EXAMEN EN COMMISSION

< Rapport d'information >

Au cours de sa réunion du mercredi 22 février 2017, la commission des Lois procède à l’examen du rapport de la mission d’information.

M. le président Dominique Raimbourg. Nous passons maintenant à la présentation du rapport d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française. Je vais donner la parole successivement à Mme Anne-Yvonne Le Dain, présidente et rapporteure, et à M. Philippe Gosselin, vice-président et co-rapporteur de la mission d’information.

Mme Anne-Yvonne Le Dain, rapporteure. Monsieur le président, mes chers collègues, la mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française qui nous a été confiée en novembre dernier comporte des enjeux essentiels en matière économique, mais aussi en termes de protection des personnes, sur cet espace extrêmement concret qu’est internet.

La directive du 24 octobre 1995 a constitué une première étape dans l’élaboration à l’échelon européen d’un cadre juridique d’ensemble relatif à la protection des données personnelles. Cette époque était celle de l’arrivée des combinés téléphone-fax-imprimante, mais aussi des premiers téléphones portables – des modèles qui pesaient alors plus d’un kilo. La considérable évolution technologique à laquelle on a assisté en vingt ans a eu des conséquences très importantes en matière économique, ainsi qu’en termes d’indépendance nationale et d’activité concrète des personnes physiques et morales sur les réseaux sociaux, qui se sont développés massivement au cours de ces dernières années.

La directive, élaborée dans le contexte des débuts d’internet, n’a donc pas pris en compte les évolutions technologiques majeures intervenues du fait de son développement. De plus, les marges de manœuvre laissées par le texte ont entraîné, en pratique, des différences substantielles dans les législations nationales à l’intérieur de l’Union européenne, ce qui n’est pas sans importance dans le contexte de compétition économique mondiale.

C’est pourquoi, compte tenu des évolutions du secteur, de sa force économique et de la nécessité de renforcer la protection offerte aux citoyens en la matière, la Commission européenne a souhaité, dès 2012, rénover le cadre existant afin de l’adapter aux nouvelles réalités du numérique. Après quatre ans de négociations lourdes, complexes, et ayant donné lieu à de nombreuses tergiversations, l’adoption du règlement général sur la protection des données, le 27 avril 2016 – sans doute sous l’influence de « l’affaire Snowden » – constitue l’aboutissement de cette volonté.

Ce règlement a été complété par une directive sur les données policières et judiciaires, ces deux textes constituant de fait le « paquet données personnelles ».

Le règlement du 27 avril 2016 sera applicable à compter du 25 mai 2018, date à laquelle la directive du 24 octobre 1995 sera abrogée. Il est donc nécessaire d’adapter préalablement notre cadre législatif, principalement défini par la loi du 6 janvier 1978, qui constitue le socle juridique de la protection des données personnelles en France et a été à l’origine de la création de la Commission nationale de l’informatique et des libertés (CNIL).

La loi du 7 octobre 2016 pour une République numérique, défendue au nom du Gouvernement par Mme Axelle Lemaire, a permis un renforcement significatif de la protection des données personnelles. Elle n’a pas cependant couvert l’ensemble du champ du règlement et une révision de la loi du 6 janvier 1978 est indispensable pour abroger les dispositions incompatibles ou redondantes et adopter des dispositions nouvelles répondant à l’évolution du paysage numérique et technologique en Europe et dans le monde.

Afin de préparer ces travaux législatifs, la commission des Lois a décidé, le 3 novembre 2016, la création d’une mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française. Compte tenu des délais restreints dans lesquels la mission d’information a mené ses travaux, nous avons fait le choix d’analyser en priorité l’impact du règlement, qui constitue le futur cadre général de la protection des données personnelles en Europe, donc en France.

De manière générale, la France a approuvé les objectifs d’approfondissement du cadre législatif de la directive du 24 octobre 1995 et de renforcement des droits des personnes concernées – contrairement à ce que l’on pourrait croire, cela n’est pas une évidence. Elle s’est opposée à toute disposition du règlement créant un recul par rapport au niveau de protection des droits des personnes tel qu’il était assuré jusqu’à présent par cette directive.

Elle s’est notamment montrée défavorable à l’établissement d’une catégorie distincte de données à caractère personnel pour les données pseudonymisées – ce qui a donné lieu à un vrai combat – et s’est opposée à l’application du critère de l’établissement principal pour déterminer quelle autorité de contrôle sera compétente en cas de traitement de données concernant les résidents de plusieurs États membres, afin d’éviter le phénomène de forum shopping , consistant, pour un demandeur, à choisir la juridiction du pays dont la loi lui est le plus favorable. Le règlement crée donc une instance de supervision européenne, indépendante de la Commission européenne et ayant une vocation supranationale pour régler les différends – ce qui constitue une avancée à mettre au crédit de la France et de l’Allemagne.

Le texte final est le résultat d’un compromis, mêlant des dispositions harmonisées à de multiples renvois aux droits nationaux – une cinquantaine, ce qui est beaucoup –, ce qui en fait un règlement sui generis. En dépit des nombreuses marges de man œuvre laissées aux États membres, le règlement constitue une véritable révolution en matière de protection des données personnelles, dont il ne faut pas sous-estimer la portée pour notre pays et nos concitoyens.

En effet, le règlement consolide les droits des personnes en renforçant les conditions applicables au consentement des personnes au traitement des données les concernant et en consacrant de nouveaux droits, comme le droit au déréférencement ou le droit à la portabilité. Cette avancée, très novatrice à l’échelle européenne, n’est pas simple à mettre en œuvre sur les plans technique et juridique : il y aura là beaucoup de travail, au cours des années qui viennent, pour les juristes comme pour les informaticiens.

Le règlement encadre également les conditions du recours au profilage, c’est-à-dire aux traitements de données personnelles visant à évaluer certains aspects personnels. Cette technique représente un risque pour la vie privée, qui ne doit pas être négligé.

Les actions collectives en matière de protection des données personnelles sont autorisées. Les États membres pourront prévoir dans leur droit national que ces actions peuvent tendre à la réparation du préjudice subi.

Par ailleurs, le règlement a un champ d’application élargi : le droit européen s’appliquera chaque fois qu’un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris par internet ou par le biais d’objets connectés.

Alors que la directive du 24 octobre 1995 concerne essentiellement les responsables de traitements, le règlement européen « égalise » les obligations applicables aux sous-traitants et aux responsables de traitements, qui verront leur responsabilité conjointement engagée en cas de manquement à leurs obligations. Ce n’était pas le cas auparavant, ce qui exonérait les grandes sociétés de services informatiques de toute responsabilité en la matière.

Alors que la directive de 1995 reposait en grande partie sur l’existence de formalités préalables – déclaration, autorisations –, le règlement européen repose sur une logique de conformité et de responsabilité, dite d’ accountability. L’idée est de faire en sorte que les institutions chargées de protéger les Français n’aient pas pour seule attribution de délivrer des autorisations, mais aussi d’accompagner le développement de l’économie, de manière à assurer la protection des personnes sans entraver l’activité économique.

La responsabilisation des entreprises est concrétisée par l’affirmation des principes de la « protection des données dès la conception » – privacy by design – et de « protection des données par défaut » – privacy by default –, qui imposent aux responsables de traitement de mettre en œuvre toutes les techniques nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service et par défaut. Nous sommes passés à une logique de prévention – chaque entreprise devra se demander si elle a fait tout ce qu’elle aurait dû ou pu faire pour assurer la protection de ses données –, ce qui constitue également une révolution.

Des analyses de l’impact des traitements sur la protection des données à caractère personnel devront être conduites par les responsables de traitement lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si la notion de « risque élevé » n’est pas définie, elle constitue cependant une condition à laquelle les entreprises devront veiller.

Avec ce règlement, nous sommes en train de construire à l’échelle européenne un droit constituant une interface entre la common law anglaise et le droit romain, fondement de la législation française.

La désignation d’un délégué à la protection des données sera obligatoire d’une part dans le secteur public, d’autre part dans le secteur privé lorsque l’activité principale d’une entreprise concernera le suivi régulier et systématique des personnes à grande échelle ou le traitement à grande échelle de données sensibles ou relatives à des condamnations – comme on le voit, le critère retenu est celui de la puissance, du nombre de fichiers, de la masse de données.

Les responsables de traitement devront notifier les violations de données personnelles à l’autorité de contrôle, ainsi qu’aux personnes concernées en cas de risque élevé pour leurs droits et libertés. Le règlement prévoit des délais assez courts pour que les entreprises découvrant une faille de sécurité en informent l’autorité de contrôle et règlent le problème.

Le règlement donne aux autorités de contrôle la possibilité de prononcer des amendes administratives pouvant atteindre, selon la catégorie de l’infraction, 10 à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 % à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu : il est logique que, dans un secteur à forte valeur ajoutée, les amendes puissent atteindre des montants très élevés. Ces dispositions sont la manifestation de la puissance européenne.

Nous estimons qu’une attention particulière devra être accordée aux petites et moyennes entreprises, ainsi qu’aux entreprises naissantes, qui pourront rencontrer des difficultés pour respecter les nouvelles obligations posées par le règlement : en effet, il ne faudrait pas que le règlement empêche des TPE ou des PME d’émerger ou de se développer.

Enfin, ce règlement promeut l’affirmation d’une conception européenne de la protection des données personnelles, différant de celle promue notamment par les États-Unis. Comme l’ont rappelé plusieurs personnes entendues par la mission, cette conception, qui pourra paraître a priori contraignante pour les acteurs du numérique, constitue une opportunité de faire de l’Union européenne un espace où les entreprises, quelle que soit leur taille, pourront faire valoir la protection des données personnelles comme un avantage compétitif et non comme une restriction de leurs libertés. Si les personnes physiques sont souvent friandes de modernité, elles n’en sont pas moins attachées au respect de leur intimité.

L’Union européenne représente un marché de consommateurs important, notamment en matière de pouvoir d’achat, dans le domaine du numérique : il ne s’agit donc pas seulement d’un enjeu de protection des données des résidents européens, mais également d’un enjeu économique et technologique. Au sein de l’Europe, mais aussi à l’échelle du monde, il faut absolument que la France sache prendre la place qui lui revient au cours des années à venir.

Cependant, cette différence de conception entre les États-Unis et l’Union européenne n’est pas sans conséquence sur les transferts de données des usagers européens vers les entreprises américaines. En effet, si le règlement autorise les responsables de traitement et les sous-traitants à transférer des données hors de l’Union européenne, ce n’est que dans la mesure où ces transferts garantissent un niveau de protection suffisant et approprié des données personnelles. En la matière, il faudra donc faire preuve d’une vigilance particulière.

La Cour de justice de l’Union européenne a, par un arrêt Schrems du 6 octobre 2015, invalidé la décision de la Commission européenne constatant que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées et permettant l’application de l’accord conclu entre les États-Unis et l’Union européenne, appelé « Sphère de sécurité » ou Safe Harbor. À la suite de cet arrêt, la Commission a conclu en février 2016 un nouvel accord avec les États-Unis portant sur le cadre des transferts transatlantiques de données, le « bouclier vie privée Union européenne-États-Unis » – EU-US Privacy Shield.

Or la pérennité de cet accord pourrait être remise en question dans les mois qui viennent, compte tenu : de certaines réserves émises sur celui-ci par le groupe qui rassemble les « CNIL » des États membres – appelé G29 – ; de la remise en cause par le président américain Donald Trump – notamment par le décret adopté le 25 janvier 2017 – des garanties accordées aux citoyens de l’Union européenne en matière de protection des données personnelles sous la présidence de Barack Obama ; enfin du recours déposé par plusieurs associations contre cet accord devant la Cour de justice de l’Union européenne.

Le monde occidental se trouve donc à un moment de son histoire où il doit faire face à une situation compliquée, ce qui nous ouvre un espace de travail considérable dans les mois et les années à venir si l’on veut éviter que la question de la protection des données personnelles des résidents européens ne soit instrumentalisée par les États-Unis et leur président.

M. Philippe Gosselin, co-rapporteur. Monsieur le président, mes chers collègues, le rapport qu’Anne-Yvonne Le Dain et moi-même vous présentons aujourd’hui a effectivement été rédigé dans des conditions particulières, notamment dans des délais très courts.

L’application du règlement à partir de mai 2018 rend nécessaire une adaptation du cadre national de la protection des données personnelles, principalement défini par la loi du 6 janvier 1978, dite « Informatique et libertés », qui a été à l’origine de la création de la CNIL, l’une des toutes premières autorités administratives indépendantes, et un modèle pour celles qui ont été créées ultérieurement.

À la différence de la directive, qui doit faire l’objet d’une transposition, le règlement est en principe applicable immédiatement en droit national. Le règlement qui nous intéresse est un peu particulier, dans la mesure où il nécessite quelques mesures de transposition – si je devais user d’un néologisme, je dirais qu’il s’agit d’une « régletive ».

L’interruption prochaine des travaux parlementaires imposera d’engager dès le début de la nouvelle législature la révision de la loi du 6 janvier 1978 et, nonobstant le principe de séparation des pouvoirs, nous devrons veiller à ce que le Gouvernement dépose un projet de loi dès juin 2017, en tout état de cause avant l’été, afin que les travaux législatifs puissent aboutir avant la fin de l’année 2017, compte tenu du temps nécessaire pour publier les décrets d’application et pour que le texte soit applicable en droit français avant le 25 mai 2018.

La loi du 7 octobre 2016 pour une République numérique a pris en considération la problématique de la protection des données personnelles, sans pour autant couvrir l’ensemble du champ du règlement. Certaines de ses dispositions visent à anticiper l’application du règlement – je pense au droit à l’oubli numérique pour les mineurs, une disposition qui avait fait l’unanimité –, tandis que d’autres ont été adoptées à titre transitoire – c’est le cas du renforcement des sanctions prononcées par la CNIL – ou traitent de sujets connexes – par exemple, les données des personnes décédées, ou la portabilité des données n’ayant pas un caractère personnel.

Nous avons distingué, dans le rapport, deux catégories de mesures : d’une part, les adaptations nécessaires, qui ne devraient pas donner lieu à des débats très approfondis, d’autre part, les questions restant en suspens, qu’il reviendra au législateur de trancher en faisant usage de sa faculté d’appréciation, voire d’opportunité.

La future loi devra adapter les dispositions relatives aux sanctions pouvant être prononcées par la CNIL. Si la loi pour une République numérique a d’ores et déjà prévu qu’à compter du 25 mai 2018, les sanctions entrant dans le champ du règlement seront celles prévues par ce dernier, d’autres évolutions seront nécessaires. Le législateur devra notamment définir les procédures s’appliquant aux mesures correctives pouvant être prises par la CNIL – mise en demeure, mesure suspensive, saisine du juge –, ainsi que les sanctions des manquements ne relevant pas du règlement.

Par ailleurs, si le règlement prévoit les mécanismes de coopération et de décision des autorités nationales de contrôle, il ne comporte aucune disposition sur les règles procédurales, qui relèvent de la seule compétence des États membres. Les lignes directrices adoptées par le G29 – dénommé ainsi en référence à l’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci, et ayant vocation à se transformer en une force institutionnelle à compter de l’entrée en vigueur du règlement – sur ces questions devraient donner un cadre au législateur.

Par ailleurs, d’autres questions restent en suspens. Il s’agit tout d’abord de l’interprétation de certains concepts. Plusieurs notions évoquées dans le règlement devront être précisées afin de permettre une application uniforme de ce texte au sein de l’Union européenne. C’est le cas, par exemple, de la notion de « risque élevé », nécessitant qu’un responsable de traitement consulte l’autorité de contrôle avant de mettre en œuvre un traitement de données, sujet sur lequel tous les États n’ont pas la même perception ni la même sensibilité. Sur l’ensemble de ces notions, nous considérons que les avis du G29 seront essentiels pour éviter toute incertitude juridique potentiellement préjudiciable aux responsables de traitement dont la responsabilité pourrait être engagée et aux personnes concernées.

Comme l’a dit Mme Anne-Yvonne Le Dain, nous devrons également prévoir des dispositions afin d’éviter la pratique par les entreprises du forum shopping , qui se ferait à leur avantage mais au détriment de l’intérêt collectif – tout en veillant à ne pas corseter trop fortement le dispositif, afin que, si des marges de manœuvre existent, elles bénéficient à l’implantation d’entreprises en France : il ne faudrait pas que notre pays devienne un repoussoir.

Ensuite, plusieurs dispositions du règlement prévoient que les États membres pourront maintenir ou adopter des règles spécifiques pour certains types de traitement.

Pour ce qui est des données de santé, un sujet plus sensible en France que dans d’autres États, la question de la compatibilité avec le règlement européen du nouveau régime d’accès aux données de santé médico-administratives à caractère personnel, défini par la loi de modernisation de notre système de santé du 26 janvier 2016, se posera sans aucun doute. Le caractère très récent de cette réforme – tous les décrets d’application n’ont pas encore été publiés – et les travaux actuellement en cours de la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) sur cette question nous ont conduits à ne pas aborder ce sujet en détail.

D’autres traitements font l’objet de règles spécifiques définies par la loi du 6 janvier 1978. Il s’agit notamment des données biométriques et génétiques, des traitements aux fins d’expression journalistique, artistique et littéraire, des traitements de données relatives aux infractions, aux condamnations et aux mesures de sûreté, des traitements portant sur le numéro d’identification national (NIR) – une question sur laquelle la CNIL a une doctrine constante depuis près de quarante ans, dans le souci d’éviter que ce numéro n’agrège trop d’éléments sur un individu donné –, des traitements à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. D’après les éléments qui nous ont été communiqués par la CNIL, ces règles spécifiques devraient pouvoir être maintenues dans le cadre des marges ouvertes par le règlement. Il nous appartiendra de faire en sorte que les dispositifs des différents États ne divergent pas trop.

La question d’un éventuel élargissement du champ de l’action de groupe devra être tranchée par le législateur. L’action de groupe en matière de protection des données personnelles a été introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Elle est ouverte lorsque plusieurs personnes physiques subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 et permet d’obtenir la cessation du manquement.

Le règlement prévoit la simple possibilité pour les États membres d’adopter des dispositions nationales autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi. Plusieurs personnes entendues par la mission ont estimé qu’il serait souhaitable de permettre ce type d’actions de groupe pour aller jusqu’au bout de la logique du règlement. Nous aurons également à nous prononcer sur ce point.

La loi pour une République numérique prévoit la mise en œuvre, à compter du 25 mai 2018, d’un droit à la portabilité de l’ensemble de ses données pour le consommateur – c’est-à-dire du droit de changer d’opérateur sans difficulté particulière. En ce qui concerne les données personnelles, elle renvoie au régime défini par l’article 20 du règlement. Les données non personnelles relèvent, elles, d’un régime différent, ne s’imposant qu’aux opérateurs de communications électroniques. Nous estimons que la mise en œuvre de ces deux régimes risque de poser des difficultés d’interprétation et souhaitons que ceux-ci puissent être clarifiés et mieux articulés dans le cadre de la future loi.

Enfin, la question de l’articulation des dispositions nationales et du règlement se pose à l’égard des dispositions spécifiques aux mineurs. En effet, des âges différents sont fixés par la loi pour une République numérique – dix-huit ans – et par le règlement – seize ans, pouvant même être abaissés jusqu’à treize ans par le droit des États membres – pour l’exercice du droit à l’effacement des données personnelles.

Cependant, selon une interprétation avancée par le ministère de la justice, une disposition de l’article 17 du règlement, rendant obligatoire l’effacement des données pour respecter une obligation légale définie par le droit national, pourrait permettre de fixer une condition supplémentaire par rapport au règlement, comme le prévoit la loi pour une République numérique pour les mineurs âgés de 16 à 18 ans.

En conclusion, nous avons souhaité, par ce travail, appeler votre attention sur les enjeux posés par l’application du règlement. Nous avons également voulu transmettre un témoin à la future assemblée, qui devra examiner le projet de loi de révision de la loi du 6 janvier 1978 dans un délai très bref – pour compléter ce que j’ai dit tout à l’heure au sujet du calendrier, j’ajouterai qu’il serait souhaitable de désigner un rapporteur et un rapporteur d’application durant la session extraordinaire de juillet, afin que les auditions puissent démarrer dès septembre, c’est-à-dire avant l’examen des lois de finances.

En cette fin de législature, nous n’avons pas eu la prétention de trancher toutes les questions, mais plutôt le souci d’apporter des éléments utiles au débat sur ce sujet essentiel pour la protection des droits et libertés.

Mme Anne-Yvonne Le Dain, rapporteure. Je précise que le règlement contient une série de notions extrêmement importantes : la portabilité, le déréférencement, l’anonymisation, le consentement, le profilage, la réparation, la responsabilité, la sous-traitance, la notion de prévention, celle d’impact, celle de risque élevé, la nécessité d’informer l’autorité de référence dans un délai court, le concept de dialogue et celui d’obligation faite aux entreprises de prévoir le risque. Toutes ces notions comportent une marge d’interprétation importante. Il est donc essentiel que la France, au cours de la prochaine législature, construise autour de ce vocabulaire un dispositif qui serve à la fois son économie et l’intérêt de ses citoyens.

M. Guillaume Garot. Je veux saluer la précision et la qualité du rapport qui vient de nous être présenté ce matin. La problématique a été bien posée : comment peut-on garantir et améliorer la protection des libertés individuelles ? Je voudrais revenir sur le dernier point qu’a évoqué le rapporteur sur l’effacement des données concernant les enfants : dix-huit ans dans la loi pour la République numérique ; entre treize et seize ans dans le règlement européen. Vous présentez une solution d’interprétation juridique. À votre avis, peut-on aller plus loin et dans quelle direction ?

Mme Sophie Dion. Pour ma part, je voudrais poser une question sur le droit à l’oubli. À la lecture du rapport, j’ai cru comprendre que ce droit ne concernait que les mineurs. Dans quelle mesure et selon quel régime juridique pourrait-il être étendu au-delà de la minorité ? S’agissant de l’action de groupe, j’avoue que je n’ai pas très bien compris comment les choses pouvaient s’articuler avec le règlement.

M. Philippe Gosselin, co-rapporteur. Le ministère de la justice est le chef de file des travaux en cours sur la question des mineurs. Sous réserve d’un examen juridique plus approfondi, il semble que l’article 17 pourrait permettre aux États membres d’ajouter une condition supplémentaire pour pouvoir « coller », si je puis dire, à l’âge réel de la majorité. Quoi qu’il en soit, je pense ne trahir aucune sensibilité en disant que l’objectif est d’arriver à graver réellement cet âge de dix-huit ans, nonobstant des évolutions sur d’autres sujets dont on ne va pas enclencher la discussion à l’instant précis. Fixée à l’âge de dix-huit ans en France, la majorité entraîne un certain nombre de conséquences. Notre objectif collectif est bien de conserver l’âge de dix-huit ans et de mettre notre droit en adéquation avec le règlement européen. Notre volonté est claire ; les moyens d’y parvenir semblent être clairs aussi mais ils restent à affiner.

Mme Anne-Yvonne Le Dain, rapporteure. En ce qui concerne le droit à la réparation, le principe est posé par le réglement. Il est également dit que les États peuvent fixer une amende. Ce n’est pas du tout anodin. Il existe également des marges d’interprétation à la discrétion de chacun des pays. Il faut quand même avoir en tête que l’objectif est de construire un droit européen puissant pour construire une Europe de puissances, notamment dans ces champs qui sont en expansion économique.

La France et l’Allemagne, qui ont beaucoup en commun, sont deux pays très présents dans le groupe du G29. Les pays européens doivent constituer progressivement un système qui empêche le fameux forum shopping. D’où l’importance de cette autorité nouvelle, créée par le règlement et indépendante de la Commission, qui pourrait être une instance d’arbitrage dans le cas où une entreprise serait implantée dans plusieurs pays. La France et l’Allemagne ont pesé pour qu’il y ait une décision conjointe des autorités de contrôle concernées, c’est-à-dire pour que, par exemple, l’Irlande ne puisse pas décider pour tout le monde au prétexte que les données seraient dans ce pays. Ce combat n’a pas été facile mais il a été gagné. On peut considérer que tout cela est une source d’inquiétude mais c’est tout simplement le monde vers lequel on va.

M. Philippe Gosselin, co-rapporteur. L’action de groupe, introduite dans la loi du 18 novembre 2016 de modernisation de la justice du XXI e siècle, permet de mettre fin aux manquements commis par les responsables de traitement. En revanche, il manque dans ce texte le second étage de la fusée : le droit à réparation. Le règlement européen, lui, permet à la fois de mettre fin aux manquements et d’envisager la réparation. La question de l’intégration du droit à réparation dans notre législation interne, qui s’est posée lors de nos débats sur l’action de groupe, ressurgira en raison de ce règlement européen.

Mme Anne-Yvonne Le Dain, rapporteure. Le règlement actuel prévoit de lourdes amendes : 10 à 20 millions d’euros, et entre 2 % et 4 % du chiffre d’affaires de l’entreprise. Rappelons que l’amende infligée à Google par la CNIL était de 150 000 euros, une somme dérisoire. Les montants prévus par le règlement européen modifient l’équation mentale de celui qui veut jouer avec le droit.

M. Philippe Gosselin, co-rapporteur. Ces montants concernent d’autres types de manquements que les actions de groupe.

M. le président Dominique Raimbourg. S’il n’y a pas d’autres interventions, nous allons procéder au vote. Vous allez devoir dire, mes chers collègues, si vous êtes d’accord pour que le rapport soit publié et qu’il serve ainsi de base aux travaux concernant la loi qui sera débattue lors de la prochaine législature. Nous avons jusqu’au mois de mai 2018 pour élaborer ces nouvelles règles.

M. Philippe Gosselin, co-rapporteur. Nous devons le faire avant : le 25 mai 2018 est la date d’entrée en vigueur du règlement. Les règles que nous aurons élaborées devront donc être promulguées en janvier 2018, au plus tard, afin que les décrets d’application puissent être pris et qu’il n’y ait aucun vide juridique.

Mme Anne-Yvonne Le Dain, rapporteure. En clair, il faut démarrer dès le mois de juin et que la navette parlementaire soit terminée à Noël.

La commission des Lois autorise à l’unanimité la publication du rapport d’information.

< Rapport d'information >