TRAVAUX DE LA COMMISSION

< Rapport d'information de la commission des affaires européennes >

La Commission s’est réunie le 18 janvier 2018, sous la présidence de Mme Sabine Thillaye, Présidente, pour examiner le présent rapport d’information.

Mme Christine Hennion, rapporteure. Le projet de loi sur lequel notre commission présente des observations adapte la législation nationale au Règlement Général de Protection des Données, ou RGPD, et transpose la directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière et de sanctions pénales.

Après 4 ans de négociation, le Règlement général de protection des données doit s’appliquer d’ici le 25 mai 2018 et représente un effort sans précédent, et sans doute jusque-là inégalé, de définir un standard commun en la matière. La capacité de l’Union à légiférer en matière de protection des données personnelles tient avant tout à l’intégration de ce principe à l’article 8 de la Charte des Droits Fondamentaux repris à l’article 16 du Traité sur le fonctionnement de l’Union européenne au titre de la vie privée.

Ce texte, de portée mondiale, puisqu’il devra être appliqué par tout organisme traitant les données personnelles des résidents européens, est fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle. La restauration de la confiance des utilisateurs dans le domaine du numérique aura pour conséquence directe le développement des entreprises au sein du marché unique numérique. Les évolutions technologiques extrêmement rapides nécessitent une vigilance accrue du respect à la vie privée des personnes, de leurs libertés de citoyens et de notre souveraineté numérique. Ce règlement, et ses marges de manœuvre nationales introduisent un renversement de la logique de contrôle. Le texte nous fait passer d’un régime d’autorisation, pour un grand nombre de traitements de données, à un régime de responsabilisation des entreprises et administrations.

Les organismes devront évaluer les risques et les impacts sur la vie privée afin de prendre des mesures proportionnées qui pourront ensuite être contrôlées par les autorités nationales. En d’autres termes, nous passons d’un droit dur à un droit souple, à l’instar des législations anglo-saxonnes. Les CNIL européennes doivent désormais guider et accompagner les responsables de traitement. En complément de ces actions de prévention, les autorités de contrôle nationales auront désormais la possibilité d’infliger des sanctions, en fonction de la gravité de la violation et des risques pour la vie privée des personnes concernées, qui pourront aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial consolidé de l’exercice précédent.

Ce Règlement part de la réalité du fonctionnement des marchés du numérique. Il corrige des failles de la précédente directive en renforçant les droits existants des citoyens et en en introduisant de nouveaux. C’est ainsi que les droits d’accès aux données et à l’information sont mieux garantis, la notion de consentement éclairé est très largement renforcée, tandis que le droit à l’effacement, ou « droit à l’oubli », et le droit à la portabilité des données sont mis en place.

Le RGPD est un texte hybride, qui laisse plus d’une cinquantaine de marges de manœuvre nationales. Le projet de loi met en application un certain nombre d’entre elles. Si la plupart sont justifiées, je demeure convaincue qu’il faut rechercher l’harmonisation la plus grande possible avec nos voisins européens. Il en va de l’efficacité du marché unique du numérique. Le règlement prévoit ainsi la collaboration des autorités nationales de contrôle pour s’assurer de l’application uniforme de ses dispositions à l’échelle du continent. Plutôt que de mettre en place une CNIL européenne, le choix a été fait d’un mécanisme de cohérence chapeauté par un Comité européen de protection des données, composé des présidents de chacune des autorités nationales. Les CNIL seront également amenées à conduire des enquêtes conjointes, dès lors que le responsable d’un traitement de données mis en cause exerce ses activités dans plusieurs États membres.

Plus largement, les divergences réglementaires entre les États membres ne doivent pas se faire au détriment des opérateurs économiques, et notamment des plus petits d’entre eux qui n’ont pas les capacités organisationnelles et juridiques pour s’adapter non seulement au RGPD mais encore à 27 choix différents effectués au titre des marges de manœuvre nationales. Les projets de loi français et allemands ont fait le choix d’appliquer les marges de manœuvre nationales aux personnes résidant dans leurs pays. Mais de nombreux autres États membres ont fait le choix inverse et appliquent leurs droits en fonction du lieu d’établissement des responsables de traitement ou des sous-traitants. Que se passera-t-il alors quand un responsable de traitement établi dans un tel État membre collectera et traitera des données personnelles d’un citoyen français ? Il faut réfléchir à un moyen d’articuler les normes nationales, pour éviter toute forme de carambolage contentieux, dans des matières aussi fondamentales que la protection de la vie privée.

Le gouvernement a fait le choix de se restreindre dans de nombreux domaines. J’estime toutefois qu’il aurait été pertinent de faire usage des marges de manœuvre à deux reprises, et ce d’autant plus qu’il est permis d’espérer une harmonisation européenne en la matière.

Le premier cas relève de l’âge du consentement au traitement des données personnelles. Les mineurs doivent être éduqués au numérique, être guidés dans leurs premiers pas, tant dans le cadre familial que dans le cadre scolaire. Compte tenu des pratiques actuelles des adolescents, la demande d’un consentement auprès des autorités parentales jusqu’à l’âge de 16 ans paraît difficilement contrôlable. Enfin, mes entretiens avec la Commission européenne m’ont laissé comprendre qu’il y aurait une grande divergence entre les États membres quant à la fixation de l’âge minimal de consentement. Il me semblerait pertinent, dès lors, de descendre cet âge à 13 ans, de l’harmoniser à l’échelle de l’Union européenne, d’éduquer les adolescents sur les conséquences de leurs pratiques sur internet et d’obliger les sites à fournir une information claire, plutôt que de les en exclure en l’absence du consentement des parents.

Le second cas porte sur les actions de groupe. Cet instrument juridique, qui permet de lier de nombreuses plaintes individuelles, a été introduit en droit français par la loi sur la consommation de 2014, dite loi Hamon, puis étendue en 2016 par la loi relative à la justice au XXIe siècle à divers domaines, dont les données personnelles. Cette dernière action de groupe se limite toutefois à la cessation du traitement, ce qui limite fortement son intérêt. Or, le règlement autorise les États membres à mettre en place des actions de groupe en réparation en cas de violation de ses dispositions, permettant ainsi une juste indemnisation des personnes concernées. Ce type d’action de groupe existe déjà dans un certain nombre d’États membres, tels que les Pays-Bas et peut être étendu à partir de là aux résidents des autres états membres. La prise en compte de la réparation serait d’autant plus indispensable que l’âge du consentement serait abaissé à 13 ans.

Afin de garantir en amont la conformité du traitement des données avec les dispositions du RGPD, le règlement encourage les États membres à adopter des systèmes de certification cohérents. Ces certificats doivent permettre de démontrer que les responsables de traitement et les sous-traitants respectent les droits et libertés des personnes concernées. Cette certification, d’une durée maximale de trois ans, « ne diminue pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect » du RGPD. J’encourage vivement la mise en place de ce système harmonisé au niveau européen, afin d’en augmenter l’impact et de diminuer les coûts pour les entreprises.

Je pense qu’il serait par ailleurs très utile de mettre en place des actions de médiation. Elles pourraient intervenir dans une phase précontentieuse et faire en sorte que les professionnels du secteur se parlent, dans l’esprit du règlement, ainsi qu’entre plateformes et particuliers. Ce dispositif pourrait revenir à la CNIL ou un organisme tiers, à condition toutefois que cette médiation soit facultative et que les moyens du régulateur soient adaptés à cette nouvelle fonction.

Enfin, je souhaiterais voir se mettre en place un système de « bac à sable » réglementaire. Ce système vise à alléger les contraintes pour favoriser l’innovation. Il permet d’expérimenter pendant un temps, puis de se soumettre à la législation en place une fois la phase d’expérimentation achevée. Ce bac à sable doit bien entendu être sécurisé.

Pour conclure mon propos, je souhaite souligner le rôle majeur de la CNIL dans l’application de ce règlement et, à ce titre, je souhaiterais que les moyens financiers et humains de cette autorité soient renforcés.

Telles sont les propositions que je porte sur ce projet de loi, dont je souhaite souligner encore la pertinence et qui permet à la France de participer au mieux à l’un des standards continentaux les plus avancés au monde en matière de protection des données personnelles. Je vous remercie.

L’exposé de la rapporteure a été suivi d’un débat.

Mme la présidente Sabine Thillaye. Merci beaucoup, chère collègue, pour ce rapport d’observations précis. Je reste quelque peu dubitative par rapport au choix de l’instrument juridique par l’Union européenne ; d’un côté, on a affaire à un règlement, de l’autre, pour l’espace de liberté, de sécurité et de justice, on a choisi la directive. Ce règlement donne une telle latitude aux États membres sur beaucoup de points très importants qu’il ressemble fort à une directive. Ce texte est par ailleurs à la croisée de deux objectifs contraires : la libre circulation des informations et une véritable protection des données personnelles.

Mme Marietta Karamanli. Madame la Présidente, je partage votre remarque sur ce point du choix du règlement par rapport à la directive.

Madame la rapporteure, je vous remercie des éléments que vous avez présentés. J’aurais souhaité faire quelques remarques. Tout d’abord, le projet est examiné en procédure accélérée, à l’instar de nombreux textes, et ce qui devrait être l’exception devient aujourd’hui la norme. Il est frustrant de travailler dans un calendrier si restreint, qui ne donne pas la possibilité de discuter en prenant le temps nécessaire. D’autre part, comme l’a noté le Conseil d’État, l’étude d’impact n’éclaire, en dépit de son volume, qu’assez peu les choix faits par le Gouvernement.

Je m’interroge sur le principe d’une autorisation préalable concernant les traitements automatisés, qui est remplacé par une auto-évaluation dont vous avez parlé dans votre rapport, avec les risques que cela induit de gérer des traitements de données avec un contrôle a posteriori. La CNIL voit son rôle évoluer, puisque le régime d’autorisation préalable n’est conservé que pour trois types de données : celles de la sécurité sociale, les données biométriques et génétiques, ainsi que les données de santé. Je souhaiterais savoir si vous avez pu avoir accès à des éléments de législation comparée au niveau européen sur ce sujet-là. Et plus précisément, quels sont les autres États européens qui passent ainsi d’un tel système d’autorisation préalable à celui d’une auto-évaluation ? Quels éléments ont été mis en évidence par les études d’impact menées dans les autres États membres ? Quels sont les bénéfices et les inconvénients de ce nouveau régime pour la protection des secteurs d’intérêt public sensibles ? Par ailleurs, le projet de loi ne traite pas de façon particulière des données en matière d’éducation et de scolarité. Je voulais avoir votre point de vue sur cette question.

Enfin, ce projet de loi fait l’impasse sur les travaux précédents menés par la commission des lois et par celle des affaires européennes, à savoir le droit à l’oubli et le droit à la portabilité des données qui devront être mis en œuvre par les responsables de traitement, conformément aux dispositions du règlement. Seul l’article 15 encadre la limitation des droits en posant comme condition que cette limitation respecte l’essence des libertés et des droits fondamentaux mais cette expression est particulièrement vague. Enfin, la manière, dont l’âge à partir duquel un mineur peut consentir à une offre directe de service sur les réseaux sociaux a été déterminée, n’est pas satisfaisante. L’âge fixé est 16 ans, mais pensez-vous que cette obligation sera respectée dans les faits ? Peut-être aurait-on pu suggérer dans le rapport de faire une distinction entre ce qui relève des activités ouvertes à des adultes et celles réservées à des jeunes, par exemple des jeux, ou des contenus culturels ? Je vous remercie en tous cas d’avoir travaillé sur ce sujet très complexe, mais qui touche, comme vous l’avez dit, Madame la Présidente, de plus en plus notre vie quotidienne. Il faut que nous restions très vigilants lors des discussions sur ce sujet au sein de l’hémicycle.

Mme Christine Hennion, rapporteure. Je vais d’abord aborder le point règlement versus directive. Effectivement, il aurait été possible de faire le choix d’une « directive », puisqu’il faut effectivement adapter la législation nationale pour chaque État membre. L’intention de départ était de recourir à un règlement pour avoir une harmonisation la plus large possible au niveau européen, d’en faire un standard et de tenir compte de la réalité du marché numérique. Cela rend difficile la compréhension du dispositif car, pour en saisir la portée, il faut avoir trois textes sous les yeux : le projet de loi qui nous est soumis, la loi de 1978 et le règlement européen. J’ajoute que la compréhension du dispositif sera complète lorsque nous disposerons de l’ordonnance, que le Gouvernement sera habilité à rédiger une fois le projet de loi adopté. Je regrette le recours à la procédure accélérée, mais nous sommes tenus par la date butoir du 25 mai. Il est d’ailleurs à remarquer que tous les pays européens, à part l’Allemagne et l’Autriche, qui ont déjà publié et voté leurs lois, sont dans la même démarche d’adaptation de leurs législations. J’ai effectué un certain nombre d’auditions, mais nous n’avons pas de visibilité complète sur la manière dont ces textes vont être transposés dans les différents États membres. Je ne peux donc pas répondre à toutes vos questions. La DG JUST continue pour sa part à faire des réunions d’information et de coordination entre pays pour essayer d’harmoniser au mieux. L’avantage d’avoir un texte large permet de continuer à le faire évoluer avec la jurisprudence, d’introduire des points de détails, des règlements, des recommandations de la CNIL qui peuvent couvrir des thèmes que vous avez mentionnés comme l’éducation au numérique. Au contraire, tout écrire et figer dans la loi, étant donné la vitesse à laquelle la technologie évolue, n’est pas forcément le meilleur choix.

Mme Marietta Karamanli. Le traitement des données en matière d’éducation et de scolarité est un sujet différent de l’éducation au numérique. Il est regrettable de ne pas avoir de régime spécifique pour ces données compte tenu de leur caractère sensible.

Mme Christine Hennion, rapporteure. Les données sont classifiées et ordonnées par le règlement. D’ailleurs, tout ce qui concerne les données de santé, les données génétiques et biométriques, est défini directement dans le règlement sans qu’il y ait à légiférer sur ce sujet. Les droits à l’oubli et à la portabilité ne sont pas mentionnés dans la loi parce que le RGPD est d’application directe pour cette matière. S’agissant du traitement des données sensibles, relevant de la sécurité et la défense nationale, cette question se trouve hors du champ du règlement et de la directive. Nous sommes encore en discussion avec les différents ministères : je poursuis mon travail d’audition avec la rapporteure au fond, Mme Paula Forteza, et la rapporteure pour avis, Albane Gaillot.

Au lieu d’avoir la CNIL qui délivre des autorisations au fur et à mesure, nous passons à un régime a posteriori ; c’est toute la philosophie de ce règlement, qui part du marché et vise à suivre au plus près ses évolutions. Les autorisations sont données souvent très tard : la réalité, c’est qu’un certain nombre d’entreprises sont coupées de la législation. Le choix qui a été effectué est de responsabiliser les entreprises : elles doivent apprendre ce que sont les données, elles vont devoir s’équiper de moyens, d’outils et avoir en interne ou en externe des spécialistes qui vont les aider sur ces questions, tels que les délégués à la protection des données. En revanche, les sanctions sont alourdies de manière à s’assurer que les entreprises jouent le jeu. C’est effectivement une révolution culturelle pour l’ensemble des acteurs, que ce soient les entreprises ou les administrations.

Madame la Présidente Sabine Thillaye. La décision de la Cour de Justice de mai 2014 « Google Spain » impose le droit à l’oubli, mais la machine, elle, n’oublie rien. Il faudrait parler plutôt d’autodétermination informationnelle. Les citoyens doivent dans ce domaine se responsabiliser en gérant au mieux la publicité de leurs données personnelles. Le législateur ne peut pas tout faire.

Mme Christine Hennion, rapporteure. J’encourage vivement la mise en place d’un système de médiation des données pour prévenir les conflits, en complément de l’action de la CNIL.

Mme Marietta Karamanli. Je regrette la lenteur de l’exécution des décisions. Des contenus interdits peuvent rester en ligne longtemps après la décision.

Mme Christine Hennion, rapporteure. Oui, et les moyens de la CNIL doivent être considérablement renforcés.

Puis, la Commission a autorisé la publication du rapport d’information.

< Rapport d'information de la commission des affaires européennes >