Intervention de Philippe Gosselin

Je m'associe naturellement à ces remerciements. J'insisterai pour ma part sur la question de la protection des données personnelles, tant il est vrai que la révision de la directive et sa transformation, à cette occasion, en règlement, soulèvent de réelles interrogations – par-delà la question de la modification des effets juridiques de ce corpus, dans la mesure où, en droit communautaire, le règlement, contrairement à la directive, a un impact juridique direct sur l'ordre interne des États, sans que sa transposition expresse soit requise.

Sans doute, l'harmonisation des législations au plan européen – engagée dès 1995 – constitue-t-elle une réelle avancée en cette matière sensible que constitue la protection des données personnelles ; on ne peut que s'en réjouir, alors que ces données occupent une place toujours croissante dans nos sociétés contemporaines. Des questions nouvelles apparaissent, on l'a vu avec le thème du « droit à l'oubli », et les approches communes sont éminemment souhaitables.

Dans le même temps, comme je l'ai dit, les inquiétudes sont nombreuses.

En premier lieu, le choix du critère du principal établissement est lourd de menaces. La CNIL est, si l'on peut dire, une vieille autorité administrative indépendante – l'une des toutes premières avec, notamment, le Médiateur de la République ou la Commission des opérations de bourse à l'époque. Ces dernières années, de nouvelles missions lui ont été confiées, par exemple par la loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Il serait pour le moins paradoxal que ce qui constitue une spécificité et une avancée françaises, notre pays étant en quelque sorte « fer de lance » en Europe sur le sujet, souffre d'un affaiblissement lié à la recherche d'un mieux-disant au profit d'autres États européens. Ce que l'on risque, c'est une forme de « dumping » : il sera tentant pour une entreprise d'arguer de la présence de son principal établissement dans un autre État pour échapper à la compétence de la CNIL et à la législation qui y est afférente.

J'insiste sur ce point : il y a là une véritable menace – ce n'est pas un simple petit chiffon rouge – pour la protection des données personnelles en France. L'audition de Mme Isabelle Falque-Pierrotin, présidente de la CNIL, évoquée par le président Urvoas tout à l'heure, a montré que nous pouvons réagir. La CNIL est à même de peser sur le processus de révision en cours, par des propositions de modifications qu'il revient à notre commission des Lois de relayer, mais aussi au Gouvernement de reprendre.

En deuxième lieu, se pose la question du pouvoir d'exécution de la Commission européenne. Ce pouvoir est bien compréhensible au regard de la nécessité d'une harmonisation des législations, dans la mesure où c'est la Commission qui est garante des grands équilibres au sein de l'Union européenne à 27. Mais cela ne doit en aucun cas se faire au détriment des autorités nationales. En France, la CNIL occupe une place particulière et assure une protection spécifique des données personnelles – il n'en va pas ainsi dans tous les pays. Personne ne comprendrait qu'on dépouille Pierre pour habiller Paul, ce même Paul étant à moitié couvert !

Une préoccupation voisine prévaut, en troisième lieu, s'agissant de l'encadrement des transferts internationaux de données. Celui-ci ne doit pas conduire à un affaiblissement, dans certains pays, de la protection de ces données, qui serait contraire aux intentions que, me semble-t-il, nous partageons collectivement, en dépit de sensibilités parfois quelque peu divergentes.

Enfin, je reconnais que le sujet particulier des fichiers dits de souveraineté soulève parfois davantage de discussions entre nous, y compris au sein de notre commission des Lois – même si des progrès doivent être signalés. On ne peut à l'évidence procéder à des fichages systématiques, mais ceux-ci s'avèrent indispensables dans un certain nombre de cas.

En conclusion, je m'associe pleinement aux propositions de Guy Geoffroy. La commission des Lois doit se faire l'écho de ces préoccupations et le Gouvernement faire valoir auprès des autorités européennes les propositions de la CNIL : même si la volonté de la Commission européenne est d'aller vite, il reste des marges pour négocier. Il est d'autant plus indispensable de peaufiner ce travail – notamment pour ce qui est du critère du principal établissement – que l'on ne retouchera pas ce cadre juridique de sitôt. Il en va de la protection de nos libertés individuelles et collectives, qui ont bien sûr tout à y gagner.