André Gattolin : la protection des données privées est un droit fondamental

Le Sénat a adopté mardi 6 mars une proposition de résolution portant sur le projet de règlement présenté par la Commission européenne, le 25 janvier 2012, visant à renforcer la protection des données à caractère privé.

André Gattolin s’est exprimé dans le cadre de ce débat afin de rappeler les positions en la matière des sénateurs écologistes. Si les mesures avancées par la Commission constituent à n’en pas douter un mieux-disant par rapport à la législation actuelle, et méritent d’être sautées comme telles, elles demeurent insatisfaisantes sur plusieurs points.

Seul le prononcé fait foi

Monsieur le président, monsieur le ministre, chers collègues,

La protection des données personnelles est un droit reconnu au plus haut niveau de la législation communautaire. Elle est consacrée par l’article 16 du traité sur le fonctionnement de l’Union européenne et par l’article 8 de la charte des droits fondamentaux.

Son application concrète repose sur une directive qui date de 1995 et qui paraît, malgré ses dix-sept ans à peine, bien âgée. Il est vrai qu’une révolution technologique est intervenue depuis lors, qui est aussi une révolution sociologique et économique. Les nouvelles technologies de l’information, notamment Internet et le développement des réseaux sociaux, ont bousculé l’ordre des choses.

Aujourd’hui, les bases de données peuvent être totalement dématérialisées. Elles se créent en permanence, s’échangent en une fraction de seconde, franchissent les frontières très rapidement.

Les internautes eux-mêmes nourrissent, souvent sans s’en rendre compte, cette dynamique. Les premiers utilisateurs d’internet étaient surtout des consommateurs de données ; ils allaient sur internet pour y trouver des informations. Ils accèdent désormais au statut de producteurs de données, car ils passent une bonne partie de leur temps à écrire et à diffuser des informations sur eux-mêmes et sur les autres, à laisser plus ou moins volontairement une multitude de traces qui permettent de dessiner leur portrait et qui font la fortune de certaines entreprises, parfois, en tout état de cause, « à l’insu de leur plein gré ».

Il y a trois ans déjà, une revue française, Le Tigre, s’était amusée à dresser le portrait très détaillé d’un inconnu, Marc L., uniquement à partir des informations que ce dernier avait rendues disponibles sur internet, parfois en connaissance de cause, souvent sans le savoir. Le résultat, comme on le constate à la lecture de cet article, est absolument édifiant, « violemment impudique », comme le dit lui-même l’auteur de l’article qui a compilé les renseignements composant ce portrait. Toute la vie de cette personne a pu être exposée, à l’aide de simples recoupements de données par un tiers.

Aujourd’hui, de nouveaux logiciels très élaborés se mettent en place, qui ne demandent qu’à être exploités dans l’univers numérique. Ainsi, grâce à des logiciels de reconnaissance visuelle, une photographie de vous en premier plan ou en second plan, diffusée sur internet, peut, par des calculs sur des bases de données, être assimilée avec une assez grande fiabilité à votre personne. Imaginez tout ce que cela peut signifier et nécessiter en matière de droit, en termes de nouvelles protections pour que ces usages ne deviennent pas encore plus attentatoires à la vie privée des personnes.

C’est dans ce contexte que la Commission européenne a présenté la proposition de règlement sur laquelle porte la proposition de résolution déposée par notre collègue Simon Sutour, en faveur de laquelle les écologistes voteront, car elle fait l’unanimité au sein de nos commissions et va dans le bon sens.

Cette proposition de résolution met en évidence le travail d’actualisation de la directive de 1995, devenue largement obsolète. Elle pointe également, en dépit des avancées notables que contient le texte de la Commission européenne, les nombreux problèmes qui s’y posent encore.

Au titre des avancées très positives, figure notamment l’introduction, pour la première fois dans le droit communautaire, du droit à l’oubli numérique ; même s’il est précisé en bien des points, ce droit aurait toutefois mérité d’être mieux défini, plus approfondi, surtout dans la manière dont on peut faire respecter cet oubli numérique.

Comme cela a été souligné par plusieurs des orateurs, notamment le rapporteur, le président de la commission des lois et le garde des sceaux, la Commission renvoie dans ce texte de trop nombreuses mesures à la mise en place de futurs actes délégués ou actes d’exécution. Cela est non seulement discutable mais revient également à priver les parlements de l’examen de ces dispositions, alors même qu’un règlement, par définition, est d’application directe. Cela pose un sérieux problème au regard de l’incertitude caractérisant beaucoup des points proposés.

Le problème du « guichet unique » ayant déjà été évoqué, je n’y reviendrai donc pas. En revanche, un autre point a été peu évoqué au cours de nos débats, le garde des sceaux en a parlé mais nous différons, je le pense, dans notre approche : il concerne la volonté de la Commission européenne de contraindre les entreprises de plus de 250 salariés à se doter d’un délégué à la protection des données. Celui-ci serait chargé de veiller en interne au respect de la loi et d’assurer l’interface avec les autorités et les consommateurs.

Outre que ce dispositif m’apparaît relativement lourd, le seuil de 250 salariés est aberrant : il ne correspond nullement à la réalité du monde de l’entreprise numérique. Aujourd’hui, les entreprises qui gèrent des fichiers de données personnelles sont souvent loin d’atteindre les 250 salariés. Ce sont des entreprises spécialisées, parfois des start-up, subdivisables par la sous-traitance à volonté. Il faudrait donc définir au moins un secteur, celui qui regroupe des entreprises gérant de gros volumes de traitement.

Je rappelle, par exemple, qu’une société mondialement connue comme Twitter, qui rassemble aujourd’hui des millions d’usagers, ne compte à l’heure actuelle que 700 salariés et qu’il y a un an et demi elle fonctionnait avec moins de 250 salariés. Donc, une société comme Twitter pourrait être dispensée de mettre en place un tel dispositif tandis que certaines PME faisant un usage limité des données se verraient contraintes de le faire.

En conclusion, beaucoup de travail reste à faire. Pour toutes ces raisons et pour d’autres, que le temps imparti ne me permet pas d’évoquer, il nous semble indispensable que la Commission européenne revoie sa copie, apporte des précisions ou procède aux adaptations nécessaires afin d’être plus opérante en matière de protection de la vie privée.

Voir en ligne : Le dossier sur le site du Sénat