Protection Données Personnelles Rapport Senat PDF

N 446
SNAT
SESSION ORDINAIRE DE 2011-2012

Enregistr la Prsidence du Snat le 29 fvrier 2012
RAPPORT
FAIT
au nom de la commission des lois constitutionnelles, de lgislation, du suffrage
universel, du Rglement et d'administration gnrale (1) sur la proposition de
rsolution europenne de M. Simon SUTOUR, prsente au nom de la commission des
lois, en application de l'article 73 quinquies du Rglement, sur la proposition de
rglement du Parlement europen et du Conseil relatif la protection des personnes
physiques l'gard du traitement des donnes caractre personnel et la libre
circulation de ces donnes (E 7055),
Par M. Simon SUTOUR,
Snateur
et TEXTE DE LA COMMISSION

(1) Cette commission est compose de : M. Jean-Pierre Sueur, prsident ; MM. Jean-Pierre Michel, Patrice Glard,
Mme Catherine Tasca, M. Bernard Saugey, Mme Esther Benbassa, MM. Franois Pillet, Yves Dtraigne, Mme liane Assassi,
M. Nicolas Alfonsi, Mlle Sophie Joissains, vice-prsidents ; Mme Nicole Bonnefoy, MM. Christian Cointat, Christophe-Andr
Frassa, Mme Virginie Kls, secrtaires ; MM. Jean-Paul Amoudry, Alain Anziani, Philippe Bas, Christophe Bchu, Mmes Nicole
Borvo Cohen-Seat, Corinne Bouchoux, MM. Franois-Nol Buffet, Grard Collomb, Pierre-Yves Collombat, Jean-Patrick Courtois,
Michel Delebarre, Flix Desplan, Christian Favier, Louis-Constant Fleming, Ren Garrec, Gatan Gorce, Mme Jacqueline Gourault,
MM. Jean-Jacques Hyest, Philippe Kaltenbach, Jean-Ren Lecerf, Jean-Yves Leconte, Antoine Lefvre, Roger Madec, Jean Louis
Masson, Jacques Mzard, Thani Mohamed Soilihi, Hugues Portelli, Andr Reichardt, Alain Richard, Simon Sutour, Mme Catherine
Troendle, MM. Ren Vandierendonck, Jean-Pierre Vial, Franois Zocchetto.
Voir le(s) numro(s) :
Snat : 406 (2011-2012)

- 3 -

S OMMAI RE

Pages
LES CONCLUSIONS DE LA COMMISSION DES LOIS ....................................................... 5
EXPOS GNRAL ................................................................................................................. 7
I. UN CADRE COMMUNAUTAIRE DE PROTECTION DES DONNES
PERSONNELLES DPASS, QUI APPELLE UNE REFONTE........................................ 9
A. UNE DIRECTIVE FONDATRICE, AUJOURDHUI DPASSE........................................... 9
1. Une premire tape essentielle pour la protection des donnes caractre personnel
au niveau communautaire.................................................................................................... 9
2. Un dispositif dpass lheure de nos socits numrises et globalises ................. 10
a) Une harmonisation incomplte des rgles faute dune transposition uniforme dans
lensemble des tats membres ......................................................................................... 10
b) Lobsolescence dun dispositif conu dans les annes 1980-1990, avant l re
Internet ......................................................................................................................... 10
c) Linsuffisance du niveau de protection, ressentie par le citoyen europen......................... 11
B. LA NCESSIT DUNE REFONTE GLOBALE ET EUROPENNE DU DISPOSITIF
DE PROTECTION DES DONNES PERSONNELLES.......................................................... 12
1. Une rflexion engage depuis longtemps par le Snat........................................................... 12
2. Lattente dune rponse communautaire............................................................................... 13
II. UN TEXTE QUI PRNE UNE APPROCHE GLOBALE DE LA PROTECTION
DES DONNES PERSONNELLES QUI SOULVE CEPENDANT DE
NOMBREUSES RSERVES................................................................................................ 14
A. UNE APPROCHE QUI SE VEUT GLOBALE ET PROTECTRICE DES INTRETS
EN PRSENCE...................................................................................................................... 14
1. La mise en uvre du principe affirm par la Commission : un continent, une rgle ......... 14
2. Le double objectif de la proposition de rglement : renforcer les droits des citoyens
et assurer la scurit juridique pour les entreprises ............................................................. 15
a) Une protection accrue des personnes................................................................................ 15
(1) La libre disposition par la personne concerne de ses donnes caractre personnel ................ 15
(a) Lobligation pour le responsable de traitement dobtenir le consentement
exprs de la personne concerne ...................................................................................... 15
(b) Le renforcement de lobligation dinformation pesant sur le responsable de
traitement ........................................................................................................................ 15
(c) Le droit loubli numrique et le droit la portabilit des donnes .................. 15
(d) Lencadrement de la pratique du profilage ............................................................ 16
(2) Les diffrents recours contentieux la disposition des personnes .......................................... 16
b) Un changement de logique : la suppression des contraintes a priori pesant sur
lentreprise responsable du traitement contre le renforcement a posteriori de sa
responsabilit .................................................................................................................. 16
(1) Les obligations particulires pesant sur le responsable de traitement ...................................... 17
(2) Lencadrement des transferts de donnes vers des pays tiers lUnion europenne.................. 17
- 4 -
3. Le renforcement du rle des autorits de contrle ................................................................ 18
a) La raffirmation de lindpendance des autorits de contrle nationales par loctroi
de moyens supplmentaires ............................................................................................. 18
b) Le renforcement de la coopration entre autorits de contrle, pour assurer une
application cohrente des rgles de protection des donnes caractre personnel
sur tout le territoire.......................................................................................................... 18
(1) Le guichet unique, un allgement des procdures pour les oprateurs de traitement de
donnes........................................................................................................................ 18
(2) Lobligation dassistance mutuelle et de reconnaissance mutuelle des dcisions des
autorits de contrle....................................................................................................... 18
(3) La cration du comit europen de la protection des donnes ................................................ 19
(4) Le mcanisme de contrle de la cohrence......................................................................... 19
B. UNE LARGE ADHSION LOBJECTIF POURSUIVI, MAIS DE NOMBREUSES
RSERVES SUR LES MODALITS RETENUES ................................................................. 19
1. Un texte attendu, une approche globale approuve, mais des choix discuts ......................... 19
2. Un point de cristallisation du dbat : la comptence, pour tous les contentieux, de
lautorit de contrle du pays o le responsable de traitement a son principal
tablissement .................................................................................................................... 21
III. LA POSITION DE VOTRE COMMISSION...................................................................... 22
A. CONSERVER AU LGISLATEUR NATIONAL LA POSSIBILIT DADOPTER
DES DISPOSITIONS PLUS PROTECTRICES....................................................................... 22
B. REPOUSSER LE CRITRE DU PRINCIPAL TABLISSEMENT ET RETENIR LA
COMPTENCE DE LAUTORIT DE CONTRLE DU PAYS O RSIDE LE
PLAIGNANT......................................................................................................................... 25
C. VEILLER LEFFECTIVIT DE LA PROTECTION DES DONNES
PERSONNELLES MISE EN PLACE ..................................................................................... 26
1. Sassurer que les autorits de contrle disposeront des pouvoirs ncessaires leurs
missions .............................................................................................................................. 26
2. Complter le rgime de protection des donnes personnelles................................................ 26
LA PROPOSITION DE RSOLUTION EUROPENNE ........................................................ 29
EXAMEN EN COMMISSION................................................................................................... 33
ANNEXES.................................................................................................................................. 37
ANNEXE 1 COMPTE RENDU DE LA RUNION DU 21 FVRIER 2012 ............. 39
ANNEXE 2 COMPTE RENDU DE LA RUNION DU 22 FVRIER 2012 ............. 51
ANNEXE 3 LISTE DES PERSONNES ENTENDUES.............................................. 59
TABLEAU COMPARATIF....................................................................................................... 61
- 5 -

LES CONCLUSIONS DE LA COMMISSION DES LOIS

Runie mercredi 29 fvrier 2012, sous la prsidence de
M. Jean-Pierre Sueur, prsident, la commission des lois a examin, sur le
rapport de M. Simon Sutour, la proposition de rsolution europenne dpose
en son nom, par ce dernier, le mercredi 22 fvrier 2012 (n 406, 2011-2012).
Aprs avoir rappel que le cadre europen de la protection des
donnes personnelles, mis en place par une directive datant de 1995, tait
aujourdhui devenu obsolte, du fait des volutions technologiques et de
lmergence de nouveaux usages, M. Simon Sutour, rapporteur, a indiqu
quen dposant la proposition de rglement qui faisait lobjet de la prsente
proposition de rsolution europenne, la Commission europenne a eu
lambition de dvelopper une approche globale pour la protection des donnes
personnelles en Europe, qui aboutisse une harmonisation du droit applicable
sur le modle des droits les plus avancs en la matire.
Il a considr quil convenait de prendre acte des avances que recle
la proposition de rglement europen sur la protection des donnes
personnelles, mme si des amliorations peuvent y tre apportes.
Toutefois, M. Simon Sutour, rapporteur, a estim que le dispositif
propos posait deux questions de principe, sur lesquels il tait important
dattirer lattention du Gouvernement.
Rappelant que la Commission europenne dfendait le principe dune
harmonisation complte, sans possibilit de drogations plus favorables, il a
soulign que, sagissant dun domaine dans lequel latteinte porte aux droits
fondamentaux dune personne peut tre considrable, lharmonisation
propose ne doit seffectuer que dans le sens dune meilleure protection des
personnes. Elle ne saurait, pour cette raison, priver les tats membres de la
possibilit dadopter des dispositions nationales plus protectrices.
Il a par ailleurs jug ncessaire de sopposer tout dispositif qui,
comme celui du guichet unique , promu par la Commission europenne,
aboutirait moins bien traiter le citoyen que lentreprise responsable du
traitement, en le privant de la possibilit de voir lensemble de ses plaintes
instruites par son autorit de contrle nationale.
Un amendement adopt linitiative de M. Jean-Paul Amoudry et
plusieurs de ses collgues, souligne le caractre trop restrictif de
lencadrement des pouvoirs dinvestigation des autorits de contrle, dautant
plus prjudiciable que, du fait de la suppression des formalits pralables, les
enqutes constitueraient la principale source dinformation des autorits de
contrle.
Au bnfice de lensemble de ces observations, votre commission a
adopt la proposition de rsolution ainsi rdige.

- 7 -

EXPOS GNRAL

Mesdames, Messieurs,

La France a toujours t pionnire en matire de protection des
donnes caractre personnel, comme en tmoigne ladoption ds 1978, de la
loi informatique et libert
1
, loi qui a fortement inspir la directive du
24 octobre 1995 fondement de la politique europenne en la matire.
Ce corpus, labor dans les annes 1980-1990, une poque o la
rvolution internet navait pas encore eu lieu, est aujourdhui obsolte.
lheure de nos socits numrises et globalises ladoption de
nouvelles rgles adaptes doit tre envisage.
Lattention de notre commission sur limportance de ces
problmatiques avait t attire, ds 2009, par nos collgues Yves Dtraigne et
Anne-Marie Escoffier
2
, puis par Mme Isabelle Falque-Pierrotin, prsidente de
la Commission nationale de linformatique et des liberts, lors de son audition
du mercredi 14 dcembre 2011
3
.
Cest donc logiquement que votre commission des lois sest saisie le
8 fvrier dernier
4
de ce sujet, sur le fondement de larticle 73 quinquies de
notre Rglement, conscutivement au dpt par la Commission europenne, le
25 janvier 2012, dune proposition de rglement concernant les fichiers
commerciaux ou tenus par des personnes prives
5
et dune proposition de
directive relative certains fichiers mis en place par les autorits publiques
6
.

1
Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts.
2
Rapport dinformation La vie prive lheure des mmoires numriques : pour une confiance
renforce entre citoyens et socit de linformation n 441 (2008-2009)
(http://www.senat.fr/notice-rapport/2008/r08-441-notice.html) et Proposition de loi visant
mieux garantir le droit la vie prive lheure du numrique n 93 (2009-2010), devenue le
texte n 81 (2009-2010) aprs adoption par le Snat (http://www.senat.fr/dossier-legislatif/ppl09-
093.html).
3
Disponible ladresse : http://intranet.senat.fr/compte-rendu-commissions/20111212/lois.html.
4
Le compte-rendu de cette runion est disponible ladresse suivante :
http://intranet.senat.fr/compte-rendu-commissions/20120206/lois.html.
5
Proposition de rglement du Parlement europen et du Conseil [COM (2012) 11 final] relatif
la protection des personnes physiques lgard du traitement des donnes caractre personnel
et la libre circulation de ces donnes (rglement gnral sur la protection des donnes)
(E7055).
6
Proposition de directive du Parlement europen et du Conseil [COM (2012) 10 final] relative
par les autorits comptentes des fins de prvention et de dtection des infractions pnales,
denqutes et de poursuites en la matire ou dexcution de sanctions pnales, et la libre
circulation de ces donnes (E7054).
- 8 -
La proposition de rsolution qui fait lobjet du prsent rapport ne
porte que sur le premier de ces deux textes, relatif aux fichiers civils et
commerciaux.
Elle laisse volontairement de ct la proposition de directive destine
remplacer la dcision-cadre sur les fichiers dits de souverainet . En effet,
les problmatiques de ces deux dispositifs sont trs diffrentes, et il ntait pas
possible, dans les brefs dlais impartis, dexaminer les deux textes de front.
Ceux-ci tant appels tre adopts selon la procdure lgislative
ordinaire, cest--dire par co-dcision entre le Parlement europen et le
Conseil de lUnion europenne, le processus de ngociation entam devrait
durer plusieurs mois, voire plusieurs annes. Votre commission et celle des
affaires europennes auront ainsi loccasion dapprofondir leur examen des
deux textes, en particulier la proposition de directive non traite par le prsent
rapport.
Alors que sengagent les ngociations entre les tats membres en vue
de ladoption de ce rglement, il est important, sur un sujet qui touche aux
droits fondamentaux de la personne, que la reprsentation nationale fasse
valoir, ds prsent, non seulement le soutien quelle entend ou non apporter
lobjectif poursuivi par la Commission europenne, dune amlioration
notable de la protection des donnes personnelles en Europe, mais aussi les
ventuelles rserves que certains choix oprs peuvent lui inspirer.
LAssemble nationale, par une rsolution europenne du 7 fvrier
2012, a pris position sur ce sujet
1
.
De son ct, la commission des affaires europennes, a dores et dj
adopt, le 23 fvrier 2012, une rsolution europenne portant avis motiv sur
la conformit au principe de subsidiarit de cette proposition de rglement
2
.
son tour, votre commission des lois vous propose dappeler
lattention du Gouvernement sur les proccupations qui sont les siennes la
lecture du texte propos. La proposition de rsolution quelle vous prsente, et
dont la commission des affaires europennes sest saisie pour avis, devrait tre
examine en sance publique le mardi 6 mars 2012.

1
Proposition de rsolution europenne de M. Philippe GOSSELIN sur la proposition de
rglement, n 4227 XIII
e
Lgislature, dpose le 27 janvier 2012.
2
En application de larticle 73 octies du rglement du Snat. Ce texte est disponible ladresse
suivante : http://www.senat.fr/dossier-legislatif/ppr11-424.html.
- 9 -

I. UN CADRE COMMUNAUTAIRE DE PROTECTION DES DONNES
PERSONNELLES DPASS, QUI APPELLE UNE REFONTE
Comme Viviane Reding, vice-prsidente de la Commission
europenne la indiqu au cours de son audition commune par votre
commission et celle des affaires europennes
1
, sur le plan des valeurs et des
droits individuels, la directive de 1995 na rien dobsolte, mais lpoque,
internet nexistait pas . Ce simple constat justifie la refonte du dispositif
communautaire actuel de protection des donnes personnelles.
A. UNE DIRECTIVE FONDATRICE, AUJOURDHUI DPASSE
1. Une premire tape essentielle pour la protection des donnes
caractre personnel au niveau communautaire
La directive n 95/46/CE du 24 octobre 1995 du Parlement et du
Conseil
2
est actuellement le socle de la politique europenne en matire de
protection des donnes personnelles. Ce dispositif vise concilier deux
enjeux majeurs de lintgration europenne: la protection des liberts et
droits fondamentaux des personnes et la ralisation du march intrieur,
en loccurrence, la libre circulation des donnes.
Le texte communautaire est trs largement inspir du dispositif
lgislatif performant dont stait dote la France ds 1978, avec la loi n 78-17
du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, qui
crait notamment une autorit de contrle indpendante : la commission
nationale de linformatique et des liberts (CNIL). Aussi, la directive
consacre-t-elle en particulier les principes de lgitimit de la collecte de
donnes, de proportionnalit des mesures ou encore la ncessit du
consentement des personnes dont les donnes sont collectes.
La directive de 1995 a t fondatrice, car elle a dot les tats
membres dun corpus de principes directeurs communs. Si ses objectifs
demeurent valables, le cadre juridique quelle pose est aujourdhui
doublement insuffisant : faute dune transposition uniforme,
lharmonisation juridique est encore incomplte ; labor dans les annes
1980-1990, le dispositif est aujourdhui obsolte.

1
Audition de Mme Viviane Reding, vice-prsidente de la Commission europenne, charge de la
justice, des droits fondamentaux et de la citoyennet par la commission des lois et la commission
des affaires europennes, le mardi 21 fvrier 2012, publie en annexe au prsent rapport.
2
Directive n 95/46/CE du Parlement europen et du Conseil du 24 octobre 1995, relative la
protection des personnes physiques lgard du traitement des donnes caractre personnel et
la libre circulation de ces donnes.
- 10 -
2. Un dispositif dpass lheure de nos socits numrises et
globalises
a) Une harmonisation incomplte des rgles faute dune transposition
uniforme dans lensemble des tats membres
La directive du 24 octobre 1995 a souffert dun retard de
transposition dans une partie des tats membres. Ainsi, en janvier 2000, cinq
tats dont la France, ont fait lobjet de poursuites de la Commission
europenne, pour absence de notification des mesures de transposition qui
devaient tre prises avant le 25 octobre 1998. Le retard franais tait toutefois
peu prjudiciable, dans la mesure o, du fait de son avance en ce domaine, le
niveau de protection offert aux citoyens par la lgislation nationale tait
globalement suprieur la moyenne europenne. Nanmoins, pour assurer le
respect des obligations communautaires, la loi n 2004-801 du 6 aot 2004 a
assur la transposition de la directive au sein de la loi Informatique et
liberts de 1978.
En outre, le degr de transposition a vari dun tat membre
lautre, ne permettant pas une harmonisation satisfaisante des rgles
applicables dans lensemble de lUnion europenne. A titre dexemple,
jusquen 2011, lautorit de contrle britannique ne disposait pas de pouvoirs
de sanction contre les responsables de traitement.
Cette harmonisation inaboutie a t non seulement prjudiciable aux
particuliers, mais aussi aux entreprises. En effet, elle a entran une distorsion
de concurrence entre une entreprise installe dans un tat appliquant un
systme de protection contraignant et une entreprise installe dans un tat plus
laxiste. Mme si cet lment ne joue vraisemblablement qu la marge, il peut
peser dans le choix du lieu dimplantation dune entreprise et favoriser le
forum shopping .
b) Lobsolescence dun dispositif conu dans les annes 1980-1990,
avant l re Internet
La directive du 24 octobre 1995 a t labore une poque o
internet tait peu dvelopp. Depuis lors, la rvolution des nouvelles
technologies est passe par l, avec notamment lexplosion dinternet,
lmergence des rseaux sociaux, lindexation massive des contenus publis
en ligne et lintensification des transferts internationaux de donnes.
Autant dlments qui accroissent considrablement le volume des
donnes personnelles collectes et changes, ainsi que les possibilits de leur
consultation ou de leur exploitation des fins notamment commerciales.
Comme le soulignaient dj nos collgues M. Yves Dtraigne et Mme
Anne-Marie Escoffier en 2009, dans leur rapport dinformation La vie prive
lheure des mmoires numriques : pour une confiance renforce entre
- 11 -
citoyens et socit de linformation
1
, la directive du 24 octobre 1995 est
devenue partiellement inadapte aux enjeux de la globalisation et aux
spcificits dinternet .
En matire commerciale par exemple, sont apparues des pratiques
intrusives de traage anonyme, qui visent collecter des donnes qui, sans
tre nominatives, permettent un profilage des individus selon leurs
gots, leurs prfrences, leur genre, leur ge Le dveloppement de cette
technique est principalement d au modle conomique dinternet qui repose
sur la gratuit des services proposs lusager, et donc sur une rmunration
par la publicit, qui se doit dtre la plus optimale possible.
Par ailleurs, le dveloppement des moteurs de recherche, qui
cumulent les fonctions de prestataires de services et de fournisseurs de
contenus, ne permet pas aux personnes de disposer facilement des
informations qui les concernent et notamment de les rectifier ou de les
supprimer.
Dun point de vue plus technique ensuite, les incertitudes quant au
champ matriel dapplication du dispositif psent sur son efficacit. Par
exemple, se pose la question de lintgration de ladresse IP (Internet
Protocol)
2
dans la catgorie des donnes personnelles protger. Cette
question fait lobjet de divergences dinterprtations de la part de la
jurisprudence, qui nuisent la protection des citoyens
3
.
Enfin, lintensification des flux transfrontaliers pose avec une
nouvelle acuit le problme de lextraterritorialit. Cette situation sest
renforce sous le double effet de la circulation des donnes personnelles au
sein de multinationales et de la dlocalisation des activits hors de lUnion
europenne, limage des centres dappels ou de donnes.
c) Linsuffisance du niveau de protection, ressentie par le citoyen
europen
Du fait de lexplosion dinternet, de plus en plus de personnes rendent
accessibles des informations les concernant. Dans le mme temps, leur
inquitude quant la diffusion et lutilisation des donnes personnelles
saccrot. 72 % des internautes en Europe sont en effet proccups par le fait

1
Rapport dinformation n 441 (2008-2009) dpos le 27 mai 2009.
2
Ladresse IP est une adresse forme dune srie de chiffres permettant un ordinateur connect
internet dtre identifi.
3
Face de fortes disparits parmi les dcisions rendues par les juges du fond, la Cour de
cassation a, de manire indirecte, conclu que ladresse IP ne constituait pas une donne
personnelle (Crim. 13 janvier 2009, SACEM et autres c/ Cyrille S., pourvoi n08-84.088). Cette
position nest toutefois partage ni par la CNIL (communiqu du 2 aot 2007), ni par le groupe
europen dit G29 (avis n4/2007 du 20 juin 2007) et entre frontalement en opposition avec
une interprtation jurisprudentielle retenue tant par le juge communautaire (CJCE, 29 janvier
2008, Promusicaec/ Telefonica de Espaa SAU, aff. C-275-/06) que par le juge administratif
(CE, 23 mais 2007, SACEM et autres, n 288149, 288150, 288215, 288449).
- 12 -
quil leur est demand de communiquer en ligne de nombreuses donnes
personnelles
1
.
Ils ont alors le sentiment de ne pas avoir la matrise de leurs donnes
ni de lusage qui en est fait, de ne pas connatre lidentit de leur destinataire
ni la finalit de leur transmission. Souvent, ils ignorent aussi les modalits
dexercice de leurs droits. Les proccupations lies au respect de la vie prive
figurent parmi les raisons les plus frquemment invoques par les
consommateurs pour expliquer leur rticence acheter des produits et des
services en ligne.
Pour toutes ces raisons, et afin dapporter aux citoyens europens une
protection qui prenne en compte les avances technologiques, les nouveaux
usages et lhyper-volatilit des donnes personnelles, une rvision de la
directive est apparue ncessaire.
B. LA NCESSIT DUNE REFONTE GLOBALE ET EUROPENNE DU
DISPOSITIF DE PROTECTION DES DONNES PERSONNELLES
1. Une rflexion engage depuis longtemps par le Snat
Ds 2009, le Snat sest saisi de cette problmatique. Dimportants
travaux ont t mens par nos collgues M. Yves Dtraigne et Mme Anne-
Marie Escoffier, qui ont donn lieu la publication du rapport dinformation
prcit
2
et ladoption, lunanimit par le Snat, le 23 mars 2010, de la
proposition de loi visant mieux garantir le droit la vie prive lheure du
numrique
3
, rapporte par notre collgue Christian Cointat. On ne peut que
regretter que ce texte, prcurseur sur de nombreux points, nait jamais t
inscrit lordre du jour de lAssemble nationale.
Ces travaux avaient mis laccent sur la ncessit de faire du citoyen
un homo numericus libre et clair, protecteur de ses propres donnes, et
de complter cette fin le cadre juridique actuel. Le rapport prconisait
notamment de renforcer les moyens de la CNIL, sa lgitimit et sa crdibilit.
Il proposait aussi de nouveaux outils de protection comme la reconnaissance
dun droit loubli. Nos collgues avaient cependant appel la prudence
quant lventualit dune rvision de la directive de 1995.
Face au renforcement des enjeux numriques, cest pourtant la voie
de la rvision de la directive qui a t choisie par la Commission europenne.

1
Selon le sondage cit par la commission europenne dans la communication quelle a adresse
aux institutions europennes le 25 janvier 2012 (COM 2012/9 Final).
2
Rapport dinformation La vie prive lheure des mmoires numriques : pour une confiance
renforce entre citoyens et socit de linformation n 441 (2008-2009).
3
Proposition de loi n 93 (2009-2010), devenu le texte n 81 (2009-2010) aprs adoption par le
Snat.
- 13 -
2. Lattente dune rponse communautaire
Tirant toutes les consquences de linternationalisation de la diffusion
des donnes personnelles et de son importance conomique, le trait de
Lisbonne a renforc la comptence de lUnion europenne en matire de
protection des donnes personnelles
1
. La Commission europenne a engag
ses travaux sur cette base, afin de forger un dispositif europen applicable non
seulement entre tats membres mais aussi dans leurs changes avec les tats
tiers.
Elle a ainsi lanc ds 2009, une consultation publique de lensemble
des acteurs du secteur, qui a donn lieu la publication le 4 novembre 2010
dune communication intitule Une approche globale de la protection des
donnes caractre personnel dans lUnion europenne
2
.
Au terme de ce processus de consultation, la Commission a prsent,
le 25 janvier 2012, deux instruments juridiques diffrents, concernant, lun,
les fichiers commerciaux ou tenus par des personnes prives, lautre,
certains fichiers mis en place par les autorits publiques :
- pour remplacer la directive de 1995, une proposition de rglement,
relatif la protection des personnes physiques lgard du traitement des
donnes caractre personnel et la libre circulation de ces donnes, qui fait
lobjet de la prsente proposition de rsolution europenne ;
- pour remplacer la dcision-cadre 2008/977/JAI
3
, une proposition de
directive relative la protection des personnes physiques lgard du
traitement des donnes caractre personnel par les autorits comptentes
des fins de prvention et de dtection des infractions pnales, denqutes et de
poursuites en la matire ou dexcution de sanctions pnales, et la libre
circulation de ces donnes
4
.
Pour les raisons voques en introduction, seul le premier de ces
deux textes fait lobjet de la prsente proposition de rsolution.

1
Larticle 16 du Trait sur le fonctionnement de lUnion europenne dispose ainsi que Le
Parlement europen et le Conseil, statuant conformment la procdure lgislative ordinaire,
fixent les rgles relatives la protection des personnes physiques lgard du traitement des
donnes caractre personnel par les institutions, organes et organismes de lUnion, ainsi que par
les tats membres dans lexercice dactivits qui relvent du champ dapplication du droit de
lUnion, et la libre circulation de ces donnes . Larticle 8 de la Charte des droits
fondamentaux de lUnion europenne dispose, quant lui que toute personne a droit la
protection des donnes personnelles la concernant. Ces donnes doivent tre traites loyalement,
des fins dtermines et sur la base du consentement de la personne concerne ou en vertu dun
autre fondement lgitime prvu par la loi. Toute personne a le droit daccder aux donnes la
concernant et den obtenir la rectification. Le respect de ces rgles est soumis au contrle dune
autorit indpendante .
2
COM(2010) 609 final.
3
Dcision-cadre 2008/977/JAI du conseil du 27 novembre 2008 relative la protection des
personnes physiques lgard du traitement des donnes caractre personnel traites dans le
cadre de la coopration policire et judiciaire en matire pnale.
4
Proposition de directive du Parlement europen et du Conseil [COM (2012) 10 final] relative
par les autorits comptentes des fins de prvention et de dtection des infractions pnales,
denqutes et de poursuites en la matire ou dexcution de sanctions pnales, et la libre
circulation de ces donnes (E7054).
- 14 -
II. UN TEXTE QUI PRNE UNE APPROCHE GLOBALE DE LA
PROTECTION DES DONNES PERSONNELLES QUI SOULVE
CEPENDANT DE NOMBREUSES RSERVES
A. UNE APPROCHE QUI SE VEUT GLOBALE ET PROTECTRICE DES
INTRETS EN PRSENCE
1. La mise en uvre du principe affirm par la Commission : un
continent, une rgle
Lors de son audition par votre commission des lois et celle des
affaires europennes, le mardi 21 fvrier 2012, Mme Viviane Reding, vice-
prsidente de la Commission europenne, charge de la justice, des droits
fondamentaux et de la citoyennet a justifi la proposition de rglement en
soulignant qu en matire de protection des donnes, il existe au moins
27 rgimes juridiques diffrents, non coordonns et parfois contradictoires
[] jai donc propos le principe suivant : un continent, une rgle .
Deux objectifs indissociables lun de lautre sont assigns ce texte :
lharmonisation des rgles de protection applicables sur le territoire de
lUnion europenne et lallgement des procdures applicables aux
oprateurs de traitement de donnes caractre personnel.
La Commission a justifi le choix dun rglement, dapplication
directe et immdiate, par la volont de rduire la fragmentation juridique
et dapporter une plus grande scurit juridique, en instaurant un corps
harmonis de rgles de base, en amliorant la protection des droits
fondamentaux des personnes physiques et en contribuant au bon
fonctionnement du march intrieur
1
.
Le rglement est contraignant pour les tats membres et entrane
une harmonisation effective du droit, plus rapide que ne le permet une
directive. Il sagit donc de mettre en place un corpus de rgles
communautaires, qui se substituera aux lgislations nationales existantes.
Si la Commission propose au lgislateur europen de fixer dans le
rglement les lignes directrices applicables en matire de protection des
donnes personnelles, elle rserve largement sa comptence, en prvoyant,
plus dune cinquantaine de fois, que les prcisions requises soient apportes
par voie dactes dlgus
2
ou dactes dexcution
3
.

1
Expos des motifs de la proposition de rglement du Parlement europen et du Conseil [COM
(2012) 11 final] relatif la protection des personnes physiques lgard du traitement des
donnes caractre personnel et la libre circulation de ces donnes (rglement gnral sur la
protection des donnes) (E7055).
2
Habilitations donnes la Commission par le Parlement europen et le Conseil, pour
ladoption dactes non lgislatifs de porte gnrale qui compltent ou modifient certains
lments non essentiels de lacte lgislatif (article 290 TFUE).
3
Actes pris par la Commission pour lapplication dun rglement (Article 291 TFUE).
- 15 -
2. Le double objectif de la proposition de rglement : renforcer les
droits des citoyens et assurer la scurit juridique pour les
entreprises
Lors de son audition du 21 fvrier 2012, Mme Viviane Reding a
affirm que la proposition de rglement de la commission tait inspire des
lgislations nationales les plus protectrices et donc que lharmonisation des
rgles se ferait par le haut .
a) Une protection accrue des personnes
(1) La libre disposition par la personne concerne de ses donnes caractre
personnel
(a) Lobligation pour le responsable de traitement dobtenir le consentement
exprs de la personne concerne
Le rglement raffirme une vritable libert de choix pour la personne
en excluant tout consentement tacite ou passif. Le consentement au
traitement des donnes caractre personnel doit tre exprs (article 7).
La charge de la preuve du consentement incombe au responsable du
traitement. Pour les enfants de moins de 13 ans, le consentement est donn par
un parent (article 8). Il peut tre retir tout moment. Corrlativement, la
proposition de rglement raffirme le droit dopposition de chacun au
traitement de ses donnes personnelles (article 19).
(b) Le renforcement de lobligation dinformation pesant sur le responsable de
traitement
La proposition de rglement renforce ensuite lobligation
dinformation pesant sur le responsable de traitement. La directive de
1995 prvoyait ce type dobligations pour lidentit et les coordonnes du
responsable de traitement ou la finalit du traitement des donnes. Les articles
14 et 15 de la proposition de rglement largissent le champ dapplication
de lobligation en y intgrant les informations relatives la dure de
conservation des donnes, au droit dintroduire une rclamation auprs de
lautorit de contrle, la possibilit de demander la rectification ou
leffacement de donnes et lintention du responsable de traitement
deffectuer des transferts internationaux des donnes.
(c) Le droit loubli numrique et le droit la portabilit des donnes
Outre le fait quelle raffirme le droit pour la personne de demander
la rectification de ses donnes (article 16), la proposition de rglement, dans
son article 17, prcise le droit leffacement qui existait dj dans la
directive de 1995 et consacre le droit loubli numrique.
Cet article prvoit que la personne concerne a le droit dobtenir du
responsable de traitement leffacement de donnes caractre personnel la
concernant et la cessation de la diffusion de ces donnes en particulier en ce
- 16 -
qui concerne [celles quelle] avait rendues disponibles lorsquelle tait
enfant .
Paralllement, larticle 18 confre la personne concerne un
nouveau droit, le droit la portabilit des donnes , cest--dire celui de
transmettre des donnes dun systme de traitement automatis un autre,
sans que le responsable du traitement ne puisse y faire obstacle.
(d) Lencadrement de la pratique du profilage
Larticle 20 encadre quant lui, plus strictement, la possibilit de
profilage dune personne partir de ses donnes personnelles. Cette
pratique consiste, en matire commerciale notamment, collecter des
donnes qui, sans tre nominatives, permettent de cibler les individus
partir de leurs gots, leurs prfrences, leur genre, leur ge...
(2) Les diffrents recours contentieux la disposition des personnes
En cas de violation de donnes caractre personnel, toute
personne ou tout organisme habilit concern, peut dposer une rclamation
auprs dune autorit de contrle (article 73), dont la comptence est
dtermine par lapplication du critre du principal tablissement (cf.
infra).
La proposition de rglement prvoit aussi la possibilit de former un
recours juridictionnel contre lautorit de contrle elle-mme, en
particulier pour la contraindre donner suite une rclamation. La juridiction
comptente est alors celle de ltat membre o lautorit de contrle est
tablie (article 74).
Quant au recours de la personne concerne contre le responsable de
traitement, il doit tre dpos devant la juridiction de ltat membre o le
dfendeur est tabli ou de ltat membre de rsidence de la personne
concerne (article 75).
b) Un changement de logique : la suppression des contraintes a priori
pesant sur lentreprise responsable du traitement contre le
renforcement a posteriori de sa responsabilit
Pour allger les procdures pesant sur le responsable de traitement,
lobligation de notification pralable des traitements aux autorits de
contrle, qui pesait sur lui en vertu de la directive de 1995, est supprime.
En contrepartie, a posteriori, les responsabilits des personnes
traitant les donnes seront renforces. Une responsabilit globale du
responsable du traitement est instaure (articles 22 et suivants). Le responsable
de traitement doit mettre en uvre des mesures appropries pour garantir
[] que le traitement des donnes caractre personnel est effectu dans le
respect du prsent rglement .
- 17 -
Elle emporte notamment lobligation de prvoir la protection des
donnes ds la conception du traitement et de mettre en uvre des mesures
appropries pour assurer la scurit du traitement.
(1) Les obligations particulires pesant sur le responsable de traitement
Il sagit notamment de :
- lobligation de notification dune violation des donnes
personnelles par linformation de lautorit de contrle et lavertissement des
personnes physiques concernes afin de leur permettre de prendre les mesures
qui simposent (articles 31 et 32) ;
- lobligation de raliser une tude dimpact pour dterminer si le
traitement de donnes personnelles quil va mettre en place peut prsenter des
risques pour les droits et liberts des personnes (article 33) ;
- lobligation de dsigner un dlgu la protection des donnes
pour le secteur public et, dans le secteur priv, pour les entreprises de plus de
250 salaris, ou lorsque les activits de base du responsable du traitement
consistent en des traitements qui exigent un suivi rgulier et systmatique
(articles 35 et suivants). La directive de 1995 ouvrait cette possibilit aux
tats membres la place de lobligation de notification gnrale.
(2) Lencadrement des transferts de donnes vers des pays tiers lUnion
europenne
Les transferts de donnes vers les pays tiers ne peuvent avoir lieu que
sils respectent les obligations prvues cet effet dans le rglement
(article 40). Ainsi, ils ne sont possibles que si la Commission a constat que le
pays destinataire assure un niveau de protection adquat aux donnes
personnelles concernes.
Le niveau adquat de protection sapprcie en fonction de la
lgislation en vigueur, de lexistence et du fonctionnement effectif dautorits
de contrle, de lexistence dun droit de recours judiciaire et des engagements
internationaux souscrits par le pays tiers concern (article 41). Si la
commission dcide que le pays tiers nassure pas un niveau de protection
adquat , le transfert de donnes est interdit.
Lorsque la commission na pas adopt de dcision constatant un
niveau de protection adquat du pays, le transfert de donnes caractre
personnel nest possible que si le responsable de traitement offre, dans un
instrument juridique contraignant, des garanties appropries savoir,
des rgles dentreprise contraignantes
1
, des clauses types de protection des
donnes adoptes par la commission ou par une autorit de contrle
2
et des
clauses contractuelles approuves par une autorit de contrle. dfaut, le

1
Ces rgles ntaient jusque l pas mentionnes dans le texte.
2
Lorsque la commission a constat leur applicabilit gnrale.
- 18 -
responsable de traitement doit demander une autorisation pralable de transfert
lautorit de contrle (article 42 et suivants).
Par drogation, les transferts sont autoriss lorsque que la personne
concerne y a consenti, quils sont ncessaires lexcution du contrat,
justifis par des motifs importants dintrt gnral , ou conformes aux
intrts lgitimes poursuivis par le responsable de traitement.
3. Le renforcement du rle des autorits de contrle
a) La raffirmation de lindpendance des autorits de contrle
nationales par loctroi de moyens supplmentaires
Le texte pose le principe gnral de lindpendance des autorits de
contrle nationales et prvoit un renforcement de leurs moyens matriels
(article 47), ainsi que de leurs moyens daction (articles 51 et suivants).
Ainsi, chaque tat membre devra veiller ce que son autorit dispose
de ressources humaines, techniques, et financires appropries.
Les autorits de contrle se voient reconnatre le pouvoir de mener
des enqutes, darrter des dcisions contraignantes et dinfliger des sanctions
administratives.
b) Le renforcement de la coopration entre autorits de contrle,
pour assurer une application cohrente des rgles de protection des
donnes caractre personnel sur tout le territoire
(1) Le guichet unique, un allgement des procdures pour les oprateurs de
traitement de donnes
La proposition de rglement prvoit de mettre en place un systme de
guichet unique , qui permet, lorsque le responsable de traitement est tabli
dans plusieurs tats membres, de retenir la comptence de lautorit de
contrle de ltat membre o se situe ltablissement principal du
responsable de traitement (article 51).
Lapplication de ce critre peut conduire ce quun citoyen voit sa
rclamation traite par une autre autorit que son autorit de contrle
nationale, parce que lentreprise responsable du traitement est sise dans un
autre tat membre que celui o il rside. Ainsi, un Franais formant une
requte contre Facebook devrait ladresser lautorit de contrle irlandaise.

(2) Lobligation dassistance mutuelle et de reconnaissance mutuelle des
dcisions des autorits de contrle
La coopration est renforce par lobligation pour les autorits de
se prter assistance (article 55) et par la reconnaissance mutuelle des
dcisions quelles prennent (articles 45). En effet, chaque autorit a
- 19 -
lobligation de prendre toutes les mesures appropries (enqutes,
inspections) pour rpondre la demande dune autre autorit de contrle, au
plus tard un mois aprs la rception de la demande (article 55). Une autorit de
contrle ne peut refuser de rpondre une demande dassistance sauf si elle
nest pas comptente pour la traiter.
(3) La cration du comit europen de la protection des donnes
Au centre de ce systme de contrle de cohrence se trouve le comit
europen de la protection des donnes, cr par la proposition de rglement
(article 64). Ce comit se compose des directeurs des autorits de contrle
de tous les tats membres et du contrleur europen la protection des
donnes, qui en est vice-prsident permanent, sauf sil a t lu prsident
(article 69) et qui en assure le secrtariat (article 71). Le comit a vocation
se substituer lactuel groupe de travail runissant les CNIL europennes ,
dit G29 .
Sa mission principale consiste veiller lapplication cohrente du
rglement. Toutefois ses attributions restent essentiellement consultatives :
assistance de la commission sur toute interrogation sur la protection des
donnes, examen des questions relatives lapplication du rglement, avis sur
les projets de dcision des autorits de contrle (article 66).
(4) Le mcanisme de contrle de la cohrence
Avant dadopter une mesure destine produire des effets
juridiques en matire de traitement des donnes, toute autorit de contrle
nationale communique le projet de mesure au comit europen de la
protection des donnes et la commission (articles 58 et suivants).
Ces deux autorits peuvent mettre un avis sur la mesure et, si la
commission a des doutes srieux sur la compatibilit de la mesure envisage
avec lapplication du rglement, elle peut adopter une dcision motive
enjoignant lautorit de contrle concerne de suspendre le projet dadoption
(la dure de suspension ne peut excder 12 mois) dans le but de rapprocher les
positions si cela est possible, dadopter un acte dexcution.
B. UNE LARGE ADHSION LOBJECTIF POURSUIVI, MAIS DE
NOMBREUSES RSERVES SUR LES MODALITS RETENUES
1. Un texte attendu, une approche globale approuve, mais des
choix discuts
Les auditions conduites par votre rapporteur confirment le soutien
apport par lensemble des parties intresses par lexploitation et la
protection des donnes personnelles linitiative de la Commission
europenne, ainsi qu lapproche globale quelle a retenue et qui vise mettre
en place une rgulation harmonise lchelle europenne.
- 20 -
Chacun salue lapport de la directive de 1995 mais constate, dans le
mme temps, son obsolescence et la ncessit de lui substituer aujourdhui un
dispositif plus global, en phase avec les technologies rcentes et les nouveaux
usages de lInternet.
Pour autant, force est de constater que cette unanimit autour de
lobjectif gnral et certains apports de la proposition de rglement, comme la
reconnaissance des droits loubli ou la portabilit des donnes personnelles,
ou celle de lindpendance et des pouvoirs de sanction des autorits de
contrle, cde ds quest aborde la discussion sur les modalits et les rgles
retenues par la Commission europenne.
Ainsi les reprsentants de la CNIL se sont inquits de ce quen
supprimant les formalits pralables la mise en place de traitements de
donnes personnelles, on prive les autorits de contrle la fois,
dinformations pertinentes sur la pratique de lentreprise en matire de
protection des donnes personnelles et lmergence de nouveaux usages ou
lutilisation de nouvelles technologies, et dun point de dialogue utile avec les
entreprises concernes.
Le recours massif des actes dlgus et des actes dexcution,
adopts par la Commission europenne, pour prciser les rgles applicables a
t unanimement contest, pour deux raisons : dune part, la Commission
europenne est apparue moins bien arme que les lgislateurs ou les autorits
de contrles nationaux pour statuer sur ces questions techniques, dautre part,
le renvoi de la lgislation dlgue rend compte du caractre lacunaire des
rgles inscrites dans la proposition de rglement et entretient une certaine
inscurit juridique dans un domaine o il conviendrait pourtant, pour les
entreprises comme pour les particuliers, que la loi soit claire et prcise.
Enfin, plusieurs des personnes entendues par votre rapporteur, ont
regrett que la proposition de rglement se soit souvent arrte mi-chemin.
Plusieurs intervenants, dont la prsidente de la CNIL, Mme Isabelle
Falque-Pierrotin, celle de lassociation Imaginons un rseau internet
solidaire (IRIS), Mme Meryem Marzouki, et nos collgues
Mme Anne-Marie Escoffier et M. Yves Dtraigne, ont ainsi observ que le
texte consacrait souvent un droit, sans doter les personnes ou les autorits de
contrle des moyens de le faire respecter, comme pour le droit loubli,
auquel les moteurs de recherche chappent largement.
Ils ont t rejoints dans cette analyse par la Chancellerie qui a estim,
prenant lexemple des drogations prvues en matire de transferts
internationaux de donnes personnelles que, trop souvent, le texte posait un
principe, quil affaiblissait par de trop nombreuses exceptions.
- 21 -
2. Un point de cristallisation du dbat : la comptence, pour tous
les contentieux, de lautorit de contrle du pays o le
responsable de traitement a son principal tablissement
La disposition la plus discute est incontestablement celle du guichet
unique et, plus particulirement, lattribution de la comptence pour instruire
les contentieux lautorit de contrle du pays o le responsable de traitement
a son principal tablissement.
Les reprsentants des entreprises entendus par votre rapporteur ont
dfendu ce systme, la condition quil saccompagne dune harmonisation
complte du droit. Ils ont notamment soulign quune telle mesure faciliterait
les dmarches des entreprises, qui profiteraient dun interlocuteur unique pour
toutes les questions lies lutilisation des donnes personnelles quelles
dtiennent.
En revanche, la prsidente de la CNIL, Mme Isabelle Falque-
Pierrotin, rejointe en cela par les reprsentants du ministre de la justice, a
dnonc les risques quun tel dispositif prsenterait pour la protection des
donnes personnelles. Si le guichet unique se justifie pour le contrle prventif
et les formalits pralables, il soulve de srieuses difficults sagissant du
traitement des litiges.
Il risquerait en effet de susciter des comportements de forum
shopping , les entreprises dcidant leur installation en fonction de la svrit
du rgulateur national. Plutt que de favoriser une certaine proximit entre les
citoyens et lautorit qui les protge, il crerait une distance artificielle entre
eux, lautorit nationale, celle qui leur est le plus proche, ne jouant plus que le
rle dune bote aux lettres . Enfin, compte tenu de cette distance, de la
lourdeur et de la lenteur prvisible de cette procdure, il fragiliserait le droit
des citoyens un recours effectif, et rendrait plus difficile lexercice des droits
de la dfense.
Mme Meryem Marzouki, prsidente de lassociation IRIS, a jug que,
compte tenu de lharmonisation opre, ces craintes taient peu fondes, et a
estim que lautorit de contrle du pays de principal tablissement pourrait,
mieux quune autre, imposer le respect effectif des rgles communautaires
lentreprise en cause. Elle a appel, pour dissiper ces craintes, au renforcement
des moyens et des mcanismes de coordination des autorits de contrle.
Partageant lanalyse de la CNIL, les reprsentants de lassociation
franaise des correspondants pour la protection des donnes caractre
personnel ont, quant eux, estim quil tait frquent quun litige de donnes
personnelles soit li un premier litige portant sur un autre domaine du droit
(droit de la consommation, droit du travail, droit de la famille), ce qui
risquerait de poser des difficults lautorit de contrle trangre, somme
dinterprter des rgles de droit tranger. Soulignant par ailleurs lincertitude
qui affecte la notion de principal tablissement , ils se sont interrogs sur
larticulation de contentieux connexes, engageant, pour un mme
- 22 -
consommateur et un mme achat, trois traitements diffrents, lun de service
commercial, lautre de production, et le dernier de service aprs-vente, dans
trois pays diffrents.
Les reprsentants de lUFC-Que choisir ont, pour leur part, pos la
question des moyens dont disposerait lautorit de contrle trangre, appele
traiter un contentieux massif, hors de proportion avec son march national et
se sont inquits de la lourdeur de la procdure.

III. LA POSITION DE VOTRE COMMISSION
Votre commission considre quil convient de prendre acte des
avances que recle la proposition de rglement europen sur la protection des
donnes personnelles, mme si des amliorations peuvent y tre apportes (C).
Mais surtout, ce texte pose deux questions de principe, qui ont partie
lie, lune sur la marge conserve au lgislateur national pour adopter des
mesures plus protectrices que le rglement europen (A), et lautre sur
lautorit de contrle comptente pour assurer le respect des droits des
ressortissants dun tat membre (B).
A. CONSERVER AU LGISLATEUR NATIONAL LA POSSIBILIT
DADOPTER DES DISPOSITIONS PLUS PROTECTRICES
En dposant une proposition de rglement plutt quune proposition
de directive se substituant la prcdente directive du 24 octobre 1995, la
Commission europenne a fait le choix dune harmonisation complte des
rgles applicables en Europe.
Mme Viviane Reding, vice-prsidente de la Commission europenne
charge de la justice, des droits fondamentaux et de la citoyennet la
dailleurs confirm lors de son audition conjointe par votre commission et la
commission des affaires europennes : Non, il ny aura pas de niveaux de
protection diffrents. Cest lessence mme dun rglement : une loi identique
pour tout le territoire de lUnion europenne. Jai retenu les rgles les plus
protectrices des systmes existants
1
.
Cette affirmation mrite cependant dtre discute.
La protection des donnes personnelles relve du champ des droits
fondamentaux. Elle participe de la protection de la vie prive, que le Conseil
constitutionnel rattache la libert individuelle, mentionne larticle 2 de la
dclaration des droits de lhomme et du citoyen
2
. Cet ancrage constitutionnel
de la protection des donnes personnelles justifie quelle prime les autres
considrations, notamment les considrations conomiques que la

1
Cf. le compte rendu de cette audition, reproduit en annexe au prsent rapport.
2
CC, n 2004-504 DC du 12 aot 2004, Loi relative lassurance maladie, Rec. p. 153, cons. 5.
- 23 -
Commission europenne met en avant pour limiter les garanties apportes aux
personnes.
En outre, elle sapplique un change ingal o lune des parties,
lindividu, cde volontairement ou non une autre, le responsable de
traitement, lusage et la possession de donnes qui lui sont propres, parfois
intimes, et qui lui appartiennent.
Elle se distingue en cela de la rgulation des relations civiles ou
commerciales o sopposent deux intrts quivalents ou deux droits dgale
porte.
Or, si, lorsque sont seuls en cause des intrts conomiques, on peut
comprendre quun rglement arase toutes les lgislations nationales afin
doffrir au march intrieur et au bnfice des agents conomiques, une unique
loi, tel nest plus le cas lorsquentrent en conflit les droits fondamentaux des
personnes avec les intrts conomiques des entreprises et que les premires
se trouvent dmunies face la puissance commerciale et financire des
secondes.
Votre commission considre que, dans ce dernier cas, on peut
attendre de la lgislation europenne non seulement quelle soit conue sur le
modle des lgislations nationales les plus protectrices, mais encore quelle
nexclue pas la possibilit pour les tats membres qui le souhaiteraient,
dadopter des dispositions nationales plus protectrices des droits
fondamentaux ou plus favorables aux personnes.
En effet, pour ce qui touche aux droits les plus fondamentaux de
la personne, ou la protection du faible contre le fort, la construction
europenne na de sens que si elle lve la protection commune, sans
interdire les progrs promus par certains tats membres, avant que tous
les rejoignent plus tard.
Votre commission observe, dailleurs, quune telle conception a cours
dans dautres champs du droit europen, pourtant soumis eux aussi des
rglements communautaires, comme, par exemple, en droit de la
consommation.
Or, force est de constater, quaussi pousse que soit la protection des
donnes personnelles prvues par la proposition de rglement europen, la
lgislation Informatique et liberts actuellement en vigueur en France est,
sur plusieurs points, plus favorable aux individus.
Ainsi, le champ des fichiers dits sensibles , soumis un rgime
dautorisation plus restrictif, est plus large en droit franais, puisquil inclut
notamment les fichiers interconnects, lorsque leurs finalits sont diffrentes.
En outre, le rgime retenu est, dans tous les cas, celui de lautorisation
pralable
1
, alors que la proposition de rglement ne soumet autorisation

1
Article 25 de la loi n 78-17 prcite.
- 24 -
pralable que les fichiers pour lesquels ltude dimpact ralise par le
responsable de traitement lui-mme a rvl une difficult
1
.
De la mme manire, alors que la proposition de rglement est muette
sur la question, la loi franaise prvoit quune personne peut exiger davoir
communication des informations permettant de connatre et de contester la
logique qui sous-tend le traitement automatis en cas de dcision prise sur le
fondement de celui-ci et produisant des effets juridiques [son] gard
2
, ce
qui lui permet alors, de contester utilement les motifs de la dcision qui lui
porte prjudice.
Une autre raison justifie de conserver au lgislateur national une
marge dapprciation suffisante : le droit, en matire de nouvelles
technologies, doit tre suffisamment ractif pour suivre les nouveaux usages
mergents ou les innovations technologiques et prvoir des garanties adaptes.
Il nest pas possible de sen remettre uniquement aux lenteurs de la lgislation
communautaire pour tenter de suivre les volutions trs rapides des
technologies de linformation et de la communication.
Pour toutes ces raisons, votre commission considre que si lon peut
se satisfaire dune protection quivalente celle que lon connat, on ne
saurait se rsoudre diminuer la protection offerte au citoyen franais par la
loi Informatique et liberts .
Elle souligne toutefois que, pour tre valables au regard du droit
communautaire, les possibilits, pour les lgislations nationales, de droger
un rglement europen doivent tre prvues ds lorigine, soit sous la forme
dune clause gnrale, soit sous la forme de clauses ponctuelles, pour chaque
question o lon souhaite prserver la comptence du lgislateur national.
Cest pourquoi, votre commission vous propose dappeler le
Gouvernement veiller, dans la ngociation qui sengage, ce que
lharmonisation propose ne seffectue que dans le sens dune meilleure
protection des personnes et quelle ne prive pas les tats membres de la
possibilit dadopter des dispositions nationales plus protectrices des
droits individuels.
Elle observe, dailleurs, que la proposition de rglement renvoie prs
dune cinquantaine de fois des actes dlgus ou des actes dexcution,
adopts par la Commission europenne pour complter la lgislation
europenne en la matire. Le nombre et limportance de ces renvois, qui ont
t unanimement critiqus par les personnes entendues par votre rapporteur,
manifestent lincompltude du dispositif propos et la ncessit dy apporter
des prcisions, voire des garanties nouvelles.
Pour cette raison, elle juge utile de rappeler, dans la proposition de
rsolution europenne, que de telles dcisions ne peuvent choir
exclusivement la Commission europenne et quelles doivent tre

1
Articles 33 et 34 de la proposition de rglement COM 2012/11 final prcite.
2
Article 39 de la loi n 78-17 prcite.
- 25 -
dbattues, selon le cas, par les lgislateurs europens ou nationaux ou les
autorits de contrle nationales, regroupes au niveau europen.
B. REPOUSSER LE CRITRE DU PRINCIPAL TABLISSEMENT ET
RETENIR LA COMPTENCE DE LAUTORIT DE CONTRLE DU PAYS
O RSIDE LE PLAIGNANT
La proposition de rglement attribue la comptence pour instruire
lensemble des plaintes diriges contre un responsable de traitement la
seule autorit de contrle du pays o un responsable de traitement a son
principal tablissement, o que rside le plaignant.
Votre commission considre quune telle disposition pose, comme la
prcdente, une question de principe.
En effet, ce dispositif aboutit paradoxalement, dans un texte dont
lobjet principal est dlever le niveau de protection des donnes personnelles,
traiter plus favorablement le responsable de traitement que le citoyen,
puisque le premier bnficie dun interlocuteur unique, appliquant le droit du
pays o lentreprise a son principal tablissement, alors que le second doit
sadresser une autorit diffrente de celle dont il est le plus proche, et qui
applique le droit dont il relve.
Il prsente en outre de nombreux inconvnients pratiques : il
imposerait, lorsquune question de protection des donnes est troitement lie
une question relevant dun autre champ du droit, comme celui de la famille
ou du travail, lautorit de contrle comptente dinterprter des dispositions
de droit tranger.
Il poserait aussi la question des moyens financiers et humains allous
lautorit de contrle, afin quelle puisse prendre en charge un contentieux
international qui pourrait tre dune ampleur bien suprieure celle du
contentieux relatif ses propres ressortissants.
titre dillustration, le budget de lautorit de contrle irlandaise
(Data protection commissioner), qui serait comptente au regard de la prsente
proposition de rglement europen pour instruire notamment toutes les
rclamations des citoyens europens contre le rseau social Facebook ,
tait, en 2009, de 2,931 millions deuros, pour un pays de 4,6 millions
dhabitants
1
.
Enfin, le dispositif propos crerait une asymtrie entre les recours
administratifs auprs de lautorit de contrle et les recours juridictionnels
contre les responsables de traitement : les premiers seraient ports devant les
autorits ou les juridictions du pays tranger, les seconds devant les
juridictions nationales de lintress.

1
titre de comparaison le budget de la CNIL est de 17,3 millions deuros pour un peu plus de
65 millions dhabitants.
- 26 -
Les quelques amnagements prvus par le texte, pour amliorer la
coordination entre les autorits de contrle et permettre que le plaignant
sadresse son autorit nationale aux fins de transmission de sa plainte
lautorit trangre ne remdient pas laffaiblissement, par ce dispositif, du
droit du citoyen europen un recours effectif, exerc auprs de lautorit
qui lui est la plus accessible.
Votre commission juge ncessaire, pour lensemble de ces raisons,
dappeler la vigilance du Gouvernement sur cette question, afin quil dfende
labandon de ce critre dattribution de comptence au profit de celui,
dj connu en droit de la consommation, de la comptence de lautorit de
ltat membre o rside le plaignant.
C. VEILLER LEFFECTIVIT DE LA PROTECTION DES DONNES
PERSONNELLES MISE EN PLACE
1. Sassurer que les autorits de contrle disposeront des
pouvoirs ncessaires leurs missions
Sur proposition de notre collgue M. Jean-Paul Amoudry, votre
commission a soulign le caractre trop restrictif des pouvoirs dinvestigation
des autorits de contrle dans le dispositif propos par la Commission
europenne.
En effet, larticle 53, 2
e
alina, b) du texte ne permet ces dernires
davoir accs aux locaux ou aux fichiers des responsables de traitement que
sil existe un motif raisonnable de supposer quil sy exerce une activit
contraire au prsent rglement , ce qui leur imposera de recueillir en amont
suffisamment dinformations concordantes pour souponner une pratique
illgale.
Or, dans le mme temps, en supprimant la plupart des formalits
pralables de dclaration pour la cration dun fichier, la proposition de
rglement supprime la principale source dinformation des autorits de
contrle sur la mise en uvre du traitement.
Le risque est grand, alors que les autorits de contrle ne pourront
plus obtenir dinformations quen procdant des enqutes, quelles ne
puissent ouvrir ces enqutes, faute de disposer pralablement dinformations
suffisantes pour fonder le motif raisonnable leur permettant de supposer
quune activit contraire la protection des donnes sexerce au sein de
lentreprise.
2. Complter le rgime de protection des donnes personnelles
La proposition de rglement comporte un certain nombre davances.
Toutefois, certaines doivent tre amliores pour assurer une protection
effective des donnes personnelles.
- 27 -
Ainsi, en dpit de sa conscration par le texte, mais faute
dobligations spcifiques pesant sur les moteurs de recherche, le droit loubli
se trouve largement priv de toute effectivit : si lintress se voit reconnatre
la possibilit dobtenir la rectification dun contenu qui lui est prjudiciable, il
na pas de moyen de contraindre les moteurs de recherche qui ont rfrenc
lensemble des sites internet ayant reproduit ses donnes personnelles
supprimer cette indexation.
Votre commission juge pour cette raison opportun de prvoir une
procdure de drfrencement, la demande de lintress, ou, de manire
automatique, pass un certain dlai.
De la mme manire, il serait ncessaire de rflchir une solution
quilibre pour autoriser, sur demande de lintress, leffacement des
donnes publies par un tiers qui lui portent prjudice, dans le respect de la
libert dexpression.
Reprenant une proposition formule par nos collgues M. Yves
Dtraigne et Mme Anne-Marie Escoffier dans leur rapport dinformation
prcit sur la vie prive lheure des mmoires numriques , votre
commission propose que ladresse IP (Internet Protocol) soit traite comme
une donne personnelle lorsquelle est utilise pour identifier lindividu
concern.
Il conviendrait en outre que les drogations aux obligations pesant sur
les responsables de traitement en matire de transferts internationaux de
donnes soient mieux encadres. En effet, en ltat, le point h de larticle 44
de la proposition de rglement exonre de toute obligation les responsables de
traitement procdant des transferts ni frquents ni massifs , sans que ces
conditions soient prcisment et strictement dfinies, ce qui pourrait autoriser
certains abus.
La dsignation obligatoire dun dlgu la protection des donnes
dans les entreprises de plus de 250 salaris seuil qui correspond celui des
grandes entreprises en droit europen
1
est un progrs, car un tel rfrent
favorise la diffusion, au sein de lentreprise de bonnes pratiques. Il semble
toutefois votre commission, comme lont recommand au cours de leur
audition les reprsentants de lassociation franaise des correspondants la
protection des donnes caractre personnel, quune telle obligation de
dsignation pourrait utilement tre tendue, mme pour des effectifs infrieurs
ce dernier seuil, aux entreprises dont la principale activit est celle du
traitement de donnes personnelles.

1
En effet, la recommandation 2003/361/CE de la Commission, du 6 mai 2003, concernant la
dfinition des micro, petites et moyennes entreprises, dispose qu moins de 10 salaris, il sagit
dune micro-entreprise, moins de 50, une petite entreprise, moins de 250, une moyenne
entreprise.
- 28 -
*
* *

Au bnfice de lensemble de ces observations, votre commission
a adopt la proposition de rsolution dont le texte suit.
- 29 -
PROPOSITION DE RSOLUTION EUROPENNE
_______

Le Snat,
Vu larticle 88-4 de la Constitution,
Vu larticle 2 de la Dclaration des droits de lhomme et du citoyen,
Vu le trait sur le fonctionnement de lUnion europenne,
notamment son article 16,
Vu la charte des droits fondamentaux de lUnion europenne,
notamment ses articles 7 et 8,
Vu la loi n 78-17 du 6 janvier 1978 relative linformatique, aux
fichiers et aux liberts modifie par la loi n 2004-801 du 6 aot 2004
relative la protection des personnes physiques lgard des traitements
de donnes caractre personnel,
Vu la proposition de loi de M. Yves DTRAIGNE et
Mme Anne-Marie ESCOFFIER (n 81, 2009-2010) visant mieux
garantir le droit la vie prive lheure du numrique, adopte par le
Snat le 23 mars 2010,
Vu le rapport dinformation de M. Yves DTRAIGNE et
Mme Anne-Marie ESCOFFIER (n 441, 2008-2009) au nom de la
commission des lois du Snat sur La vie prive lheure des mmoires
numriques : pour une confiance renforce entre citoyens et socit de
linformation ,
Vu la proposition de rglement relatif la protection des personnes
physiques lgard du traitement des donnes caractre personnel et
la libre circulation de ces donnes (COM [2012] 11 final/n E 7055) en
date du 27 janvier 2012,
Approuve lobjectif poursuivi par la Commission europenne, en ce
quelle souhaite promouvoir une approche globale de la protection des
donnes personnelles, qui repose sur une harmonisation des rgles
applicables sur le territoire de lUnion europenne et dans les relations
entre les tats membres et les pays tiers ;

( (( (
! !! !

1 1 1 1
- 30 -
Prend acte des avances que porte la proposition de rglement
sagissant, entre autres, de la promotion du droit loubli numrique, de
la conscration du principe du consentement exprs lutilisation des
donnes personnelles, de lobligation de portabilit des donnes
personnelles, qui permettra une personne de saffranchir dun
responsable de traitement sans perdre lusage de ses donnes, des
limitations apportes aux possibilits de profilage partir de ses donnes
personnelles, de la prsence obligatoire dun dlgu la protection des
donnes dans les entreprises de plus de 250 salaris ou de lencadrement,
notamment par des rgles dentreprise contraignantes, des transferts
internationaux de donnes ;
Estime, toutefois, que ces garanties doivent tre renforces ;
En particulier ;
Appelle, sagissant du droit loubli, ce que les obligations pesant
sur les moteurs de recherche soient renforces afin dune part de prvoir
leffacement automatique des contenus indexs au bout dun dlai
maximum, et, dautre part, de permettre lintress dobtenir la
dsindexation de ceux qui lui portent prjudice ;
Juge ncessaire quune solution quilibre soit propose pour
obtenir, sur demande de lintress, leffacement des donnes
personnelles publies par un tiers, dans le respect de la libert
dexpression ;
Souligne la ncessit que ladresse IP (Internet Protocol) soit traite
comme une donne personnelle lorsquelle est utilise pour identifier la
personne concerne ;
Estime inopportunes les drogations aux obligations pesant sur les
responsables de traitement en matire de transferts internationaux de
donnes, sagissant notamment des transferts ni frquents ni massifs ;
Considre que lobligation de dsignation dun dlgu la
protection des donnes pourrait tre tendue aux entreprises dont la
principale activit est celle du traitement de donnes personnelles ;
Estime en outre, de manire gnrale, que, sagissant dun domaine
dans lequel latteinte porte aux droits fondamentaux dune personne
peut tre considrable et compte tenu de lingalit de moyens entre le
responsable de traitement et lintress qui lui a confi ses donnes
1 1 1 1
1 1 1 1
1! 1! 1! 1!
1 1 1 1
1 1 1 1
1 1 1 1
1/ 1/ 1/ 1/
1 1 1 1
1 1 1 1
- 31 -
personnelles, lharmonisation propose ne doit seffectuer que dans le
sens dune meilleure protection des personnes ; quelle ne saurait, pour
cette raison, priver les tats membres de la possibilit dadopter des
dispositions nationales plus protectrices ;
Conteste par ailleurs le nombre important dactes dlgus et
dactes dexcution que la proposition de rglement attribue la
comptence de la Commission europenne, alors quun certain nombre
pourraient relever soit de dispositions lgislatives europennes ou
nationales, soit, compte tenu de leur complexit technique, dune
procdure qui associe plus fortement les autorits de contrle nationales,
regroupes au niveau europen ;
Juge l'encadrement des pouvoirs d'investigation des autorits de
contrle nationales trop restrictif, notamment lexigence, pour engager
une enqute, dun motif raisonnable de supposer quun responsable
de traitement exerce une activit contraire aux dispositions du rglement.
En effet, les formalits pralables pesant sur les responsables de
traitement tant supprimes, ces investigations constituent, dans le
dispositif propos, la principale source d'information de ces autorits sur
la mise en uvre des traitements ;
Soppose, enfin, au dispositif du guichet unique propos par la
Commission europenne, en ce quil attribue comptence pour instruire
les requtes des citoyens europens lautorit de contrle du pays dans
lequel le responsable de traitement en cause a son principal
tablissement ;
Considre en effet, quil est paradoxal que le citoyen soit moins
bien trait que lentreprise responsable du traitement, en tant priv de la
possibilit de voir lensemble de ses plaintes instruites par lautorit de
contrle de son propre pays ;
Rappelle, cet gard, que, lorsquil sagit dassurer la meilleure
protection du citoyen et son droit un recours effectif, il convient,
comme en matire de consommation, de privilgier la solution
permettant lintress de sadresser lautorit la plus proche de lui et
auprs de laquelle il a lhabitude daccomplir ses dmarches ;

! ! ! !

- 32 -
Constate que le dispositif propos prsente, en dehors de cette
question de principe, de multiples inconvnients pratiques :
- risque de disproportion entre les moyens allous lautorit de
contrle en considration des contentieux relatifs ses ressortissants et
lampleur du contentieux international quelle pourrait tre appele
traiter ;
- asymtrie, pour le plaignant, entre les recours administratifs,
exercs auprs de lautorit trangre, et les recours juridictionnels
contre le responsable de traitement, ports devant le juge national ;
Relve que ni les mcanismes de cohrence ou de coordination
entre les autorits, ni la possibilit offerte au plaignant dadresser sa
plainte son autorit nationale, charge pour celle-ci de la transmettre
lautorit comptente, ne compensent les inconvnients du dispositif, ni
le dsavantage pour lintress de ne pouvoir faire instruire sa demande
par lautorit de contrle nationale ;
Demande, par consquent, au Gouvernement de veiller, dune part,
ce que la possibilit pour les tats membres dadopter des mesures plus
protectrices des donnes personnelles soit prserve, et, dautre part, ce
que le principe de la comptence de lautorit de contrle du pays o le
responsable de traitement a son principal tablissement soit abandonn
au profit du maintien de la comptence de lautorit de contrle du pays
de rsidence de lintress.

/ / / /

- 33 -
EXAMEN EN COMMISSION
(Mercredi 29 fvrier 2011)
_______

M. Jean-Pierre Sueur, prsident. Nous allons examiner, en
application de larticle 73 quinquies du Rglement du Snat, le rapport de M. Simon
Sutour sur la proposition de rsolution europenne n 406 sur la proposition de
rglement europen relatif la protection des personnes physiques lgard du
traitement des donnes caractre personnel, un sujet qua clair laudition de la
commissaire europenne Viviane Reding. Nous verrons plus tard la rsolution
complmentaire sur la subsidiarit adopte par la commission des affaires
europennes.
M. Simon Sutour, rapporteur. Notre commission a en effet examin
la semaine dernire une proposition de rsolution europenne ; jeudi, la commission
europenne a adopt une autre proposition de rsolution, dans le cadre de la
subsidiarit.
Avant de passer lexamen des amendements, rappelons les grands
principes qui ont guid notre rflexion. Sur le mme sujet, il y a une proposition de
rglement et une proposition de directive. Nous nous sommes intresss la
premire, parce quelle intresse directement les citoyens de lUnion, plutt quau
second. Elle comporte 91 articles. Notre propos nest pas dadopter une position sur
chacun. La proposition fait lobjet dune procdure de codcision entre Conseil des
ministres et Parlement europen, qui va durer plusieurs mois : il sagit de peser dans
le dbat, en tant que Parlement national auprs du Gouvernement pour dfendre au
mieux nos concitoyens. Pour cela, il convient de prserver la lisibilit du texte.
Ensuite, ne limitons pas lanalyse aux seules autorits de contrle, mme si nous
avons cur, comme toujours, damplifier leurs capacits daction.
Alina additionnel aprs lalina 5
M. Yves Dtraigne. Par lamendement n COM-2, il sagit de
rappeler, en tte de la proposition, limportance de la loi du 6 janvier 1978. Un visa
supplmentaire, donc.
Lamendement n COM-2, accept par le rapporteur, est adopt.
Alina 16
Lamendement rdactionnel n COM-3, accept par le rapporteur, est
adopt.
M. Pierre-Yves Collombat. Lamendement n COM-1 conforte la
position du Snat sur le texte relatif la protection de lidentit : lorsquil y a le
choix entre diffrentes technologies, il faut retenir la plus protectrice des droits des
personnes. Cet lment tangible donnera du poids cette proposition de rsolution.
- 34 -
Sans quoi, nous nous limiterons noncer des droits dont personne ne sait qui les
fera respecter.
M. Simon Sutour, rapporteur. Cet amendement ne renvoie ni une
disposition de la proposition de rglement, ni un lment de droit national dont
nous demanderions le maintien, ce qui est gnant. Retrait ?
M. Jean-Jacques Hyest. Oui !
M. Pierre-Yves Collombat. Javoue ma totale incomprhension. Si cet
amendement passe la trappe, lexercice est totalement vain !
M. Jean-Ren Lecerf. La technologie la plus protectrice des droits
des personnes ? Autrement dit, la moins protectrice de la scurit des personnes,
cest inacceptable. Je ne suis pas favorable cet amendement.
Mme Virginie Kls. Pas du tout daccord ! Assurer la scurit, cest
protger le droits des personnes daller et venir en toute libert et en tout anonymat.
M. Jean-Jacques Hyest. La question de la technologie ne relve pas
de ce projet de rglement europen, cest un autre dbat.
M. Jean-Pierre Sueur, prsident. Il ny pas dhostilit manifeste
lgard de la proposition de M. Collombat
M. Pierre-Yves Collombat. Les intentions europennes sont
magnifiques, les rsultats sont calamiteux : casuistique imparable !
M. Jean-Pierre Sueur, prsident. Mme Kls lui apporte son ardent
soutien
Mme liane Assassi. Moi aussi !
M. Simon Sutour, prsident. Cet amendement concerne davantage la
proposition de directive, qui traite des fichiers de souverainet et de recherche
criminelle, que le projet de rglement qui se limite aux fichiers commerciaux.
M. Jean-Pierre Sueur, prsident. Lintention de M. Collombat pourra
donc se manifester loccasion du projet de directive.
M. Simon Sutour, rapporteur. Bien sr, on y reviendra.
M. Jean-Ren Lecerf. Lobjet de lamendement nest pas exact. Si
nous suivions la logique de notre excellent collgue, il faudrait choisir
systmatiquement la technologie la plus protectrice des droits, soit celle sans fichier
central quil na jamais souhaite, contrairement moi.
Lamendement n COM-1 nest pas adopt.
Alina 21
Lamendement rdactionnel n COM-4, accept par le rapporteur, est
adopt.
M. Yves Dtraigne. La proposition de rglement conditionne la
possibilit, pour les autorits de protection, de mener des investigations lexistence
- 35 -
dun motif raisonnable de suspicion, une restriction que le Snat ne peut pas
accepter. Do lamendement n COM-5.
M. Simon Sutour, rapporteur. En accord avec M. Amoudry, avec qui
jai travaill ce matin, je suggre de modifier la rdaction de lamendement et de
linsrer plutt aprs lalina 19. Sous rserve de cette rectification de fond et de
forme, avis favorable.
M. Yves Dtraigne. La rectification est accepte.
Lamendement n COM-5 rectifi est adopt.
M. Yves Dtraigne. Durant laudition de la commissaire europenne
Mme Viviane Reding, nous avons largement regrett les pouvoirs que la proposition
de rglement confre la Commission europenne. Elle seule dterminera et
prcisera les conditions de mise en uvre des dispositions et des droits nouveaux.
Daprs la Commission, lapplication totale de ce rglement prendra une dizaine
dannes. Nous entendons, par lamendement n COM-6, nous opposer cette
atteinte au principe de subsidiarit.
M. Simon Sutour, rapporteur. Nous partageons votre proccupation,
nous lavons tous dit lors de laudition de Viviane Reding. Il est tout fait anormal
que le projet de rglement renvoie une trentaine dactes dlgus et une vingtaine
dactes dexcution. Do la proposition de rsolution portant avis motiv sur la
subsidiarit que je vous prsenterai dans un instant.
Lamendement n COM-6 est retir.
La proposition de rsolution europenne est adopte dans la rdaction
issue des travaux de la commission.
Le sort des amendements examins par la commission est retrac
dans le tableau suivant :

PROPOSITION DE RSOLUTION EUROPENNE
Auteur N Objet
Sort de
l'amendement
M. AMOUDRY 2 Rdactionnel Adopt
M. COLLOMBAT 1 Utilisation de la technologie
la plus protectrice des donnes personnelles
Rejet
M. AMOUDRY 5 Pouvoirs dinvestigation
de lautorit de contrle
Adopt avec
modification
M. AMOUDRY 6 Limitation de la lgislation
dlgue la Commission europenne
Retir

- 37 -

ANNEXES
_______
- 39 -
ANNEXE 1
COMPTE RENDU DE LA RUNION DU 21 FVRIER 2012
_______

La commission procde l'audition commune avec la commission des
affaires europennes de Mme Viviane Reding, vice-prsidente de la
Commission europenne charge de la justice, des droits fondamentaux et de
la citoyennet.
M. Simon Sutour, prsident de la commission des affaires
europennes. - Nous vous souhaitons la bienvenue, madame la commissaire,
pour cette audition organise conjointement par la commission des lois et la
commission des affaires europennes. Vous tes chez vous au Palais du
Luxembourg ... compte tenu de votre nationalit, mme si les commissaires
europens ne dfendent que l'intrt gnral europen. Vous accomplissez
votre troisime mandat la Commission : votre exprience est donc grande, et
nous nous en flicitons car votre portefeuille comprend le dossier sensible des
droits fondamentaux des citoyens europens. Vous avez rempli pleinement
votre rle, qu'il s'agisse des Roms ou de l'volution inquitante en Hongrie, et
je m'en flicite.
Cette audition sera toutefois principalement consacre la protection
des donnes personnelles, laquelle vous savez le Snat trs attentif. Je vous
interrogerai en tant que rapporteur du projet de rglement europen ce sujet,
et M. le prsident de la commission des lois prsidera cette runion.
M. Jean-Pierre Sueur, prsident de la commission des lois. - Nous
sommes trs honors de votre prsence parmi nous, madame la commissaire.
Parmi les sujets dont vous tes charge, beaucoup nous tiennent cur. En ce
qui concerne d'abord le projet de rglement sur la protection des donnes
personnelles, nous craignons que les autorits nationales comptentes ne
soient prives de leurs prrogatives, si l'on laisse l'autorit du pays o telle
entreprise de l'Internet a son principal tablissement le soin de statuer. La
France est trs attache au respect des liberts publiques et la protection des
donnes personnelles, et elle s'est dote d'un instrument efficace, la
Commission nationale de l'informatique et des liberts (Cnil). Nous redoutons
un dumping qui inciterait les entreprises s'implanter l o la lgislation est le
moins rigoureuse.
Lors du dplacement de la commission des lois Bruxelles, o nous
avons t chaleureusement accueillis par vos services, nous avons eu
l'occasion d'voquer aussi le projet de directive sur l'accs un avocat au
cours d'une procdure pnale, l'espace Schengen, l'action de groupe, les
liberts dmocratiques en Hongrie. Peut-tre voulez-vous d'abord nous
prsenter l'ensemble de vos missions ?
- 40 -
Mme Viviane Reding, vice-prsidente de la Commission
europenne, charge de la justice, des droits fondamentaux et de la
citoyennet. - Nous y serions encore demain, car mon champ de comptences
est extrmement vaste. L'Union europenne n'est comptente en matire
judiciaire que depuis le trait de Lisbonne. Le principe de subsidiarit
s'applique toujours, et les systmes judiciaires nationaux subsistent, mais je
suis charge de btir des ponts entre eux pour que les citoyens europens
profitent pleinement de la libre circulation.
La Commission europenne, en revanche, est pleinement comptente
en ce qui concerne le dfi numrique et la modernisation de la protection des
donnes. Je m'adresse des experts, puisque le Snat a publi ce sujet
plusieurs rapports entre 2009 et 2011. Sur le plan des valeurs et des droits
individuels, la directive de 1995 n'a rien d'obsolte, mais l'poque l'Internet
n'existait pas : il faut donc adapter notre lgislation. Le paquet lgislatif que
j'ai mis sur la table le 25 janvier comporte deux aspects : le renforcement des
droits des citoyens, et une plus grande scurit juridique pour nos entreprises.
Une plus grande scurit juridique, parce que si le march intrieur
existe en thorie, il a du mal exister en pratique : les entreprises qui veulent
profiter de l'ensemble du march europen sont confrontes des rgles
diffrentes d'un pays l'autre. En matire de protection des donnes, il existe
au moins 27 rgimes juridiques diffrents, non coordonns et parfois
contradictoires. A cela s'ajoute l'obligation de notification dans les diffrents
pays, paperasserie inutile. Le cot de ces formalits, estim 2,3 milliards
d'euros par an, pourrait tre utilement conomis en temps de crise. En outre,
les entreprises europennes sont pnalises par une concurrence dloyale,
puisque les firmes extra-europennes oprent souvent dans des pays o elles
n'ont pas se soucier de pareille rglementation.
J'ai donc propos le principe suivant : un continent, une rgle. Je me
suis inspire des lgislations nationales les plus protectrices : l'harmonisation
se fera par le haut. C'est trs important pour la crdibilit de l'Union
europenne : une lgislation unique pour 27 pays, plus rigoureuse que sur
aucun autre continent, s'imposera au monde comme un modle, bien loin que
l'Europe imite le laxisme de certains pays.
Pour que des rgles de haut niveau soient appliques, il faut quelqu'un
qui veille au grain, autrement dit un modle de gouvernance efficace. Or les
autorits nationales charges de la protection des donnes se sont constitues
au fil des ans, en France il y a plus de trente ans, ailleurs tout rcemment.
Certaines sont trs bien quipes, d'autres non. La plupart ne sont pas en
mesure de prononcer des sanctions. En outre, elles travaillent sans gure de
coordination. Or les grands dossiers outrepassent les frontires. J'ai donc
dfini le cur de mtier des autorits et prvu entre elles un mcanisme de
coopration et d'assistance mutuelle efficace, afin d'assurer une protection
crdible et homogne, et d'obliger les entreprises extra-europennes se plier
nos rgles. Entreprises et individus disposeront d'un point de contact unique
- 41 -
l o ils sont tablis : c'tait une aspiration lgitime, et bien loin d'affaiblir les
autorits nationales, cela renforcera les capacits des plus modestes.
Les rgles tant les mmes pour tous, cela comblera les vides
juridiques dont profitent certaines entreprises. Ces rgles sont trs
protectrices : la directive de 1995 l'tait dj, et depuis lors, le trait de
Lisbonne et la Charte des droits fondamentaux ont renforc les garanties.
Toute nouvelle lgislation doit tenir compte de cette base que l'on peut
qualifier de constitutionnelle .
Je me suis fonde sur un principe simple : les donnes personnelles
appartiennent l'individu, non une entreprise ou une administration ; elles
sont sa proprit, son patrimoine. L'individu a donc le droit de confier ou non
ces donnes une entreprise ; s'il le fait, celle-ci doit l'informer en toute
transparence de l'usage qu'elle veut en faire, et l'individu doit donner son
accord. Il peut aussi retirer l'entreprise ces donnes et les donner une
autre : c'est le principe de portabilit, que j'avais, dans mes prcdentes
fonctions, introduit propos du numro de tlphone.
Les entreprises devront se doter d'un systme de scurit pour
protger les donnes dont elles ont la garde ; si toutefois un problme
survenait, elles devraient le notifier dans les vingt-quatre heures au rgulateur
national et aux personnes concernes. On en est bien loin : rcemment, vous
vous en souvenez, des gens ont appris par hasard, plusieurs semaines aprs les
faits, qu'une entreprise avait perdu des donnes relatives leurs cartes de
crdit... Les pouvoirs des autorits nationales seront homogniss ; elles
pourront notamment prononcer des sanctions lourdes. J'espre qu'elles n'auront
pas le faire, mais si les policiers ne pouvaient pas dresser de procs-verbaux,
le code de la route ne serait pas pris trs au srieux...
Les autorits nationales devront aussi travailler de manire plus
cohrente. Vous avez souvent appel au renforcement de la runion des
autorits de contrle europennes, le G 29 . Je propose d'instituer un comit
europen de la protection des donnes, dont le secrtariat sera assur par le
Contrleur europen de la protection des donnes, dot d'un prsident lu pour
cinq ans, ce qui en fera une puissance capable de faire respecter le droit
europen partout o il serait bafou. Vis--vis de nos partenaires mondiaux,
l'Europe pourra ainsi parler d'une seule voix, faute de quoi elle ne s'imposera
jamais. Soit dit en passant, ce projet de directive a donn lieu au lobbying le
plus intense de l'histoire de la construction europenne...
J'ai aussi voulu consolider les outils existants pour contrler les
transferts internationaux de donnes : contrle de l'adquation, binding
corporate rules et clauses contractuelles types. Il sera possible de commercer
avec les pays tiers, condition que nous dclarions leurs rgles satisfaisantes.
Ce projet servira de base aux discussions dans les prochains mois.
europennes. - Ce texte comporte des avances considrables, mais suscite
- 42 -
galement quelques interrogations. Tout d'abord, on peut comprendre que la
Commission europenne ait fait le choix d'un rglement plutt que d'une
directive, pour que le niveau de protection soit partout le mme. Mais s'agira-
t-il d'un plafond ou d'un plancher ? L'harmonisation exclut-elle le maintien de
dispositions nationales plus protectrices ?
Ensuite, le projet renvoie trs frquemment des actes dlgus ou
d'excution de la Commission europenne. En la matire, les principes ne
devraient-ils pas tre noncs par la lgislation europenne, et les dcisions
plus techniques prises par les autorits nationales regroupes au sein du G 29 ?
Enfin, selon le principe du guichet unique, une seule autorit de
contrle sera comptente. Mais les plaignants risquent ainsi d'tre renvoys
vers l'autorit d'un autre pays, mme si elle assure un contrle moins
rigoureux que l'autorit nationale. L'adage veut pourtant que l'on n'administre
bien que de prs. En outre, on peut se demander si certaines autorits - par
exemple celle de l'Irlande, o est implante Facebook - seront en mesure de
traiter les demandes trs nombreuses qui leur seront faites. Ne faudrait-il pas
plutt privilgier une gestion de proximit, plus acceptable par les opinions
publiques ? Pourquoi ne pas rendre comptente l'autorit du pays o rside le
plaignant, comme dans le droit de la consommation ?
M. Jean-Pierre Sueur, prsident de la commission des lois. - Je me
permets d'insister sur ce point. Il est bon de s'aligner sur les rgles nationales
les plus protectrices. Mais la rgle du principal tablissement donnerait
certains pays, dont la rglementation est moins stricte que la ntre, la facult
de statuer sur l'ensemble du champ. Peut-on accepter que le droit irlandais
s'applique tous les utilisateurs de Facebook ?
europennes. - J'ajoute que si l'Irlande s'est dote d'une commission de
l'informatique et des liberts, le pays ne compte que 4,6 millions d'habitants.
Cette commission aura-t-elle les moyens matriels de traiter les plaintes de
500 millions d'Europens ?
Mme Viviane Reding. - Si nous avons choisi un rglement, c'est que,
pour peser face nos partenaires - je suis en train de ngocier un accord
bilatral avec les tats-Unis, je n'en dis pas plus -, l'Europe doit tre dote
d'une rgle forte. Premire conomie au monde, l'Union, avec ses 500 millions
de citoyens, pourra ainsi imposer sa loi aux entreprises des pays tiers.
La question des actes dlgus est aussi trs dbattue au Parlement
europen. Mais ce choix dcoule de celui du rglement : ce dernier est conu
pour durer plusieurs dcennies, et il doit tre assez neutre technologiquement
pour pouvoir s'adapter aux volutions. En cas de problme technique, la
Commission pourra proposer une solution, mais la dcision appartiendra au
Conseil et au Parlement, selon la procdure de codcision. Ce point fera sans
doute l'objet de discussions.
- 43 -
Si le guichet unique interdisait toute gestion de proximit, nous
aurions propos une bien mauvaise lgislation ... Ce n'est heureusement pas le
cas. Prenons l'exemple d'un tudiant autrichien ayant eu se plaindre de
l'entreprise Facebook. Conformment au droit actuel, il a d s'adresser au
rgulateur irlandais : l'affaire est encore pendante... C'est David contre
Goliath ! Dsormais, l'tudiant pourra s'adresser au rgulateur autrichien, qui
ngociera avec le rgulateur irlandais sur la base de la mme loi, selon la
procdure d'assistance mutuelle prvue l'article 55. Des garde-fous sont
prvus : si l'autorit du pays o est implante l'entreprise n'a rien fait dans un
dlai d'un mois, l'autorit du pays de rsidence du plaignant pourra prendre
des mesures directement applicables sur son territoire ; en cas d'chec de la
procdure d'assistance mutuelle, la Commission europenne donnera son avis
sur l'application du droit, et la Cour de justice pourra aussi se prononcer. En
aucun cas les citoyens ne seront renvoys vers une autorit trangre qui
appliquerait un droit moins rigoureux que le droit national.
M. Gatan Gorce. - Je salue le courage et la dtermination de la
Commission europenne sur ce problme ancien et dlicat. Les textes proposs
prsentent des progrs notables, notamment sur le droit l'oubli. Mais puisque
vous avez voqu David, vous me permettrez d'tre un peu frondeur... En
France, nous sommes habitus jouir d'un haut niveau de protection des
donnes grce une lgislation dj ancienne et une autorit indpendante
qui s'est acquis au fil des annes une solide crdibilit. Nous ne voulons pas
d'un droit moins rigoureux ni de procdures plus complexes. Le critre du
principal tablissement , qui dterminera l'autorit comptente, n'est pas
dfini de manire claire ; la notion s'entend de diffrentes manires d'un pays
l'autre.
Vous avez dit que les autorits nationales ne seraient pas affaiblies,
mais on peut craindre le contraire. Dans l'tat actuel des choses, un citoyen
peut dj s'adresser l'autorit de son pays de rsidence. Dornavant, son
dossier serait transmis l'autorit du pays o l'entreprise a son principal
tablissement . Les comptences de l'autorit nationale seraient donc
amoindries, la procdure allonge et complique : car en cas de dsaccord
entre les deux autorits nationales, il faudrait attendre la dcision de la Cour
de justice...
Oui des rgles plus protectrices et mieux partages, mais nous avons
de fortes rserves sur les consquences de cette rforme pour les citoyens. La
protection dont bnficient les Franais, qu'il s'agisse du droit applicable, des
mcanismes de recours et des dlais de rponse, ne doit pas tre affaiblie.
M. Franois Pillet. - On ne peut que se fliciter que la Commission
cherche renforcer les droits des personnes physiques. Mais aux rserves
exprimes par M. Gorce, j'ajouterai que la loi, mme en Europe, est volatile.
Mme si ce rglement demeure, qui dit que personne ne sera en mesure de
pntrer les dossiers de donnes personnelles ? Voil pourquoi j'aimerais
savoir si la Commission envisage de renforcer les protections technologiques.
- 44 -
Mme Virginie Kls. - J'approuve le souci de simplicit, de cohrence
et de scurit juridique pour les entreprises et les particuliers. Pourtant, je
m'interroge. Vous avez dit que les donnes taient la proprit de l'individu,
mais lequel d'entre nous a lu jusqu'au bout la licence de Google, ou l'alina
disposant que les donnes seront confies un tiers de confiance dont on
ignore la nationalit et quel usage il en fera ?
En ce qui concerne le droit l'oubli, je regrette que l'on n'aille pas
jusqu' imposer la dsindexation des donnes des moteurs de recherche.
A la suite de la runion du G 29 qui a eu lieu hier, il semble que les
Etats auront le droit d'adopter des normes plus contraignantes que la rgle
europenne pour certains traitements particuliers. Lesquels ? Comment cela
s'articulera-t-il avec le droit de recours ?
Vous dites vouloir contraindre les entreprises implantes dans des
pays o il existe des vides juridiques se plier au droit europen, mais ce sera
difficile, faute de moyens pour les conseiller et les contrler.
Enfin, vous prtendez renforcer les autorits nationales, tout en
limitant leur pouvoir de contrle : elles ne pourront plus procder des
contrles prventifs que dans les cas o il existera un motif raisonnable de
supposer l'existence d'activits contraires au rglement.
M. Jean Bizet. - Mme Kls m'a devance. Est-ce l'intense lobbying
auquel vous avez fait face qui vous a conduite ne pas imposer la
dsindexation des donnes par les moteurs de recherche ?
Le projet de rglement ne signe-t-il pas la fin du pouvoir de contrle
prventif des autorits nationales ?
M. Yves Dtraigne. - Au plan des principes, le projet de rglement
va dans le bon sens, mais je m'inquite des difficults auxquelles seront
confronts les citoyens europens pour faire valoir leurs droits. Le droit
l'oubli est trs important l'heure des rseaux sociaux. Or, si l'on n'exige pas
le drfrencement des donnes par les moteurs de recherche, elles
rapparatront un jour ou l'autre. Ne faut-il pas instituer un droit au
drfrencement ?
M. Jean-Paul Amoudry. - Le projet de rglement reconnat les
rgles d'entreprise contraignantes pour encadrer les transferts internationaux
de donnes, les fameuses binding corporate rules (BCR). Mais il prvoit une
drogation, grce laquelle il serait possible de procder des transferts hors
de tout instrument juridique contraignant. Pour quelles raisons ? Pourquoi ne
pas confier au G 29 le pouvoir de dfinir le rfrentiel des BCR ?
Les formalits auxquelles sont soumises les entreprises - dclarations,
demandes d'autorisation... - seront presque supprimes. En contrepartie, ne
faudrait-il pas renforcer les moyens de contrle des rgulateurs ? Certes, la
dsignation d'un correspondant informatique et liberts sera obligatoire, et
- 45 -
des audits de scurit sont prvus. Mais ne pourrait-on charger le G 29 de
certains des actes dlgus et d'excution prvus par le rglement ?
M. Christophe-Andr Frassa. - La Commission a choisi de procder
par voie de rglement sur les matires couvertes par la directive de 1995, par
voie de directive sur les questions de police et de justice qui relevaient
nagure du troisime pilier . Dans ces conditions, ne peut-on craindre que
les rgles relatives la police et la justice soient moins contraignantes que
les autres ? Pourquoi ne pas avoir retenu le mme instrument juridique ?
Je m'inquite aussi des consquences politiques du critre de
l'tablissement principal. Au lieu de construire une Europe transparente et
proche des citoyens, on rend comptentes des autorits parfois installes des
milliers de kilomtres des plaignants, et qui s'expriment dans une autre
langue : cela risque de renforcer l'image technocratique de l'Union. Comment
les citoyens comprendront-ils qu'une entreprise active dans leur pays soit
responsable devant l'autorit d'un autre pays, situ l'autre extrmit du
continent ?
M. Pierre Bernard-Reymond. - M'autorisez-vous, monsieur le
prsident, poser une question hors sujet et me faire le porte-parole de Mme
Sophie Joissains, rapporteur du texte sur le parquet europen ?
M. Jean-Pierre Sueur, prsident de la commission des lois. - Je
vous en prie.
M. Pierre Bernard-Reymond. - Mme Joissains souhaite savoir ce
que pense Mme Reding de la cration d'un parquet europen. Quelles
initiatives compte-t-elle prendre ? Faute d'unanimit au Conseil, ne faudrait-il
pas s'engager sur la voie d'une coopration renforce ? Outre la protection des
intrts financiers de l'Union, ce parquet europen ne pourrait-il tre charg
des infractions transfrontalires les plus graves ?
Mme Viviane Reding. - Je commencerai par rpondre cette
dernire question. Crer un parquet europen est une entreprise extrmement
dlicate, qui n'aboutira pas d'un jour l'autre. On ne saurait dtruire les
parquets nationaux, oeuvres de centaines d'annes. Avant toute chose, je veux
renforcer cet embryon de parquet europen qu'est Eurojust, qui est charg de
faire collaborer les procureurs des diffrents pays. Il faut en faire une machine
qui fonctionne : on est encore loin du compte... L'objectif est de lutter avec
plus de cohrence contre le crime international. Aujourd'hui, les poursuites
s'arrtent trop souvent aux frontires, soit parce que la dfinition des crimes
n'est pas la mme dans le pays voisin, soit parce que l'on rechigne mener des
poursuites l'tranger. Il faut commencer par le commencement, et je dois
m'en tenir aux domaines o les traits me rendent comptente : d'o le projet
de directive prvoyant une dfinition commune du crime et des peines
minimales en matire de protection des intrts financiers de l'Union.
Lentement mais srement, un parquet europen se constituera en cette matire.
- 46 -
Si cela fonctionne, on pourra alors faire le deuxime pas, et viser les
infractions transfrontalires graves.
Serais-je favorable une coopration renforce, s'il n'y avait pas de
cohrence absolue autour d'un tel projet ? Oui, d'autant que je suis l'origine
de la premire coopration renforce, en matire de divorce international.
M. Jean Bizet. - C'est exact.
Mme Viviane Reding. - Pour nous Luxembourgeois, l'Europe est une
question de cohrence. J'essaye d'avoir les 27 bord, mais plutt qu'un texte
au rabais qui rassemble tout le monde, ne vaut-il pas mieux un texte fort, qui
protge l'individu ? Je ne doute pas qu'un bon texte, confirm par la pratique,
aura un effet d'entranement et que les autres nous rejoindront. Dites votre
collgue, monsieur Bernard-Reymond, que la commissaire et son cabinet sont
sa disposition.
M. Pierre Bernard-Reymond, prsident. - Mme Joissains a
d'ailleurs dj rencontr vos collaborateurs.
Mme Viviane Reding. - Pourquoi une directive sur les questions de
scurit, ancien troisime pilier ? La Charte des droits fondamentaux
s'applique : on ne peut avancer en matire de scurit sans prendre en
considration les droits des individus. Il est bon de le rappeler, tant donn
certaines politiques franaises...
Nous ne sommes pas des fonctionnaires, mais des politiques, et
devons toujours tre ralistes, voir ce qui est faisable, donc applicable sur le
terrain. L'ancien troisime pilier est tout sauf dmocratique. L'accord pass
entre les ministres de l'Intrieur n'est plus compatible avec notre droit
fondamental, et devra tre lisbonnis , si je peux utiliser ce terme, comme
tous les accords passs entre quatre murs par les ministres. Plutt que de les
transformer automatiquement, je prfre les reprendre et les adapter. Ce texte,
je le lisbonnise en le dveloppant, d'une part pour y inclure les droits
confrs par les traits et par la Charte, d'autre part pour appliquer la rgle non
seulement aux transfrontaliers mais aussi l'intrieur des tats. Nous allons
donc dj loin, mais il faut aussi laisser aux gouvernements une certaine
latitude pour prendre en compte les spcificits qui leur sont propres.
J'en viens au rglement. Je ne discute pas seulement avec les
Franais, qui ont le meilleur systme au monde, mais aussi avec les autres -
qui ont chacun le meilleur systme au monde... De tous ces meilleurs systmes
au monde, il s'agit de faire un systme europen.
M. Gatan Gorce. - Pour cela, il faut la meilleure Commission au
monde !
Mme Viviane Reding. - Vous l'avez.
J'ai dcid de retenir les lments les plus protecteurs des meilleurs
systmes, car je veux une harmonisation vers le haut. Je suis sre que le
Parlement europen m'aidera rester ce niveau, sinon le dpasser. Je
- 47 -
solliciterai l'aide des parlements nationaux pour qu'ils freinent les
gouvernements, qui voudront srement, eux, un texte moins fort. Avis aux
amateurs... aprs les lgislatives ?
Les procdures seront-elles plus drastiques l'avenir, ou moins ? Cela
fait deux ans que je travaille ce texte. Nous avons men des consultations
publiques, beaucoup discut avec les parlements nationaux. Aboutir un
systme commun sera une vraie avance.
La dfinition de l'tablissement principal figure dans le considrant
27. Si elle ne vous parat pas assez forte, qu'on la renforce. J'accueille toutes
les bonnes ides, et le Parlement europen a annonc qu'il collaborerait avec
les parlements nationaux. Je ferai d'ailleurs part aux rapporteurs de mes
runions avec les parlements nationaux, car il faut clarifier les choses et
apaiser les craintes de ceux qui redoutent de voir leur systme affaibli.
Pas assez de simplification, dites-vous ? D'autres trouvent qu'il y en a
trop ! Les experts indpendants ont estim que les simplifications que je mets
sur la table reprsentent 2,3 milliards d'conomies pour nos entreprises.
M. Gatan Gorce. - Je parlais des citoyens.
Mme Viviane Reding. - Je vous ai cit l'exemple concret de
l'tudiant autrichien. Aujourd'hui, pas de sanction, pas de moyen de forcer une
entreprise agir, le march est morcel. Les entreprises europennes du Net et
des rseaux sociaux - elles existent - peinent survivre, m'ont-elles dit, car
leurs concurrents ne sont pas soumis aux mmes rgles. Cette concurrence
dloyale empche nos entreprises europennes de crotre. Le mme droit doit
s'appliquer tous ceux qui s'adressent des citoyens europens sur le march
europen ; pas question que certains continuent d'chapper aux rgles.
La loi est volatile, elle peut changer, dites-vous. C'est plutt
l'interprtation de la loi qui est changeante ! J'ai t parlementaire au
Luxembourg pendant dix ans, assez longtemps pour voir une loi dont j'tais
rapporteur transforme par les juges et les avocats. La loi est plus difficile
changer quand elle couvre tout le territoire europen et doit tre applique par
toutes les autorits nationales, sous le contrle l'une de l'autre. En cas de
problme, la Cour de Justice europenne interprte, dans le sens du droit
fondamental et des citoyens. Heureusement que nous l'avons !
Loin de limiter le contrle exerc par les rgulateurs nationaux, le
rglement leur donne des dents pour mordre. Les trois niveaux de sanctions
prvus vont trs loin. Si le rgulateur national les applique, cela va faire mal ;
on lui donne un pouvoir semblable celui qui existe en matire de
concurrence. Les rgulateurs pourront intervenir de leur propre chef. Nous
avons limin certaines notifications inutiles. Les Luxembourgeois ont les
deux pieds sur terre, et n'aiment gure le bavardage et la paperasserie inutile.
M. Gatan Gorce. - En tant que parlementaire franais, je ne peux
laisser suggrer que les Franais n'ont d'autre souci que d'accrotre la
paperasserie et maintenir un systme qu'ils considreraient comme le meilleur
- 48 -
au monde ! On peut dbattre de ce sujet courtoisement, avec ironie, mais avec
le respect d une assemble parlementaire franaise.
Mme Viviane Reding. - Monsieur le prsident, je ne me permettrais
jamais de manquer de respect aux parlementaires franais.
M. Jean-Pierre Sueur, prsident de la commission des lois. -
M. Gorce parle avec sa spontanit habituelle. Continuons dialoguer
sereinement.
Mme Viviane Reding. - J'ai donc, disais-je, limin les notifications
qui me paraissaient inutiles, mais renforc les moyens des autorits. Si le
Parlement europen estime qu'il faut rtablir ces notifications, soit : je suis
entre les mains des dcideurs, c'est--dire du Parlement europen et du Conseil
des ministres. Je ne fais que des propositions.
J'ai galement exempt les PME de beaucoup de rgles
administratives que je trouve inutiles, en retenant la dfinition habituelle des
textes europens, soit une entreprise de moins de 250 collaborateurs. Aux
lgislateurs de dcider s'ils m'accompagnent dans cette voie ou non. Les
jeunes inventeurs, les crateurs de start up peinent se dvelopper en Europe.
Sans les exonrer du respect des valeurs, j'essaye de leur viter la paperasserie.
Le G 29 est fortement renforc ; dsormais dot d'une cohrence, il
pourra influencer les autres rgulateurs dans un cadre commun. S'il voit un
problme merger, il pourra initier un processus de cohrence pour le clarifier
et le rsoudre.
Sur le droit au drfrencement, attention : la plupart des grands
moteurs de recherche prtendent que le droit l'oubli ne serait techniquement
pas possible. Nos experts pensent que si. Les citoyens doivent savoir que leurs
donnes peuvent circuler, tre vendues des tiers. Dans certains pays, les
donnes relatives au permis de conduire seraient vendues des socits
commerciales ! Pour assurer la transparence, point n'est besoin de soixante
pages en petits caractres, mais d'une information claire et prcise. Si des
adultes dcident de laisser filer, soit : c'est leur responsabilit. J'ai en revanche
prvu des protections accrues pour les enfants, en-de de treize ans. J'aimerai
connatre l'avis des lus du peuple franais sur ce seuil ; ceux qui sont parents
auront sans doute une opinion. En 2009, tous les grands rseaux sociaux
avaient sign un accord stipulant que les profils des enfants seraient
automatiquement secrets. Trois semaines plus tard, Facebook faisait le
contraire... Cette fois-ci, il faudra tre trs contraignant, et faire appliquer la
loi sur tout le territoire europen. Cette rglementation vise faire de nous un
Goliath, capable d'affronter d'autres Goliath. C'est pourquoi certains ont voulu
la freiner. Elle est dsormais sur la table : aux lus des peuples de voir ce
qu'ils veulent en faire. La Commission est l pour les accompagner. Je me
rjouis de vous voir collaborer avec les rapporteurs du Parlement europen.
- 49 -
M. Jean Bizet. - Je n'ai pas entendu votre rponse sur les contrles
prventifs. Sur le droit l'oubli, il faut tre trs coercitif : Google, rien
d'impossible !
M. Jean-Paul Amoudry. - Vous ne m'avez pas rpondu sur le G29 et
les actes additifs. Je ne doute pas que la rgle sera pousse l'optimum, mais
sera-t-il nanmoins possible pour un tat de renforcer la protection au-del de
ce que prvoira le dispositif europen ?
Mme Viviane Reding. - Oui, les autorits peuvent intervenir de leur
propre chef. J'ai limin la paperasserie qui me paraissait inutile. Le G 29
pourra initier un processus de cohrence pour clarifier et rsoudre tout
problme qui se poserait. Ses moyens d'action seront renforcs, et il sera
quip en consquence, au lieu de devoir compter sur des lments dtachs
par les autorits nationales.
Non, il n'y aura pas de niveaux de protection diffrents. C'est
l'essence mme d'un rglement : une loi identique pour tout le territoire de
l'Union europenne. J'ai retenu les rgles les plus protectrices des systmes
existants. Un rglement ne rgle toutefois pas tous les dtails, d'o la
possibilit d'actes dlgus, par exemple pour prendre en compte les
volutions technologiques. Nous verrons o ces actes dlgus seront
ncessaires pour profiter de la flexibilit, ou si le lgislateur prfrera fixer les
choses une fois pour toutes. Je suis entre les mains des parlementaires et des
ministres. J'ai propos une vision, il peut y avoir des volutions au fil des
travaux parlementaires.
M. Jean-Pierre Sueur, prsident de la commission des lois. - Je
remercie Mme la commissaire pour le soin qu'elle a pris de rpondre toutes
les questions.
europennes. - Merci. Vous avez dit tre entre nos mains, madame la
commissaire. Nous avons plutt le sentiment d'tre entre les vtres.... Nos
interrogations demeurent. L'harmonisation qu'apporte le rglement est
bienvenue, comme le sont de nombreux points, notamment sur le droit
l'oubli. Mais une cinquantaine d'actes dlgus, c'est beaucoup, et cela prendra
du temps... Esprons que le travail en commun avec le Parlement europen et
les parlementaires nationaux permettra d'en rduire le nombre.
Sur le guichet unique, nos interrogations demeurent. Sans prtendre
que notre systme est le meilleur, il n'est pas mauvais, mme s'il peut tre
amlior. Nous redoutons une harmonisation vers le bas. Si l'arbre est tordu
d'un ct, il faut le tordre de l'autre pour le rendre droit, dit un proverbe
chinois !
L'laboration de ce texte va prendre du temps. Nous dfinirons une
premire position le 6 mars, en sance publique. Nous souhaitons ensuite
continuer changer avec vous pour aboutir une bonne lgislation. Merci
encore d'tre venue Paris. (Applaudissements)
- 51 -
ANNEXE 2
COMPTE RENDU DE LA RUNION DU 22 FVRIER 2012
_______

M. Jean-Pierre Sueur, prsident. - L'audition de Mme Viviane
Reding, hier, tait peut-tre un peu absconse, et la question de la protection
des donnes personnelles est difficile, mais nous allons profiter des lumires
de M. Sutour. Nous aurons d'ailleurs l'occasion de reparler des projets de la
Commission europenne, qui devraient faire l'objet de ngociations assez
longues. Notre commission et celle des affaires europennes ont rserv
l'inscription d'un dbat sur la prsente proposition de rsolution europenne
l'ordre du jour de la sance publique du 6 mars.
M. Simon Sutour, rapporteur. - Le sujet est particulirement
important. Jusqu'ici, la protection des donnes personnelles tait rgie au
niveau europen par une directive de 1995 et une dcision-cadre de 2008. Les
choses ont beaucoup volu depuis leur entre en vigueur, avec le
dveloppement d'Internet, et il faut modifier la lgislation. La Commission a
choisi de procder par voie de rglement sur les matires couvertes par la
directive de 1995, et par voie de directive sur celles couvertes par la dcision-
cadre de 2008. Or un rglement est d'application directe, et ne se transpose pas
dans la lgislation nationale : les Parlements nationaux n'auront donc pas
dbattre de ce texte aprs son adoption.
Voil pourquoi notre commission s'est saisie, ds le 8 fvrier dernier,
des deux propositions de textes, sur le fondement de l'article 73 quinquies du
Rglement du Snat. La commission des affaires europennes s'en est saisie
pour avis, et les examinera aussi sous l'angle de la subsidiarit. Ces deux
textes, prsents par la Commission europenne le 25 janvier, devront tre
adopts selon la procdure lgislative ordinaire, c'est--dire par codcision
entre le Parlement europen et le Conseil de l'Union europenne - la
gnralisation de cette procdure reprsentant un grand progrs. Les
ngociations, d'aprs le Secrtariat gnral aux affaires europennes, devraient
durer deux ou trois ans, mais Mme Reding est un peu plus optimiste.
Jusqu'ici, je l'ai dit, le socle du droit europen de la protection des
donnes personnelles tait constitu par la directive du 24 octobre 1995,
relative aux fichiers civils et commerciaux, et par la dcision-cadre du
27 novembre 2008, qui porte sur les fichiers dits de souverainet , utiliss
notamment dans le cadre de procdures pnales. La proposition de rsolution
que je vous soumets ne concerne que la proposition de rglement relatif aux
fichiers civils ou commerciaux, destine se substituer la directive de 1995,
car les problmes poss par la proposition de directive sont trs diffrents, et il
tait difficile d'aborder les deux textes de front dans le dlai imparti. Le
- 52 -
second pourra faire l'objet ultrieurement d'un examen plus approfondi par nos
deux commissions.
Trs largement inspire de la lgislation franaise, pionnire en la
matire, la directive de 1995 a marqu en son temps une avance dcisive.
Cependant, de l'avis gnral, il est aujourd'hui ncessaire de franchir une
nouvelle tape. Car cette directive n'a pas permis une harmonisation suffisante
de la protection des donnes personnelles dans les Etats membres : ainsi,
jusqu'en 2011, l'autorit de contrle britannique ne disposait d'aucun pouvoir
de sanction contre les responsables de traitements. En outre, la mondialisation
a multipli les transferts de donnes avec des Etats tiers, et il convient d'unir
nos forces pour imposer aux Etats non europens le respect de certaines rgles.
Enfin, la directive de 1995 est obsolte : la rvolution des nouvelles
technologies, l'explosion d'Internet, la multiplication et la place toujours plus
importante des rseaux sociaux, l'indexation massive des contenus publis en
ligne accroissent considrablement le volume des donnes personnelles
collectes et changes, ainsi que les possibilits de consultation ou
d'exploitation, notamment des fins commerciales.
La Commission europenne a appel, dans une communication de
novembre 2010, une approche globale du problme, et la proposition de
rglement est l'aboutissement de ses travaux. Ce texte renforce sensiblement la
protection des personnes. Il impose leur consentement exprs l'utilisation des
donnes qui les concernent. Il reconnat aux internautes un droit la
portabilit de leurs donnes, grce auquel ils pourront s'affranchir de
l'autorit de traitement sans perdre l'usage de leurs donnes. Il raffirme le
droit d'opposition de chacun au traitement de ses donnes personnelles et
encadre strictement la possibilit pour les responsables de traitement de
soumettre les donnes recueillies un profilage informatique. Il consacre
un droit l'oubli numrique, en permettant chacun d'obtenir l'effacement des
donnes personnelles qui lui portent prjudice.
Les fichiers seraient soumis de nouvelles rgles d'autorisation ; les
plus sensibles devraient faire l'objet d'une tude d'impact. La rglementation
relative au transfert de donnes vers des pays tiers serait modifie.
Les responsables de traitement se verraient imposer des obligations
nouvelles, comme la dsignation d'un dlgu la protection des donnes dans
les entreprises de plus de 250 salaris, et les sanctions contre les entreprises
contrevenantes seraient renforces. La proposition de rglement adapte aussi
le systme de contrle des responsables de traitement en crant un comit
europen de la protection des donnes, auquel serait associ le Contrleur
europen de la protection des donnes, qui se substituerait l'actuel groupe de
travail runissant les Cnil europennes, dit G 29 .
On doit se fliciter de ces propositions. Certaines de ces mesures sont
dj en vigueur dans notre droit, comme l'exigence du consentement exprs, le
droit d'opposition ou de rectification, ou encore l'indpendance et les pouvoirs
de l'autorit de contrle. Sous d'autres aspects, le texte consacre des volutions
- 53 -
attendues. Je rends hommage nos collgues Yves Dtraigne et Anne-Marie
Escoffier qui, dans leur rapport d'information sur la vie prive l'heure du
numrique, puis dans leur proposition de loi rapporte par Christian Cointat,
suggraient dj de reconnatre le droit l'oubli et d'imposer la dsignation de
dlgus la protection des donnes. Regrettons que cette proposition de loi,
adopte l'unanimit par le Snat il y a prs de deux ans, n'ait jamais t
examine par l'Assemble nationale...
Sur d'autres points, il serait possible d'aller plus loin, comme sur le
droit l'oubli et les moteurs de recherche, le statut juridique de l'adresse IP,
l'encadrement des transferts internationaux de donnes, ou encore l'obligation
de dsigner un dlgu la protection des donnes personnelles.
Surtout, la proposition de rglement pose deux questions de principe.
On se demande d'abord dans quelle mesure le lgislateur national pourra
adopter des dispositions plus protectrices que le droit europen. La
Commission a fait le choix d'un rglement plutt que d'une directive, afin de
mieux harmoniser les lgislations. Mais s'agira-t-il d'un plancher ou d'un
plafond ? Peut-on envisager qu'en levant le niveau moyen de protection
apport aux citoyens europens, le rglement diminue celui dont bnficient
les rsidents d'un Etat membre qui a fait le choix de garanties
complmentaires ? La question intresse tout particulirement les Franais, qui
bnficient d'une lgislation pionnire en la matire.
La protection des donnes personnelles participe de la protection de la
vie prive, que le Conseil constitutionnel rattache la libert individuelle,
mentionne l'article 2 de la Dclaration des droits de 1'homme et du citoyen.
Cet ancrage constitutionnel justifie que la protection des donnes prime toutes
les autres considrations, notamment les considrations conomiques que la
Commission europenne met en avant pour limiter les garanties apportes aux
personnes. J'ai t un peu choqu d'entendre Mme Reding insister hier sur
l'intrt pour les entreprises d'avoir affaire un interlocuteur unique, beaucoup
plus que sur les droits des citoyens.
M. Pierre-Yves Collombat. - C'est le cadet de ses soucis...
M. Simon Sutour, rapporteur. - La proposition de rsolution invite
donc le Gouvernement franais veiller ce que 1'harmonisation s'effectue
sans prjudice de la possibilit pour les Etats membres d'adopter des
dispositions plus favorables la protection des donnes.
D'ailleurs, la proposition de rglement ne dfinit pas assez
prcisment le cadre lgal qu'elle met en place. Cela se manifeste par le
renvoi, plus de cinquante fois dans le texte, des actes dlgus ou
d'excution adopts par le collge des commissaires, pour prciser les
modalits d'application du rglement. Toutes les personnes que j'ai entendues
ont critiqu ce renvoi massif la lgislation dlgue. La commission des
affaires europennes se prononcera sur le respect du principe de subsidiarit,
sur le fondement de l'article 88-6 de la Constitution.
- 54 -
Le texte pose une deuxime question de principe, souleve
notamment par la Cnil dont la prsidente a alert notre commission lors de son
audition en novembre dernier. Il s'agit du guichet unique . La Commission
europenne propose d'attribuer la comptence pour instruire les requtes des
citoyens europens l'autorit de contrle du pays dans lequel le responsable
de traitement a son principal tablissement . L'objectif avou est de faciliter
les dmarches administratives des entreprises, qui n'auront plus qu'un
interlocuteur unique l'chelle de l'Union ; leurs reprsentants s'en flicitent.
N'est-il pas paradoxal que les citoyens soient moins bien traits que les
entreprises, et privs de la possibilit de voir l'ensemble de leur plaintes
instruites par l'autorit de contrle nationale ? Puisqu'il s'agit ici de protger
les citoyens et de leur assurer un droit de recours effectif, il faut - comme en
matire de consommation - qu'ils puissent s'adresser l'autorit la plus proche,
auprs de laquelle ils ont l'habitude d'accomplir leurs dmarches.
En outre, sans mme voquer le risque de forum shopping dnonc
par la Cnil - c'est--dire le danger que le niveau de protection assur par les
diffrentes autorits nationales n'influe sur les choix d'installation des
entreprises -, le guichet unique prsente de multiples inconvnients. La
question se pose d'abord des moyens des autorits de contrle : en Irlande, o
est install Facebook, l'autorit nationale sera-t-elle en mesure de faire face
l'afflux de contentieux en provenance des autres pays europens ? Rappelons
que l'Irlande ne compte que 4,5 millions d'habitants... En outre, ce systme
cre, pour le plaignant, une asymtrie entre les recours administratifs exercs
auprs de l'autorit trangre, et les recours juridictionnels ports devant le
juge national.
La Commission a certes prvu des amnagements : elle propose une
coordination entre autorits de contrle, et prvoit que l'autorit nationale se
chargera de la transmission de la plainte l'autorit trangre. La Cnil
deviendrait une bote aux lettres... Ces expdients sont insuffisants : le citoyen
se voit priv de la possibilit la fois de voir sa demande instruite par
l'autorit la plus proche et la plus accessible, et de se voir appliquer les
dispositions de droit national plus favorables.
C'est pourquoi il me semble ncessaire que le Gouvernement veille
ce que le critre du principal tablissement soit abandonn au profit du
principe selon lequel l'autorit de contrle comptente est celle du pays de
rsidence de l'intress.
Tel est le sens de la proposition de rsolution que je vous propose
d'adopter, sous rserve d'ventuels amendements. La commission des affaires
europennes s'en saisira pour avis, aprs s'tre saisie du projet de la
Commission europenne quant au respect du principe de subsidiarit. La
discussion en sance aura lieu le 6 mars.
M. Jean-Pierre Sueur, prsident. - Je me flicite que la commission
se soit saisie de ces deux textes fort importants. Je m'interroge en particulier
sur deux points. Tout d'abord, s'il faut se rjouir que le projet de la
- 55 -
Commission europenne reconnaisse que les donnes sont la proprit des
personnes, exige leur consentement exprs aux utilisations qui en seront faites
et impose le droit l'oubli, on se demande comment ces dispositions seront
appliques. Comment un citoyen pourra-t-il obtenir la suppression de telle ou
telle donne sur l'ensemble de l'Internet ?
Sur le critre du principal tablissement , qui inquite la prsidente
de la Cnil, nous n'avons pas obtenu hier de rponse claire. Mme Reding a dit
et rpt que le droit le plus exigeant s'appliquerait dsormais dans toute
l'Union, mais lorsque nous l'avons interroge sur des problmes concrets, nous
sommes rests sur notre faim.
M. Simon Sutour, rapporteur. - Elle a dit plus exactement avoir pris
pour base de rflexion la lgislation en vigueur dans quelques pays parmi les
plus avancs. L o les donnes personnelles taient jusqu' prsent trs mal
protges, comme au Royaume-Uni, le projet de la Commission europenne
reprsente un progrs considrable. En France, mme si notre systme est
perfectible et les moyens de la Cnil insuffisants, l'harmonisation propose se
traduirait par une baisse du niveau de protection.
M. Gatan Gorce. - Je suis moi aussi trs satisfait que nos deux
commissions se soient saisies de ce sujet trs proccupant, sur lequel le
Parlement franais doit s'exprimer ds prsent puisque le rglement ne
donnera lieu aucune transposition. Mme Reding a beau s'exprimer dans un
franais parfait, je ne l'ai pas trouve parfaitement claire lors de son audition
d'hier. Elle a sembl mconnatre certains aspects du droit existant : je ne sais
si un tudiant autrichien ayant affaire Facebook doit dj s'adresser au
rgulateur irlandais, mais il est certain qu'un tudiant franais peut se tourner
vers la Cnil, qui a le pouvoir de sanctionner une entreprise contrevenante et
s'est dj prononce sur une affaire concernant Google Earth. Mme Reding n'a
pas non plus clarifi la notion de principal tablissement , dont l'ambigut
est matire contentieux. Son objectif affich est d'harmoniser le droit
europen, mais elle ne prend pas en compte les diffrences de niveau de
protection d'un Etat l'autre.
Quant la suppression des formalits pralables demandes aux
entreprises, j'en vois bien l'intrt pour ces dernires, mais il me parat
inadmissible de parler de paperasserie : ce mot, je suis sorti de ma
rserve, sans manquer, je crois, la courtoisie... Ces formalits pralables sont
l'occasion d'un contrle a priori, mme sommaire ; l'avenir, seul pourrait
s'exercer un contrle a posteriori, par voie contentieuse... Ce serait un recul de
la protection des citoyens.
M. Pierre-Yves Collombat. - Les dbats rcents sur la protection de
l'identit ont montr que les moyens techniques taient au moins aussi
ncessaires que les moyens juridiques. Pourquoi ne pas exiger que, lorsque
deux techniques sont disponibles, la plus protectrice des droits individuels soit
choisie ? Cela offrirait un moyen de contester les dcisions des responsables
de traitements.
- 56 -
M. Jean-Jacques Hyest. - Je comprends de moins en moins la
fabrication des normes europennes. Nous avons appris dans notre jeunesse
distinguer les rglements, d'application immdiate, et les directives, qui
doivent tre transposes en droit interne. Or, selon la proposition de
rsolution, l'harmonisation europenne ne saurait priver les Etats membres
de la possibilit d'adopter des dispositions nationales plus protectrices . Mais
un rglement, une fois adopt, devient la loi de toute l'Union ! Il en va
diffremment des directives, que nous avons souvent transposes avec
beaucoup de sophistication... Sera-t-il juridiquement possible d'ajouter au
rglement d'autres dispositions, nationales celles-ci ? Sans doute faut-il
soulever la question de la subsidiarit.
M. Simon Sutour, rapporteur. - La commission des affaires
europennes l'a fait.
M. Jean-Jacques Hyest. - La directive de 1995 est devenue obsolte,
et le projet de la Commission europenne prsente d'incontestables progrs ; il
reprend les principes qui fondent dj la lgislation de quelques autres pays
avancs, dont le ntre. Mais l'harmonisation se traduirait en France par un
recul. En outre, on peut se demander si les recours prvus seront efficaces.
M. Simon Sutour, rapporteur. - Si M. le prsident le permet, je
rponds tout de suite cette question technique. Il sera permis un Etat
d'adopter des dispositions plus protectrices si le rglement le prvoit
explicitement, comme c'est le cas en droit de la consommation.
M. Jean-Jacques Hyest. - Ou en droit des socits.
M. Simon Sutour, rapporteur. - Nous parlons d'un texte lgislatif
europen, qui doit tre ngoci entre 27, bientt 28 Etats membres : nous
sommes au dbut d'un processus long et complexe, qu'un ancien Premier
ministre appelait une partie de pancrace... Le Parlement europen dsignera
bientt un rapporteur. Le Snat doit contribuer ce dbat, et demander ce
que soient prserves les garanties apportes par le droit franais.
Mme Virginie Kls. - Je me pose les mmes questions sur le respect
du principe de subsidiarit et la scurit juridique du dispositif propos.
Quelles seront concrtement les voies de recours ? Je n'ai pas eu de rponse
hier sur les contrles prventifs : la Cnil y est aujourd'hui habilite, mais le
rglement restreint ces possibilits. Enfin, le nivellement par le haut ne sera
qu'un voeu pieux si l'on n'y met pas les moyens ncessaires.
M. Alain Richard. - Le choix du rglement par la Commission
europenne peut surprendre et gner ; il ne se comprend que si l'on considre
le bilan des directives passes. L'harmonisation des lgislations nationales par
voie de directive s'est grippe. La transposition des textes donne lieu un
concours d'ingniosit entre Parlements : c'est qui transposera le moins
compltement et le plus tard. Les moyens disponibles pour imposer aux Etats
le respect de leurs obligations - action en manquement, astreinte sous le
contrle de la Cour de justice - ne sont pas proportionns. Ce n'est donc pas
- 57 -
par malignit bureaucratique que la Commission a choisi de procder
diffremment.
Cependant, la remarque de M. Hyest est tout fait pertinente. Certes,
comme le souligne M. le rapporteur, en droit interne franais il n'est jamais
interdit d'ajouter des dispositions protectrices des liberts d'autres
dispositions plus protectrices. Mais il faut tenir compte du risque de
discrimination l'envers : les entreprises seraient soumises en France des
contraintes suprieures au droit commun europen. Or le principe de la libre
prestation de services s'applique. L'obligation asymtrique impose aux
prestataires de services en France pourrait donner lieu l'invocation d'une
discrimination.
Je ne combats pas le choix de la Commission, rendu ncessaire par le
fait que certains Etats rpugnent transposer correctement les textes
europens, pourtant adopts rgulirement, en application des traits qu'ils ont
signs. Dans ces conditions, il y a fort parier que le choix du rglement se
gnralisera.
Mme Catherine Tasca. - Je souscris pour l'essentiel la proposition
de rsolution de M. Sutour, et aux remarques qui ont t faites. La prochaine
tape sera d'examiner dans quelle mesure le projet de la Commission respecte
le principe de subsidiarit. Ce texte suscite de telles inquitudes que nous
devons nous dpartir des formules habituelles : au lieu d'crire que le Snat
se flicite des notables avances que porte la proposition de rglement ,
crivons plus simplement que le Snat prend acte des avances . Il n'y a pas
de raison d'adresser d'emble un satisfecit la Commission.
M. Yves Dtraigne. - Je salue l'initiative de M. Sutour. Il a rappel
les travaux mens par Mme Escoffier et moi-mme. Il faut prserver les
protections apportes par le droit franais, sans rendre pour autant le systme
trop contraignant. Il est important d'amliorer les garanties apportes aux
citoyens ; Mme Reding a surtout parl des 2,3 milliards conomiss par les
entreprises. Le droit l'oubli est une excellente chose, ainsi que l'obligation de
notification des failles de scurit, mais il faut s'assurer que les citoyens
pourront aisment faire valoir leurs droits, en s'adressant au rgulateur de leur
pays. Prenons garde, toutefois, aux contraintes excessives.
M. Jean-Paul Amoudry. - Je m'inquite de la rduction des pouvoirs
de contrle des autorits nationales. L'article 53 de la proposition de rglement
ne les autorise procder des contrles dans les locaux des entreprises que
s'il existe un motif raisonnable de supposer qu'il s'y exerce une activit
contraire au rglement : cette condition limitera leur activit et provoquera
des contentieux.
Je me rjouis que soit institu un droit l'oubli, mais la Commission
n'est pas alle jusqu' imposer la dsindexation des donnes par les moteurs de
recherche.
- 58 -
On peut aussi se fliciter de la simplification des dmarches des
entreprises, mais la fin des formalits pralables privera les autorits de
contrle d'un contact permanent avec les responsables de traitement, et ne leur
permettra pas d'tre au fait des dernires avances technologiques. En cas de
plainte, cette expertise leur fera dfaut.
Il faudrait valuer l'impact de ce projet sur les droits des citoyens. La
Cnil sera-t-elle encore en mesure de remplir les missions qui lui ont t
confies par le lgislateur franais ?
Mme Nicole Borvo Cohen-Seat. - Le groupe CRC n'est pas vraiment
d'accord avec la proposition de rsolution en l'tat. Jusqu' quand pouvons-
nous vous faire parvenir nos amendements ?
M. Jean-Pierre Sueur, prsident. - En application de l'article 73
quinquies du Rglement du Snat, nous allons adopter aujourd'hui une
premire fois cette proposition de rsolution. Nous examinerons mercredi
prochain les ventuels amendements, qui devront tre dposs avant lundi
midi.
M. Simon Sutour, rapporteur. - Je ne rpondrai pas dans le dtail
chaque intervention, parce qu'il me manque certains lments, et parce que
nous aurons l'occasion de revenir sur ce texte.
Les autorits nationales conservent un pouvoir de contrle : l'article
52 de la proposition de rglement les autorise mener des enqutes, soit de
leur propre initiative, soit la suite d'une rclamation.
Ce texte est d'une taille imposante, et si nous voulons tre audibles, il
n'est pas question de le rcrire entirement. C'est pourquoi j'ai concentr le tir
sur deux points. En premier lieu, il faut revoir le critre du principal
tablissement , afin qu'un citoyen franais n'ait pas s'adresser l'autorit de
Dublin ; la Cnil a fait ses preuves, et c'est un chelon de proximit. La
ngociation sera difficile, car nous ne sommes pas nombreux rclamer une
modification de la proposition sur ce point ; peu d'Etats, il est vrai, se sont
dots d'une lgislation aussi protectrice.
En second lieu, il faut s'assurer que les Etats auront le droit d'adopter
des dispositions plus protectrices que la norme europenne ; c'est possible, je
le rpte, si le rglement le prvoit expressment.
La commission des affaires europennes se prononcera notamment
sur le respect du principe de subsidiarit. Elle a mis en place sous ma
prsidence un groupe de travail ce sujet, o sont reprsents tous les groupes
politiques et qui se runit tous les quinze jours. Il a dcid la semaine dernire
de se saisir de ce texte.
M. Jean-Pierre Sueur, prsident. - Je vous propose d'adopter la
proposition de rsolution de M. Sutour, en la rectifiant d'ores et dj pour
prendre en compte la remarque de Mme Tasca.
La proposition de rsolution, modifie, est adopte.
- 59 -
ANNEXE 3
LISTE DES PERSONNES ENTENDUES
_______

- Mme Anne-Marie Escoffier, snateur
- M. Yves Dtraigne, snateur

Ministre de la justice et des liberts
- M. Emmanuel Meyer, conseiller juridictions administratives et questions
constitutionnelles
- M. Vincent Droulle, premier conseiller des tribunaux administratifs et cours
administratives d'appel
- Mme Marjorie Bruneau

Secrtariat gnral des affaires europennes
- M. Emmanuel Barbe, secrtaire gnral adjoint
- M. Laurent Huet, chef de secteur Espace judiciaire europen
- Mme milie Brunet, adjointe chef de secteur
- M. Michal Chaussard, adjoint auprs du conseiller juridique

Commission nationale informatique et libert
- Mme Isabelle Falque-Pierrotin, prsidente
- M. douard Geffray, directeur des affaires juridiques, internationales et de
lexpertise
- M. Geoffroy Sigrist, attach parlementaire

Association franaise des correspondants la protection des donnes
caractre personnel
- M. Paul-Olivier Gibert, prsident
- Mme Pascale Gelly, administrateur

Association Imaginons un rseau internet solidaire
- Mme Meryem Marzouki, prsidente

- 60 -
UFC Que choisir
- M. douard Barreiro, directeur adjoint du dpartement des tudes
- Mme Karine de Crescenzo, charge de mission Europe

Mouvement des entreprises de France (MEDEF)
- M. Marc Lolivier, dlgu gnral de la Fdration du e.commerce et de la
vente distance
- Mme Jolle Simon, directrice des affaires juridiques
- Mme milie Dumrain, charge de mission
- Mme Ophlie Dujarric, charge de mission

Fdration franaise des Tlcoms
- Mme Natalie Jouen Arzur, directrice gnrale adjointe
- M. Philippe Tatoud, directeur juridique France Tlcom

Microsoft France
- M. Marc Moss, directeur des affaires publiques et juridiques

- 61 -

TABLEAU COMPARATIF
___

Texte de la proposition de rsolution
___

Texte adopt par la commission
___

Le Snat, (Alina sans modification).
Vu larticle 88-4 de la Constitution, (Alina sans modification).
Vu larticle 2 de la Dclaration des droits de lhomme
et du citoyen,
(Alina sans modification).
Vu le trait sur le fonctionnement de lUnion euro-
penne, notamment son article 16,
Vu la charte des droits fondamentaux de lUnion eu-
ropenne, notamment ses articles 7 et 8,
Vu la loi n 78-17 du 6 janvier 1978 relative
linformatique, aux fichiers et aux liberts modifie par la loi
n 2004-801 du 6 aot 2004 relative la protection des per-
sonnes physiques lgard des traitements de donnes ca-
ractre personnel,
Vu la proposition de loi de M. Yves DTRAIGNE et
Mme Anne-Marie ESCOFFIER (n 81, 2009-2010) visant
mieux garantir le droit la vie prive lheure du numrique,
adopte par le Snat le 23 mars 2010,
Vu le rapport dinformation de M. Yves DTRAI-
GNE et Mme Anne-Marie ESCOFFIER (n 441, 2008-2009)
au nom de la commission des lois du Snat sur La vie pri-
ve lheure des mmoires numriques : pour une confiance
renforce entre citoyens et socit de linformation ,
Vu la proposition de rglement relatif la protection
des personnes physiques lgard du traitement des donnes
caractre personnel et la libre circulation de ces donnes
(COM [2012] 11 final/n E 7055) en date du 27 janvier 2012,
Approuve lobjectif poursuivi par la Commission eu-
ropenne, en ce quelle souhaite promouvoir une approche
globale de la protection des donnes personnelles, qui repose
sur une harmonisation des rgles applicables sur le territoire
de lUnion europenne et dans les relations entre les tats
membres et les pays tiers ;
Prend acte des avances que porte la proposition de
rglement sagissant, entre autres, de la promotion du droit
loubli numrique, de la conscration du principe du consen-
tement exprs lutilisation des donnes personnelles, de
lobligation de portabilit des donnes personnelles, qui per-
mettra une personne de saffranchir dun responsable de
traitement sans perdre lusage de ses donnes, des limitations
apportes aux possibilits de profilage partir de ses donnes
personnelles, de la prsence obligatoire dun dlgu la pro-
tection des donnes dans les entreprises de plus de 250 sala-
ris ou de lencadrement, notamment par des rgles dentre-
prise contraignantes, des transferts internationaux de
- 62 -

___

___

donnes ;
Estime, toutefois, que ces garanties doivent tre ren-
forces ;
En particulier ; (Alina sans modification).
Appelle, sagissant du droit loubli, ce que les obli-
gations pesant sur les moteurs de recherche soient renforces
afin dune part de prvoir leffacement automatique des
contenus indexs au bout dun dlai maximum, et, dautre
part, de permettre lintress dobtenir la dsindexation de
ceux qui lui portent prjudice ;
Juge ncessaire quune solution quilibre soit propo-
se pour obtenir, sur demande de lintress, leffacement des
donnes personnelles publies par un tiers, dans le respect de
la libert dexpression ;
Souligne la ncessit que ladresse IP (Internet Proto-
col) soit traite comme une donne personnelle lorsquelle est
utilise pour identifier la personne concerne ;
Regrette les drogations aux obligations pesant sur les
responsables de traitement en matire de transferts internatio-
naux de donnes, sagissant notamment des transferts ni fr-
quents ni massifs ;
Estime inopportune les drogations aux obligations
pesant sur les responsables de traitement en matire de trans-
ferts internationaux de donnes, sagissant notamment des
transferts ni frquents ni massifs ;
Considre que lobligation de dsignation dun dl-
gu la protection des donnes pourrait tre tendue aux en-
treprises dont la principale activit est celle du traitement de
donnes personnelles ;
Estime en outre, de manire gnrale, que, sagissant
dun domaine dans lequel latteinte porte aux droits fonda-
mentaux dune personne peut tre considrable et compte te-
nu de lingalit de moyens entre le responsable de traitement
et lintress qui lui a confi ses donnes personnelles, lhar-
monisation propose ne doit seffectuer que dans le sens
dune meilleure protection des personnes ; quelle ne saurait,
pour cette raison, priver les tats membres de la possibilit
dadopter des dispositions nationales plus protectrices ;
Conteste par ailleurs le nombre important dactes d-
lgus et dactes dexcution que la proposition de rglement
attribue la comptence de la Commission europenne, alors
quun certain nombre pourraient relever soit de dispositions
lgislatives europennes ou nationales, soit, compte tenu de
leur complexit technique, dune procdure qui associe plus
fortement les autorits de contrle nationales, regroupes au
niveau europen ;
Juge lencadrement des pouvoirs dinvestigation des
autorits de contrle nationales trop restrictif, notamment
lexigence, pour engager une enqute, dun motif raisonna-
ble de supposer quun responsable de traitement exerce une
activit contraire aux dispositions du rglement. En effet, les
- 63 -

___

___

formalits pralables pesant sur les responsables de traite-
ment tant supprimes, ces investigations constituent, dans le
dispositif propos, la principale source dinformation de ces
autorits sur la mise en uvre des traitements ;
Soppose, enfin, au dispositif du guichet unique
propos par la Commission europenne, en ce quil attribue
comptence pour instruire les requtes des citoyens euro-
pens lautorit de contrle du pays dans lequel le respon-
sable de traitement en cause a son principal tablissement ;
Considre en effet, quil est paradoxal que le citoyen
soit moins bien trait que lentreprise responsable du traite-
ment, en tant priv de la possibilit de voir lensemble de
ses plaintes instruites par lautorit de contrle de son propre
pays ;
Rappelle, cet gard, que, lorsquil sagit dassurer la
meilleure protection du citoyen et son droit un recours ef-
fectif, il convient, comme en matire de consommation, de
privilgier la solution permettant lintress de sadresser
lautorit la plus proche de lui et auprs de laquelle il a
lhabitude daccomplir ses dmarches ;
Constate que le dispositif propos prsente, en dehors
de cette question de principe, de multiples inconvnients pra-
tiques :
- risque de disproportion entre les moyens allous
lautorit de contrle en considration des contentieux relatifs
ses ressortissants et lampleur du contentieux international
quelle pourrait tre appele traiter ;
- asymtrie, pour le plaignant, entre les recours admi-
nistratifs, exercs auprs de lautorit trangre, et les recours
juridictionnels contre le responsable de traitement, ports de-
vant le juge national ;
Relve que ni les mcanismes de cohrence ou de
coordination entre les autorits, ni la possibilit offerte au
plaignant dadresser sa plainte son autorit nationale,
charge pour celle-ci de la transmettre lautorit comptente,
ne compensent les inconvnients du dispositif, ni le dsavan-
tage pour lintress de ne pouvoir faire instruire sa demande
par lautorit de contrle nationale ;
Demande, par consquent, au Gouvernement de veil-
ler, dune part, ce que la possibilit pour les tats membres
dadopter des mesures plus protectrices des donnes person-
nelles soit prserve, et, dautre part, ce que le principe de
la comptence de lautorit de contrle du pays o le respon-
sable de traitement a son principal tablissement soit aban-
donn au profit du maintien de la comptence de lautorit de
contrle du pays de rsidence de lintress.

Protection Données Personnelles Rapport Senat PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Protection Données Personnelles Rapport Senat PDF

Загружено:

Авторское право:

Доступные форматы

N 446

Вам также может понравиться