Intervention de Jacky Richard

Je vais regrouper les 50 propositions du rapport selon cinq axes principaux, en rappelant que chacune mentionne, à la fin de son énoncé, le vecteur juridique qui permet sa mise en oeuvre.

Premier axe : les propositions visant à définir de nouveaux principes fondant la protection des droits fondamentaux à l'ère du numérique.

D'abord, concevoir le droit à la protection des données personnelles comme un droit à l'« autodétermination informationnelle » et non comme un droit de propriété. Il ne s'agit de fait pas d'un droit nouveau, mais d'un principe essentiel donnant son sens aux autres droits fondamentaux et les garantissant. La définition formulée dans l'étude pourrait être inscrite dans les considérants de la proposition de règlement européen relatif à la protection des données, ou par anticipation, dans la loi française relative à l'informatique, aux fichiers et aux libertés de 1978.

Deuxième proposition : consacrer le principe de neutralité du net et des opérateurs de communications électroniques. Il y a plusieurs conceptions à cet égard : le Conseil d'État propose la sienne, qui n'est pas très éloignée de celle de l'Autorité de régulation des communications électroniques et des postes (ARCEP) et assez proche de celle votée par le Parlement européen le 3 avril 2014, mais avec des nuances liées à une définition plus large des « services spécialisés » et à un droit de suspension ou d'opposition si les risques touchant la neutralité de gestion du trafic sont manifestes ou s'il y a une forte dégradation possible de cette neutralité. Nous avons cherché en effet un équilibre entre la protection des droits fondamentaux, d'une part, et le maintien du droit de l'entreprise et le développement économique, d'autre part.

Troisième proposition : définir une nouvelle catégorie juridique pour les plateformes, distincte à la fois de celle des hébergeurs et des éditeurs de contenus, ce qui suppose une modification de la loi pour la confiance dans l'économie numérique (LCEN).

Deuxième famille de propositions : celles qui visent à renforcer les pouvoirs des individus et de leurs groupements. Elles constituent une bonne manière de mettre en oeuvre l'autodétermination informationnelle et font beaucoup appel au droit souple.

Il s'agit de l'attribution à la CNIL d'une mission de promotion des technologies renforçant la maîtrise par les individus de leurs données personnelles, d'un droit d'alerte pour les salariés des organismes traitant de telles données, de la mise en place d'une action collective – distincte de l'action de groupe, destinée à faire cesser les violations de la législation sur ces données – ou de l'engagement d'une réflexion sur les enjeux éthiques liés au numérique, confiée à la CNIL et au Conseil national du numérique (CNN). Enfin, il est proposé de mettre en oeuvre un droit au déréférencement, à la suite de l'arrêt Google Spain. Cette proposition prévoit les conditions d'application d'une décision unique de déréférencement. Alors que Google a engagé toute une série d'initiatives, dont la mise en place d'un comité consultatif, le rapport propose aux autorités publiques de reprendre la main. La question est notamment de savoir si le déréférencement ne concerne que Google.fr ou également Google.com.

Troisième famille de propositions : celles qui visent à redéfinir les instruments de la protection des droits. Il s'agit d'abord de sécuriser le développement des Big Data, qui permet la valorisation du numérique à des fins économiques, pour la réutilisation statistique des données personnelles, quelle que soit la finalité initiale de leur traitement – proposition n° 12. Nous proposons aussi de créer une procédure d'homologation des codes de conduite professionnels élaborés au niveau national ou européen – proposition n° 16 –, de développer la normalisation en matière de sécurité des traitements de données personnelles – proposition n° 17 –, de mettre à l'étude la création d'un numéro national unique d'identification (NIR, numéro d'inscription au répertoire) non signifiant et permettre le recours au NIR pour les traitements de données personnelles ayant pour fin la recherche et les politiques publiques dans le domaine de la santé. L'utilisation restreinte du NIR constitue en effet un frein important : on a dit, par exemple, qu'on aurait pu prévoir les graves dysfonctionnements récents liés à un médicament n'ayant pas été fait pour ce pour quoi il avait été initialement conçu si on avait pu davantage utiliser les bases de données.

Nous suggérons également de définir un droit des algorithmes prédictifs, qui doivent toujours réserver une part d'intervention humaine, aucune décision touchant les individus ne devant intervenir par la simple application d'un algorithme.

La quatrième famille de propositions concerne l'État, qui doit être exemplaire dans l'utilisation des données personnelles. Le Conseil d'État propose que l'État amplifie sa politique d'open data pour que les données soient utilisables tout en prévenant les risques pour la vie privée, en évitant notamment les risques de réidentification grâce à des standards d'anonymisation. Il propose aussi de renforcer les garanties entourant l'usage des fichiers de police – TAJ (traitement d'antécédents judiciaires), FAED (fichier automatisé des empreintes digitales) ou FNAEG (fichier national des empreintes génétiques) – pour que les classements sans suite, relaxes, acquittements et non-lieux puissent être pris en compte, de manière à éviter les condamnations dont nous avons fait l'objet.

En matière de renseignement, le Conseil d'État propose deux lectures de l'arrêt Digital Rights : une lecture très stricte, qui semble avoir été celle des juges, et une lecture plus ouverte. Il suggère de retenir cette dernière, notamment en réservant l'accès aux métadonnées à des fins de police judiciaire aux crimes et délits d'une gravité suffisante et en réexaminant les régimes prévoyant l'accès de diverses autorités administratives – par exemple, la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (HADOPI), l'Autorité des marchés financiers (AMF) ou l'administration fiscale – à des fins autres que la sécurité intérieure.

Nous proposons également de moduler la période d'accessibilité des données en fonction de la gravité et d'étendre aux procédures d'accès aux métadonnées les garanties prévues en faveur des parlementaires, avocats, magistrats et journalistes pour les interceptions judiciaires.

De même, le Conseil d'État propose de définir par la loi le régime de l'interception des communications à l'étranger, en fixant les finalités de ces interceptions et en prévoyant leur contrôle par une autorité administrative indépendante. La Commission nationale de contrôle des interceptions de sécurité (CNCIS), créée par la loi de 1991, serait en outre transformée en une « Autorité de contrôle des services de renseignements » dotée de moyens renforcés, plutôt que de confier ces prérogatives à une autorité généraliste.

Enfin, la cinquième famille de propositions traite du champ d'application territorial de la règle de droit en matière de numérique et de gouvernance d'internet.

Le Conseil d'État prend position sur la territorialité du droit en préconisant de desserrer la contrainte de l'application du droit du pays d'origine et de renforcer, dans le cadre des règles européennes, celui du pays de l'internaute. Mais cette proposition n'est pas générale : cela n'aurait pas de sens de dire que c'est systématiquement ce dernier droit qui prévaut ; ce serait aussi nous tirer une balle dans le pied, car nous avons d'excellentes entreprises irriguant les réseaux étrangers. Reste que dans des domaines bien précis, que nous avons qualifiés de « loi de police » au sens du droit international privé, la loi du pays de l'internaute s'appliquerait.

De plus, nous recommandons de donner une plus grande place aux États dans les instances de gouvernance d'internet comme l'ICANN – la Société pour l'attribution des noms de domaine et des numéros sur internet. Mais il ne s'agit pas de modifier les règles de fonctionnement de cette instance : la conférence de São Paulo sur le net numérique d'avril dernier a tracé des voies très intéressantes et je crois que les autorités américaines sont prêtes à évoluer. Il est en outre possible de lier des alliances avec des pays tels que le Brésil et la Corée du Sud.

Enfin, nous préconisons l'adoption d'une convention internationale relative aux libertés fondamentales et aux principes de la gouvernance d'internet qui engagerait ses signataires en faveur de la promotion des droits fondamentaux sur le net.