Réunion de la commission des affaires européennes du mardi 14 septembre 2010

Disponible au format Acrobat (177 Koctets)

Réunion du mardi 14 septembre 2010

Justice et affaires intérieures

Audition de M. Alex Türk, président de la CNIL,
sur la protection des données aux niveaux européen et mondial

M. Jean Bizet :

Nous sommes heureux d'accueillir aujourd'hui notre collègue Alex Türk. Avec lui, nous allons évoquer les enjeux de la protection des données aux niveaux européen et mondial. Chacun connaît la grande expérience qu'il a acquise dans ce domaine en présidant non seulement la CNIL, mais aussi le groupe des « CNIL européennes », le G29. L'an passé, il nous avait fait part de ses analyses sur les négociations en vue de l'accord « SWIFT » sur le transfert de données financières vers les États-Unis. Il nous avait aussi alertés sur les conditions choquantes de mise en place d'un groupe d'experts pour la révision de la directive de 1995. Cela nous avait conduits à adopter une résolution qui est devenue résolution du Sénat.

La protection des données à l'échelle européenne et mondiale constitue un enjeu majeur. Elle intéresse très directement la vie quotidienne de nos concitoyens comme on l'a vu par exemple avec la question de l'enregistrement des données des passagers de compagnies aériennes. Le respect de la vie privée et des libertés fondamentales sont en cause. C'est pourquoi la commission des affaires européennes est particulièrement vigilante sur cette question.

Outre le suivi des accords PNR avec les États-Unis, je rappellerai les travaux menés par notre collègue Simon Sutour sur le projet de PNR européen qui, là aussi, ont conduit à l'adoption d'une résolution européenne par le Sénat demandant des garanties plus fortes. A la suite d'une communication du président Hubert Haenel, le Sénat s'est également prononcé, en novembre 2009, sur le projet d'accord « SWIFT ». Il a souligné qu'un tel échange mutuel d'informations ne peut se concevoir que sous réserve que soient réunies toutes les garanties de nature à assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel.

Tout récemment, en juillet dernier, notre collègue Robert Badinter nous a fait part de ses observations sur le nouvel accord « SWIFT ». Tout en relevant les progrès accomplis sous l'impulsion du Parlement européen, il a aussi critiqué certains choix qui ont été faits, en particulier celui d'Europol pour examiner les demandes de transfert de données. Au-delà, notre collègue a souligné, à juste titre, que les conditions de supervision de l'accord et son réexamen conjoint seraient essentiels.

Nous serons donc intéressés de vous entendre sur l'évolution de ce dossier « SWIFT » mais aussi sur la perspective d'une renégociation des accords PNR existants et sur la prochaine ouverture de négociations avec les États-Unis en vue d'un accord global sur la protection des données dans le cadre de la coopération policière et judiciaire en matière pénale. Nous recueillerons aussi vos analyses sur les enjeux de la révision de la directive de 1995.

Plus généralement, dans le contexte de la mondialisation et d'intensité croissante des évolutions technologiques, il semble indispensable d'établir des standards internationaux de protection des donnés. Peut-on espérer des progrès dans ce domaine ? Quel rôle joue l'Union européenne ?

M. Alex Türk :

Sur le dossier SWIFT, je partage les analyses du président Robert Badinter, des progrès ont été réalisés mais le choix d'Europol, certes compréhensible sur le plan technique, soulève des interrogations au regard des compétences de cet organisme. Il faudra être très vigilant lors de la renégociation de cet accord. En dépit des progrès réalisés, je suis loin d'être totalement rassuré. Les États-Unis exercent une pression très forte sur les dossiers de ce type.

J'ai présidé le groupe des CNIL européennes, le G29, pendant deux ans. Mais j'ai refusé de demander le renouvellement de mon mandat en raison de l'absence des moyens indispensables pour permettre au G29 d'exercer sa mission de manière indépendante. En pratique, c'est le « contrôlé » qui tient le budget du contrôleur. Cette situation est anormale. Cela me paraît dommageable car le G29 est très bien placé pour éclairer les pouvoirs publics sur les questions de protection des données. Je signale que le parlement allemand s'est inquiété de cette situation. Le parlement français devrait également s'en saisir.

Je crois qu'il est par ailleurs nécessaire de réaffirmer nos liens avec le Conseil de l'Europe. Si la Convention 108 du Conseil de l'Europe était redynamisée, cela permettrait d'attirer d'autres pays, en particulier les États-Unis, vers nos conceptions de la protection des données.

A la suite de l'entrée en vigueur du traité de Lisbonne, un instrument juridique unique sur la protection des données sera élaboré, ce qui est une bonne chose. Cela pose néanmoins la question du maintien de deux structures de suivi : le G29 d'un côté, et le groupe de suivi qui a été constitué dans le domaine de la coopération policière et judiciaire en matière pénale.

Les enjeux en matière de protection des données sont très lourds. Nous assistons au développement de la biométrie, de la vidéosurveillance, de la géolocalisation des réseaux et d'Internet. Je m'interroge sur notre capacité, d'ici 15 ans, à exercer normalement nos libertés individuelles. En réalité, je suis très pessimiste car il ne sera pas possible de revenir en arrière sur les effets produits par les évolutions technologiques, dont certaines sont très dangereuses pour les libertés individuelles.

Dans ce contexte, j'ai trois préoccupations majeures.

En premier lieu, le droit applicable dans les relations entre l'Union européenne et les États-Unis se traduit par un véritable hiatus entre deux conceptions différentes de la protection des données. En pratique, trois techniques sont envisageables. La première technique ( « safe harbour » ) consiste, pour les entreprises américaines qui veulent commercer avec l'Union européenne, à justifier d'un niveau de protection équivalent à celui de l'Union européenne en signant un engagement dans ce sens. Mais, dans les faits, plus personne ne pense que les entreprises américaines jouent le jeu. La deuxième technique consisterait à appliquer les mêmes règles de protection, équivalentes à celles de l'Union européenne, au sein d'un groupe international. On a discuté de cette question avec l'Allemagne ou les Pays-Bas, mais le Royaume-Uni a freiné les progrès dans ce sens. Or, nos grandes entreprises sont elles-mêmes demandeuses d'une technique de ce type. Enfin, la dernière technique tend à établir des règles contractuelles entre les États membres de l'Union européenne et les pays tiers, mais on n'avance pas dans ce domaine.

Le deuxième sujet de préoccupation porte sur la révision de la directive de 1995. La CNIL avait vivement réagi - et avait été soutenue par le Sénat - sur la constitution d'un groupe d'experts qui, en réalité, aurait représenté les intérêts anglo-saxons. Ce groupe n'a finalement pas perduré et a été remplacé par une consultation publique à laquelle le G29 et la CNIL ont participé activement. La CNIL souhaiterait maintenant être associée au travail de révision de la directive, aux côtés des représentants officiels du Gouvernement français. Cela fut en partie le cas lors de l'élaboration de ce texte en 1995.

Enfin, le dernier sujet de préoccupation porte sur l'élaboration de standards internationaux. Il faut effectivement avoir une vision commune de la protection des données. On peut dire que, dans le monde, 45 pays assurent une protection correcte, dont les vingt-sept États membres de l'Union européenne. Mais cela n'est pas le cas dans des grands pays comme les États-Unis, la Russie ou l'Inde. Les États-Unis travaillent sur cette question avec le Canada et les pays asiatiques au sein de l'APEC, mais le niveau de protection assuré dans ce cadre est inférieur à celui de l'Union européenne. Les États-Unis ont refusé que la France s'associe à ces travaux, bien qu'elle puisse être considérée comme un pays du Pacifique.

Lors de la Conférence internationale de Madrid en 2009, à laquelle ont participé 75 délégations, un corpus de principe et de standards internationaux a été élaboré. Il faut maintenant passer à la deuxième étape conduisant les pouvoirs publics à se saisir de cette question pour aboutir à une convention internationale qui serait élaborée sous l'égide des Nations unies. Il ne suffira pas de retenir des principes, il faudra aussi leur conférer une valeur juridique contraignante. Le parlement espagnol a adopté une résolution demandant que les pouvoirs publics progressent dans ce sens. Je crois que le parlement français pourrait utilement avoir la même démarche. Je suis favorable à l'organisation d'une conférence intergouvernementale en 2011.

J'insiste sur le fait que le temps presse. Les évolutions technologiques sont extrêmement rapides, alors que les réflexions sur leur encadrement sont au contraire très lentes. Le président de Facebook a fait valoir qu'il fallait reconsidérer la vie privée au regard des changements technologiques. Je pense exactement le contraire : les changements technologiques doivent être au service des libertés individuelles et du respect de la vie privée.

M. Jean Bizet :

Je vous remercie pour la qualité des précisions techniques que vous venez d'apporter. Vous avez souligné des enjeux majeurs pour la protection des données qui ne peuvent que retenir toute notre attention. La commission des affaires européennes soutiendra votre démarche.

M. Roland Ries :

Votre exposé était très clair, mais il fait froid dans le dos. Je m'interroge sur la démarche à suivre. Il paraît illusoire de vouloir contrôler les évolutions technologiques. En revanche, il est possible de travailler sur des règles qui permettront de protéger les libertés publiques, quelles que soient les évolutions technologiques en cause.

M. Alex Türk :

Je crois qu'il y a des hypothèses où il est possible de freiner les évolutions technologiques, tandis que, dans d'autres cas, on ne peut que chercher à les réguler. C'est ainsi qu'à la différence de la biométrie ou de la vidéosurveillance, que l'on peut choisir d'autoriser ou d'interdire à l'intérieur de certaines frontières, les réseaux ou la géolocalisation sont des phénomènes planétaires qui ne connaissent pas de frontières.

Sur les réseaux, il est possible de faire de la pédagogie. La CNIL a décidé de consacrer sur son propre budget 500 000 euros à la sensibilisation des professeurs et des élèves. Sur la géolocalisation, je veux souligner que, dans un délai proche, les puces RFID conçues avec des nanotechnologies seront au point et qu'elles seront quasiment invisibles. Si cette technologie se répand, elle modifiera nécessairement les comportements et conduira à leur uniformisation. Ce sera un véritable clonage mental. Nous devons donc nous interroger sur cette question et sur l'éventualité d'interdire l'usage de nanotechnologies dans les puces RFID.

Je dois constater que la loi du 4 janvier 1978 (« informatique et libertés ») qui a été modifiée en 2004 est déjà dépassée. A cette date, la biométrie était perçue comme la menace principale pour les libertés individuelles. Aujourd'hui, la géolocalisation apparaît comme une menace bien plus grande. Mais la CNIL n'a pas de compétence dans ce domaine.

M. Michel Billout :

Lors de l'adoption de la loi « HADOPI », les moyens de contourner les dispositions de ce texte existaient déjà sur les réseaux internet. Je m'interroge donc sur l'efficacité que pourrait avoir une loi d'interdiction de l'usage des nanotechnologies pour les RFID.

M. Alex Türk :

Je comprends votre réserve. C'est en réalité d'un texte international dont on a besoin. Il faut alerter au niveau international sur les risques attachés à l'usage de ces technologies. Il faut aussi mener un travail pédagogique auprès des jeunes pour leur faire percevoir la signification réelle de la préservation de l'intimité de la vie privée.

M. Roland Ries :

Force est de constater que ces technologies pourraient favoriser un conformisme des comportements et de la pensée.

M. Alex Türk :

On pourrait en effet assister à la multiplication de « little brothers » qui s'insinueraient dans tous les aspects de la vie sociale.

M. Jean Bizet :

Les pouvoirs budgétaires du Parlement européen ont été renforcés par le traité de Lisbonne. Quelle est sa position sur le budget du G29 ?

M. Alex Türk :

J'ai été auditionné par le Parlement européen lorsque je présidais le G29. Il m'a semblé sensible à l'enjeu budgétaire. Je veux souligner à nouveau que cette instance a besoin d'un budget qui assure son autonomie de fonctionnement. Lorsque je la présidais, c'est la CNIL qui assurait le coût de traduction des documents. Ce n'est pas normal.

M. Jean Bizet :

Je vous remercie de l'éclairage très utile que vous avez donné à la commission. Nous étudierons la possibilité d'adopter une proposition de résolution sur le modèle de ce qu'a fait le parlement espagnol.

Subsidiarité

Examen d'un texte ayant fait l'objet d'un avis motivé
du Parlement suédois

Intervention de M. Jean Bizet

Je souhaitais vous informer que l'attention de la commission a été appelée par le Parlement suédois, qui a considéré que deux propositions de directive, revêtant indéniablement un fort caractère technique, portaient atteinte au principe de subsidiarité :

- la première proposition est relative aux systèmes de garantie des dépôts (texte E 5512) ;

- la seconde vise à modifier une directive de 1997 portant sur les systèmes d'indemnisation des investisseurs (texte E 5517).

Ces deux textes s'inscrivent dans le cadre d'une réforme des systèmes de garantie dans le secteur financier .

La première proposition de directive vise à compléter une directive de mars 2009 qui, selon la Commission, constitue « une mesure d'urgence visant à préserver la confiance des déposants », en relevant le niveau de garantie des dépôts en cas de faillite bancaire, de 20 000 à 100 000 euros, et en remédiant au sous-financement des dispositifs existants en cas de tensions financières. Mais, faute de temps, cette directive n'a pas permis d'atteindre l'objectif général visant à simplifier et harmoniser le champ d'application et les modalités de remboursement, très variables selon les nombreux systèmes de garantie des dépôts mis en place par les États membres.

Le texte dont nous sommes saisis propose des mesures complémentaires pour poursuivre cet objectif et prévoit un ensemble de dispositions techniques sur lesquelles je ne m'attarderai pas.

Parmi celles-ci, figure une facilité d'emprunt qui permettra à un système de garantie de dépôt en difficulté d'emprunter des fonds auprès d'autres systèmes de garantie existants dans d'autres États membres. Ces derniers devront collectivement lui prêter un montant pouvant aller jusqu'à 0,5 % de ses dépôts éligibles, en proportion du montant de dépôts éligibles dans chaque pays, ce prêt devant être remboursé dans les cinq ans.

La seconde proposition de directive apporte diverses modifications, aussi généralement techniques, à une directive de 1997 sur les systèmes d'indemnisation des investisseurs qui définit les modalités de remboursement des clients d'établissements de crédit en cas de défaillance de ceux-ci.

Parmi les nouvelles dispositions introduites, est prévue la création d'un mécanisme d'emprunt en dernier ressort entre systèmes nationaux, qui leur permettrait de faire face à des besoins de financement temporaires.

Le Parlement suédois juge contraires au principe de subsidiarité ces deux dispositifs , la facilité d'emprunt pour les systèmes de garantie de dépôt et le mécanisme d'emprunt en dernier ressort, à l'encontre desquels il a développé une argumentation commune.

Il considère en effet que ces mécanismes introduiraient ce que les économistes appellent un aléa moral , c'est-à-dire l'existence d'une situation de risque dans une relation entre plusieurs agents économiques. Pour faire simple, un « mauvais élève » pourrait compromettre l'équilibre de l'ensemble en obligeant les « bons élèves » à supporter les conséquences de ses comportements risqués.

Le Parlement suédois souhaite donc que ces dispositifs ne soient pas retenus ou, à tout le moins, rendus facultatifs.

Il me semble que la décision de nos collègues suédois est essentiellement fondée sur leur crainte de l'aléa moral . Ils redoutent que les dispositifs de garantie de leur pays ne soient mis à contribution pour venir au secours de ceux d'autres pays moins prudents.

Pour autant, cette crainte, qui n'est pas illégitime dans le contexte financier actuel, relève davantage de la contestation de l'économie générale du dispositif proposé que de l'atteinte au principe de subsidiarité.

En effet, les deux textes mettent en place des mécanismes de solidarité entre les systèmes nationaux de garantie et d'indemnisation afin d' améliorer le fonctionnement du marché unique en matière de services financiers, alors même qu'un accord vient d'être conclu, après presque un an de négociations très difficiles, sur la supervision financière.

Or, les textes prévoient des garanties pour mettre en oeuvre les mécanismes de solidarité proposés. Par exemple, le mécanisme d'emprunt en dernier ressort ne serait actionné que dans des circonstances spécifiques et sur une base temporaire. De même, une obligation de rembourser serait imposée au système emprunteur.

Mais l'essentiel n'est pas là. En effet, l'objectif poursuivi par ces deux textes ne peut pas être atteint plus facilement par les États membres, puisque les problèmes qu'ils cherchent à surmonter trouvent précisément leur origine dans des pratiques et des mécanismes nationaux qui fonctionnent de manière extrêmement divergente selon les États membres et qui se sont révélés défaillants .

Il est donc logique que la Commission cherche à instaurer des règles communes visant à l'harmonisation des systèmes existants. Tel est d'ailleurs l'objectif général que s'est fixée l'Union européenne pour mieux réguler les marchés financiers. C'est aussi l'engagement qu'elle a pris au cours des Sommets du G 20 qui ont cherché des solutions durables à la crise financière.

À titre personnel, je suis plus sensible aux arguments de la Commission européenne qu'à ceux du Parlement suédois et il ne me semble pas que le principe de subsidiarité ait été violé. Mais je souhaiterais savoir si vous partagez mon sentiment qu'il n'y a pas là matière à adopter un avis motivé pour violation du principe de subsidiarité.

Compte rendu sommaire du débat

M. Roland Ries :

Je partage pleinement votre sentiment : le texte ne porte nullement atteinte au principe de subsidiarité. Le mécanisme d'emprunt qu'il vise à instaurer n'a de sens qu'à l'échelle de l'Union européenne. Par ailleurs, en ce qui concerne le fond de la proposition, la récente expérience de la crise grecque me laisse à penser que la mise en place d'un mécanisme de solidarité au niveau européen est nécessaire pour enrayer les risques de contagion.

M. Michel Billout :

Je dois avouer que je comprends les craintes qui animent nos collègues suédois ainsi que les arguments qu'ils développent. Il est vrai que leurs arguments portent davantage sur le fond de la proposition et que le principe de subsidiarité ne semble pas violé. Mais je dois dire que la question est assez technique et qu'il est difficile de se prononcer dans un délai aussi bref au regard des éléments d'information dont nous disposons.

M. Jean Bizet :

Si vous en êtes d'accord, nous n'adresserons aucun avis motivé aux institutions européennes sur ce texte.

Il en est ainsi décidé.