Texte de la question
Mme Isabelle Attard appelle l'attention de Mme la garde des sceaux, ministre de la justice, sur la réforme en cours du cadre juridique communautaire en matière de protection des données personnelles. La Commission européenne a présenté, le 25 janvier 2012, un projet de règlement destiné à remplacer l'actuelle directive n° 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Les objectifs de la Commission européenne sont notamment de permettre une meilleure harmonisation et une simplification des règles applicables en la matière dans l'ensemble des États membres. Cette réforme vise également à renforcer la protection des droits des citoyens. Particulièrement impliqués sur cette question, l'Assemblée nationale et le Sénat ont adopté à l'unanimité, en mars 2012, deux résolutions similaires visant à soutenir les positions exprimées par la Commission nationale de l'informatique et des libertés (CNIL) sur ce projet. Soutenant les objectifs de la Commission européenne, ces textes ont notamment rappelé le soutien des parlementaires à certaines dispositions nouvelles qui renforceront les droits des citoyens en la matière (droit à l'oubli numérique, renforcement du consentement des personnes, renforcement des obligations générales d'information et de transparence, notification des failles de sécurité, désignation obligatoire de correspondants informatiques et libertés...). Ces initiatives ont néanmoins souligné les craintes des parlementaires quant au risque majeur d'éloignement entre les citoyens et leurs autorités nationales de protection. En effet, l'introduction du critère de l'établissement principal, sur lequel sont établies les nouvelles règles de compétence des autorités de protection, réduira très fortement le pouvoir de ces dernières au profit de quelques-unes, et entraînera de fait une réduction conséquente du niveau de protection des droits des citoyens. Leurs plaintes, à l'égard de certains réseaux sociaux ou moteurs de recherche par exemple, seront désormais traitées par des autorités ne disposant pas nécessairement des moyens nécessaires à l'exercice de leurs missions, établies dans d'autres États membres. En outre, ils devront exercer leurs recours devant des juridictions administratives étrangères, ce qui est contraire aux principes fondamentaux d'exercice des droits de la défense tels que prévus par la CEDH. Il conviendrait au contraire, comme en matière de consommation, de privilégier une solution permettant aux citoyens de s'adresser à leurs autorités nationales auprès desquelles ils ont l'habitude d'accomplir leurs démarches et ainsi d'administrer leur cas. Face à cette situation, la CNIL a proposé un dispositif alternatif, permettant à l'ensemble des autorités de protection de rester compétentes à l'égard des plaintes de leurs citoyens nationaux, en s'appuyant notamment sur une coopération renforcée et efficace entre elles. Cette proposition a notamment été reprise par les autorités de protection européennes (G29) dans un document du 28 février 2013 qui a été transmis à la Commission européenne, et a rencontré un écho favorable de la part du rapporteur au Parlement européen, l'eurodéputé Jan Albrecht, qui l'a ainsi proposé comme amendement dans son projet de rapport publié le 8 janvier 2013. Les discussions intergouvernementales sur le projet de règlement ayant d'ores et déjà débuté au Conseil, il est aujourd'hui urgent que le Gouvernement arrête dans les meilleurs délais, à l'occasion d'une réunion interministérielle, une position officielle sur cette question, et sur l'ensemble des dispositions de cette réforme. Cette position pourra dès lors être défendue auprès des partenaires européens de la France. Elle souhaite donc connaître les intentions du Gouvernement sur cette réforme et quand sera arbitrée une position officielle du Gouvernement français qui sera défendue à l'occasion des discussions intergouvernementales en cours et à venir.
Texte de la réponse
La Commission européenne a présenté en janvier 2012 une proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce texte crée notamment un mécanisme de guichet unique consistant à désigner une seule autorité de contrôle compétente pour contrôler un traitement d'une entreprise qui concerne plusieurs pays. Cette autorité est celle de l'Etat où se trouve l'établissement de l'entreprise qui gère à titre principal le traitement de données. La France partage la volonté de simplification à l'origine de cette proposition. Il est souhaitable que les entreprises disposent d'un interlocuteur unique pour leurs traitements de données transnationaux, afin de leur éviter de mener des procédures dans chaque pays. Toutefois un tel mécanisme ne saurait conduire à réduire l'implication des autres autorités nationales dans le contrôle d'un responsable de traitements. Les personnes concernées par le traitement de données doivent pouvoir continuer à s'adresser à leur autorité et voir celle-ci compétente pour traiter leur plainte. De la même manière, le droit au recours des personnes devant le juge de leur Etat de résidence doit être préservé. La France a fait valoir ces arguments lors des discussions qui ont eu lieu sur le guichet unique au Conseil de l'Union européenne depuis juillet 2013. Elle a présenté un mécanisme alternatif de « codécision » plus protecteur des droits des personnes, et tout aussi respectueux de l'objectif d'allègement des charges administratives pour les entreprises. Cette proposition avait été élaborée en étroite concertation avec la CNIL. L'objectif du Gouvernement était de conserver le principe d'un guichet unique pour les entreprises en l'associant à une compétence conjointe de toutes les autorités de contrôle concernées par le traitement, la présence de personnes figurant dans un traitement de données déclenchant la compétence de l'autorité de contrôle nationale. Le mécanisme de codécision permettait ainsi une prise de décision commune des autorités, sous la direction du guichet unique rebaptisé « chef de file », selon un mécanisme de vote implicite en faveur d'un projet de décision afin de raccourcir au maximum les délais de décision. Cette proposition a été présentée au Conseil de l'Union européenne au second semestre 2013. Les travaux conduits au premier semestre 2014 sous la présidence grecque, sans reprendre un tel mécanisme de codécision, en ont tenu pleinement compte et ont ainsi renforcé l'implication des autorités locales. S'il maintient le principe d'un guichet unique qui peut seul prendre des décisions d'autorisation et de sanction, le texte prévoit ainsi que l'autorité chef de file ne peut pas faire cavalier seul et doit coopérer avec les autorités de protection des données des autres États membres concernés par le traitement afin de parvenir à un consensus. De plus, les autorités de contrôle locales, saisies d'une réclamation, peuvent adresser au guichet unique un projet de décision. Elles peuvent aussi rejeter elles-mêmes les plaintes des résidents de leurs pays. Dans une telle hypothèse, le recours contre la décision de rejet a lieu devant la juridiction du pays de résidence de la personne, ce qui préserve le droit au recours effectif. Dans l'ensemble, l'équilibre entre simplification des charges des entreprises et préservation des droits des personnes paraît donc atteint. Le dernier Conseil des ministres Justice et Affaires Intérieures du 6 juin 2014 a pris acte des progrès accomplis ces derniers mois en validant le débat d'orientation soumis par la présidence grecque, qui reprenait les propositions exposées. Il s'agit donc d'un signal très positif pour la suite des négociations. Ainsi que la France et l'Allemagne l'ont demandé, il faudra encore mener des débats sur l'attribution de pouvoirs contraignants au Comité européen de la protection des données (CEPD). Selon la France, cette instance, qui regroupe des représentants des 28 autorités de contrôle européennes et le Contrôleur européen de la protection des données, devrait en effet se voir doter de pouvoirs juridiquement contraignants pour mettre fin aux désaccords persistants entre le guichet unique et les autres autorités de contrôle concernées. Le CEPD fonctionnerait alors comme un organe de règlement des différends, assurant que le guichet unique ne peut prendre des décisions qui restent contestées par ses homologues. Une telle solution, inspirée du texte voté par le Parlement européen le 12 mars 2014, renforcerait la cohérence du système en permettant une pleine harmonisation des positions des autorités de contrôle et en contribuant à la constitution d'une doctrine commune d'application des règles de la protection des données. Les débats au Conseil semblent donc s'orienter vers l'adoption d'un texte équilibré et plus respectueux des pouvoirs des autorités de contrôle des pays des personnes concernées. D'une manière générale, la France poursuit ses efforts pour que le Conseil parvienne rapidement à un accord sur un texte protecteur des droits des personnes, comme l'exige la base juridique sur laquelle il est fondé (article 16 TFUE), tout en instaurant un dispositif qui favorise la compétitivité des entreprises. Dans ce cadre, la France maintient pour objectif une adoption du texte en 2015, conformément à l'orientation tracée par les chefs d'Etat et de gouvernement lors du conseil européen du numérique des 24 et 25 octobre 2013.