INTRODUCTION

< Rapport d'information de la commission des affaires européennes >

Mesdames, Messieurs,

Après de longues années de négociations, l’Union européenne s’apprête à définir un cadre juridique global pour la protection des données personnelles de l’ensemble des citoyens européens.

Le Règlement général de protection des données (RGPD) ( 1 ), qui doit s’appliquer au 25 mai 2018, représente un effort sans précédent, et sans doute jusque-là inégalé, de définir un standard commun en la matière.

La capacité de l’Union à légiférer en matière de protection des données personnelles tient avant tout à l’intégration de ce principe à l’article 8 de la Charte des Droits Fondamentaux, au même titre que la protection de la vie privée (2). La reprise à l’article 16 du TFUE (3) (Traité sur le fonctionnement de l’Union européenne) des règles de protection des données personnelles découle directement de la force juridique conférée à la Charte des Droits Fondamentaux par le Traité de Lisbonne, et notamment de son article 8.

Ce texte, de portée mondiale, puisqu’il devra être appliqué par tout organisme traitant les données personnelles des résidents européens, est fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle. La restauration de la confiance des utilisateurs dans le domaine du numérique aura pour conséquence directe le développement des entreprises au sein du marché unique numérique. Sans nier l’importance de l’équilibre à trouver pour assurer une mise en œuvre pratique et efficace par les entreprises et la possibilité d’innovations, l’objectif premier de ce texte est bien le droit à la vie privée des personnes. C’est donc avec ce regard que la lecture critique de ce texte doit être faite.

Ce règlement confère en effet de nouveaux droits aux individus. Les droits déjà existants d’accès aux données et de droit à l’information sont renforcés et s’y ajoutent des droits à l’effacement (ou « droit à l’oubli ») et le droit à la portabilité des données , susceptibles de garantir aux citoyens une maîtrise renouvelée de leurs données. Pour ce qui est des entreprises, le règlement permet d’inverser le paradigme traditionnel du régime d’autorisation. La confiance envers les responsables de traitement et leurs sous-traitants implique désormais que ce soit eux, accompagnés dans la mesure de leurs moyens par les autorités de contrôle nationales, qui vérifient la licéité de leurs traitements des données à caractère personnel. En échange de cette plus grande souplesse, le contrôle exercé désormais a posteriori prend de nouvelles formes.

Les autorités de contrôle nationales bénéficient en effet de la possibilité d’infliger des amendes administratives plus lourdes, allant jusqu’à 4 % du chiffre d’affaires mondial pour les violations les plus graves, mais elles peuvent aussi beaucoup plus facilement collaborer entre elles. Les modalités de coordination des autorités nationales dans leurs enquêtes et l’assistance qu’elles offrent auprès des acteurs du numérique permettent la bonne application des dispositions du règlement à tous les traitements de données, y compris les traitements transfrontaliers.

La protection globale des droits fondamentaux au sein de l’Union européenne doit enfin définir un standard susceptible d’influencer la formation des normes sur les autres continents. À ce titre, l’application extra-continentale des dispositions du règlement à des entreprises de pays tiers, et notamment américaines et chinoises, visant des personnes résidant sur le territoire européen est seule à même de garantir l’effet utile du règlement.

Le projet de loi sur lequel le présent rapport expose des observations adapte notamment la législation nationale au RGPD et transpose la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Le RGPD, compte tenu de l’ampleur du domaine concerné, ainsi que de la longueur des négociations, a laissé un grand nombre – plus d’une cinquantaine – de marges de manœuvre aux États membres pour faire des choix dans l’application de certaines dispositions. Nous ne pouvons que le regretter, ceci affaiblissant la portée du texte. Si des points majeurs, tels que les nouveaux droits pour les personnes concernées ou la nécessité de collaborer entre les agences nationales de contrôle ne permettent pas de telles marges de manœuvre, il n’en demeure pas moins que celles-ci sont sources de divergence réglementaire. Le coût sera supporté par les entreprises européennes, et les PME au premier chef , puisqu’elles ne disposent souvent pas des capacités juridiques et économiques pour se conformer à la fois au RGPD et à la diversité des législations nationales. Ceci est tout à fait dommageable, quand au même moment, dans leur déclaration commune pour le 22 janvier 2018, les parlements français et allemands plaident pour la réalisation d’un espace économique franco-allemand avec des règles harmonisées, notamment en ce qui concerne le droit des entreprises.

Il est donc d’autant plus appréciable que le gouvernement ait fait un choix parcimonieux et, pour la majorité d’entre elles, pertinent, de l’usage des marges de man œuvre nationales. Votre rapporteure s’est attachée à essayer de comprendre les écarts entre les marges de manœuvre nationales afin d’estimer les potentiels obstacles à leur application harmonieuse. L’ensemble des pays européens travaillant actuellement en parallèle, les informations ne sont que partiellement disponibles.

Il n’en demeure pas moins nécessaire de modifier le projet de loi dans certaines matières, telles que le traitement des données pour le compte de l’État, l’âge de consentement des mineurs ou la possibilité de mener une action de groupe en réparation du fait de la violation des dispositions du règlement. Par ailleurs, l’ordonnance par laquelle le projet de loi habilitera le gouvernement à améliorer la lisibilité du texte est la bienvenue, compte tenu de la complexité de la matière. Pour éviter toute forme d’insécurité juridique prolongée, la ratification de l’ordonnance doit intervenir au plus vite.

Néanmoins, ce projet de loi sur lequel votre rapporteure présente ses observations a le grand mérite de la cohérence et de l’intégration de nouveaux droits pour les citoyens européens dans le domaine numérique. Il pose les fondements d’une réflexion éthique qui doit nourrir notre travail de législateur pour aborder les bouleversements sociétaux provoqués par l’apport des nouvelles technologies.

< Rapport d'information de la commission des affaires européennes >