B. LES OBSERVATIONS INITIALES DU SÉNAT : MAINTIEN DE DISPOSITIONS NATIONALES PROTECTRICES ET SAISINE DE L'AUTORITÉ DE CONTRÔLE NATIONALE
Sur le rapport de votre rapporteur 9 ( * ) , les commissions des lois et des affaires européennes du Sénat 10 ( * ) ont formulé un certain nombre d'observations sur la proposition de règlement de la Commission européenne, reprises par le Sénat dans une résolution européenne adoptée le 6 mars 2012 11 ( * ) , à l'issue d'un débat en séance publique.
Dans le même temps, la commission des affaires européennes a adopté, sur proposition de votre rapporteur, une proposition de résolution portant avis motivé sur la méconnaissance du principe de subsidiarité par la proposition de règlement, que votre rapporteur a rapportée devant la commission des lois 12 ( * ) et qui est devenue résolution du Sénat le 4 mars 2012 13 ( * ) .
Votre rapporteur a ensuite présenté, au nom de la commission des affaires européennes, une seconde proposition de résolution européenne sur la protection des données personnelles 14 ( * ) portant cette fois sur la proposition de directive, devenue résolution du Sénat le 12 mars 2013 15 ( * ) .
Pour l'essentiel, ces résolutions mettaient l'accent sur la nécessité de conserver la possibilité d'adopter des mesures nationales plus protectrices, de prévoir la faculté pour les citoyens d'exercer leurs droits auprès de leur autorité nationale de contrôle et de mieux encadrer les conditions du transfert des données sensibles à des pays tiers.
1. Sur le RGPDP : la nécessité pour les États membres de pouvoir adopter des mesures nationales plus protectrices et pour les citoyens de saisir leur autorité nationale de contrôle
Approuvant l'objectif poursuivi par la Commission européenne d'une approche globale de la protection des données à caractère personnel reposant sur une harmonisation des règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers, ainsi que l'introduction de nouveaux droits (droit à l'oubli, obligation de portabilité des données personnelles, consentement exprès, limitation du profilage, délégué à la protection des données dans les entreprises et encadrement des transferts internationaux de données), la résolution estimait toutefois que ces garanties devaient être renforcées, en particulier :
- les obligations pesant sur les moteurs de recherche, afin que le droit à l'oubli soit complété par l'obligation de prévoir l'effacement automatique des contenus indexés après un délai maximum et de permettre aux intéressés d'obtenir la désindexation de ceux qui leur portent préjudice ;
- le droit à l'effacement des données personnelles publiées par un tiers, dans le respect de la liberté d'expression ;
- l'obligation de désigner un délégué à la protection des données y compris par les entreprises dont la principale activité est le traitement de telles données, quelle que soit leur taille ;
- les pouvoirs d'investigation préalable des autorités nationales de contrôle.
Elle souhaitait par ailleurs que les États membres aient la possibilité d'adopter des dispositions nationales plus protectrices. L'avis motivé du Sénat soulignait à cet égard que, dans un domaine touchant directement aux droits des citoyens, il convenait de ne pas priver les États membres de la possibilité de maintenir transitoirement des dispositions nationales plus protectrices, de manière à ce que l'harmonisation européenne ne puisse aboutir à une diminution des garanties.
L'avis motivé contestait par ailleurs le renvoi, par la proposition de règlement, à des actes d'exécution pris par la Commission européenne, en particulier sur le droit à l'oubli numérique.
Enfin, la résolution et l'avis motivé demandaient la suppression du dispositif de « guichet unique » afin que le citoyen puisse saisir l'autorité de contrôle de son pays de résidence, plus proche de lui et auprès de laquelle il a l'habitude d'accomplir ses démarches, alors que les propositions de directive et règlement retenaient la compétence de l'autorité nationale de contrôle du principal établissement du responsable du traitement de ses données.
La Commission européenne a répondu à ces observations le 14 novembre 2011. Elle a notamment précisé que les actes d'exécution seraient strictement circonscrits aux mesures techniques, notamment en matière d'effacement des données. Elle a par ailleurs mis l'accent sur le rôle des autorités nationales de contrôle, le Comité de protection des données assurant un suivi pour « une application correcte et uniforme du droit européen ». Enfin, elle précisé que l'autorité nationale de contrôle demeurait « l'interlocuteur privilégié des individus situés sur son territoire » et que celle-ci serait partie prenante à toute enquête concernant une plainte dont l'origine se situe sur son territoire. Autant de motifs pour lesquels elle a conclu que la proposition de règlement ne soulevait pas de problème de subsidiarité.
2. Sur la proposition de directive : la nécessité de pouvoir maintenir des garanties nationales de protection plus exigeantes et de préciser les conditions de transfert de données à des pays tiers
La résolution du Sénat considère qu'assurer la sécurité des citoyens européens, à travers la coopération judiciaire et policière, tout en maintenant un niveau élevé de protection de leurs droits fondamentaux, en particulier sur leurs données personnelles, est un objectif essentiel.
Le Sénat estime que si le renforcement de cette coopération doit être soutenu, il est là encore nécessaire de préserver les garanties prévues par le cadre juridique national qui permet un haut niveau de protection des données à caractère personnel, motif pour lequel elle demande que la directive soit d'harmonisation minimale.
Il appelle par ailleurs à la clarification du régime applicable à certains fichiers de police administrative et s'inquiète des conséquences de l'exclusion des fichiers européens de sécurité (Europol, Eurojust ou Frontex) du champ d'application de la directive.
La résolution procède également à un examen critique détaillé des règles d'utilisation des données sensibles dont elle estime qu'elles ne devraient pouvoir être utilisées que de manière restrictive et n'être conservées que pour le temps strictement nécessaire.
Elle estime en outre que le dispositif relatif au transfert de ces données à des pays tiers est insuffisant et déplore les dérogations qui seraient admises sans conditions précises de mise en oeuvre.
En conclusion, le Sénat appelle à un renforcement du rôle des autorités de contrôle nationales, tant dans la procédure de collecte des données que dans la supervision des systèmes de traitement de ces données.
* 9 Proposition de résolution n° 406 (2011-2012) de M. Simon Sutour, déposée au Sénat le 22 février 2012.
* 10 Rapport n° 446 (2011-2012) au nom de la commission des lois et avis n° 457 (2011-2012) au nom de la commission des affaires européennes sur le RGPDP.
* 11 Résolution n° 110 (2011-2012).
* 12 Rapport n° 447 (2011-2012) au nom de la commission des affaires européennes.
* 13 Résolution n° 105 (2011-2012).
* 14 Proposition de résolution n° 343 (2012-2013).
* 15 Résolution n° 108 (2012-2013).