Intervention de Fleur Pellerin

Je répondrai sur le fond, notamment sur l’article 4 de la LOPPSI et le décret d’application afférent. Je lui confirme que le Gouvernement – c’est quelque chose que la majorité a toujours défendu, y compris quand elle était dans l’opposition – n’autorisera pas le blocage de sites sans autorisation du juge. Nous y restons attachés.

Sur la loi de programmation militaire, qui a suscité des interventions de quasiment tous les orateurs ce soir, et en particulier de Mme Attard, M. Dolez, M. Coronado, Mme Ehrel, je reviendrai sur les éléments que vient de rappeler Pascal Popelin. L’objectif de ces articles de la loi de programmation militaire était bien d’adapter le cadre aux nouvelles techniques à la disposition de certaines organisations criminelles et terroristes, et de faire en sorte que le contrôle parlementaire et démocratique du renseignement soit renforcé. C’est en particulier le cas de l’article 13 devenu article 20, prévoyant un renforcement très net de la délégation parlementaire au renseignement, la révision des mécanismes de contrôle a priori, directement traités, désormais, au niveau du Premier ministre, par une autorité indépendante, ainsi que la création d’une inspection du renseignement.

L’objet de ce contrôle est de permettre de moderniser, je l’ai dit tout à l’heure, les outils à la disposition des forces de police administrative, et notamment des services de renseignement. La grande utilité de cette loi de programmation militaire a été d’unifier deux régimes distincts : celui des interceptions de sécurité, datant de 1991, et celui des données de connexion. C’est plus protecteur car cela implique un cadre bien défini, comme l’a souligné Pascal Popelin, pour les données de connexion, avec un contrôle renforcé, le contrôle de la CNCIS et celui du Parlement. Mais j’entends aussi les questions que cela soulève, car il y a une extension des services compétents et des finalités, parfois au-delà de l’antiterrorisme.

Néanmoins, il faut le souligner, un travail très approfondi et spécifique sur le sujet particulier des données de connexion a eu lieu, en lien notamment avec les deux présidents des commissions des lois du Sénat et de l’Assemblée, M. Sueur et M. Urvoas, à la suite d’une mission d’information de l’Assemblée sur le Livre blanc qui a duré neuf mois, concernant la loi de programmation militaire. Il reste du chemin à parcours, un décret devant encore préciser un certain nombre d’éléments. Je suis également convaincue qu’il faut que les possibilités ouvertes soient bien détaillées, comme c’est le cas aujourd’hui pour les interceptions de sécurité, contrôlées par la loi de 1991.

Sur la question de la géolocalisation dans le domaine judiciaire, le Gouvernement, cela a été rappelé, a réagi aux arrêts de la Cour de cassation du 22 octobre dernier invalidant deux enquêtes pénales conduites par le procureur sur la base de ces techniques d’enquête. La garde des sceaux a présenté à la représentation nationale un nouveau dispositif, garant, sous le contrôle du procureur ou du juge, de la protection des libertés mais aussi de l’efficacité de l’enquête. Il faut toujours trouver un équilibre entre l’efficacité des moyens mis à la disposition des forces de police et des enquêteurs, et la protection légitime des libertés individuelles, dans le cadre strict des exigences de la CEDH et de la Cour de cassation. Nous aurons dans quelques jours un arsenal juridique complet et solide qui confortera l’action des services de renseignement et de la police judiciaire.

S’agissant du périmètre du projet de loi numérique soumis au Parlement très prochainement, je dirai un mot sur l’habeas corpus, à savoir les principes de protection établis dans la loi de 1978, qui pourraient être actualisés. La loi de 1978 prévoit déjà plusieurs principes pour limiter la constitution de fichiers : le principe de finalité, le principe de proportionnalité, et le principe de la durée de conservation. Je crois que ce sont des principes qu’il faut conserver mais renforcer et adapter à l’ère numérique.

C’est le cas aussi, vous l’avez souligné, madame Attard, de la prise en compte de la vie privée dès la conception, ce que les Anglo-Saxons appellent le privacy by design, que vous avez appelé de vos voeux en mentionnant le logiciel libre. Je crois que c’est bien l’objet de la loi que de renforcer la protection des personnes. C’est en tout cas ainsi que je souhaite définir la philosophie de la mise en place cet habeas corpus numérique, en réfléchissant à de nouveaux droits pour les personnes et en renforçant les pouvoirs de la CNIL. J’y reviendrai.

La question du droit à l’oubli et à l’effacement des données personnelles fera également partie de cette réflexion. Ce sont en effet des sujets importants, appelant des solutions techniques qui ne sont pas forcément évidentes car on sait à quel point il est difficile de faire disparaître des données personnelles sur les réseaux.

En ce qui concerne l’équilibre à trouver entre la protection des données personnelles et le principe d’innovation, je souscris pleinement à l’analyse de M. Alauzet et de Mme Ehrel qui ont rappelé que les données, personnelles ou non, sont un élément essentiel de l’innovation. Il faut donc renforcer nos outils de protection en visant toujours à développer l’innovation, tout en consolidant la confiance. C’est pourquoi j’ai insisté, dans ma présentation, sur le nécessaire équilibre à trouver, et les deux piliers sur lesquels s’appuiera cette loi numérique : la confiance et la protection des données personnelles. C’est l’objectif que je souhaite voir assigner à la concertation sur cette loi dans les prochains mois.

En ce qui concerne les pouvoirs de la CNIL, je crois que leur renforcement sera un élément central de cette future loi numérique sur la protection de la vie privée, car il est évident, plusieurs d’entre vous l’ont rappelé, que les moyens, en particulier les moyens de sanction, de cette autorité sont aujourd’hui insuffisants, compte tenu des enjeux liés à la protection des données personnelles. Faire de la CNIL une autorité pour développer la confiance et l’innovation appelle un certain nombre de mesures.

Ce sont encore des pistes. Il faudra probablement un volet de simplification pour les entreprises qui comprendrait la suppression de l’obligation de déclaration – ce que l’on appelle la déclaration normale –, un volet renforcé d’accompagnement des entreprises, par l’extension de la capacité de labellisation de la CNIL et l’encouragement des démarches partenariales, des chartes par exemple, ou encore l’inscription du principe d’innovation dans les missions de la CNIL, de même qu’un volet destiné à accroître l’effectivité de son action. Je pense en particulier au renforcement des sanctions, en augmentant le niveau des sanctions financières – je rappelle que ce niveau est aujourd’hui fixé à 150 000 euros maximum –, pour inciter plus clairement à la mise en conformité, et en révisant le cas échéant le critère d’application territoriale de la loi. Plusieurs d’entre vous ont souligné la difficulté de faire aujourd’hui appliquer un certain nombre de règles ou de lois à des entreprises dont le siège est situé hors de France ou d’Europe.

En ce qui concerne à présent les enjeux européens et internationaux liés à la protection des données personnelles, l’action de la France au cours des derniers mois a été ferme. Sur le plan européen, nous nous sommes saisis très en amont des négociations du règlement européen sur la protection des données et nous veillerons bien entendu à ce qu’il soit équilibré, entre la protection des citoyens et les contraintes pour les entreprises. Il me paraît également très important de veiller aux modalités de transfert des données hors d’Europe, afin que soient protégées les données des citoyens européens, qu’elles soient stockées en France, en Europe ou à l’étranger.

Sur la question plus précise du transfert de données, dès le début de l’année 2013, dans le cadre des négociations du projet de règlement européen relatif à la protection des données personnelles, et encore lors du Conseil européen d’octobre, le Président de la République a réaffirmé le besoin d’adopter un règlement qui garantisse les droits des citoyens européens, tout en réaffirmant la nécessité de sécuriser les transferts de données en dehors de l’Union européenne, en particulier vers les pays non adéquats, qui ne respectent pas des standards de protection de la vie privée et des données personnelles conformes à ceux de l’Union européenne.

La Commission, depuis lors, a fait deux communications, le 27 novembre 2013, portant, d’une part, sur le fonctionnement de la Sphère de sécurité du point de vue des citoyens de l’Union européenne et des entreprises établies sur son territoire, et, d’autre part, sur le rétablissement de la confiance dans les flux de données entre l’Union européenne et les États-unis. Le gouvernement français a soutenu les recommandations émises par la Commission, même si j’estime que celles-ci sont à ce stade très insuffisantes pour corriger les dysfonctionnements liés au traité Safe Harbor.