Intervention de Jean-Marc Sauvé

Monsieur le Président, merci de votre accueil au sein de la commission des Lois. Je présenterai à grands traits notre étude, puis Mme de Saint-Pulgent pourra justifier la nécessité de repenser la protection des droits fondamentaux dans le contexte d'internet avant que M. Jacky Richard n'expose de façon plus détaillée les propositions.

L'étude repose sur trois points principaux.

En premier lieu, les technologies numériques entretiennent des rapports ambivalents avec les droits fondamentaux. Elles favorisent l'exercice de ces droits, notamment la liberté d'expression et la liberté d'entreprendre ; elles ont aussi suscité la reconnaissance de nouveaux droits fondamentaux qui présentent un caractère autonome : le droit à la protection des données personnelles et le droit d'accès à internet. Mais elles exposent les individus à des risques inédits, en particulier dans le domaine des données personnelles, où l'on constate une diversification des sources et des moyens d'agrégation : l'accumulation des données et les possibilités de tri et de recomposition constituent en effet une menace pour la vie privée et les libertés. Ces technologies confrontent par ailleurs les pouvoirs publics à de nouvelles exigences de régulation, de conciliation entre libertés individuelles et sauvegarde de l'ordre public, et de lutte contre de nouvelles formes d'activités illicites ou criminelles, comme la cybercriminalité et le terrorisme mondialisé.

En deuxième lieu, face à cette ambivalence, le cadre juridique français et européen doit s'adapter afin de mettre davantage ces technologies au service des individus et de l'intérêt général. L'internet n'est pas un espace de non droit, contrairement à ce qui avait été prophétisé dans les années 1990, mais il soulève des difficultés juridiques inédites : une gouvernance assurée par différentes institutions, plus privées que publiques et plus étrangères que françaises, une incertitude quant à la loi applicable – le plus souvent celle du pays où est établi l'opérateur, qui est fréquemment hors de nos frontières – et la difficulté à garantir l'effectivité des décisions administratives ou juridictionnelles – problème rencontré quand il est apparu que Yahoo assurait la diffusion d'objets d'origine nazie, une décision française ne pouvant s'appliquer aux États-Unis. En outre, un excès de régulation aurait des effets négatifs sur le potentiel de croissance que représente l'internet à l'échelle de l'Europe.

Le droit existant comporte d'ores et déjà des principes fondateurs à conserver. Il est à cet égard satisfaisant de constater que des principes fixés au milieu des années 1970 par le rapport Tricot et la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés demeurent encore globalement pertinents. Il en est ainsi, dans le domaine des données personnelles, d'une définition large de cette notion ainsi que des principes de finalités déterminées, de proportionnalité, d'exactitude, de consentement informé dans la collecte et de conservation des données.

Pour autant, le cadre juridique doit être enrichi, notamment pour que soit définie une chaîne de responsabilité comprenant l'ensemble des acteurs : les éditeurs et les hébergeurs mais aussi les opérateurs des réseaux et les plateformes. Cette rénovation doit s'inscrire dans une dynamique européenne, en particulier dans le cadre de la proposition de règlement relative à la protection des personnes physiques à l'égard du traitement de données personnelles ou de directives dans le domaine numérique, notamment la révision de la directive relative aux droits d'auteur. De même, devons-nous tenir compte de la jurisprudence constructive de la Cour de justice de l'Union européenne (CJUE), qui s'est déjà traduite par deux grands arrêts en 2014 : l'arrêt Google Spain sur la question du déréférencement pour des données personnelles et l'arrêt Digital Rights sur la durée de conservation des métadonnées – ce qui implique de réfléchir aux données qui peuvent être conservées, aux durées de conservation et aux personnes justifiant un besoin de protection particulière.

En troisième lieu, dans cette perspective, l'étude annuelle du Conseil d'État propose cinq axes de rénovation de notre cadre juridique. D'abord, créer trois nouveaux principes transversaux : un droit à l'autodétermination informationnelle, à l'image de celui consacré par la Cour constitutionnelle allemande en 1983 – au lieu d'un droit à la propriété des données personnelles, qui ne nous paraît pas pertinent ; le principe de neutralité des réseaux ; le principe de loyauté dans le traitement des données personnelles – qui s'appliquerait à d'autres acteurs que les éditeurs ou les hébergeurs, notamment les plateformes.

Il s'agit aussi de renforcer les pouvoirs des individus et de leurs groupements, en particulier en définissant les modalités de mise en oeuvre du droit au déréférencement, en précisant les obligations concrètes découlant du principe de loyauté ou en envisageant une action collective, distincte de l'action de groupe, en cas de violation de la législation sur les données personnelles.

Troisième axe de réforme : repenser le rôle des autorités publiques à l'échelle de l'Union européenne, notamment sécuriser la liberté de réutilisation de données non personnelles, ou anonymisées, créer une procédure d'homologation des codes de conduite professionnelle, encadrer l'usage d'algorithmes dans le traitement des données numériques et le profilage des comportements, et renforcer les moyens de coordination et de lutte contre les contenus illicites et les contrefaçons – particulièrement dans le domaine des industries culturelles, en créant un régime spécifique de responsabilité pour les plateformes.

Quatrième axe : assurer le respect des droits fondamentaux dans l'utilisation du numérique par les personnes publiques, ce qui implique de poursuivre l'ouverture des données publiques tout en prévenant les risques d'atteinte excessive à la vie privée et de renforcer les garanties entourant la constitution et l'usage des fichiers de police judiciaire – dans le cadre de l'arrêt de la Cour européenne des droits de l'homme (CEDH) du 18 septembre 2009, Brunet contre France, qui a condamné notre pays en raison de l'insuffisance de la gestion du stock des données du fichier STIC (Système de traitement des infractions constatées). Il faut aussi tirer les conséquences de l'arrêt Digital Rights en matière d'accès et de conservation des métadonnées. Le Conseil d'État propose, dans ce contexte, de refondre la législation sur les interceptions de sécurité et de recréer une autorité publique indépendante dans ce domaine. Il conviendra alors de définir les données ou métadonnées qui pourront être conservées, la durée et les fins de cette conservation ainsi que les types de protection pour certaines catégories de personnes.

Enfin, il convient d'organiser la coopération européenne et internationale et, pour cela, de définir un socle de règles applicables à tous les prestataires de service exerçant leur activité dans l'Union européenne, quels que soient leurs lieux d'établissement. Il ne s'agit pas de remettre en cause le droit du pays d'établissement des opérateurs, mais d'avoir un ensemble de règles communes s'appliquant au pays de destination.

Pour chacune des 50 propositions avancées, l'étude précise le vecteur juridique le plus adapté, qu'il s'agisse du droit dérivé européen, d'une loi, d'un acte réglementaire ou de formes de droit souple. Dans cette perspective, un rôle moteur revient au législateur français, soit directement, soit indirectement par sa participation aux réflexions et aux propositions sur de nouveaux instruments de droit dérivé européen.