble évident, mais certaines données y échappent encore, aujourd'hui –, de même que le transfert de données à caractère personnel d'un prestataire de services à un autre (droit à la portabilité des données) ;
— les citoyens se verront reconnaître un droit à l'oubli numérique, ce qui est un élément nouveau : ils pourront obtenir la suppression de données les concernant, dès lors qu'aucun motif légitime ne justifie pas leur conservation ;
— la liste des données à caractère personnel sensibles sera élargie aux données génétiques et à celles relatives à des condamnations pénales, afin de mieux protéger les données les plus délicates ;
— les autorités nationales chargées de la protection des données personnelles seront renforcées, afin qu'elles puissent mieux faire appliquer les règles de l'Union européenne sur le territoire de l'État dont elles relèvent. Elles seront habilitées à infliger aux entreprises en infraction des amendes, qui pourront atteindre 1 million d'euros ou 2 % du chiffre d'affaires annuel global de l'entreprise.
S'agissant de la proposition de directive, elle appliquera les règles et principes généraux relatifs à la protection des données personnelles à la coopération policière et judiciaire en matière pénale. Les règles s'appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.
L'esprit général de ces mesures a été salué, en ce qu'elles favorisent une meilleure protection des droits. Certaines dispositions suscitent toutefois les interrogations, voire l'inquiétude, de plusieurs autorités européennes de protection des données personnelles, à commencer par la CNIL.
Ces difficultés ont fait l'objet d'une analyse très fouillée par la commission des Affaires européennes de l'Assemblée nationale. En effet, en application de l'article 88-4 de la Constitution, le Gouvernement a transmis, le 1er février 2012, la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Notre assemblée disposait d'un délai de huit semaines – soit jusqu'au 28 mars 2012 – pour adopter une résolution européenne sur ce projet de règlement.
Dans ce délai, la commission des Affaires européennes a examiné et adopté, le 7 février 2012, la proposition de résolution européenne de M. Philippe Gosselin sur la proposition de règlement. En application de l'article 151-6 de notre Règlement, notre Commission n'ayant pas déposé son rapport dans le mois suivant le dépôt du rapport de la commission des Affaires européennes concluant à l'adoption de la proposition de résolution de M. Philippe Gosselin, c'est ce texte qui est aujourd'hui considéré comme adopté par la commission des Lois et in fine par l'Assemblée nationale.
À la lumière de cette proposition de résolution et de l'état d'avancement des négociations, le projet de directive soulève en l'état trois difficultés :
— le critère du principal établissement du responsable de traitement, qui fait courir un risque élevé de nivellement par le bas des exigences en matière de protection des données. Pour un responsable de traitement installé dans plusieurs États membres de l'Union européenne, seule l'autorité de protection du pays accueillant le principal établissement de ce responsable sera compétente pour l'ensemble des traitements mis en oeuvre sur le territoire européen. Par exemple, pour un traitement réalisé en France concernant des clients français, la CNIL ne sera pas nécessairement compétente pour traiter les plaintes de ceux-ci : sera compétente l'autorité du pays dans lequel est installé le principal établissement de ce responsable de traitement. Cette solution favorisera l'établissement d'entreprises vers les États membres dont les autorités de protection des données personnelles privilégient une approche plus « souple », principalement les autorités anglo-saxonnes et nordiques ;
— des pouvoirs d'exécution excessifs confiés à la Commission européenne, aux dépens des autorités nationales de protection, pour l'élaboration des lignes directrices en matière de protection des données personnelles ainsi que la définition des modalités d'application du règlement. Si le projet de révision instaure un droit à l'oubli pour les citoyens, il reviendra à la seule Commission européenne d'en préciser les conditions concrètes d'application, tant juridiques que techniques. Or, un tel recours quasi systématique aux actes délégués pour préciser la quasi-totalité des points du règlement parait de mauvaise méthode ;
— un encadrement insuffisant des transferts internationaux de données, qui doivent nécessairement préserver les pouvoirs de contrôle et d'autorisation des autorités nationales de protection sur ces échanges. En effet, la possibilité qui sera désormais offerte aux responsables de traitement de mettre en oeuvre certains transferts de données en dehors de l'Union européenne, en auto-évaluant les conditions de sécurité de ces échanges, fait peser le risque d'une baisse considérable du niveau de protection des droits des citoyens.
Pour conclure, mes chers collègues, je considère que la proposition de règlement de la Commission européenne en vue de réviser la directive du 24 octobre 1995 est, à l'heure du développement continu des nouvelles technologies, une avancée indéniable de l'Union européenne dans la protection des données personnelles de nos concitoyens. Cependant, gardons à l'esprit que, pour concrétiser cette avancée, il convient au préalable de lever les risques qui pèsent sur le texte dans sa rédaction actuelle. J'invite donc l'ensemble des institutions européennes et tout particulièrement nos collègues du Parlement européen à répondre dès à présent aux craintes que suscite ce texte.