INTRODUCTION

< Rapport d'information >

La directive du 24 octobre 1995 ( 2 ) a constitué une première étape dans l’élaboration à l’échelon européen d’un cadre juridique d’ensemble relatif à la protection des données personnelles. Compte tenu des évolutions du secteur et de la nécessité de renforcer la protection offerte en la matière, la Commission européenne a souhaité, dès 2012, rénover le cadre existant afin de l’adapter aux nouvelles réalités du numérique ( 3 ). Après quatre ans de négociations, l’adoption du règlement général sur la protection des données ( 4 ), le 27 avril 2016, constitue l’aboutissement de cette volonté. Ce règlement a été complété par une directive sur les données policières et judiciaires (5), ces deux textes constituant le « paquet données personnelles ».

Comme l’a rappelé Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (CNIL) lors de son audition par la commission des Lois : « [le règlement européen] inaugure une nouvelle ère dans la régulation puisqu’il consacre un changement de paradigme : il s’agit d’alléger considérablement ce que nous appelons les formalités préalables – les déclarations et autorisations – au profit d’une démarche de responsabilisation des acteurs et aussi d’un renforcement des droits des individus. » ( 6 )

Le règlement du 27 avril 2016 sera applicable à compter du 25 mai 2018, date à laquelle la directive 95/46 sera abrogée. Il est donc nécessaire d’adapter préalablement le cadre législatif de la protection des données à caractère personnel, principalement défini par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (7) qui constitue le socle juridique de la protection des données personnelles en France.

La loi **du 7 octobre 2016 pour une République numérique (**8 ) a permis un renforcement significatif de la protection des données personnelles. Elle n’a pas cependant pas couvert l’ensemble du champ du règlement et une révision de la loi du 6 janvier 1978 est indispensable pour abroger les dispositions incompatibles ou redondantes – ce qui est l’effet classique d’un règlement – mais aussi pour adopter des dispositions nouvelles pour le compléter lorsqu’il ne peut s’appliquer directement.

L’interruption prochaine des travaux parlementaires jusqu’en juin 2017 imposera donc d’engager très rapidement ensuite la révision de la loi « Informatique et libertés » afin que les travaux législatifs aboutissent avant la fin de l’année 2017, compte tenu du temps nécessaire pour édicter les éventuels décrets d’application.

Dans la perspective du dépôt d’un projet de loi, la direction des affaires civiles et du sceau (DACS) du ministère de la Justice a mis en place un groupe de travail associant le commissaire du Gouvernement auprès de la CNIL, des agents de la DACS, des représentants de l’administration de la CNIL, des universitaires, ainsi que des agents de la direction des affaires criminelles et des grâces (DACG), chargée de la transposition de la directive sur les données policières et judiciaires. L’objectif est de parvenir à un projet de loi unique tirant les conséquences du règlement et transposant la directive. Le III de l’article 65 de la loi pour une République numérique prévoit que le Gouvernement remet au Parlement, au plus tard le 30 juin 2017 , un rapport sur les modifications de la loi de 1978 rendues nécessaires par l’entrée en vigueur du règlement.

Compte tenu du calendrier précédemment évoqué, vos rapporteurs jugent indispensable que la transmission de ce rapport et le dépôt du projet de loi révisant la loi du 6 janvier 1978 soient concomitants et interviennent, dans les délais prévus, au mois de juin 2017.

Afin de préparer ces travaux législatifs, **** la commission des Lois a décidé, le 3 novembre 2016, la création d’une mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française et constitué une mission de treize membres afin que sur ce sujet d’importance, toutes les sensibilités politiques puissent être représentées.

Dans un calendrier particulièrement contraint (9), la mission a entendu les représentants de la CNIL, du secrétariat général des affaires européennes (SGAE), de la direction des affaires civiles et du sceau, de la direction interministérielle des systèmes d’information et de communication (DINSIC) et du Conseil national du numérique, des universitaires, des avocats, des associations représentant les usagers du Net ( la Quadrature du net, l’association européenne des droits de l’Homme) et les entreprises du numérique (association pour le commerce et les services en ligne), des entreprises ( Solocal group et Microsoft ) et des membres du cabinet de la secrétaire d’État chargée du numérique et de l’innovation. La mission a, par ailleurs, effectué un déplacement à Bruxelles durant lequel les rapporteurs ont notamment échangé avec les représentants de la direction générale chargée de la justice et des consommateurs de la Commission européenne et le contrôleur général de la protection des données.

Le premier enseignement de ces travaux est que **ce texte constitue un règlement suis generis à mi-chemin entre un règlement et une directive ** et un **** compromis entre le droit romain et la common law (10).

En effet, le choix d’un règlement, directement applicable, plutôt qu’une directive témoigne de la volonté de disposer d’un régime juridique harmonisé dans l’ensemble de l’Union européenne. La marge de manœuvre laissée par la directive avait en effet entraîné, en pratique, de grandes différences dans les législations nationales.

Cependant ce texte est le fruit d’un compromis entre la volonté de la Commission de proposer un règlement d’application directe, afin de renforcer la cohérence de la protection des personnes et la volonté de certains États membres de pouvoir adapter certaines dispositions aux spécificités nationales. Il en résulte un texte qui mêle des dispositions harmonisées à de multiples renvois au droit national. Au total, le SGAE a ainsi comptabilisé plus de cinquante dispositions , de portée inégale, renvoyant au droit des États membres. La portée de l’harmonisation se trouve ainsi limitée par les nombreuses « clauses d’ouverture » figurant dans le texte final.

En second lieu, ce texte constitue une véritable « révolution » en matière de protection des données personnelles car il permet :

– le renforcement de la protection des données personnelles en reconnaissant de nouveaux droits pour les personnes physiques , – tels que le droit à l’effacement ou le droit à la portabilité des données ;

un champ d’application élargi : le droit européen s’appliquera chaque fois qu’un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris par internet et par le biais d’objets connectés ;

la responsabilisation des acteurs traitant les données, en reconnaissant la responsabilité conjointe des responsables de traitement et des sous-traitants, et en adoptant à leur égard une logique de responsabilité. En contrepartie de la suppression de la plupart des obligations déclaratives, ces derniers devront respecter un certain nombre d’obligations : tenir un registre des activités de traitement, conduire des analyses d’impact, désigner un délégué à la protection des données et notifier les violations de données à caractère personnel à l’autorité nationale de protection des données ;

le renforcement des autorités de régulation , en leur permettant de prononcer des amendes administratives dont le montant est considérablement augmenté puisqu’elles pourront représenter, selon la catégorie de l’infraction – de 2 % à 4 % du chiffre d’affaires annuel mondial d’une entreprise, et de 10 à 20 millions d’euros pour les autres organismes – et en mettant en place un mécanisme de décision conjointe de l’ensemble des autorités de contrôle des États membres ;

– et la création d’une instance européenne de coordination , le Comité européen de protection des données (CEPD), véritable instance d’arbitrage européenne, qui favorisera la coordination des autorités de contrôle des États membres et l’émergence de pratiques communes en matière de protection des données personnelles. Malgré la mise en place de cette coopération européenne, le mécanisme de « guichet unique » garantira que, dans le cas de traitements transnationaux, les personnes concernées conserveront une proximité avec leur autorité de protection des données et leurs juridictions nationales, et que leur autorité de protection des données sera associée à la décision prise par l’autorité « chef de file ».

Enfin, ce règlement promeut l’affirmation d’une conception européenne de la protection des données personnelles, conception qui diffère de celle promue notamment par les États-Unis.

Comme l’ont rappelé plusieurs personnes entendues par la mission, cette conception, qui pourra paraître a priori contraignante pour les acteurs du numérique, constitue une opportunité de faire de l’Union européenne un espace où les entreprises, quelle que soit leur taille, pourront faire valoir la protection des données personnelles comme un avantage compétitif. Le règlement représente aussi une opportunité de développer certaines activités économiques, notamment dans l’accompagnement des entreprises qui devront respecter de nouvelles obligations. L’Union européenne représente un marché de consommateurs important dans le domaine du numérique : il ne s’agit donc pas seulement d’un enjeu de protections des données des résidents européens, mais également un enjeu économique et technologique.

Dans ce domaine, la France semble particulièrement bien « armée » car elle peut faire valoir une culture de la protection des données et une véritable expertise juridique dans ce domaine, comme en témoigne son rôle important lors des négociations sur le règlement. Par ailleurs, vos rapporteurs estiment que le règlement est aussi une opportunité pour la France de développer des compétences en ces domaines sur tout le territoire national, l’économie numérique pouvant par nature être très décentralisée.

Cependant cette différence de conception entre les États-Unis et l’Union européenne n’est pas sans conséquence sur les transferts de données des usagers européens vers les entreprises américaines. Dans un arrêt du 6 octobre 2015 ( 11) , la Cour de justice de l’Union européenne (CJUE) a invalidé de la décision n° 2000/520/CE de la Commission constatant que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées et permettant l’application de l’accord conclu entre les États-Unis et l’Union européenne appelé « Sphère de sécurité » (« Safe Harbor »). À la suite de cet arrêt, la Commission a conclu en février 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données, le « bouclier vie privée Union européenne-États-Unis » (EU-US Privacy shield ).

Or, bien que la décision d’exécution de la Commission européenne du Privacy Shield intègre par anticipation certaines des avancées prévues par le règlement, la pérennité de cet accord pourrait être remise en cause dans les mois qui viennent, compte tenu de certaines réserves émises par le groupe qui rassemble les autorités de contrôle des États membres de l’article (G29) sur celui-ci, du recours déposé par plusieurs associations contre cet accord devant la Cour de justice de l’Union européenne et de la remise en cause, par le Président Donald Trump – notamment par le décret adopté le 25 janvier 2017 –, des garanties accordées aux citoyens de l’Union européenne en matière de protection des données personnelles sous la présidence de Barack Obama (12). Le 15 février, le G29 a indiqué, dans un communiqué, qu’une lettre serait envoyée aux autorités américaines faisant état de ses inquiétudes et demandant une clarification sur l’impact du décret du président des États-Unis sur le Privacy Shield.

En France, si certaines mesures d’adaptation requises par le règlement ne suscitent pas de débats, d’autres questions demeurent en suspens et devront être tranchées par le législateur. C’est le cas notamment des règles spécifiques à certains traitements de données – en matière de santé ou biométriques par exemple , de celles relatives aux actions de groupe, au droit à la portabilité ou des dispositions spécifiques applicables aux mineurs.

Les travaux conduits par la mission lui ont permis de prendre la mesure du chantier législatif qui s’annonce et qui devra être ouvert dès le début de la prochaine législature afin qu’un texte définitif puisse être adopté afin la fin de l’année 2017.

< Rapport d'information >