Intervention de Guy Geoffroy

La commission des Affaires européennes a adopté le 14 mai dernier des conclusions sur la réforme de la protection des données personnelles, sur le rapport de Mme Marietta Karamanli. Cette question fait partie, avec celle du Parquet européen, des sujets les plus importants actuellement en matière de justice et d'affaires intérieures. En raison des évolutions technologiques, la protection des données personnelles est devenue en effet depuis plusieurs années un enjeu majeur du respect de la vie privée.

Cette question ayant une dimension transnationale, elle fait l'objet d'une réglementation européenne, reposant actuellement sur la directive du 24 octobre 1995 relative à la protection des données et sur la décision-cadre du 27 novembre 2008 relative aux données personnelles en matière policière et judiciaire.

La Commission européenne a proposé en janvier 2012 une révision de ce cadre législatif, avec d'une part une proposition de règlement général sur la protection des données personnelles et d'autre part une proposition de directive sur les données personnelles en matière policière et judiciaire.

Notre assemblée a déjà eu l'occasion de s'exprimer sur ce projet de réforme. À l'initiative de M. Philippe Gosselin, une résolution européenne sur la proposition de règlement a été adoptée le 23 mars 2012. En octobre 2012, j'ai, pour ma part, participé à une réunion interparlementaire organisée par la commission des Libertés civiles, de la justice et des affaires intérieures du Parlement européen sur cette question, avant d'exposer devant notre Commission les enjeux de la réforme, dans le cadre de la veille européenne.

Il est apparu souhaitable de vous présenter aujourd'hui un point sur l'évolution des négociations.

La directive du 24 octobre 1995 garantit une large protection des données personnelles, reprenant l'essentiel des dispositions de la loi « Informatique et libertés » du 6 janvier 1978.

Cependant, la révision du cadre juridique actuel est apparue nécessaire dans la perspective de l'entrée en vigueur du traité de Lisbonne, qui consacre le droit à la protection des données personnelles et prévoit qu'il appartient au Parlement européen et au Conseil d'adopter les règles relatives à la protection de ces données et à leur libre circulation, un équilibre devant être trouvé entre ces deux principes.

La Commission européenne a fait le choix de proposer un règlement directement applicable, et non une directive, ce qui permettra une harmonisation complète des règles dans l'ensemble des États membres et, espérons-le, un alignement de ces règles par le haut.

Par rapport à la réglementation actuelle, le champ d'application territorial sera étendu au traitement des données personnelles par des responsables de traitement établis hors de l'Union européenne, s'ils visent des résidents de l'Union.

Les règles relatives au consentement des personnes physiques au traitement des données les concernant seront renforcées : ce consentement ne sera plus présumé mais devra être explicite.

Le Parlement européen a adopté le 12 mars dernier différents amendements sur cette proposition de règlement afin de créer de nouvelles obligations en matière d'information des personnes sur les données collectées et leur usage. Il a également limité le nombre de cas dans lesquels le marketing direct est considéré comme automatiquement licite et renforcé le droit d'opposition des personnes dans ce cadre.

De nouveaux droits prenant en compte l'évolution des technologies sont créés, le droit à la portabilité des données et le droit à l'oubli, ce qui représente certainement l'innovation majeure de la proposition. Le droit à la portabilité des données concerne le transfert de données d'un prestataire de services à un autre, qui doit être autorisé tout en faisant l'objet d'un encadrement, tandis que le droit à l'oubli vise la suppression de données lorsqu'aucun motif légitime ne justifie leur conservation.

Dans un objectif de simplification des obligations des entreprises, seuls les traitements susceptibles de présenter des risques particuliers pour les droits et libertés devront être notifiés aux autorités de contrôle, accompagnés d'une analyse de leur impact sur la protection des données personnelles.

Un système de « guichet unique » sera mis en oeuvre : l'autorité de contrôle de l'État membre dans lequel le responsable du traitement dispose de son établissement principal sera seule compétente pour juger des atteintes au règlement.

Les pouvoirs de sanction des autorités de contrôle seront renforcés : dans le texte initial, il est prévu qu'elles puissent infliger des amendes aux entreprises pouvant aller jusqu'à un million d'euros ou 2 % du chiffre d'affaires annuel. Le Parlement européen a adopté un amendement visant à porter le plafond des sanctions à 100 millions d'euros ou 5 % du chiffre d'affaires.

Enfin, un Comité européen de la protection des données (CEPD), composé des directeurs des autorités de contrôle nationales et du contrôleur européen de la protection des données sera créé.

Malgré les avancées contenues dans la proposition et l'évolution des négociations, certains points soulèvent toujours des difficultés.

La question de la détermination de l'autorité de contrôle compétente pour juger des atteintes à la règlementation fait toujours l'objet de discussions au niveau européen. Comme nous l'avions souligné en 2012, la procédure du « guichet unique » risque d'encourager l'implantation d'entreprises dans les États membres où les autorités de contrôle ont l'approche la moins stricte de la protection des données. De plus, ainsi que l'a estimé le service juridique du Conseil de l'Union européenne dans un avis du 19 décembre 2013, cette procédure ne permettrait pas l'exercice du droit à un recours effectif, en raison de sa complexité pour les citoyens.

Au Conseil, il est à présent envisagé de maintenir le critère de l'établissement principal tout en créant un mécanisme de coopération entre les autorités de contrôle concernées. Parallèlement, le Parlement européen a adopté un amendement prévoyant le maintien du critère de l'établissement principal et la désignation d'une autorité « chef de file » qui ne pourrait prendre de décision qu'après avoir consulté les autres autorités de contrôle et recueilli l'avis du comité européen de protection des données. Le dispositif final sera nécessairement complexe ; il devra permettre la libre circulation des données tout en garantissant leur protection.

Les discussions évoluent donc dans un sens favorable mais il convient de rester vigilant sur cette question. Il serait en particulier souhaitable de confier au comité européen de protection des données des pouvoirs juridiquement contraignants en cas de désaccord entre l'autorité « chef de file » et les autres autorités nationales concernées.

Nous avions également critiqué le recours excessif aux actes délégués et aux actes d'exécution prévu dans la proposition. Sur une question aussi sensible que la protection des données, il apparaît toujours indispensable que la législation européenne soit la plus précise possible et que le recours à la comitologie reste limité aux seules exigences techniques d'exécution.

S'agissant des transferts internationaux de données, le Parlement européen a introduit un article visant à encadrer le transfert par des entreprises soumises à la réglementation européenne à des autorités publiques de pays tiers. Il conviendra par ailleurs que les discussions sur les transferts internationaux de données prennent en compte les négociations relatives à la révision de la « convention 108 » du Conseil de l'Europe.

Enfin, une attention particulière devrait être portée à l'effectivité du droit à l'oubli. Mme Karamanli, a évoqué à cet égard dans sa récente communication en commission des Affaires européennes plusieurs pistes intéressantes, comme l'effacement par principe des données d'un profil d'utilisateur après un certain délai si aucun usage n'en est fait ou la possibilité pour les utilisateurs de définir une date de péremption de leurs publications, ou encore la possibilité pour les personnes concernées de s'adresser à l'hébergeur du site de publication afin d'obtenir la suppression de données personnelles en l'absence de réponse du responsable de traitement initial. D'autres idées émergeront peut-être des différentes réflexions auxquelles nous apporterons notre concours.

L'évolution des négociations sur la proposition de règlement, qui devraient aboutir en 2015, est positive et l'on peut espérer que le texte final sera satisfaisant

La proposition de directive relative à la protection des données personnelles en matière policière et judiciaire étend, quant à elle, de façon substantielle le champ d'application de la réglementation des fichiers dits « de souveraineté ». En effet, tandis que la décision-cadre de 2008 ne vise que les échanges de données entre États, la proposition de directive s'applique aux traitements de données effectués par les autorités compétentes au sein des États membres en matière de prévention et de détection d'infractions pénales, d'enquêtes et de poursuites ou d'exécution de sanctions pénales. Il conviendra donc de trouver un équilibre entre les nécessités des enquêtes et le respect des données personnelles ainsi que la présomption d'innocence.

Les droits des personnes concernées par le traitement de données personnelles seront renforcés. La proposition prévoit tout d'abord un droit à l'information, portant notamment sur l'identité et les coordonnées du responsable du traitement, les finalités du traitement, la durée pendant laquelle les données sont conservées, l'existence du droit d'accès et d'un droit de réclamation auprès de l'autorité de contrôle, les destinataires des données personnelles, y compris les pays tiers et les organisations internationales et toute autre information nécessaire pour assurer un traitement loyal des données. Lors de la collecte des données personnelles, le responsable de traitement devra communiquer aux personnes concernées des informations sur le caractère obligatoire ou facultatif de la fourniture des données.

Un droit d'accès des citoyens aux données les concernant est également prévu. Toutefois, les États membres pourront, par la loi, procéder à une limitation de ce droit d'accès, si elle « constitue une mesure nécessaire et proportionnée dans une société démocratique » compte tenu des intérêts légitimes de la personne.

Enfin, un droit à la rectification des données inexactes et à l'effacement des données dont le traitement est illicite s'exercerait directement auprès du responsable du traitement.

Compte tenu de la particularité des matières concernées, le choix de la Commission européenne de présenter un texte distinct paraît pleinement justifié. En revanche, la spécificité de la matière pénale devrait être mieux prise en compte dans le contenu de la proposition, en particulier dans la définition des droits des personnes concernées, qui sont directement inspirés du régime des données personnelles tel que prévu dans la proposition de règlement.

Les transferts de données vers des pays tiers ne pourraient avoir lieu que s'ils sont nécessaires à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuite, ou d'exécution de sanctions pénales.

Ces transferts seraient autorisés lorsque la Commission européenne a adopté une décision constatant le caractère adéquat du niveau de protection dans l'État tiers. En l'absence d'une telle décision, le transfert ne pourrait avoir lieu que lorsqu'il existe des « garanties appropriées », qui devraient être offertes par un instrument juridiquement contraignant, tel qu'une convention internationale, ou dans certains cas limitativement énumérés (menace grave et immédiate pour la sécurité publique d'un État membre ou d'un État tiers, nécessité à des fins de prévention et de détection d'infractions pénales par exemple).

Le Parlement européen a adopté un amendement prévoyant que la Commission européenne pourrait prendre des décisions dans lesquelles elle déclarerait qu'un État tiers n'assure pas un niveau de protection des données adéquat, ce qui contraindrait les responsables de traitement à offrir des garanties dans un instrument juridiquement contraignant. Cette mesure pourrait avoir pour effet d'obliger les États membres à dénoncer des accords existants avec des États tiers, ce qui risquerait de compromettre la coopération internationale en matière policière et judiciaire.

Enfin, la proposition prévoit une clause générale de renégociation des accords internationaux de transferts de données dans un délai de cinq ans, qui paraît largement irréaliste.

En conclusion, les deux textes en cours de discussion répondent à des ambitions légitimes. S'agissant de la proposition de règlement, que le Conseil européen souhaite voir adoptée d'ici 2015, nous devons continuer à exercer notre vigilance, afin qu'elle se traduise réellement par une harmonisation des législations des États membres vers le haut et qu'elle embrasse toutes les questions posées par les évolutions technologiques ; je pense notamment au droit à l'oubli sur les réseaux sociaux. Pour ce qui concerne la proposition de directive, sur laquelle les négociations avancent plus lentement, il conviendra de veiller à une meilleure prise en compte de la spécificité du domaine pénal et à un encadrement réellement efficace des transferts de données avec les États tiers.

Je remercie Mme Marietta Karamanli pour l'important travail qu'elle a effectué sur cette réforme dans le cadre de la commission des Affaires européennes.