Intervention de Marietta Karamanli

Cette communication est véritablement au coeur de l'actualité, suite à l'audition de M. Jean-Claude Bonichot et à l'arrêt rendu hier par la Cour de justice de l'Union européenne.

Depuis l'entrée en vigueur de la directive de la directive 9546CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, l'irruption d'internet dans notre quotidien a bouleversé notre rapport à la vie privée.

Le développement des sites de réseaux sociaux en est probablement l'exemple le plus frappant, mais d'autres technologies posent également des questions complexes, telles que les outils de géolocalisation ou le cloud computing, qui permet le stockage de grandes masses de données sur des serveurs lointains.

Face à ces évolutions, le cadre juridique en vigueur est devenu obsolète.

C'est dans ce contexte que la Commission européenne a présenté deux textes le 25 janvier 2012 : une proposition de règlement général sur la protection des données et une proposition de directive spécifique aux données policières et judiciaires.

L'Assemblée nationale s'est prononcée sur ces deux projets de texte dès leur présentation par la Commission européenne (vous trouverez la résolution et les conclusions adoptées en annexe de la communication écrite).

Depuis janvier 2012, l'examen de ces textes au Conseil est apparu très laborieux, tant du fait de leur extrême complexité technique que de fortes réserves politiques de la part de certains États membres. Pour le moment, l'accent a surtout été mis sur la négociation de la proposition de règlement, et la négociation de la proposition de directive a peu avancé au Conseil.

Les révélations d'Edward Snowden autour du programme « PRISM » ont donné un nouvel élan aux négociations. La Commission européenne a insisté sur la nécessité d'adopter le paquet législatif au printemps 2014. Plus en retrait, les chefs d'État et de gouvernement européens ont conclu lors du Conseil européen des 24 et 25 octobre 2013 à la nécessité de l'adoption de ce paquet législatif d'ici 2015.

Bien qu'un accord tarde à se dégager autour de ce paquet législatif, la question de la protection des données personnelles est donc revenue au centre de l'agenda européen au cours des derniers mois. C'est ce qu'ont rappelé encore plus récemment la décision de la Cour de Justice de l'Union européenne invalidant la directive sur la rétention des données télécoms, qui permettait aux opérateurs de stocker entre six mois et vingt-quatre mois les données de téléphonie des utilisateurs ainsi que l'arrêt rendu par la même Cour hier, mardi 13 mai, sur la responsabilité des moteurs de recherche vis-à-vis des données qui apparaissent sur des pages web publiées par des tiers.

Toutefois, la réflexion autour de la question de la protection des données personnelles ne peut pas et ne doit pas se limiter à un simple phénomène de réaction à l'actualité. Il s'agit désormais d'un droit fondamental à part entière, « au croisement du droit de propriété, de la liberté d'expression et de la protection de la vie privée », pour reprendre les mots de la présidente de la CNIL.

Une réflexion de fond et de long-terme doit donc impérativement être menée sur ces sujets complexes.

Dans la perspective du Conseil JAI du 5 et 6 juin prochain, au cours duquel une approche générale partielle doit être adoptée sur le projet de règlement – a minima sur le chapitre V relatif aux transferts internationaux, je souhaite non pas présenter à nouveau ces textes de façon exhaustive mais faire un point d'étape sur leur évolution, et notamment sur les amendements adoptés en session plénière au Parlement européen le 12 mars dernier.

Le texte proposé par la Commission européenne vise à la fois à renforcer les droits des citoyens sur les données qui les concernent et à renforcer la sécurité juridique et pratique pour les responsables de traitement (entreprises et pouvoirs publics).

Il doit répondre à un impératif : être technologiquement neutre.

Le règlement proposé par la Commission européenne prévoit ainsi de nouveaux droits pour les citoyens en créant un « droit à l'oubli numérique » et en garantissant un « droit à la portabilité des données ». Il consacre le principe du consentement explicite au traitement des données.

La proposition de la Commission européenne étend également le champ d'application territorial des règles européennes de protection des données personnelles, puisque le règlement s'appliquerait non seulement au traitement des données par des responsables de traitement établis dans l'Union européenne mais également au traitement des données personnelles par des responsables établis hors de l'Union européenne s'ils visent des résidents de l' Union européenne.

Par ailleurs, la proposition de la Commission européenne prévoit d'alléger les charges des entreprises, en supprimant l'obligation systématique de déclaration préalable à la mise en oeuvre d'un traitement automatisé de données personnelles et en adoptant une approche fondée sur le risque : seuls les traitements susceptibles de présenter des risques particuliers pour les droits et libertés seraient soumis à une obligation de notification.

Parallèlement, les responsables de traitement seraient soumis à des exigences de sécurité accrues.

Au Parlement européen, le rapport de Jan-Philipp Albrecht ( VertsALE ) a été adopté le 12 mars 2014 en plénière par 621 voix pour, 10 contre et 22 abstentions.

Ce rapport prévoit notamment d'augmenter le plafond des sanctions, qui pourraient désormais s'élever à 100 millions d'euros ou 5 % du chiffre d'affaires annuel mondial d'une entreprise lorsque celle-ci viole les règles européennes (contre 250 000 euros ou 2 % dans le texte de la Commission européenne).

Le Parlement européen a également fait le choix du renforcement de l'information des personnes, nécessaire à leur consentement éclairé : les amendements adoptés prévoient ainsi que les informations fournies doivent être « claires et compréhensibles », précisant notamment au moyen de textes et de pictogrammes quelles sont les données personnelles collectées ainsi que l'usage qui en est fait.

Il a réduit le nombre de cas dans lesquels le marketing direct est considéré comme automatiquement licite, en les limitant aux produits et services du responsable de traitement initial ou au marketing par voie postale.

Il prévoit également un renforcement et une simplification du droit d'opt-out ( ou droit d'opposition ) dans les cas licites de marketing direct, la personne concernée ayant le droit de s'opposer « sans frais, à tout moment et sans autre justification au traitement de ses données personnelles ».

Enfin, pour répondre aux inquiétudes soulevées par les révélations autour du programme PRISM, un nouvel article a été introduit afin d'encadrer le transfert de données par des entreprises soumises au droit de l'Union européenne à des autorités publiques de pays tiers en faisant la requête. Lorsqu'une décision d'une juridiction ou d'une autorité administrative d'un pays tiers demande à un responsable de traitement ou à un sous-traitant de divulguer des données à caractère personnel, celui-ci devrait obtenir l'autorisation de l'autorité européenne de contrôle compétente, créant ainsi un conflit de normes. L'entreprise devrait également informer les personnes concernées de cette demande.

Certaines questions doivent faire l'objet d'une attention particulière.

La proposition initiale de la Commission européenne prévoyait la mise en place d'un système de « guichet unique » afin de simplifier les démarches des entreprises : une seule autorité de contrôle serait compétente pour juger des éventuelles atteintes à la règlementation par un responsable de traitement si le traitement concerne des citoyens résidants dans plusieurs États de l'Union européenne. L'autorité de contrôle désignée comme le guichet unique serait celle de l'État où le responsable du traitement a son « établissement principal ».

Cette question du guichet unique est celle qui avait fait l'objet des plus vives critiques de la part de notre commission, qui avait souligné le risque que les entreprises cherchent à s'implanter dans des États membres réputés plus accommodants en la matière, ainsi que la complexité d'un tel système pour les citoyens européens.

L'avis rendu par le service juridique du Conseil du 19 décembre 2013 a émis des critiques très similaires aux nôtres.

Les dernières discussions au Conseil ont permis de progresser sur la question du guichet unique : le dernier état du texte maintient le critère de l'établissement principal du responsable de traitement pour désigner l'autorité de contrôle chef de file, mais un mécanisme de coopération entre celle-ci et les autorités de contrôle concernées serait mis en place de manière systématique.

L'autorité chef de file proposerait une mesure aux autres autorités de contrôle concernées qui pourraient s'y opposer. Dans ce cas, le dossier serait transféré au Comité européen pour la protection des données et ce dernier pourrait rendre un avis qui serait rendu public.

Le mécanisme de coopération entre les autorités de contrôle serait similaire en cas de plainte.

Ainsi, l'autorité de contrôle nationale saisie par un citoyen proposerait un projet à l'autorité chef de file, qui pourrait s'y opposer. En cas d'accord entre les autorités de contrôle pour le rejet de la plainte de la personne concernée, la décision serait prise par l'autorité saisie, ce qui permettrait à la personne concernée d'exercer un recours contre cette décision dans son propre État. A l'inverse, dans le cas où les autorités de contrôle décideraient de sanctionner le responsable de traitement, la décision serait prise par l'autorité chef de file.

Je suis satisfaite de l'évolution des négociations sur ce sujet, qui répond en partie aux préoccupations qui avaient été exprimées par notre Assemblée lors de l'examen de la proposition de règlement.

Cependant, pour que ce mécanisme soit véritablement efficace, l'avis du Comité européen de protection des données devrait être contraignant.

Par ailleurs, un mécanisme d'action de groupe pourrait être proposé.

Dans un avis du 22 juin 2011, le contrôleur européen de la protection des données avait recommandé l'introduction dans la législation de l'Union européenne de mécanismes de recours collectif en cas de violation des règles en matière de protection des données, estimant que cette possibilité constituerait à la fois un moyen efficace de renforcer le droit au recours des personnes concernées mais également un moyen de dissuasion indirect pour les responsables de traitement.

Je considère que la mise en place d'une action de groupe en matière de protection des données aurait une forte portée symbolique mais également pratique et doit être encouragée.

En ce qui concerne le « droit à l'oubli », renommé « droit à l'effacement » par le Parlement européen, aucune obligation de déréférencement à la charge des moteurs de recherche n'est pour le moment explicitement prévue par la proposition de règlement, ce qui risque de minimiser la portée de ce droit. Toutefois, la mise en place d'un véritable droit au déréférencement pourrait se heurter à des obstacles techniques importants ainsi qu'à la garantie de la liberté d'expression. Sur ce sujet, nous verrons quelles seront les évolutions suite à l'arrêt rendu hier par la Cour de justice, qui devrait nous permettre d'avancer sur ce sujet.

J'estime que d'autres pistes doivent également être étudiées, comme l'effacement par principe des données d'un profil d'utilisateur après un certain délai si aucun usage n'en est fait ou la possibilité pour les utilisateurs de définir une date de péremption de leurs publications

La proposition de directive vise à remplacer la décision cadre 2008977JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

La principale évolution proposée consiste à étendre considérablement le champ d'application de la décision-cadre. Elle ne s'appliquerait plus uniquement aux échanges de données entre États membres, mais également aux traitements de données effectués par les autorités compétentes au sein des États membres.

Elle prévoit également de renforcer le droit des personnes concernées par le traitement de données personnelles, et notamment leur droit à l'information.

Actuellement, en France, le droit à l'information ne s'applique pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Malgré les exceptions prévues par la proposition de directive, il s'agirait donc d'un renversement majeur.

Au Parlement européen, le rapport de Dimitrios Droustas ( VertsALE ) a été adopté le 12 mars 2014 en plénière avec une majorité nettement inférieure que celle qui s'est dégagée sur la proposition de règlement.

Les propositions contenues dans ce rapport vont encore plus loin que la Commission européenne dans le sens d'un accroissement de la protection des droits des personnes concernées.

On ne peut que se féliciter de la volonté de la Commission européenne et du Parlement européen de renforcer les droits des citoyens en matière de protection des données personnelles.

Toutefois, il est nécessaire de prendre en compte la spécificité de la matière pénale : c'est pour cette raison que les données policières et judiciaires font l'objet d'un instrument juridique spécifique, plus souple que le règlement.

Cette spécificité doit mieux être prise en compte dans le contenu du texte : le droit à l'information, le droit d'accès ou le droit de rectification ne peuvent pas forcément être transposés tels quels à des fichiers comme les fichiers de police ou de justice.

Le manque de pragmatisme de certaines propositions de la Commission européenne a également été souligné.

Ainsi l'obligation de réviser les accords internationaux conclus par les États membres afin d'assurer leur conformité à la directive dans un délai de cinq ans à partir de l'entrée en vigueur de celle-ci, si elle est légitime, semble irréalisable.

De même, la possibilité offerte par le Parlement européen à la Commission européenne d'adopter des décisions « négatives » par lesquelles elle déclarerait qu'un pays tiers n'assure pas un niveau de protection des données adéquat semble difficilement acceptable : outre des conséquences diplomatiques importantes, cette « liste noire » pourrait avoir pour effet d'obliger les États membres à dénoncer des accords existants sans avoir la possibilité de pouvoir les renégocier.

Sur ces deux projets de textes, je déplore qu'un important recours à la comitologie soit prévu. Or, les questions techniques que soulève ce paquet législatif sont dans le même temps des questions éminemment politiques. Les textes adoptés par le Parlement européen et le Conseil doivent donc impérativement contenir les dispositions essentielles.

Enfin, je tiens à souligner que la question de la protection des données personnelles est loin de se limiter à ces deux projets de texte.

Il convient notamment d'être très vigilant sur l'évolution des relations entre l'Union européenne et les États-Unis à ce sujet, et je tiens à souligner que la question de la protection des données doit impérativement être exclue des négociations de l'accord de partenariat transatlantique, nous en avons parlé hier.

Il conviendra également de se poser la question de l'évolution du « Safe Harbor », qui est un ensemble de principes de protection des données personnelles négocié entre les autorités américaines et la Commission européenne et auquel les entreprises établies aux États-Unis doivent adhérer afin d'être autorisées à recevoir des données en provenance de l'Union européenne.

Je vous fais donc une proposition de conclusions, afin de faire un point d'étape sur ces négociations, mais ce sujet est loin d'aboutir à sa conclusion ! En effet, le Conseil de juin prochain n'abordera que le chapitre V de la proposition de règlement. Ce sujet est un sujet difficile, sensible et qui soulève des questions très politiques. Il demande d'avoir un regard à la fois critique et éclairé.