Texte de la question
M. Philippe Gosselin attire l'attention de Mme la garde des sceaux, ministre de la justice, sur la réforme en cours du cadre juridique communautaire en matière de protection des données personnelles. Le 25 janvier 2012, la Commission européenne a présenté une proposition de règlement visant à remplacer la directive n° 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette réforme vise notamment à favoriser l'harmonisation et la simplification des règles en la matière sur l'ensemble du territoire européen, ainsi que le renforcement de la protection des droits des citoyens. Sensibles à cette question, l'Assemblée nationale et le Sénat, par l'adoption à l'unanimité, dès le mois de mars 2012, de deux résolutions européennes, celle de l'Assemblée nationale était à l'initiative de Philippe Gosselin, ont apporté leur soutien aux positions exprimées par la Commission nationale de l'informatique et des libertés (CNIL) à l'égard du Règlement. S'ils soutiennent les objectifs annoncés de cette réforme et se félicitent de certaines dispositions qui participeront à une meilleure protection des droits des citoyens (droit à l'oubli numérique, renforcement du consentement des personnes, renforcement des obligations générales d'information et de transparence, notification des failles de sécurité, désignation obligatoire de correspondants informatiques et libertés), les parlementaires français ont également exprimé leurs craintes quant au risque majeur d'éloignement entre les citoyens et leurs autorités nationales de protection. En effet, l'introduction de nouvelles règles de compétence des autorités, établies sur le principe de l'établissement principal, va considérablement réduire le pouvoir de ces dernières, au profit de quelques-unes. Au-delà des conséquences de ce critère sur les compétences même des autorités, l'adoption d'un tel mécanisme entraînera irrémédiablement une réduction conséquente du niveau de protection des droits des citoyens. Ils verront désormais leurs plaintes, à l'égard de certains réseaux sociaux ou moteurs de recherche par exemple, traitées par des autorités ne disposant pas nécessairement des moyens nécessaires à l'exercice de leurs missions, établies dans d'autres Etats membres. En outre, ils devront exercer leurs recours devant des juridictions administratives étrangères, ce qui est contraire aux principes fondamentaux d'exercice des droits de la défense tels que prévus par la CEDH. Il conviendrait au contraire, comme en matière de consommation, de privilégier une solution permettant aux citoyens de s'adresser à leurs autorités nationales auprès desquelles ils ont l'habitude d'accomplir leurs démarches et ainsi d'administrer leur cas. La CNIL a ainsi sensibilisé l'ensemble des autorités nationales et européennes à cette question en proposant un dispositif alternatif, qui permettrait à l'ensemble des autorités de protection de rester compétentes à l'égard des plaintes de leurs citoyens nationaux, en s'appuyant sur une coopération renforcée et efficace entre elles. Celui-ci a été repris par les autorités de protection européennes (G29) dans un document du 28 février 2013 qui a été transmis à la Commission européenne. Cette proposition a rencontré un écho favorable de la part du rapporteur au Parlement européen, l'eurodéputé Jan Albrecht, ce dernier l'ayant proposé comme amendement dans son projet de rapport publié le 8 janvier 2013. Il est aujourd'hui urgent que le Gouvernement arrête dans les plus brefs délais, à l'occasion d'une réunion interministérielle, une position officielle sur cette question, et plus globalement sur l'ensemble des dispositions de cette réforme, puisque les discussions intergouvernementales sur le projet de Règlement ont d'ores et déjà débuté au Conseil européen, sans que la France n'ait à ce jour de position finalisée. Il souhaite donc connaître les intentions du Gouvernement sur cette réforme. Il souhaite savoir quand sera arbitrée une position officielle du Gouvernement français qui sera défendue à l'occasion des discussions intergouvernementales en cours et à venir.
Texte de la réponse
La proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, présentée par la Commission européenne le 25 janvier 2012, pose de nouvelles règles de détermination de l'autorité de contrôle compétente pour adopter les décisions relatives à un traitement de données « transnational », à savoir un traitement de données mis en oeuvre par une entreprise implantée dans plusieurs Etats membres ou concernant des résidents de différents Etats membres. Il est prévu que lorsqu'un traitement de données concerne plusieurs pays, l'entreprise ne doit s'adresser qu'à une seule autorité de contrôle, celle du pays où elle possède son établissement principal, qu'on appelle le « guichet unique ». Cette règle de simplification des démarches administratives a des conséquences très importantes. En effet, dans le projet de la Commission, le « guichet unique » est la seule autorité nationale compétente pour adopter toutes les décisions relatives à un traitement transnational, éventuellement après un avis simple du Comité européen de la protection des données (CEPD), comité qui réunit toutes les autorités de contrôle nationales des Etats Membres de l'Union. La détermination de l'autorité de contrôle compétente pour un traitement transnational recouvre des enjeux importants compte tenu de ses implications en termes de protection des droits des personnes d'une part, et de compétitivité des entreprises d'autre part. Or la France a déjà averti ses partenaires des dangers que comporte la proposition de la Commission, qui consiste à donner une compétence exclusive pour superviser un traitement de données transnational à une seule autorité de contrôle, laquelle n'est pas nécessairement située dans l'Etat de résidence des personnes concernées par le traitement. Ce dispositif complique à l'évidence l'exercice des garanties offertes pour la protection des personnes tout en créant des incitations pour les entreprises à s'établir dans un pays où l'autorité de contrôle dispose de faibles moyens financiers et humains pour mener à bien ses missions. Dans ce contexte, la France a présenté, lors des débats du groupe d'experts du Conseil sur la proposition de règlement, un mécanisme alternatif plus protecteur des droits des personnes, et tout aussi respectueux de l'objectif d'allègement des charges administratives pour les entreprises. L'objectif du Gouvernement est de conserver le principe d'un « guichet unique », qui est un élément important de simplification de la vie des entreprises, tout en s'assurant qu'il n'entraîne pas une baisse du niveau de protection des données personnelles. Pour renforcer la protection des citoyens et prévenir tout risque potentiel de « forum shopping », le Gouvernement a ainsi élaboré un mécanisme de codécision qui permettra d'associer à l'examen des décisions à prendre l'ensemble des autorités de contrôle nationales concernées par un traitement transnational. Les critères de compétence des autorités nationales de contrôle seront, d'une part, le lieu d'implantation de l'entreprise, et, d'autre part, ce qui est très important et novateur, le lieu de résidence des personnes concernées. Autrement dit, pour toute personne résidant en France, la CNIL, même si elle n'est pas autorité chef de file et même si elle ne fait donc pas office de « guichet unique », sera nécessairement associée à la prise de décision sur le traitement de données en cause. Il est proposé que toutes les décisions soient prises à la majorité qualifiée des deux tiers des autorités concernées, dans des délais contraints afin de ne pas ralentir la procédure. La décision, une fois prise, sera notifiée à l'entreprise responsable du traitement par l'autorité de contrôle désignée comme guichet unique. Cette procédure de codécision concernera toutes les décisions portant sur un traitement de données transnational, ce qui recouvre, pour l'essentiel, les autorisations préalables de traitement à haut risque, ainsi que les procédures de sanction en cas de non-respect des règles en matière de protection des données personnelles. Les entreprises n'auront donc qu'un seul interlocuteur - le « guichet unique » - sans que cette simplification entraîne un quelconque affaiblissement du niveau de protection accordé aux personnes, dès lors que le « guichet unique » ne prendra jamais seul les décisions et devra toujours agir de concert avec les autres autorités nationales compétentes. Le dispositif de la codécision s'appliquera également aux réclamations déposées par les particuliers auprès de l'autorité du pays où elles résident. Grâce à ce mécanisme, les autorités de contrôle nationales seront, là aussi, très étroitement associées à l'examen de la plainte et prendront part à la décision en résultant. Une telle proposition, fondée sur cette procédure innovante de la codécision, aura pour effet de renforcer le réseau européen des autorités de contrôle nationales dans un contexte où les traitements de données transnationaux se multiplient et suscitent parfois les inquiétudes des citoyens européens. Elle constitue une alternative équilibrée au système actuel, en permettant de mieux protéger les droits des personnes résidant sur le territoire de l'Union européenne sans créer de nouvelle entrave à l'activité des entreprises. La France a présenté cette proposition lors du Conseil « Justice et Affaires intérieures » qui s'est tenu le 7 octobre 2013 et qui, s'agissant du règlement relatif à la protection des données personnelles, portait sur la question du guichet unique. Son examen par le groupe d'experts du Conseil s'est poursuivi sous la présidence lituanienne. Il s'est poursuivi ensuite au cours de la présidence grecque (1er semestre 2014). Un nouveau compromis semble se degage sur la base d'un dispositif centré sur le comité européen de protection des données (CEPD) qui pourrait être dôté de pouvoirs contraignants.