Intervention de Maryvonne de Saint-Pulgent

Quatre raisons conduisent à repenser les droits fondamentaux dans ce domaine.

D'abord, la transnationalité du numérique, qui pose des questions sur le droit applicable. Lorsque Google et Facebook inscrivent dans leurs conditions générales d'utilisation que le droit applicable est celui des États-Unis, quelle est la portée effective de la loi française ou européenne qui assure en principe la protection des citoyens ?

En deuxième lieu, l'ambivalence du numérique, qui ouvre de nouveaux espaces pour les libertés fondamentales en créant de nouvelles menaces. Il ne faut pas que les mesures prises pour conjurer les menaces étouffent le potentiel libérateur du numérique.

Troisièmement, celui-ci avive les tensions entre libertés fondamentales : droit à la vie privée contre droit à la sécurité – comme le montrent les questions posées par le renseignement et la surveillance des communications électroniques – ou contre la liberté d'expression – comme en témoigne l'arrêt Google Spain. Ce problème, qui est familier au juge, se pose dans ce domaine avec une acuité particulière.

Quatrièmement, le numérique est un enjeu de compétition et de lutte de pouvoir très violente entre États et acteurs économiques. Si on ne peut subordonner la protection des droits fondamentaux à des impératifs économiques, on ne peut ignorer le risque que l'Europe devienne une colonie du monde numérique.

Nous invitons donc le législateur national et européen à repenser en profondeur les modes de protection de plusieurs libertés fondamentales. Nous avons dû à cet égard prendre position sur plusieurs sujets médiatiques.

Le premier consistait à savoir s'il fallait reconnaître un droit de propriété sur les données personnelles. Le Conseil d'État a répondu par la négative : si l'individu est en théorie propriétaire de ses données, la propriété patrimoniale sur celles-ci poserait plus de problèmes qu'elle n'en résoudrait. D'ailleurs, pour l'instant, personne n'est propriétaire de ces données – les opérateurs sont propriétaires de bases de données ou de fichiers, et non des données elles-mêmes.

Si on créait un droit de propriété sur les données, cela voudrait dire qu'on pourrait le céder ; or un récent sondage indiquait que les Français, tout en étant inquiets sur l'utilisation de leurs données personnelles, étaient prêts à les vendre pour 500 euros par an. En outre, la capacité juridique des États à protéger les individus s'agissant de cette utilisation deviendrait une ingérence dans l'exercice du droit de propriété, dont on voit la montée dans l'échelle des principes garantis par la Constitution.

Le Conseil d'État a donc proposé de reconnaître, comme la Cour constitutionnelle allemande, un droit à l'autodétermination informationnelle, qui est un droit de la personne, et non patrimonial. Si ce n'est pas un droit nouveau, il est proposé de l'inscrire dans la loi nationale pour permettre de réinterpréter tous les droits sur les données personnelles à la lumière du principe fondamental selon lequel l'individu, sans être propriétaire de ses données, doit contrôler l'usage qui en est fait.

Le deuxième sujet concerne l'utilisation des données massives, ou Big Data, et pose la question de leur compatibilité avec la loi de 1978 dite « Informatique et libertés ». Le Conseil d'État y répond positivement : il n'y a pas lieu de revoir les principes de proportionnalité ou de finalité. Mais il propose de distinguer deux types d'usages : les usages à caractère statistique – dans lesquels on ne s'intéresse pas aux personnes en tant que telles mais à la masse des données –, qui doivent rester très libres – ce qui suppose que le projet de règlement européen ne contraigne pas trop de tels usages, comme c'est le cas dans la rédaction actuelle – ; les usages ciblant les personnes en tant que telles – notamment le profilage, évaluant par exemple la solvabilité d'un emprunteur ou recherchant des fraudeurs potentiels – qui doivent rester soumis aux principes de la loi de 1978.

Troisième question : y a-t-il un droit à l'oubli ? Je rappelle que l'arrêt Google Spain a reconnu seulement un droit au déréférencement : il ne s'agit pas du droit de la personne à voir effacer les informations la concernant sur les sites sources, mais de discuter de leur référencement sur les moteurs de recherche. Le Conseil préconise de mieux mettre en oeuvre cet arrêt, en organisant notamment le débat sur le droit des sites qui ont produit les contenus à être informés des déréférencements envisagés, et de confier à la Commission nationale de l'informatique et des libertés (CNIL) et à ses homologues européennes le soin de définir les lignes directrices de ce droit au déréférencement.

Quatrième question, la neutralité, qui implique que les opérateurs de communication électronique traitent de manière égale toutes les communications, quel que soit leur contenu. Il s'agit d'une garantie fondamentale pour le bon fonctionnement d'internet, mais aussi pour les libertés d'expression et d'entreprendre. Le Conseil d'État préconise donc d'inscrire cette notion dans la loi nationale, sachant qu'elle ne peut s'appliquer à certains opérateurs, notamment les plateformes. Pour celles-ci, il est proposé que s'applique le principe de loyauté, qui fait appel à des notions bien connues du droit commercial et de la consommation.

Cela suppose la définition d'un nouveau régime juridique, les plateformes étant inconnues du droit positif, qui ne connaît que les éditeurs et les hébergeurs. Ce faisant, cette proposition met en cause les définitions de la directive de 2000.

Enfin, cinquième sujet : la gouvernance d'internet, qui est une question de droit international. Un arrêt récent de la CJUE a soulevé des interrogations très importantes sur les principes de collecte systématique des métadonnées chez les opérateurs de communication. Il faut en tirer toutes les conséquences : l'option choisie par le Conseil d'État est non de travailler sur la collecte elle-même – celle-ci étant indispensable à la prévention des actions contre la sûreté nationale –, mais de revoir les conditions d'accès à ces données, tant en ce qui concerne les personnes, les administrations, la durée pendant laquelle les données collectées peuvent être examinées, que la protection de certaines personnes dont on ne pourrait consulter toutes les données selon les mêmes principes que ceux s'appliquant pour la surveillance des communications électroniques. Actuellement, rien ne protège les élus ou les magistrats contre l'examen des métadonnées les concernant.