Intervention de Michel Zumkeller

Madame la présidente, madame la ministre, mes chers collègues, si la protection de la vie privée est reconnue comme l’une des valeurs fondamentales de nos sociétés, garantie par la Déclaration universelle des droits de l’homme, inscrite à l’article 9 de notre code civil, elle n’en est pas moins confrontée à l’apparition de ces nouvelles mémoires numériques, conséquence de nombreuses évolutions technologiques. Encore vouées à l’oubli il y a quelques années, les informations que nous mettons en ligne deviennent instantanément universelles dans l’espace et le temps. Elles peuvent resurgir à tout moment, au moyen des moteurs de recherche.

Au-delà d’une nouvelle tendance sociologique, encouragée par les réseaux sociaux, à l’exposition volontaire de soi et d’autrui, les nouvelles technologies rendent également possibles la collecte de données et le suivi des déplacements des individus. L’extension accélérée du nombre des fichiers nominatifs institutionnels ou commerciaux, le développement des techniques de traçage sont porteurs de risques nouveaux au regard du droit à la vie privée.

Mes chers collègues, ce débat sur la protection de la vie privée est donc d’une réelle actualité. Il a encore récemment resurgi lors de l’adoption dans la loi de programmation militaire de l’article controversé qui renforce l’accès des services de renseignements intérieurs, de police et de gendarmerie aux données téléphoniques et informatiques, dans le cadre de la lutte contre le terrorisme et la criminalité organisée. Et, ce débat, nous l’aurons encore prochainement à l’occasion de l’examen de la proposition de loi sur la géolocalisation, dont tout l’enjeu est d’établir un juste équilibre entre le respect de la vie privée et les nécessités de l’enquête.

À l’heure de la surveillance numérique, commerciale et institutionnelle, la question de la protection de la vie privée nous concerne tous personnellement. Elle se pose à chacun de nous. Dans ce contexte nouveau, notre cadre juridique sur la protection des données personnelles est-il adapté ? Répond-il de façon satisfaisante à ces problématiques émergentes ?

La France a su réagir depuis longtemps. Elle est l’un des premiers pays au monde à s’être doté d’une loi dans ce domaine, la loi « informatique et libertés » de 1978. Si cette loi a été modifiée en 2004, si la loi sur la sécurité quotidienne de 2001, modifiée par la loi de 2006 relative à la lutte contre le terrorisme, a pris en compte plus spécifiquement le problème de la sécurité, il n’en demeure pas moins que notre législation a besoin d’être actualisée en tenant compte des nouvelles problématiques qui entourent la protection des données personnelles.

La proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique présentée par Yves Détraigne et Anne-Marie Escoffier au Sénat en 2010, comportait des préconisations qui nous semblent intéressantes à cet égard. Elle avait pour objet de rendre l’individu acteur de sa propre protection en le sensibilisant aux dangers de l’exposition de soi et d’autrui sur internet, en lui permettant de garder la maîtrise de ses données personnelles. Les utilisateurs des technologies numériques doivent pouvoir exercer plus facilement les droits que leur reconnaît la loi « informatique et libertés », notamment celui d’être informés de la durée de conservation des données les concernant.

Au sein des entreprises et des administrations qui gèrent des traitements de données à caractère personnel, nous devons diffuser une véritable culture informatique et libertés. La proposition de loi prévoyait, dans ce but, que fût créé un correspondant informatique et libertés. Elle prévoyait de donner une plus grande effectivité au droit à l’oubli numérique. Il semble indispensable de permettre à l’usager de demander l’effacement ou la rectification de ses données à caractère personnel à tout responsable d’un traitement de données.

Ce texte en est resté au stade de la première lecture au Sénat. Le Premier ministre a annoncé qu’une loi renforçant la protection des données personnelles sur internet serait soumise au Parlement lors du premier semestre 2014. Cette loi, que nous attendons, pourrait renforcer le droit des personnes, notamment vis-à-vis des fichiers de police, et augmenterait les pouvoirs de la CNIL. J’ose espérer que nous aurons bientôt l’occasion de discuter dans cet hémicycle des différentes modalités de ce projet de loi. La France doit mettre sa pendule à l’heure numérique, exploiter le potentiel d’emplois et de croissance que recèle l’e-économie, tout en assurant la protection de la vie privée des individus.

En revanche, la protection des données personnelles ne saurait se concevoir au seul niveau national. Une approche commune avec nos partenaires européens est évidemment fondamentale, en particulier dans le cadre de la révision de la directive de 1995. Cette approche commune est notamment nécessaire dans l’intérêt de nos entreprises. Nous devons veiller à concilier deux exigences, souvent contradictoires : la protection de la vie des entreprises et la croissance promise par l’exploitation des données personnelles. Certaines entreprises européennes, respectueuses de la protection de la vie privée ne doivent pas être désavantagées par rapport à d’autres entreprises qui ne seraient soumises qu’à des règles du jeu a minima. En l’état actuel, la directive du 24 octobre 1995 n’a que partiellement atteint son objectif d’une harmonisation des législations nationales, les États membres disposant d’une importante marge de manoeuvre. Sa révision doit être l’occasion d’un alignement par le haut des législations nationales régissant la protection des données personnelles.

Des initiatives sont en cours, qui émanent principalement de la Commission européenne. Au mois d’octobre 2013, cette dernière a proposé une réforme de la directive, qui a été adoptée par la commission des libertés publiques du Parlement européen.

Parmi les mesures phares de ce projet, on trouve notamment le consentement au traitement de données personnelles, le droit à l’oubli, l’information sur les attaques informatiques. Le règlement prévoit également l’obligation pour les entreprises de demander l’autorisation à la CNIL de transférer des données personnelles traitées au sein de l’Union européenne en dehors du territoire européen et la création d’un guichet unique. D’importantes amendes seraient infligées aux entreprises qui violeraient ces règles.

Difficilement acceptée par les États membres, cette réforme en est aujourd’hui au point mort. Coincée entre la volonté de mieux protéger les données des citoyens et la pression des géants américains du web, l’Union européenne peine à progresser sur ce terrain. Nous devons pourtant avancer sur la question car une telle réforme nous offre l’occasion unique de définir un niveau de protection élevé en Europe. Les changements de notre société nous imposent d’exercer une vigilance accrue face à l’ampleur de la collecte des données personnelles et à l’usage qui peut en être fait. La conception européenne de la vie privée, fondée sur le point de vue du citoyen et non sur celui du consommateur, doit être préservée.

Adapter le cadre juridique, d’une part, à l’évolution des pratiques, en particulier l’utilisation croissante d’internet et la multiplication des traitements informatiques, et, d’autre part, aux nouvelles attentes de notre société en matière de respect de la vie privée, tels sont les défis de demain.