Intervention de Maryvonne de Saint Pulgent

Délibérée en assemblée générale du Conseil d'État le 17 juillet dernier, l'étude annuelle 2014 a été rédigée par la section du rapport et des études après qu'elle a mené, depuis l'été 2013, soixante-dix auditions, et créé, ce qui n'est pas dans ses habitudes, un « groupe de contacts » dont les membres, issus du secteur public, de l'université, de l'économie numérique et des autorités administratives indépendantes, se sont réunis à quatre reprises pour donner leurs points de vue aux diverses étapes de l'avancement des travaux. Les débats qui ont eu lieu au sein de ce groupe ont montré, s'il en était besoin, la persistance de divergences entre les acteurs sur certains sujets fondamentaux.

Je signale que les annexes sectorielles et les contributions individuelles libres – parmi lesquelles celle de M. Winston Maxwell, membre de votre commission – qui figurent à la fin de l'étude n'ont pas été délibérées en assemblée générale.

Notre étude, Le numérique et les droits fondamentaux, ne porte ni sur le numérique de façon générale ni sur les seuls droits individuels. Les droits fondamentaux, au sens que leur donne le Conseil d'État, comprennent en effet l'ensemble des libertés fondamentales, libertés économiques et droit à la sécurité nationale compris. Dans le champ du numérique, certains de ces droits et libertés entrent en contradiction ; il est néanmoins nécessaire de trouver entre eux un point d'équilibre.

Les droits fondamentaux existants s'appliquent de plein droit au numérique. Il ne paraît donc pas utile d'en inventer aujourd'hui de nouveaux, d'autant que certains droits spécifiques ont déjà été créés, comme le droit d'accès à l'internet. Quatre raisons nous obligent en revanche à repenser la protection des droits fondamentaux.

Tout d'abord, le caractère transnational du numérique rend indispensable cette réflexion car il crée des conflits de lois au niveau national et européen.

Celle-ci est ensuite incontournable en raison de l'ambivalence du numérique qui ouvre de nouveaux espaces pour les libertés fondamentales, en même temps qu'il se trouve à l'origine de nouvelles menaces. Il faut veiller à ce que les mesures prises pour conjurer ces dernières n'étouffent pas le potentiel libérateur du numérique.

Le numérique avive par ailleurs les tensions entre libertés fondamentales : le droit à la vie privée s'oppose au droit à la sécurité – comme le montrent les questions posées au sujet du renseignement et de la surveillance des communications électroniques – ou à liberté d'expression, comme en témoigne le débat autour de ce que les médias appellent le « droit à l'oubli », expression que le Conseil d'État ne goûte guère. La conciliation entre les libertés est familière au juge mais, en l'espèce, l'exercice est particulièrement délicat.

L'obligation de repenser la protection des droits fondamentaux nous est enfin imposée parce que le numérique est un enjeu de compétition entre États et entre acteurs économiques. S'il n'est évidemment pas question pour nous de subordonner la protection des droits fondamentaux à des impératifs économiques, nous ne pouvons pas ignorer ces derniers dans un secteur où l'Europe fait difficilement face à la concurrence aujourd'hui américaine, et demain asiatique.

Afin d'aider à repenser la protection des droits fondamentaux, l'étude prend position sur un certain nombre de questions.

Faut-il reconnaître un droit de propriété des individus sur leurs données personnelles ? Le Conseil d'État répond par la négative. Une revendication persiste en ce sens qui s'appuie sur la crainte que d'autres acteurs ne s'approprient ces données. Cette position est fondée sur une confusion entre données et bases de données. La propriété intellectuelle n'existe que pour les fichiers, non pour les données elles-mêmes. Le Conseil d'État écarte la solution consistant à affirmer l'existence d'un tel droit de propriété. Nous ferions fausse route en nous engageant sur cette voie qui ne permettrait pas de rééquilibrer le rapport de force entre les individus et les producteurs de fichiers à qui il suffirait de prévoir des clauses de cession globale pour garder toutes les cartes en main. La reconnaissance de ce droit de propriété rendrait plus difficile l'action de l'État pour protéger les individus confrontés à de multiples pièges car toutes ses interventions pourraient alors être regardées comme portant atteinte à un droit de valeur constitutionnelle. Ce droit reconnu deviendrait par ailleurs immédiatement cessible, et cette solution poserait de redoutables problèmes économiques. Si un sondage publié le mois dernier montre que les Français s'inquiètent de la manipulation de leurs données personnelles, nous constatons que, lorsque la question leur est posée, ils sont prêts à les vendre pour 500 euros par an !

Plutôt qu'un droit de propriété, le Conseil d'État propose en conséquence de reconnaître le droit à « l'autodétermination informationnelle », concept dégagé par la Cour constitutionnelle allemande en 1983. À la différence du droit de propriété, il s'agit d'un droit attaché à la personne, tendant à « garantir en principe la capacité de l'individu à décider de la communication et de l'utilisation de ses données à caractère personnel ». Ce droit ne devrait pas être défini comme un droit supplémentaire mais comme un principe donnant sens aux droits fondamentaux qui régissent la protection des données personnelles, à la lumière duquel ils seraient réinterprétés par le juge. Nous proposons que ce droit soit inscrit dans la loi.

La massification et la réutilisation des données caractéristiques du big data remettent-elles en cause les grands principes de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « Informatique et libertés » ? Le Conseil d'État répond à nouveau par la négative. Parce que l'expansion du volume des données et de la capacité à les utiliser peut sembler difficilement conciliable avec les principes de « finalités déterminées » et de proportionnalité de la collecte, qui fondent le droit national et européen en la matière, le Conseil d'État propose de surmonter cette tension incontestable en distinguant les usages à vocation statistique, qui ne s'intéressent pas aux personnes individuellement mais à la masse des données, des usages ciblant les personnes et permettant un profilage – évaluation de la solvabilité d'un emprunteur, recherche de fraudeurs potentiels. Si les premiers, qui ne posent pas de problèmes en termes de respect de la vie privée, doivent demeurer très libres – plus d'ailleurs que ce qui est prévu dans le futur règlement européen –, les seconds doivent être encadrés par les principes de finalités déterminées et de proportionnalité.

Faut-il reconnaître un « droit à l'oubli » ? Nous n'y sommes pas favorables. Sur la forme, l'expression nous semble simplificatrice ; sur le fond, elle pose des problèmes. Pour être précis, le fameux arrêt Google Spain de la Cour de justice de l'Union européenne (CJUE), en date du 13 mai 2014, a consacré un droit au « déréférencement » plutôt qu'un « droit à l'oubli ». Depuis cette décision, une personne a, en principe, le droit d'obtenir d'un moteur de recherche qu'il n'affiche pas certaines informations la concernant, mais elle ne peut pas obtenir qu'une information soit effacée d'un site internet. L'impact des moteurs de recherche en termes de visibilité est cependant tel que le déréférencement peut poser un problème au regard de la liberté d'expression et de la liberté d'information. Le Conseil d'État considère en conséquence que la mise en oeuvre de l'arrêt doit être mieux encadrée. Il faut, d'une part, garantir que les sites dont le déréférencement est demandé puissent faire valoir leur point de vue. Il serait bon, d'autre part, de confier aux autorités nationales européennes de protection des données, comme la Commission nationale de l'informatique et des libertés (CNIL) en France, le soin de définir les lignes directrices explicitant la doctrine de mise en oeuvre de l'arrêt Google Spain.

Faut-il consacrer la neutralité du net dans le droit positif ? Le Conseil d'État répond positivement. La neutralité du net implique que les opérateurs de communications électroniques traitent de manière égale toutes les communications, quel que soit leur contenu. Il s'agit d'une garantie fondamentale de la liberté d'expression et de la liberté d'entreprendre, consubstantielle à la nature du net. Cette neutralité doit donc être consacrée dans la loi nationale et dans les textes européens.

La neutralité vaut-elle pour tous les opérateurs du net ? Non ! Ce serait en faire un usage abusif que de l'appliquer par exemple aux « plateformes » pour lesquelles le Conseil d'État propose la création d'une nouvelle catégorie juridique. Issue de la directive européenne relative au commerce électronique du 8 juin 2000, la distinction binaire entre éditeurs, responsables des contenus, et hébergeurs, intermédiaires techniques passifs et « irresponsables », est aujourd'hui dépassée car les plateformes n'entrent pas dans ces catégories. Si elles ne produisent pas de contenus, elles sont actives car elles référencent, classent et recommandent, activités qui, par leur nature même, excluent la neutralité. Le Conseil d'État propose de définir un nouveau régime juridique pour les plateformes : leur responsabilité restera limitée pour ce qui est du contenu à l'instar de celle des hébergeurs ; elles seraient en revanche soumise à une obligation de loyauté inspirée du droit commercial et du droit de la consommation pour ce qui concerne leur activité de référencement et de classement. Les conflits d'intérêts entre une « activité de plateforme » et une autre activité exercée par un même opérateur seraient par exemple prohibés.

Quel équilibre trouver entre sécurité nationale et droit à la vie privée dès lors que l'on traite de la surveillance des communications électroniques ? L'arrêt Digital Rights Ireland rendu par la Cour de justice de l'Union européenne le 8 avril 2014 a invalidé la directive de 2006 sur la conservation des données de communication ne laissant subsister sur ce sujet que les législations nationales. L'étude du Conseil d'État souligne les difficultés que causerait à la police judiciaire et à la sécurité nationale l'hypothèse d'une interdiction totale de la collecte systématique de ces données à des fins de prévention des atteintes à la sûreté nationale. Elle propose des mesures tendant à renforcer les garanties des droits fondamentaux sans porter atteinte à la sécurité nationale. Elle préconise de restreindre drastiquement l'accès à ces données, et propose de transformer la Commission nationale de contrôle des interceptions de sécurité (CNCIS) en une autorité indépendante de contrôle des services de renseignement, dotée de moyens significatifs. Les agents impliqués dans la mise en oeuvre des programmes de renseignement auraient un droit de signalement des pratiques manifestement contraires au cadre légal auprès de cette autorité administrative indépendante.

Faut-il appliquer dans tous les cas le droit du pays de l'internaute ? Les chances de faire adopter et respecter cette position par les grands opérateurs américains sont faibles. Ce choix ne serait d'ailleurs pas nécessairement favorable à long terme aux intérêts des opérateurs européens – pourquoi présumer que l'Europe sera toujours dominée par les opérateurs américains ? Le Conseil d'État recommande plutôt, pour prévenir les conflits de loi découlant du caractère transnational d'internet, de prévoir un socle de règles essentielles, applicable à tous les services dirigés vers l'Union européenne ou vers la France, selon que la règle est européenne ou nationale. Qualifiées à cette fin de « loi de police », au sens du droit international privé, ces règles prévaudraient sur les clauses commerciales et comprendraient notamment la législation relative à la protection des données personnelles ainsi que l'obligation de coopérer avec la justice du pays de l'internaute.

Faut-il rééquilibrer la gouvernance d'internet ? Pour y parvenir, l'étude du Conseil d'État propose des mesures pour démocratiser le fonctionnement de l'ICANN, l'Internet corporation for assigned names and numbers, organisme de droit américain qui gère le système des noms de domaine, ainsi que celui des autres instances de gouvernance d'internet. Nous inscrivant dans une tradition qui fait de l'État le seul garant de l'intérêt général, nous estimons que la place des États doit être renforcée sans abandonner pour autant le modèle « multiacteurs ».