EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
S'exprimant en janvier 1988, à l'occasion d'un colloque organisé au Sénat pour marquer le dixième anniversaire de la loi « Informatique et Libertés » 1 ( * ) , Georges Vedel, doyen honoraire de la faculté de droit, pouvait déjà se féliciter que « cette loi ait résisté à l'usure du temps. Elle a même devancé son temps ».
Alors que cette loi fondatrice qui fit de la France une pionnière de la protection des données personnelles vient de franchir, il y a quelques mois à peine, le cap des quarante années d'existence, force est de constater qu'elle demeure encore à ce jour un instrument vivant au service de la protection des données personnelles et de la vie privée de nos compatriotes.
Si elle a souvent été révisée pour mieux s'adapter aux évolutions incroyablement rapides des technologies numériques, ses principes cardinaux (consentement éclairé, loyauté de la collecte des données, adéquation aux finalités du traitement) sont restés les mêmes, qu'il s'agisse, autrefois, de régir les premiers fichiers publics à cartes perforées ou sur bandes magnétiques ou, aujourd'hui, de contrôler les flux de données transfrontaliers de millions d'internautes inscrits sur un réseau social prospérant grâce aux algorithmes de ciblage publicitaire de ses utilisateurs.
Dans cette course constante que se livrent le droit et la technique, le législateur a été particulièrement sollicité ces dernières années. Le Sénat s'est distingué en étant particulièrement actif sur ces questions :
- d'abord, bien en amont, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, a permis au Sénat d'adopter en séance publique dès mars 2012 une résolution européenne sur l'orientation et les principes directeurs du règlement européen 2 ( * ) . Ont aussi été adoptées, sur son rapport, une deuxième résolution portant avis motivé sur la méconnaissance du principe de subsidiarité 3 ( * ) et une troisième résolution portant spécifiquement sur la proposition de directive 4 ( * ) .
- dans le cadre de ses travaux de contrôle, le Sénat a également entrepris ces dernières années une réflexion plus large sur les enjeux de souveraineté numérique. En témoignent la mission commune d'information sur la gouvernance d'Internet 5 ( * ) dont le rapporteur était notre collègue Catherine Morin-Desailly et, encore récemment son rapport d'information « L'Union européenne, colonie du monde numérique » 6 ( * ) ;
- enfin, au sein même de notre commission, lors de la discussion de la loi pour une République numérique, plusieurs dispositions approuvées à l'initiative de son rapporteur, notre collègue Christophe-André Frassa, avaient justement comme ambition d'anticiper l'entrée en vigueur des nouvelles règles européennes de protection des données alors en cours de négociation 7 ( * ) .
Aujourd'hui adoptées, ces normes européennes doivent être intégrées dans notre ordre juridique, et ce sont elles qui ont motivé le dépôt du projet de loi relatif à la protection des données personnelles adopté le 13 février 2018 en première lecture par l'Assemblée nationale après engagement de la procédure accélérée.
Ce texte vise à adapter la loi Informatique et libertés au « paquet européen de protection des données personnelles » qui se compose :
- du règlement général sur la protection des données (le « RGPD ») 8 ( * ) ,
- et d'une directive relative aux traitements mis en oeuvre en matière policière et judiciaire 9 ( * ) .
Le règlement, en particulier, qui sera directement applicable à partir du 25 mai 2018, entend favoriser l'émergence d'un modèle européen harmonisé et ambitieux de protection des données à caractère personnel, tout en favorisant la compétitivité des entreprises européennes sur la scène internationale. Votre commission, particulièrement engagé sur les questions de souveraineté numérique, mesure l'importance des enjeux de ce texte et en partage pleinement l'ambition.
I. UN NOUVEAU CADRE JURIDIQUE POUR LA PROTECTION DES DONNÉES PERSONNELLES DES EUROPÉENS
A. LE « RÈGLEMENT GÉNÉRAL » : UN INSTRUMENT AMBITIEUX DE PROTECTION DES DONNÉES PERSONNELLES À LA MESURE DES ENJEUX DE SOUVERAINETÉ NUMÉRIQUE
Le nouveau règlement européen sur la protection des données personnelles remplace une directive de 1995 10 ( * ) . La Commission européenne a ainsi fait le choix de proposer un règlement, d'application directe, souhaitant éviter les divergences dues à des transpositions variables entre les États membres.
Ce règlement poursuit trois objectifs principaux :
- réaffirmer et renforcer les droits des personnes physiques dont les données sont utilisées ;
- responsabiliser tous les acteurs traitant des données en privilégiant le recours à des outils de « droit souple » en contrepartie de l'allègement des formalités administratives préalables, dans une approche centrée sur l'étude des risques pour la vie privée, et en vue de réduire les coûts administratifs à la charge des opérateurs ;
- crédibiliser la régulation à la mesure des enjeux de souveraineté numérique grâce un champ d'application étendu et des sanctions désormais réellement dissuasives.
1. Un instrument juridique original et complexe : un règlement européen avec « marges de manoeuvre » nationales
L'Union européenne s'est dotée, pour la première fois en 1995, d'un cadre juridique destiné à assurer, d'une part, la protection des données à caractère personnel et, d'autre part, la libre circulation de ces données entre les États membre et même le transfert de ces données vers des États tiers 11 ( * ) .
Ces outils, adaptés aux premiers fichiers informatiques, se sont révélés incomplets et progressivement obsolètes au vu de l'évolution rapide des technologies (apparition et essor d'Internet, du commerce en ligne et des réseaux sociaux) et du développement de nouveaux modes de traitement des données personnelles (« big data », algorithmes...).
La directive de 1995 avait en outre été transposée de façon disparate par les différents États membres, entraînant des divergences regrettables et faisant obstacle à une régulation efficace dans un contexte de multiplication des échanges transfrontaliers de données par des responsables de traitement ayant la nationalité de pays tiers et un établissement limité sur le territoire des États membres (comme les géants américains des réseaux sociaux).
Le 25 janvier 2012, la Commission européenne a présenté un « paquet législatif sur la protection des données personnelles » pour réviser complètement ce cadre juridique, proposant un règlement (général) et une directive (spécifique à la matière « police/pénal »).
D'application directe et uniforme sur le territoire des États de l'Union, le règlement devait ainsi éviter les divergences de transposition, renforcer la cohérence de la protection des personnes et la sécurité juridique, favoriser la libre circulation des données à caractère personnel au sein du marché intérieur.
Le résultat concret de la négociation est cependant le fruit d'un difficile compromis (certains États membres auraient notamment souhaité que soit conservée la souplesse d'une directive), mêlant des dispositions entièrement harmonisées et d'application directe à de multiples renvois au droit national, obligatoires (modalités d'application particulières) ou le plus souvent facultatifs (« marges de manoeuvre » des États membres).
Le Secrétariat général des affaires européennes (SGAE), responsable du suivi des négociations de cette norme européenne hybride et dont votre rapporteur a reçu en audition la secrétaire générale, a comptabilisé au total 56 marges de manoeuvre renvoyant au droit national, les États membres étant autorisés à déroger à certaines dispositions du règlement ou au contraire à les compléter 12 ( * ) .
Ainsi que l'ont souligné plusieurs organisations entendues par votre rapporteur, si certains renvois aux droits nationaux peuvent être utiles en apportant des souplesses bienvenues, leur nombre considérable fait peser un double risque :
- d'une part, sur la lisibilité et l'accessibilité du droit, tant pour les citoyens que pour les acteurs économiques, les normes de protection des données étant dispersées à travers plusieurs corpus ;
- d'autre part, sur l'application uniforme de ce droit, les marges de manoeuvre risquant d'entraîner une nouvelle fragmentation du régime de la protection des données personnelles dans l'Union européenne, voire la mise en concurrence des systèmes juridiques par une recherche des territoires aux normes les plus favorables, ce que le règlement visait pourtant justement à éviter.
2. Le renforcement des droits des personnes physiques
Le règlement européen réaffirme les droits des personnes, en crée de nouveaux, mieux adaptés aux évolutions des usages numérique, et facilite leur exercice afin que les particuliers puissent s'en saisir et les faire respecter.
a) La réaffirmation des principes de base : transparence et consentement
Le règlement impose la mise à disposition d'une information transparente (claire, intelligible et aisément accessible) aux personnes dont les données font l'objet d'un traitement et il en renforce le contenu. Les conditions d'expression et de recueil du consentement sont désormais mieux encadrées : la charge de la preuve incombe au responsable de traitement et la matérialisation de ce consentement ne doit pas être ambiguë ; droits d'accès, d'opposition et de rectification restent naturellement toujours garantis.
b) L'introduction de nouveaux droits
La portabilité des données permet désormais la récupération sous une forme aisément réutilisable des données personnelles fournies et, le cas échéant, leur transfert à un tiers. Le droit à l'oubli consacre, à côté du droit à l'effacement des données à caractère personnel, un nouveau droit au « déréférencement » (reconnu par la Cour de justice de l'Union européenne au sujet des moteurs de recherche). Le profilage (traitements visant à évaluer certains aspects personnels) est encadré, et un nouveau droit à la « limitation » de certains traitements irréguliers est introduit.
Pour la première fois, la législation européenne impose des conditions spécifiques au traitement des données des enfants : clarté et simplicité de l'information, recueil du consentement auprès du titulaire de l'autorité parentale pour les mineurs de moins de 16 ans, les États membres pouvant abaisser cet âge par la loi, sans aller en dessous de 13 ans.
c) La facilitation de l'exercice de ces droits
Les associations oeuvrant dans le domaine de la protection des données se voient reconnaître la possibilité d'être mandatées pour introduire réclamations administratives et recours juridictionnels, le règlement entendant ainsi faciliter les actions collectives. Il prévoit également, en cas de violation, que toute personne ayant subi un dommage matériel ou moral ait droit à réparation du préjudice subi.
3. La responsabilisation des opérateurs traitant des données personnelles : une conformité basée sur de nouveaux outils
a) Un allègement des formalités administratives préalables en contrepartie de nouvelles obligations
Le règlement met fin à la plupart des formalités préalables obligatoires auprès des autorités nationales (en France il existe actuellement une gradation de formalités : obligations déclaratives, régimes d'autorisation par la Commission nationale de l'informatique et des libertés - CNIL -, voire par décret en Conseil d'État après avis de la CNIL).
La responsabilité des opérateurs et de leurs sous-traitants est en contrepartie renforcée : ils ont l'obligation de mettre en place des mesures de protection des données appropriées (en fonction du risque pour la vie privée des personnes) et d'être en mesure de démontrer à tout moment leur conformité au règlement ; ils doivent privilégier des techniques respectueuses de la protection des données personnelles dès l'élaboration du produit ou du service (« privacy by design »), et réduire l'usage des données au strict nécessaire en fonction de la finalité du traitement (« privacy by default »).
b) De nouveaux outils de conformité inspirés du « droit souple »
Les responsables de traitement ont l'obligation (sauf lorsqu'ils comptent moins de 250 salariés) de tenir un registre des activités de traitement pour prouver leur conformité au règlement.
Le règlement conserve des formalités seulement pour certains types de traitements ; il privilégie des mécanismes de « droit souple » : en fonction de la gravité du risque pour la protection des données, une analyse d'impact sur la vie privée devra être réalisée avec, à l'issue, le cas échéant, une consultation préalable de l'autorité de contrôle qui pourra s'opposer au traitement en tenant compte de ses caractéristiques et de ses conséquences sur la vie privée des personnes. Le règlement conserve cependant aux États la possibilité d'instaurer certains régimes d'autorisation préalable dans le cas limité de traitements de données réalisés dans le cadre d'une mission d'intérêt public.
Les codes de conduite (spécifiques à certains secteurs) et la certification sont encouragés, leur utilisation participant à démontrer le bon respect du règlement (et permettant de moduler à la baisse une sanction).
c) La généralisation du délégué à la protection des données
La désignation d'une personne de référence spécialement formée dans le domaine de la protection des données devient obligatoire dans le secteur public et dans certains cas pour le secteur privé (traitements à grande échelle, données sensibles). Le « délégué à la protection des données » peut être mutualisé et son rôle est de conseiller le responsable de traitement et ses employés, de contrôler le respect du droit en matière de protection des données et de coopérer avec l'autorité de contrôle. Il doit présenter certaines garanties (qualités professionnelles, ressources, indépendance). En France, il se substituera au « correspondant informatique et libertés (CIL) ».
d) La notification de failles de sécurité
Lorsqu'il constate une violation de données à caractère personnel, le responsable de traitement devra désormais notifier cette faille à l'autorité de contrôle dans les 72 heures. L'information des personnes concernées est même requise si cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
4. Une régulation à la mesure des enjeux de souveraineté numérique : un champ d'application étendu et des sanctions désormais dissuasives
a) Un champ d'application territorial et matériel élargi
Le règlement doit être appliqué dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne (« critère de résidence »). Mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données (par une offre de biens et de services, ou le suivi du comportement), y compris donc par Internet (« critère du ciblage »).
Les entreprises seront en contact avec un « guichet unique », l'autorité de contrôle de l'État membre où se trouve leur établissement principal. Cette autorité chef de file aura la responsabilité d'organiser des contrôles, voire d'infliger des sanctions en cas de traitements transfrontaliers. La coopération est d'ailleurs renforcée entre autorités et un Comité européen de la protection des données - CEPD - les rassemble pour veiller à l'application uniforme du droit.
Le règlement étend par ailleurs explicitement aux sous-traitants une large partie des obligations imposées aux responsables de traitement.
b) Un cadre mis à jour pour les transferts de données hors de l'Union européenne
Les transferts de données hors de l'Union européenne ne sont en principe autorisés que vers un pays couvert par une décision d'adéquation de la Commission européenne ou moyennant des outils garantissant un niveau de protection suffisant (règles d'entreprises contraignantes, clauses contractuelles types).
Les données transférées hors de l'Union européenne restent soumises au droit européen non seulement pour leur transfert, mais aussi pour tout traitement et autre transfert ultérieur.
c) Des sanctions graduées et considérablement renforcées
Le règlement prévoit des sanctions administratives désormais dissuasives en cas de méconnaissance de ses dispositions. Outre les mesures correctives classiques (avertissement, rappel à l'ordre, mise en demeure, limitation d'un traitement, suspension des flux de données, injonction de satisfaire aux demandes d'exercice des droits d'une personne ou de procéder à la rectification, la limitation ou l'effacement des données, retrait de certification), les autorités nationales ont également le pouvoir de prononcer des amendes atteignant selon la catégorie de l'infraction, 10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).
* 1 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 2 Résolution européenne n° 110 (2011-2012) sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055).
* 3 Résolution européenne n° 105 (2011-2012) portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement du Parlement européen et du Conseil relatif à la protection des données à caractère personnel.
* 4 Résolution européenne n° 108 (2012-2013) sur la protection des données personnelles.
* 5 Rapport d'information n° 696 (2013-2014) de Mme Catherine Morin-Desailly « L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne », fait au nom de la mission commune d'information sur la gouvernance mondiale de l'Internet.
* 6 Rapport d'information n° 443 (2012-2013) fait par Mme Catherine Morin-Desailly « L'Union européenne, colonie du monde numérique ? », au nom de la commission des affaires européennes.
* 7 Rapport n° 534 (2015-2016) de M. Christophe-André Frassa, fait au nom de la commission des lois, sur le projet de loi pour une République numérique.
* 8 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
* 9 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
* 10 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
* 11 Le champ d'application de la directive de 1995 était alors circonscrit au domaine communautaire et ne concernait pas le pilier relatif à la justice et aux affaires intérieures (JAI). Elle a, par la suite, été complétée par plusieurs instruments ayant pour objet d'assurer la protection de données dans le cadre de traitements spécifiques, notamment une décision-cadre JAI en matière pénale, qui se bornait à encadrer les transferts de données en excluant l'harmonisation des règles nationales en matière de protection des données par les services répressifs.
* 12 Les marges de manoeuvre sont prévues soit directement dans les articles du règlement, soit dans les considérants (paragraphes interprétatifs qui ouvrent le texte) et sont de portée inégale. La liste de ces dispositions, communiquée à votre rapporteur, est publiée en annexe du présent rapport. Selon le SGAE, le nombre élevé de ces marges tient précisément à ce que ces renvois aux législations nationales ont permis d'emporter le soutien des États membres qui n'étaient pas favorables à un règlement d'application uniforme.