SYNTHÈSE DU RAPPORT
I. LE RÉGIME EN VIGUEUR DE LA PROTECTION DES DONNÉES PERSONNELLES : UN CADRE ANCIEN LAISSANT D’IMPORTANTES MARGES D’INTERPRÉTATION AUX ÉTATS MEMBRES
La directive 95/46/CE, en vigueur jusqu’au 25 mai 2018, a affirmé les grands principes de la protection des données personnelles, notamment en définissant ses concepts centraux et en fixant les conditions de licéité des traitements. Cependant, cette directive avait été élaborée dans le contexte des débuts d’internet, et n’a donc pas pris en compte les évolutions technologiques majeures intervenues du fait de son développement.
La Cour de justice de l’Union européenne a significativement contribué à préciser la définition du régime de protection des données personnelles, dans un sens particulièrement favorable aux droits des personnes.
En France, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue, avant même la réglementation communautaire, un premier régime de protection des données personnelles des personnes physiques.
La marge de manœuvre laissée par la directive 95/46/CE a entraîné, en pratique, des différences dans les législations nationales. Au-delà de la volonté de certains États membres de diminuer les contraintes des responsables de traitement et de limiter la pression pesant sur les autorités nationales de contrôle, c’est également l’imprécision de certaines dispositions de la directive qui a permis de donner lieu à des applications variées.
II.– LE RÈGLEMENT DU 27 AVRIL 2016 : DES ÉVOLUTIONS SIGNIFICATIVES ET UN RENFORCEMENT VOLONTARISTE DE L’HARMONISATION DE LA PROTECTION DES DONNÉES PERSONNELLES
A. Le résultat d’une longue négociation
Le 25 janvier 2012, la Commission européenne a publié une proposition de règlement général sur la protection des données et une proposition de directive sur les données policières et judiciaires, ces deux textes constituant le « paquet données personnelles », qui a fait l’objet de plus de quatre ans de négociations.
De manière générale, la France a approuvé les objectifs d’approfondissement du cadre législatif de la directive 95/46/CE et de renforcement des droits des personnes concernées. Elle s’est opposée à toute disposition du règlement créant un recul par rapport au niveau de protection des droits des personnes assuré par cette directive.
Le texte final est le résultat d’un compromis, mêlant des dispositions harmonisées à de multiples renvois aux droits nationaux (une cinquantaine), ce qui en fait un règlement sui generis, laissant de nombreuses marges de manœuvre aux États membres. Ce résultat fait peser le risque d’une nouvelle fragmentation du régime de la protection des données personnelles dans l’Union européenne.
B. Le renforcement des droits des personnes physiques
Le règlement renforce les conditions applicables au consentement des personnes au traitement des données les concernant.
De nouveaux droits sont consacrés. Le droit à l’oubli recouvre le droit au déréférencement reconnu par la CJUE et un nouveau droit à l’effacement des données à caractère personnel. Le droit à la portabilité permet la récupération par les personnes concernées des données personnelles qu’elles ont fournies, dans un format réutilisable, ainsi que leur transmission à un autre responsable de traitement.
Le règlement précise également l’encadrement du profilage, c’est-à-dire des traitements de données personnelles visant à évaluer certains aspects personnels.
Les actions collectives en matière de protection des données personnelles sont autorisées. Les États membres pourront prévoir dans leur droit national que ces actions peuvent tendre à la réparation du préjudice subi.
C. Les principes s’imposant aux opérateurs traitant des données personnelles
● Le règlement « égalise » les obligations applicables aux sous-traitants et aux responsables de traitements, qui verront leur responsabilité conjointement engagée en cas de manquement à leurs obligations.
Par ailleurs, le champ d’application territorial du règlement est élargi. En pratique, le droit européen s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par internet.
● Alors que la directive de 1995 reposait en grande partie sur l’existence de formalités préalables (déclaration, autorisations), le règlement européen repose sur une logique de conformité et de responsabilité, dite d’« accountability ».
La responsabilisation des entreprises s’incarne par les principes de la « protection des données dès la conception » (privacy by design) et de « protection des données par défaut » (privacy by default), qui imposent aux responsables de traitement de mettre en œuvre toutes les techniques nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut.
Des analyses de l’impact des traitements sur la protection des données à caractère personnel devront être conduites par les responsables de traitement lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
La désignation d’un délégué à la protection des données sera obligatoire dans le secteur public et lorsque l’activité principale d’une entreprise concerne le suivi régulier et systématique des personnes à grande échelle ou le traitement à grande échelle de données sensibles ou relatives à des condamnations.
Les responsables de traitement devront notifier les violations de données personnelles à l’autorité de contrôle, ainsi qu’aux personnes concernées en cas de risque élevé pour leurs droits et libertés.
● Le règlement donne aux autorités de contrôle la possibilité de prononcer des amendes administratives qui peuvent atteindre, selon la catégorie de l’infraction, 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
● Les rapporteurs estiment qu’une attention particulière devra être accordée aux petites et moyennes entreprises qui pourront rencontrer des difficultés pour respecter les nouvelles obligations posées par le règlement.
D. L’encadrement des transferts de données à caractère personnel vers des pays tiers
Le règlement autorise les transferts de données fondés sur une décision de la Commission européenne constatant que le pays tiers assure un niveau de protection adéquat. Ces transferts seront également autorisés lorsque le responsable de traitement aura prévu des garanties telles que des règles d’entreprises contraignantes ou des clauses types de protection, ou dans certains cas limitativement énumérés (menace grave et immédiate pour la sécurité publique d’un État membre ou d’un État tiers, nécessité à des fins de prévention et de détection d’infractions pénales par exemple).
L’entrée en vigueur du règlement pose la question de son articulation avec l’accord « Bouclier vie privée » (Privacy Shield) que la Commission a conclu en février 2016 avec les États-Unis. Cet accord pourrait être remis en cause par la CJUE, qui en est saisie, ou par la Commission européenne elle-même, en raison du changement récent de politique des États-Unis en matière de protection des données personnelles.
E. Le renforcement des autorités de régulation et la mise en place d’un guichet unique
Le règlement implique une évolution des missions des autorités nationales de contrôle, qui auront un rôle essentiel d’accompagnement des responsables de traitement. Les amendes administratives qu’elles pourront prononcer seront considérablement renforcées.
Le nouveau mécanisme de décision conjointe de ces autorités, lorsqu’un traitement est transnational, représente également une évolution importante de leur mode de fonctionnement. En cas de désaccord entre ces autorités, un Comité européen de protection des données (CEPD) tranchera.
III. L’APPLICATION DU RÈGLEMENT À PARTIR DE MAI 2018 REND NÉCESSAIRE UNE ADAPTATION DU CADRE NATIONAL DE LA PROTECTION DES DONNÉES PERSONNELLES
L’interruption prochaine des travaux parlementaires imposera d’engager dès le début de la nouvelle législature la révision de la loi « Informatique et libertés » et il est indispensable qu’un projet de loi puisse être déposé dès juin 2017.
La loi pour une République numérique a pris en compte la problématique de la protection des données personnelles, sans pour autant couvrir l’ensemble du champ du règlement. Certaines de ses dispositions visent à anticiper l’application du règlement (droit à l’oubli numérique des mineurs), tandis que d’autres ont été adoptées à titre transitoire (renforcement des sanctions prononcées par la CNIL) ou traitent de sujets connexes (données des personnes décédées, portabilité des données n’ayant pas un caractère personnel).
A. De nécessaires adaptations
La loi devra adapter plusieurs dispositions relatives aux sanctions pouvant être prononcées par la CNIL. Si la loi pour une République numérique a d’ores et déjà prévu qu’à compter du 25 mai 2018, les sanctions entrant dans le champ du règlement seront celles prévues par ledit règlement, d’autres évolutions seront nécessaires concernant les mesures correctives ainsi que les sanctions d’autres manquements.
Par ailleurs, si le règlement prévoit les mécanismes de coopération et de décision des autorités nationales de contrôle, il ne comporte aucune disposition sur les règles procédurales, qui relèvent de la seule compétence des États membres. Les lignes directrices adoptées par le G 29 devraient donner un cadre au législateur.
B. Des questions restent en suspens
1. L’interprétation de certains concepts
Plusieurs notions évoquées dans le règlement devront être précisées par le G 29 afin de permettre une application uniforme du règlement parmi les États membres de l’Union européenne. C’est le cas par exemple de la notion de « risque élevé » nécessitant qu’un responsable de traitement consulte l’autorité de contrôle avant de mettre en œuvre un traitement de données.
Sur l’ensemble de ces notions, les rapporteurs considèrent que les avis du G 29 seront essentiels pour éviter toute incertitude juridique potentiellement préjudiciable pour les responsables de traitement et pour les personnes concernées.
2. Les règles spécifiques à certains types de traitements
Plusieurs dispositions du règlement prévoient que les États membres pourront maintenir ou adopter des règles spécifiques pour certains types de traitement.
S’agissant des données de santé, la question de la compatibilité avec le règlement européen du nouveau régime d’accès aux données de santé médico-administratives à caractère personnel défini par la loi de modernisation de notre système de santé du 26 janvier 2016 se posera lors de la discussion du projet de loi adaptant notre législation aux nouvelles normes européennes.
D’autres traitements font l’objet de règles spécifiques définies par la loi du 6 janvier 1978 : données biométriques et génétiques, traitements aux fins d’expression journalistique, artistique, et littéraire, traitements de données relatives aux infractions, aux condamnations et aux mesures de sûreté, traitements portant sur le numéro d’identification national, traitements à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. Ces règles spécifiques devraient pouvoir être maintenues dans le cadre des marges ouvertes par le règlement.
3. Les actions de groupe
L’action de groupe, introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle ( ), est ouverte lorsque plusieurs personnes physiques subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 et permet d’obtenir la cessation du manquement.
Le règlement prévoit la simple possibilité pour les États membres d’adopter des dispositions nationales autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi. La question d’un éventuel élargissement du champ de l’action de groupe devra donc être tranchée par le législateur.
4. Le droit à la portabilité
La loi pour une République numérique prévoit la mise en œuvre, à compter du 25 mai 2018, d’un droit à la portabilité de l’ensemble de ses données pour le consommateur. S’agissant des données personnelles, elle renvoie au régime défini par l’article 20 du règlement. Les autres données relèvent d’un régime différent, ne s’imposant qu’aux opérateurs de communications électroniques.
Les rapporteurs estiment que la mise en œuvre de ces deux régimes risque de poser des difficultés d’interprétation et souhaitent que ceux-ci puissent être clarifiés et mieux articulés dans le cadre de la future loi.
5. Les dispositions spécifiques concernant les enfants
La question de l’articulation des dispositions nationales et du règlement se pose en raison des âges différents fixés par la loi pour une République numérique (18 ans) et par le règlement (13 à 16 ans) pour l’exercice du droit à l’effacement des données personnelles.
Cependant, selon une interprétation étudiée par le ministère de la justice, une disposition de l’article 17 du règlement, rendant obligatoire l’effacement des données pour respecter une obligation légale définie par le droit national, pourrait permettre de fixer une condition supplémentaire par rapport au règlement, telle que le prévoit la loi pour une République numérique s’agissant des mineurs âgés de 16 à 18 ans.
Mesdames, Messieurs,
La directive du 24 octobre 1995 (2) a constitué une première étape dans l’élaboration à l’échelon européen d’un cadre juridique d’ensemble relatif à la protection des données personnelles. Compte tenu des évolutions du secteur et de la nécessité de renforcer la protection offerte en la matière, la Commission européenne a souhaité, dès 2012, rénover le cadre existant afin de l’adapter aux nouvelles réalités du numérique (3). Après quatre ans de négociations, l’adoption du règlement général sur la protection des données (4), le 27 avril 2016, constitue l’aboutissement de cette volonté. Ce règlement a été complété par une directive sur les données policières et judiciaires (5), ces deux textes constituant le « paquet données personnelles ».
Comme l’a rappelé Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (CNIL) lors de son audition par la commission des Lois : « [le règlement européen] inaugure une nouvelle ère dans la régulation puisqu’il consacre un changement de paradigme : il s’agit d’alléger considérablement ce que nous appelons les formalités préalables – les déclarations et autorisations – au profit d’une démarche de responsabilisation des acteurs et aussi d’un renforcement des droits des individus. » (6)
Le règlement du 27 avril 2016 sera applicable à compter du 25 mai 2018, date à laquelle la directive 95/46 sera abrogée. Il est donc nécessaire d’adapter préalablement le cadre législatif de la protection des données à caractère personnel, principalement défini par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (7) qui constitue le socle juridique de la protection des données personnelles en France.
La loi du 7 octobre 2016 pour une République numérique (8) a permis un renforcement significatif de la protection des données personnelles. Elle n’a pas cependant pas couvert l’ensemble du champ du règlement et une révision de la loi du 6 janvier 1978 est indispensable pour abroger les dispositions incompatibles ou redondantes – ce qui est l’effet classique d’un règlement – mais aussi pour adopter des dispositions nouvelles pour le compléter lorsqu’il ne peut s’appliquer directement.
L’interruption prochaine des travaux parlementaires jusqu’en juin 2017 imposera donc d’engager très rapidement ensuite la révision de la loi « Informatique et libertés » afin que les travaux législatifs aboutissent avant la fin de l’année 2017, compte tenu du temps nécessaire pour édicter les éventuels décrets d’application.
Dans la perspective du dépôt d’un projet de loi, la direction des affaires civiles et du sceau (DACS) du ministère de la Justice a mis en place un groupe de travail associant le commissaire du Gouvernement auprès de la CNIL, des agents de la DACS, des représentants de l’administration de la CNIL, des universitaires, ainsi que des agents de la direction des affaires criminelles et des grâces (DACG), chargée de la transposition de la directive sur les données policières et judiciaires. L’objectif est de parvenir à un projet de loi unique tirant les conséquences du règlement et transposant la directive. Le III de l’article 65 de la loi pour une République numérique prévoit que le Gouvernement remet au Parlement, au plus tard le 30 juin 2017, un rapport sur les modifications de la loi de 1978 rendues nécessaires par l’entrée en vigueur du règlement.
Compte tenu du calendrier précédemment évoqué, vos rapporteurs jugent indispensable que la transmission de ce rapport et le dépôt du projet de loi révisant la loi du 6 janvier 1978 soient concomitants et interviennent, dans les délais prévus, au mois de juin 2017.
Afin de préparer ces travaux législatifs, la commission des Lois a décidé, le 3 novembre 2016, la création d’une mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française et constitué une mission de treize membres afin que sur ce sujet d’importance, toutes les sensibilités politiques puissent être représentées.
Dans un calendrier particulièrement contraint (9), la mission a entendu les représentants de la CNIL, du secrétariat général des affaires européennes (SGAE), de la direction des affaires civiles et du sceau, de la direction interministérielle des systèmes d’information et de communication (DINSIC) et du Conseil national du numérique, des universitaires, des avocats, des associations représentant les usagers du Net (la Quadrature du net, l’association européenne des droits de l’Homme) et les entreprises du numérique (association pour le commerce et les services en ligne), des entreprises (Solocal group et Microsoft) et des membres du cabinet de la secrétaire d’État chargée du numérique et de l’innovation. La mission a, par ailleurs, effectué un déplacement à Bruxelles durant lequel les rapporteurs ont notamment échangé avec les représentants de la direction générale chargée de la justice et des consommateurs de la Commission européenne et le contrôleur général de la protection des données.
Le premier enseignement de ces travaux est que ce texte constitue un règlement suis generis à mi-chemin entre un règlement et une directive et un compromis entre le droit romain et la common law (10).
En effet, le choix d’un règlement, directement applicable, plutôt qu’une directive témoigne de la volonté de disposer d’un régime juridique harmonisé dans l’ensemble de l’Union européenne. La marge de manœuvre laissée par la directive avait en effet entraîné, en pratique, de grandes différences dans les législations nationales.
Cependant ce texte est le fruit d’un compromis entre la volonté de la Commission de proposer un règlement d’application directe, afin de renforcer la cohérence de la protection des personnes et la volonté de certains États membres de pouvoir adapter certaines dispositions aux spécificités nationales. Il en résulte un texte qui mêle des dispositions harmonisées à de multiples renvois au droit national. Au total, le SGAE a ainsi comptabilisé plus de cinquante dispositions, de portée inégale, renvoyant au droit des États membres. La portée de l’harmonisation se trouve ainsi limitée par les nombreuses « clauses d’ouverture » figurant dans le texte final.
En second lieu, ce texte constitue une véritable « révolution » en matière de protection des données personnelles car il permet :
– le renforcement de la protection des données personnelles en reconnaissant de nouveaux droits pour les personnes physiques, – tels que le droit à l’effacement ou le droit à la portabilité des données ;
– un champ d’application élargi : le droit européen s’appliquera chaque fois qu’un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris par internet et par le biais d’objets connectés ;
– la responsabilisation des acteurs traitant les données, en reconnaissant la responsabilité conjointe des responsables de traitement et des sous-traitants, et en adoptant à leur égard une logique de responsabilité. En contrepartie de la suppression de la plupart des obligations déclaratives, ces derniers devront respecter un certain nombre d’obligations : tenir un registre des activités de traitement, conduire des analyses d’impact, désigner un délégué à la protection des données et notifier les violations de données à caractère personnel à l’autorité nationale de protection des données ;
– le renforcement des autorités de régulation, en leur permettant de prononcer des amendes administratives dont le montant est considérablement augmenté puisqu’elles pourront représenter, selon la catégorie de l’infraction – de 2 % à 4 % du chiffre d’affaires annuel mondial d’une entreprise, et de 10 à 20 millions d’euros pour les autres organismes – et en mettant en place un mécanisme de décision conjointe de l’ensemble des autorités de contrôle des États membres ;
– et la création d’une instance européenne de coordination, le Comité européen de protection des données (CEPD), véritable instance d’arbitrage européenne, qui favorisera la coordination des autorités de contrôle des États membres et l’émergence de pratiques communes en matière de protection des données personnelles. Malgré la mise en place de cette coopération européenne, le mécanisme de « guichet unique » garantira que, dans le cas de traitements transnationaux, les personnes concernées conserveront une proximité avec leur autorité de protection des données et leurs juridictions nationales, et que leur autorité de protection des données sera associée à la décision prise par l’autorité « chef de file ».
Enfin, ce règlement promeut l’affirmation d’une conception européenne de la protection des données personnelles, conception qui diffère de celle promue notamment par les États-Unis.
Comme l’ont rappelé plusieurs personnes entendues par la mission, cette conception, qui pourra paraître a priori contraignante pour les acteurs du numérique, constitue une opportunité de faire de l’Union européenne un espace où les entreprises, quelle que soit leur taille, pourront faire valoir la protection des données personnelles comme un avantage compétitif. Le règlement représente aussi une opportunité de développer certaines activités économiques, notamment dans l’accompagnement des entreprises qui devront respecter de nouvelles obligations. L’Union européenne représente un marché de consommateurs important dans le domaine du numérique : il ne s’agit donc pas seulement d’un enjeu de protections des données des résidents européens, mais également un enjeu économique et technologique.
Dans ce domaine, la France semble particulièrement bien « armée » car elle peut faire valoir une culture de la protection des données et une véritable expertise juridique dans ce domaine, comme en témoigne son rôle important lors des négociations sur le règlement. Par ailleurs, vos rapporteurs estiment que le règlement est aussi une opportunité pour la France de développer des compétences en ces domaines sur tout le territoire national, l’économie numérique pouvant par nature être très décentralisée.
Cependant cette différence de conception entre les États-Unis et l’Union européenne n’est pas sans conséquence sur les transferts de données des usagers européens vers les entreprises américaines. Dans un arrêt du 6 octobre 2015 ( 11), la Cour de justice de l’Union européenne (CJUE) a invalidé de la décision n° 2000/520/CE de la Commission constatant que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées et permettant l’application de l’accord conclu entre les États-Unis et l’Union européenne appelé « Sphère de sécurité » (« Safe Harbor »). À la suite de cet arrêt, la Commission a conclu en février 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données, le « bouclier vie privée Union européenne-États-Unis » (EU-US Privacy shield).
Or, bien que la décision d’exécution de la Commission européenne du Privacy Shield intègre par anticipation certaines des avancées prévues par le règlement, la pérennité de cet accord pourrait être remise en cause dans les mois qui viennent, compte tenu de certaines réserves émises par le groupe qui rassemble les autorités de contrôle des États membres de l’article (G29) sur celui-ci, du recours déposé par plusieurs associations contre cet accord devant la Cour de justice de l’Union européenne et de la remise en cause, par le Président Donald Trump – notamment par le décret adopté le 25 janvier 2017 –, des garanties accordées aux citoyens de l’Union européenne en matière de protection des données personnelles sous la présidence de Barack Obama (12). Le 15 février, le G29 a indiqué, dans un communiqué, qu’une lettre serait envoyée aux autorités américaines faisant état de ses inquiétudes et demandant une clarification sur l’impact du décret du président des États-Unis sur le Privacy Shield.
En France, si certaines mesures d’adaptation requises par le règlement ne suscitent pas de débats, d’autres questions demeurent en suspens et devront être tranchées par le législateur. C’est le cas notamment des règles spécifiques à certains traitements de données – en matière de santé ou biométriques par exemple , de celles relatives aux actions de groupe, au droit à la portabilité ou des dispositions spécifiques applicables aux mineurs.
Les travaux conduits par la mission lui ont permis de prendre la mesure du chantier législatif qui s’annonce et qui devra être ouvert dès le début de la prochaine législature afin qu’un texte définitif puisse être adopté afin la fin de l’année 2017.