Jeudi 9 avril 2015
- Présidence de M. Jean-Paul Emorine, vice-président -La réunion est ouverte à 9h10.
Justice et affaires intérieures - Protection des données personnelles : communication de M. Simon Sutour
M. Jean-Paul Emorine, vice-président. - Je dois excuser le président Jean Bizet qui est retenu par un engagement impératif.
Notre ordre du jour appelle en premier lieu une communication de Simon Sutour sur la protection des données.
Je rappelle que la Commission européenne a présenté, en janvier 2012, deux instruments juridiques. L'un est relatif aux fichiers commerciaux ou tenus par des personnes privées ; c'est une proposition de règlement. L'autre porte sur certains fichiers mis en place par les autorités publiques ; c'est une proposition de directive.
Notre collègue avait procédé à un examen approfondi de ces deux textes, défendus à l'époque par Mme Viviane Reding que nous avions auditionnée au Sénat. Je précise qu'il avait effectué ce travail au nom des deux commissions des lois et des affaires européennes.
Sur sa proposition, le Sénat avait adopté des résolutions européennes pour chacun de ces textes : en mars 2012 pour le règlement et en mars 2013 pour la directive.
Depuis la négociation s'est poursuivie au Conseil. Elle a semble-t-il été laborieuse, notamment sur la création d'un « guichet unique » pour la présentation des réclamations à des autorités de contrôle telles que la CNIL. Nous avions au Sénat contesté ce dessaisissement des « CNIL » nationales.
J'ajoute que l'affaire Snowden sur les écoutes généralisées auxquelles ont procédé les autorités américaines a donné à l'enjeu de la protection des données personnelles une acuité particulière.
C'est pourquoi il était particulièrement intéressant de faire un point sur cette question. C'est tout l'intérêt de la communication que Simon Sutour va nous présenter maintenant.
M. Simon Sutour. - Je vous remercie, Monsieur le Président. Je commencerai par un rappel historique sur la prise en compte de l'enjeu de la protection des données au niveau européen.
Le texte fondateur sur la protection des données personnelles est une directive de 1995 qui poursuit deux objectifs : garantir le droit fondamental des personnes à la protection de leurs données d'une part, et permettre la libre circulation de ces données entre États membres, d'autre part.
Cette directive établit les principes du traitement licite et loyal des données à des fins déterminées. Elle garantit la protection des données en instituant notamment des règles de confidentialité et de sécurité du traitement et, en second lieu, le principe de la notification du traitement à l'autorité de contrôle.
Par ailleurs, la directive de 1995 octroie des droits aux personnes : droit à l'information et opposition au traitement ; droit d'accès, à la rectification et à l'effacement des données non conformes ; recours juridictionnel.
En 2001, l'Union européenne a adopté un règlement relatif à la protection des données traitées par les institutions européennes en mettant en place le contrôleur européen de la protection des données (CEPD).
La directive « Vie privée » de 2002 a concerné le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
En 2006, à la suite des attentats de Madrid et de Londres respectivement en 2004 et 2005, fut adoptée la directive « conservation des données » qui obligeait les opérateurs de communication à conserver pendant 6 à 24 mois certaines données de la communication (date et durée de l'appel, appareil utilisé ou sa localisation). C'est cette directive, notons-le, qui a été invalidée au mois d'avril 2014 par la Cour de justice de l'Union européenne.
En 2008, la protection des données dans le domaine de la coopération policière et judiciaire en matière pénale a fait l'objet d'une décision cadre en date du 27 novembre 2008.
Le droit à la protection des données à caractère personnel a été consacré par les plus hautes normes de l'Union européenne.
Aux termes de l'article 16 du traité sur le fonctionnement de l'Union européenne : « Toute personne a droit à la protection des données à caractère personnel la concernant ».
La Charte des droits fondamentaux de l'Union européenne comporte un article 8 qui dispose :
« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »
Que prévoit le « paquet » protection des données de 2012 ?
J'en viens maintenant au « paquet » que la Commission européenne a présenté le 25 janvier 2012 et qui est l'objet d'une laborieuse négociation entre les institutions européennes depuis plus de trois ans : la proposition de règlement général sur la protection des données personnelles et la proposition de directive spécifique aux données policières et judiciaires.
Très rapidement notre commission des affaires européennes a pris la mesure de l'importance de ce dossier. Dès le 21 février 2012, elle entendait, au Sénat, Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté. Occasion nous a été donnée d'exprimer nos réserves et nos interrogations concernant certaines dispositions de la proposition de règlement. À notre initiative, le Sénat a adopté le 6 mars 2012 une proposition de résolution européenne relative au projet de règlement en matière de protection des données personnelles. Parallèlement, nous avions adopté un avis motivé au titre du contrôle de subsidiarité.
Le 12 mars 2013, le Sénat adoptait une proposition de résolution européenne que j'ai eu l'honneur de présenter et de rapporter au nom de notre commission sur la protection des données personnelles. Cette seconde résolution visait plus particulièrement la proposition de directive sur la protection des données personnelles à caractère policier ou judiciaire dans le domaine pénal.
J'y reviendrai.
1. La proposition de règlement général de la Commission
Son ambition est de renforcer les droits des citoyens sur les données personnelles tout en améliorant la sécurité juridique des responsables de traitement que sont les entreprises et les pouvoirs publics.
Par rapport à la directive de 1995, elle contient les principales innovations suivantes :
· L'extension du champ d'application territoriale des
règles européennes de protection des données. Seraient
désormais soumis aux dites règles non seulement les responsables
de traitement établis dans l'Union européenne mais aussi les
responsables établis hors de l'Union dès lors qu'ils traitent des
données personnelles de résidents de l'union
européenne ;
· Le principe du « consentement
explicite » au traitement des données ;
· La création d'un droit à
l'« oubli numérique » ;
· Un meilleur encadrement du
« profilage ».
· la création de
« délégués à la protection des
données » dans les entreprises de plus de 250 salariés
et dans les organismes publics ;
La proposition de règlement prévoit encore la création d'un « Comité européen de la protection des données » qui serait composé des directeurs des autorités de contrôle national et du Contrôleur européen de la protection des données.
Autre innovation qui doit alléger, cette fois, les charges des entreprises : l'obligation de déclaration préalable à la mise en oeuvre d'un traitement automatisé ne concernerait plus que les traitements présentant des « risques particuliers pour les droits et libertés ».
Enfin, la proposition de règlement met en place le fameux « guichet unique » qui a constitué l'un des principaux sujets de controverse dans la négociation. Le système envisagé initialement par la Commission confiait à une seule autorité de contrôle le jugement des atteintes à la réglementation européenne lorsque le responsable de traitement concerné dispose d'établissements dans plusieurs États membres ou lorsque le traitement en cause concerne des citoyens résidant dans plusieurs États de l'Union européenne. L'autorité de contrôle désignée comme guichet unique aurait été celle de l'État où le responsable d'un traitement possède son établissement principal.
Quelle a été la position du Sénat dans sa résolution du 6 mars 2012 ?
J'ai été le rapporteur au nom de la commission des lois d'une proposition de résolution européenne qui allait devenir la résolution du 6 mars 2012 sur la protection des données. La commission des affaires européennes s'était saisie pour avis de ce texte. Son adoption a suivi de quelques jours l'audition par la commission des affaires européennes et la commission des lois de Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté.
Nous avions salué un certain nombre d'avancées introduites par la proposition de la Commission notamment quant aux droits nouveaux accordés aux citoyens, à la responsabilisation accrue des entreprises du net ou encore quant à la simplification et à la modernisation des règles applicables. Le Sénat a toutefois vivement critiqué l'introduction du « guichet unique » en soulignant les risques de « dumping juridique ». Il a appelé de ses voeux une solution plus respectueuse des droits des citoyens. Il a ainsi souhaité que les autorités de contrôle soient renforcées, qu'elles disposent d'une plus grande liberté d'investigation et de contrôle et qu'elles soient mieux associées au processus d'élaboration des actes normatifs. Le Sénat a insisté sur la compétence de principe de l'autorité de contrôle du pays de résidence du citoyen dont les données à caractère personnel font l'objet d'un traitement.
En matière de transferts internationaux de données, le Sénat a jugé que le dispositif proposé par la Commission européenne était insuffisamment protecteur du droit des personnes concernées du fait des marges de manoeuvre excessives qu'elle laissait aux responsables de traitement.
Quelle a été la position du Parlement européen sur la proposition de règlement ?
J'évoquerai, maintenant, la position du Parlement européen qui s'est prononcé le 12 mars 2014 sur la proposition de règlement.
Les eurodéputés ont préconisé notamment :
· L'augmentation du plafond des sanctions qui
pourraient s'élever à 100 millions d'euros ou 5 % du
chiffre d'affaire annuel mondial d'une entreprise qui contrevient aux
règles européennes ;
· Le renforcement de l'information des
personnes : les informations qui leur sont délivrées devront
être « claires et compréhensibles » en
précisant quelles sont les données personnelles collectées
ainsi que l'usage qui en est fait ;
· La limitation du « marketing
direct » aux produits et services du responsable de traitement
initial et au marketing « par voie postale ». On rappellera
que le marketing direct consiste à s'adresser de façon
personnalisée et individualisée aux clients
« ciblés » ;
· Un dispositif encadrant le transfert de
données par des entreprises soumises aux droits de l'Union
européenne à des autorités publiques de pays tiers qui en
font la requête ; lesdites entreprises devront obtenir
l'autorisation de l'autorité européenne de contrôle
compétente et informer les personnes concernées de cette
demande ;
· Le droit pour toute personne de s'opposer à
un « profilage » la concernant ;
· Le remplacement du seuil de
250 salariés pour la désignation d'un
délégué à la protection des données par un
critère relatif au nombre de personnes concernées (5 000)
par les traitements effectués sur une période de 12 mois
consécutifs ;
· Enfin, le Parlement européen a
suggéré la mise en place d'une autorité de contrôle
« chef de file » qui, tout en conservant le critère
de l'établissement principal de traitement, ne prendrait de
décision qu'après consultation de toutes les autres
autorités de contrôle concernées. En cas de
difficulté sur l'identification de cette autorité de
contrôle « chef de file », le Comité
européen de la protection des données pourrait émettre un
avis ; de même si des divergences importantes étaient
constatées entre l'autorité de contrôle « chef de
file » et les autres autorités de contrôle.
2. La proposition de directive de la Commission
J'en viens, maintenant, au second texte de ce « paquet » : la proposition de directive relative aux données policières et judiciaires en matière pénale.
Que contient cette proposition de directive ?
On sait qu'elle remplace la décision cadre du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Cette décision cadre ne concerne que les échanges de données entre États membres. La proposition de directive étend le champ d'application à tous les traitements de données effectuées dans les États membres en matière de prévention et de détection d'infractions pénales, d'enquêtes et de poursuites ou d'exécution de sanctions pénales.
Si le droit à l'information des personnes est renforcé, le texte prévoit néanmoins, que les États membres pourront retarder ou limiter la fourniture d'informations, compte tenu d'« intérêts légitimes » qui ont pour objet d'éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires, d'éviter de nuire à la poursuite d'infractions pénales, ou encore de protéger la sécurité publique, la sûreté de l'État, les droits et les libertés d'autrui.
L'article 14 prévoit que dans les cas où l'accès est limité, la personne concernée doit être informée de la possibilité de consulter les données de manière indirecte par l'intermédiaire de l'autorité de contrôle.
On soulignera que le droit à l'information n'existe pas en France en ce qui concerne le traitement des données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. C'est ce que prévoit notamment la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans son article 32.
L'adoption de cette directive impliquerait donc des évolutions non négligeables dans les règles et pratiques françaises en vigueur dans le domaine de la procédure pénale.
Le texte prévoit, encore, un droit de rectification et d'effacement des traitements illicites en application de la directive.
La question importante des transferts des données vers des pays tiers est enfin traitée. La proposition de directive prévoit que lesdits transferts seraient autorisés lorsque la Commission aura explicitement constaté le caractère adéquat du niveau de protection dans l'État tiers concerné. En l'absence de ce « constat d'adéquation », le transfert pourrait, toutefois, intervenir lorsqu'il existe des garanties appropriées prévues par exemple par une convention internationale.
La proposition de directive prévoit, encore, d'autres cas dans lesquels le transfert vers un pays tiers serait licite : cas où le transfert serait nécessaire à la sauvegarde des intérêts vitaux de la personne ou d'une autre personne, à la sauvegarde des intérêts légitimes de la personne dans les cas prévus par la législation nationale, cas où le transfert est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un État tiers, cas où il est nécessaire à des fins de prévention et de détection d'infractions pénales, ou encore cas où il est nécessaire à la constatation ou à l'exercice d'un droit en justice en rapport avec la prévention des infractions pénales.
Quelle a été l'appréciation du Sénat dans sa résolution du 12 mars 2013 ?
C'est au nom de la commission des affaires européennes, cette fois, que j'ai présenté la proposition qui allait devenir la résolution européenne du Sénat du 12 mars 2013 sur la protection des données personnelles. Elle soulignait, en particulier, la nécessité de préserver les garanties prévues par le cadre juridique national qui permet un haut niveau de protection des données personnelles et qui repose sur le principe fondamental selon lequel les traitements de données nécessaires dans le cadre des activités répressives de l'État doivent être mis en oeuvre conformément aux principes généraux de protection des données, tout en bénéficiant des dérogations justifiées et adaptées à leurs besoins.
Cette résolution demandait aussi qu'une disposition expresse précise que la directive ne fournirait qu'un seuil minimal de garanties et ne priverait pas les États membres de la possibilité d'adopter des dispositions nationales protectrices. Elle jugeait enfin insuffisant le dispositif relatif au transfert de données à des pays tiers, les responsables de traitement pouvant évaluer eux-mêmes, en dehors de tout cadre juridique établi et de tout contrôle, si le transfert est entouré de garanties appropriées.
C'est notamment sur la base de ces principes, que la France participe, en tant qu'État membre, aux délicates négociations sur la proposition de directive.
Quelle a été la position du Parlement européen sur la proposition de directive ?
Le Parlement européen a plaidé, pour sa part, pour la fourniture d'informations « claires et facilement intelligibles » sur le traitement des données, sur le droit d'accès, de rectification et d'effacement, le droit d'obtenir des données, le droit à un recours effectif ainsi que le droit à une indemnisation pour une opération illicite de traitement.
S'agissant des délais de conservation, il a appelé de ses voeux la suppression, par les autorités compétentes, des données traitées conformément à la directive lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées. Il a aussi demandé la mise en place de mécanismes assurant la fixation de délais applicables à l'effacement des données à caractère personnel ainsi qu'un examen périodique de la nécessité de conserver les données concernées.
S'agissant du champ d'application de la directive, les eurodéputés ont estimé que les autorités compétentes ne devraient traiter les données que des seules personnes à l'égard desquels il existe des motifs raisonnables de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale, les personnes reconnues coupables d'une infraction pénale, les victimes présumées d'une infraction pénale et les tiers à l'infraction pénale tels que les témoins. Le traitement des données ainsi réglementé ne pourrait s'appliquer à d'autres personnes que lorsque le traitement s'avérerait indispensable pour atteindre des objectifs ciblés et préventifs ou à des fins d'analyse criminelle.
Où en est-on à l'heure de cette communication ?
À l'initiative de l'Allemagne, soutenue par la ministre française de la justice ainsi que le ministre luxembourgeois, les ministres se sont fixés pour objectif de « boucler le dossier » lors de leur réunion des 15 et 16 juin prochains à Luxembourg. La commissaire à la justice, Mme Véra Jourova, a déclaré qu'elle s'emploierait à « préparer le terrain » pour fin avril-début mai.
Jusque-là, c'est donc un long marathon qui est en cours.
Des accords partiels ont été constatés lors du Conseil JAI du 13 mars dernier sur le « guichet unique » qui constitue un mécanisme de règlement des différends concernant la protection des données personnelles. Les ministres se sont mis d'accord sur le mécanisme suivant : les citoyens pourraient s'adresser à leurs juridictions nationales au nom du principe de proximité ; les cas les plus importants concernant plusieurs États membres pourraient être portés devant un « Conseil européen des autorités nationales de protection des données » (EDPB) qui déciderait quelle autorité nationale est compétente.
Certains des États membres ne se sont ralliés à ce mécanisme que « du bout des lèvres ». Si Mme Christiane Taubira, pour sa part, l'a considéré comme « une procédure démocratique garantissant une vraie proximité pour les citoyens et une simplification pour les entreprises », le ministre britannique de la justice a émis des réserves sur une procédure qu'il a jugée « lourde et bureaucratique ».
Même si le risque de lourdeur et de la bureaucratie existe, c'est vrai, nous devons nous féliciter, quant à nous, que le Conseil retienne finalement un mécanisme consacrant un principe de proximité. Le Sénat, rappelons-le, avait fortement critiqué dans sa résolution du 6 mars 2012 les risques de « dumping juridique » que pouvait générer la proposition initiale de guichet unique.
L'Irlande, soutenue notamment par le Royaume-Uni, les Pays-Bas, le Luxembourg, la République tchèque, le Portugal ou encore l'Autriche, a appelé de ses voeux la mise en place d'un mécanisme de révision. La Commissaire européenne à la justice a annoncé que la Commission européenne présenterait, après quatre ans, un rapport sur le fonctionnement du système de guichet unique et d'éventuelles propositions de modification.
Relevons, en second lieu, que la France, l'Italie, la Hongrie, le Portugal ou la Pologne expriment certaines réticences sur l'ensemble du chapitre II de la proposition de règlement définissant les grands principes précisant les conditions dans lesquelles les données personnelles peuvent être conservées et traitées. L'Autriche est la plus critique en estimant que le concept « d'intérêt légitime » qu'auraient les entreprises à utiliser les données ne protège pas les droits découlant de la Charte des droits fondamentaux et ne répond pas non plus à la nécessité de « certitude juridique ». Pour l'Autriche, les personnes doivent être clairement informées de la réutilisation des données les concernant dans tous les cas. Sinon, estime-t-elle, le texte en discussion contreviendrait au principe fondamental de la législation européenne en la matière selon lequel chaque traitement de données doit répondre à un « objectif spécifique. ».
D'autres points font encore l'objet d'une discussion serrée. N'oublions pas non plus que certains rapporteurs du Parlement européen affichent un grand scepticisme sur la possibilité d'un accord en 2015. Pour le rapporteur allemand Jan Philipp Albrecht, par exemple, le sujet le plus litigieux reste la protection des droits individuels. Dans l'état actuel du texte, juge-t-il, « le niveau de protection risque d'être encore moins élevé qu'au titre de la directive en vigueur de 1995. »
On le voit, la partie n'est pas gagnée d'avance d'autant plus que l'autre dossier, celui de la proposition de directive relative à la protection des données policières et judiciaires, avance, nous a-t-on dit, avec plus de difficultés encore que la proposition de règlement général.
Je formulerai aussi un souhait. Il convient absolument, contrairement à ce que souhaitent certains, de dissocier le dossier du paquet « protection des données » de celui du PNR européen. Il y a urgence à mettre en oeuvre rapidement ce dernier dispositif, quitte à l'ajuster ultérieurement en fonction des dispositions législatives européennes qui entreront plus tard en vigueur en matière de protection des données. Rien ne serait pire qu'une quinzaine de PNR nationaux non coordonnés et fonctionnant selon des standards différents.
J'estime, en conclusion, que sur ce dossier comme dans d'autres, les parlements nationaux ont un grand rôle à jouer en faisant connaître leur point de vue à la Commission européenne et au Parlement européen. C'est, bien sûr, aussi le rôle du Sénat et notamment de sa commission des affaires européennes de faire connaître au Gouvernement la vision sénatoriale sur les grands enjeux européens.
M. Jean-Paul Emorine, vice-président. - Merci au rapporteur pour son exposé très complet. Les sujets qui viennent d'être abordés sont complexes. C'est le rôle de la commission des affaires européennes de les analyser et de nous éclairer sur leurs tenants et aboutissants.
M. André Gattolin. - Je m'interroge sur la portée pratique des sanctions financières prévues par les textes que nous venons d'évoquer. Pourra-t-on vraiment s'attaquer à la NSA américaine ou aux grands groupes américains tels que Google, Apple, Facebook et Amazon ? En cas de mise en oeuvre de ces sanctions, ne faut-il pas s'attendre à des mesures de rétorsion ? N'oublions pas que les données GPS ou celles qui concernent l'espace sont totalement sous contrôle américain.
La question de la protection des données personnelles va-t-elle être intégrée dans la négociation sur le TTIP ? Un traité ne constitue-t-il pas une norme supérieure aux actes législatifs, fussent-ils européens ? N'est-on pas, en définitive, dans un rapport de forces, et les textes que nous pouvons adopter en la matière au niveau de l'Union européenne ne vont-ils pas, très vite, montrer leurs limites ?
M. Simon Sutour. - Cette nouvelle législation sur la protection des données s'intègrera dans la négociation avec les Américains. Rappelons que sur le PNR, les Américains et les Canadiens ont su nous imposer leurs règles. Nous devons nous efforcer d'en faire autant. Cela dit, André Gattolin a raison, nous sommes dans un rapport de forces. Une Union européenne de plus en plus intégrée constituera certainement un atout dans ce rapport de forces.
Je pense, d'autre part, que la nouvelle législation sur la protection des données sera appliquée sans difficulté au niveau des entreprises. En sera-t-il de même au niveau des organismes publics et parapublics ?
Justice et affaires intérieures - Économie, finances et fiscalité - Enjeux du Big Data : communication de Mme Colette Mélot et M. André Gattolin
M. Jean-Paul Emorine, vice-président. - Nous allons maintenant entendre une communication d'André Gattolin et Colette Mélot sur les enjeux du « Big data ».
Je rappelle que nos collègues suivent au sein de la commission les enjeux du numérique. La délégation de la commission, qui s'est rendue à Bruxelles les 23 et 24 mars, a pu débattre de cette question avec le commissaire Gunther Oëttinger. Elle nous en fera un compte rendu lors de notre réunion du 16 avril.
La délégation a rappelé au commissaire les travaux importants menés par le Sénat. Dans un rapport de mars 2013, au nom de notre commission, notre collègue Catherine Morin-Desailly avait relevé qu'une simple approche par les usages manquait d'envergure politique. L'Union européenne ne peut pas être une simple consommatrice. Elle doit aussi être productrice sur le marché unique numérique. La coopération franco-allemande pourrait jouer un rôle important à cette fin.
Dans un rapport plus récent pour la mission commune d'information, présidée par Gaëtan Gorce, notre collègue a souligné que c'est l'ensemble de la gouvernance de l'Internet qui est à réformer et même à construire.
Les interrogations portent aussi sur le rôle des grandes plateformes qui jouent un rôle de plus en plus important dans l'économie y compris pour des PME qui n'évoluent pas dans le monde digital. Ces plateformes occupent une position dominante qui peuvent leur permettre d'imposer leur vues à des PME sous-traitantes.
Enfin, l'innovation est un enjeu majeur. Le numérique offre une belle opportunité pour la promouvoir en contrebalançant le principe de précaution qui s'est imposé de façon souvent excessive.
Je donne la parole à nos deux rapporteurs.
Mme Colette Mélot. - En parallèle de la présentation de Simon Sutour, nous voulions apporter un éclairage sur les enjeux des mégadonnées ou données de masse, qu'on appelle plus communément par le nom anglais de Big Data. Cette question s'avère centrale à la fois dans l'édification d'une stratégie numérique européenne car elle recèle un potentiel économique énorme, mais également dans la protection des droits fondamentaux des citoyens européens à l'ère du numérique et à l'heure où les données concernant les individus ont une valeur marchande et s'échangent à travers le monde.
Cette communication s'inscrit naturellement dans la continuité du rapport d'information de Catherine Morin-Dessailly au sein de cette commission il y a deux ans, et de la mission commune d'information à laquelle André Gattolin et moi-même avons participé sur la place de l'Union européenne dans la gouvernance mondiale du numérique. Et nous voulons nous faire aussi l'écho d'un avis du Conseil économique, social et environnemental sur ce sujet précis du Big Data et dont l'auteur, Eric Peres, a été auditionné par la commission de la culture le 11 février dernier.
M. André Gattolin. - Dans son rapport, Eric Peres explique que le Big Data est la rencontre entre la multiplication des données non structurées, les besoins d'analyse de ces données et les progrès de la technologie. En conséquence, on le définit souvent à partir de 3 « V » : volume, variété et vélocité. Un quatrième « V » pour « valeur » ou « valorisation » me semble également pertinent. Si la collecte des données personnelles n'est pas nouvelle, la capacité et la rapidité numérique de leur stockage et de leur traitement permettent désormais de renseigner sur les comportements des citoyens.
Ces données personnelles sur notre activité professionnelle comme notre vie privée sont désormais produites tant par des acteurs publics que privés. Elles le sont également par nous-mêmes, via l'ensemble des objets connectés et robots que nous utilisons. Nous contribuons donc à cet univers numérique sans toutefois en mesurer pleinement les opportunités ou les risques induits, ni même le volume des informations envoyées !
Au total, c'est actuellement plus de 300 milliards de milliards de Giga octets qui sont créés et stockés chaque jour !
Ces « datas » sont devenues l'unité de base de l'économie numérique et l'analyse des informations collectées représente désormais un enjeu stratégique.
Laissez-moi vous donner quelques chiffres :
Le chiffre d'affaires du marché mondial du Big Data était estimé à 6,3 milliards de dollars en 2012 et pourrait atteindre 24,6 milliards en 2014. Surtout, la croissance des revenus du marché est estimée à plus de 40 % par an ! De 100 millions de dollars en 2009, ces revenus pourraient atteindre 50 milliards de dollars en 2018. Le Boston Consulting Group, un cabinet international de conseil renommé, estime que la valeur des données personnelles des consommateurs européens atteindrait 315 milliards d'euros. Ce qui fait dire à la Commission européenne que l'exploitation de ces données personnelles permettrait une création de valeur représentant 8% de l'ensemble du PIB européen à l'horizon 2020...
Encore faudrait-il que l'Europe soit en mesure de participer à cette compétition mondiale ! Or, actuellement, ce n'est pas encore le cas : 80 % du stock des données sont aux mains de quatre entreprises étatsuniennes, les fameuses GAFA (Google, Apple, Facebook et Amazon). Grâce à leur poids économique mondial, elles parviennent à imposer des normes de protection des données personnelles les avantageant et à avoir de facto un pouvoir d'influence considérable.
Et si l'affaire Prism et les révélations de Snowden ont permis de prendre conscience des dérives d'une surveillance de masse par un État, n'oublions pas que ces entreprises continuent à stocker une quantité phénoménale de datas avec notre consentement... pas toujours éclairé, hélas !
Mme Colette Mélot. - Je me fais l'écho d'André Gattolin. Les internautes ont adopté le principe de gratuité sur internet. En échange de l'accès à certains sites, ils acceptent la collecte d'informations concernant leur navigation.
Nous sommes tous des utilisateurs d'internet et lorsque des sites nous proposent de valider l'usage de « cookies », nous donnons facilement une autorisation qui ne paraît pas prêter à conséquence. Pourtant, nous autorisons le site à recueillir et à transmettre des informations sur les pages que nous consultons. C'est précisément ce type de données qui constituent le coeur actuel du Big Data. Comme le résumait Eric Peres devant la commission de la culture : « si c'est gratuit, c'est vous et vos données qui êtes le produit ! ».
Mais que savons-nous du devenir de nos informations personnelles ? Que savons-nous du prix de ces données dont nous avons autorisé la collecte ? La réponse est simple : rien !
C'est pourquoi, je pense qu'il faut un cadre éthique et juridique commun aux européens pour la protection de leurs données personnelles. Car cette nouvelle économie de la data s'applique à de multiples domaines. Je pense notamment aux cours en ligne ouverts à tous, les MOOC (pour l'anglais Massive Online Open Courses) dont je vous avais parlé l'an dernier. Ils permettent à un nombre beaucoup plus important - ou plus « massif » - de personnes de suivre des cours en ligne. Mais faute d'encadrement juridique, ils ne sont pas sans danger. Ils peuvent, par exemple, permettre à des recruteurs d'établir une typologie des étudiants.
Je pense en second lieu à l'importance pour l'Union européenne d'adopter des règles qui lui soient propres et qui ne lui soient pas imposées par d'autres États ou par des acteurs privés, aussi importants soient-ils ! C'est une question que nous avions abordée lors de notre travail sur la lutte contre le terrorisme et elle se pose ici aussi. Je ne crois pas que l'Europe s'affaiblisse ou affaiblisse ses entreprises ou son marché intérieur en définissant des critères éthiques de protection des données personnelles. Je pense même que c'est une vertu : le citoyen européen c'est aussi celui dont l'usage des données personnelles est encadré juridiquement. Nous ne perdrons pas en compétitivité, ce faisant ! Ce qui compte, c'est d'établir un cadre clair dans lequel les acteurs économiques peuvent agir dans le respect des libertés individuelles à l'heure du numérique comme le droit au respect de la vie privée sur internet ou encore le droit à l'oubli et à l'effacement.
Et j'ajoute que sur cette question du Big Data/protection des données personnelles, il nous faut également être très attentifs aux négociations de l'accord de Partenariat avec les États-Unis, le TTIP. Nous devons éviter de renouveler les mêmes erreurs que dans certains domaines comme celui des normes comptables où nous avons peut-être trop cédé aux américains. Il serait d'ailleurs judicieux de poser une question à ce sujet à Cecilia Malmström, le commissaire européen en charge des négociations commerciales que nous devons auditionner la semaine prochaine.
M. André Gattolin. - Pour ma part, j'évoquerai deux aspects qui me paraissent fondamentaux. Le premier concerne le manque de culture de la sécurité informatique dans notre pays et en Europe. Le cryptage des données en est un aspect, la cybersécurité des administrations publiques et des entreprises en est un autre. L'Office parlementaire d'évaluation des choix scientifiques et technologiques a rendu un remarquable rapport en ce sens en 2013. Son titre est on ne peut plus équivoque : « Le risque numérique : en prendre conscience pour mieux le maîtriser ? »
Nous devons nous prémunir contre la vulnérabilité de notre système de protection de données. C'est une chose de réguler l'usage et l'échange des données, c'en est une autre de se donner les moyens de se protéger contre d'éventuelles attaques. Je ne vous apprends rien en vous disant que les sites internet se font attaquer et pirater. Mon expérience durant l'affaire Charlie Hebdo m'a montré que les capacités européennes sont bien loin d'être suffisantes.
Et comment ne pas évoquer l'attaque dont TV5 Monde a été victime cette nuit ! Non seulement, les douze canaux de diffusion ont été piratés pendant plus de trois heures, mais il y a eu une prise en charge de l'éditorial par des gens se réclamant de Daesh avec des messages en français, en anglais et en arabe. En outre, ce matin encore, le site internet était piraté : on n'était plus seulement dans le déni de service - le blocage du site - mais dans un détournement de la ligne éditoriale. Or le système de secours, dit système de relance, n'a pas fonctionné et on peut légitimement se demander s'il n'a pas été lui aussi piraté... Je crois qu'il faut envisager que Daesh s'est amélioré dans ce secteur des attaques informatiques et il faut nous assurer que les pays européens, et la France en premier lieu, sont en capacité d'y faire face.
Je voudrais aussi parler de la question du stockage des données, qui va prendre une dimension nouvelle avec la multiplication des données en nuage, le fameux cloud. On parle en effet du caractère immatériel des données numériques mais on occulte trop souvent leur stockage physique dans des data centers - si voulez bien pardonner ce nouvel anglicisme ! La plupart sont situés dans les régions Asie-Pacifique et des études récentes considèrent qu'en dépit des progrès technologiques, il faudra multiplier par dix le nombre de ces serveurs d'ici 10 ans. Ce n'est pas sans poser problème !
D'une part, ces centres sont extrêmement voraces en énergie. On considère que, les quelques milliers de data centers qui existent dans le monde représentent environ 2 % de la consommation mondiale d'électricité, soit l'équivalent de 30 centrales nucléaires ! Et ce chiffre augmente de plus de 10 % chaque année ! Même si leur efficacité énergétique peut être améliorée, c'est une information importante pour un pays qui déciderait d'investir dans ces équipements.
Cela m'amène à mon second point : qui peut savoir aujourd'hui où sont stockées ses données personnelles ? Dans la banlieue parisienne ? Dans la Silicon Valley ? Quelque part en Asie ? Dans ces conditions, comment savoir si elles sont bien protégées, alors même qu'elles se trouvent en dehors de l'Union européenne ? Actuellement, ces questions demeurent sans réponses et c'est fort regrettable !
Mme Colette Mélot. - Nous voudrions néanmoins finir sur une touche optimiste. Car si le Big Data remet en cause le fonctionnement de nos sociétés, de nos économies et nos droits et libertés individuels, ils sont aussi porteurs d'amélioration. C'est un prisme trop réducteur que de penser qu'il favorisera les seuls modes de consommation.
Ce traitement amélioré des données permettra en effet une meilleure connaissance et une meilleure utilisation des informations. On peut notamment espérer une action publique plus fine grâce à une détection et une prédiction plus justes.
Je voudrais évoquer le secteur de la santé qui ne peut que s'appuyer sur des données véritablement personnelles : les données médicales. Dans ce domaine, les marges de progression sont énormes pour traiter d'informations nombreuses et complexes. On peut recouper des milliers, voire des millions de données concernant les pathologies, les traitements, les procédures, les morphologies, les conditions géographiques et climatiques pour permettre aux médecins de mieux traiter certains symptômes, voire de mieux prévenir les maladies.
Cela ne sera néanmoins possible que si chacun reçoit la garantie que ses informations médicales sont protégées, sécurisées et font l'objet d'un traitement éthiquement encadré. Voyons cette exigence comme une condition préalable au développement d'activités nouvelles et non comme un frein à des avancées dont tous nos concitoyens pourraient bénéficier. Je vous remercie.
M. Jean-Paul Emorine, vice-président. - Je fais partie d'un groupe de suivi commun à notre commission des affaires européennes et à la commission des affaires économiques sur le traité transatlantique. Nous n'avons jusque-là que peu abordé les aspects que vous évoquiez, y compris lors d'une rencontre avec Mme Malmström. En vous entendant, je partage votre avis : il faudra l'interroger la semaine prochaine sur cette question du commerce des données personnelles et du niveau des normes les protégeant.
La réunion est levée à 10 heures.