N° 4195
_____
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
TREIZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 19 janvier 2012.
PROPOSITION DE RÉSOLUTION EUROPÉENE
relative à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel
au sein de l’Union européenne, notamment dans le cadre
de la réforme de la directive 95/46/CE,
(Renvoyée à la commission des affaires européennes.)
présentée par Mesdames et Messieurs
Patrick BLOCHE, François BROTTES, Jean-Marc AYRAULT, Élisabeth GUIGOU, Jean GRELLIER, Patricia ADAM, Sylvie ANDRIEUX, Jean-Paul BACQUET, Dominique BAERT, Gérard BAPT, Claude BARTOLONE, Delphine BATHO, Marie-Noëlle BATTISTEL, Gisèle BIEMOURET, Serge BLISKO, Daniel BOISSERIE, Christophe BOUILLON, Pierre BOURGUIGNON, Danielle BOUSQUET, Thierry CARCENAC, Christophe CARESCHE, Marie-Françoise CLERGEAU, Pierre COHEN, Catherine COUTELLE, Frédéric CUVILLIER, Guy DELCOURT, Bernard DEROSIER, Tony DREYFUS, Jean-Pierre DUFAU, William DUMAS, Laurence DUMONT, Jean-Paul DUPRÉ, Philippe DURON, Olivier DUSSOPT, Corinne ERHEL, Guillaume GAROT, Jean GAUBERT, Jean-Patrick GILLE, Daniel GOLDBERG, Marc GOUA, Pascale GOT, David HABIB, Sandrine HUREL, Jean-Louis IDIART, Françoise IMBERT, Serge JANQUIN, Henri JIBRAYEL, Marietta KARAMANLI, Jérôme LAMBERT, Jean LAUNAY, Jean-Yves LE BOUILLONNEC, Gilbert LE BRIS, Annick LE LOCH, Bruno LE ROUX, Marylise LEBRANCHU, Catherine LEMORTON, Annick LEPETIT, Martine LIGNIÈRES-CASSOU, François LONCLE, Victorin LUREL, Jean MALLOT, Louis-Joseph MANSCOUR, Jacqueline MAQUET, Marie-Lou MARCEL, Jean-René MARSAC, Martine MARTINEL, Frédérique MASSAT, Didier MATHUS, Sandrine MAZETIER, Michel MÉNARD, Kléber MESQUIDA, Philippe NAUCHE, Marie-Renée OGET, George PAU-LANGEVIN, Christian PAUL, Marie-Françoise PÉROL-DUMONT, François PUPPONI, Catherine QUÉRÉ, Dominique RAIMBOURG, Bernard ROMAN, Christophe SIRUGUE, Jean-Jacques URVOAS, Daniel VAILLANT et les membres du groupe socialiste, radical, citoyen et divers gauche (1) et apparentés (2),
députés.
____________________________
(1) Ce groupe est composé de Mesdames et Messieurs : Patricia Adam, Sylvie Andrieux, Jean-Marc Ayrault, Jean-Paul Bacquet, Dominique Baert, Jean-Pierre Balligand, Gérard Bapt, Claude Bartolone, Jacques Bascou, Christian Bataille, Delphine Batho, Marie-Noëlle Battistel, Jean-Louis Bianco, Gisèle Biémouret, Serge Blisko, Patrick Bloche, Daniel Boisserie, Maxime Bono, Jean-Michel Boucheron, Marie-Odile Bouillé, Christophe Bouillon, Monique Boulestin, Pierre Bourguignon, Danielle Bousquet, François Brottes, Alain Cacheux, Jérôme Cahuzac, Jean-Christophe Cambadélis, Thierry Carcenac, Christophe Caresche, Martine Carrillon-Couvreur, Laurent Cathala, Bernard Cazeneuve, Guy Chambefort, Jean-Paul Chanteguet, Alain Claeys, Jean-Michel Clément, Marie-Françoise Clergeau, Gilles Cocquempot, Pierre Cohen, Catherine Coutelle, Pascale Crozon, Frédéric Cuvillier, Claude Darciaux, Pascal Deguilhem, Michèle Delaunay, Guy Delcourt, François Deluga, Bernard Derosier, Michel Destot, Julien Dray, Tony Dreyfus, Jean-Pierre Dufau, William Dumas, Jean-Louis Dumont, Laurence Dumont, Jean-Paul Dupré, Yves Durand, Philippe Duron, Olivier Dussopt, Christian Eckert, Henri Emmanuelli, Corinne Erhel, Laurent Fabius, Albert Facon, Martine Faure, Hervé Féron, Aurélie Filippetti, Geneviève Fioraso, Pierre Forgues, Valérie Fourneyron, Michel Françaix, Jean-Claude Fruteau, Jean-Louis Gagnaire, Geneviève Gaillard, Guillaume Garot, Jean Gaubert, Jean-Patrick Gille, Jean Glavany, Daniel Goldberg, Pascale Got, Marc Goua, Jean Grellier, Élisabeth Guigou, David Habib, Danièle Hoffman-Rispal, François Hollande, Sandrine Hurel, Monique Iborra, Jean-Louis Idiart, Françoise Imbert, Michel Issindou, Éric Jalton, Serge Janquin, Henri Jibrayel, Régis Juanico, Armand Jung, Marietta Karamanli, Jean-Pierre Kucheida, Conchita Lacuey, Jérôme Lambert, François Lamy, Jack Lang, Colette Langlade, Jean Launay, Jean-Yves Le Bouillonnec, Marylise Lebranchu, Patrick Lebreton, Gilbert Le Bris, Jean-Yves Le Déaut, Michel Lefait, Jean-Marie Le Guen, Annick Le Loch, Patrick Lemasle, Catherine Lemorton, Annick Lepetit, Bruno Le Roux, Bernard Lesterlin, Michel Liebgott, Martine Lignières-Cassou, François Loncle, Victorin Lurel, Jean Mallot, Louis-Joseph Manscour, Jacqueline Maquet, Marie-Lou Marcel, Marie-Claude Marchand, Jean-René Marsac, Philippe Martin, Martine Martinel, Frédérique Massat, Gilbert Mathon, Didier Mathus, Sandrine Mazetier, Michel Ménard, Kléber Mesquida, Jean Michel, Arnaud Montebourg, Pierre Moscovici, Pierre-Alain Muet, Philippe Nauche, Henri Nayrou, Marie-Renée Oget, Michel Pajon, George Pau-Langevin, Christian Paul, Germinal Peiro, Jean-Luc Pérat, Jean-Claude Perez, Marie-Françoise Pérol-Dumont, Martine Pinville, Philippe Plisson, François Pupponi, Catherine Quéré, Jean-Jack Queyranne, Dominique Raimbourg, Marie-Line Reynaud, Alain Rodet, Marcel Rogemont, Bernard Roman, Gwendal Rouillard, René Rouquet, Alain Rousset, Michel Sainte-Marie, Michel Sapin, Odile Saugues, Christophe Sirugue, Pascal Terrasse, Jean-Louis Touraine, Marisol Touraine, Philippe Tourtelier, Jean-Jacques Urvoas, Daniel Vaillant, Jacques Valax, Manuel Valls, Michel Vauzelle, Michel Vergnier, André Vézinhet, Alain Vidalies, Jean-Michel Villaumé, Jean-Claude Viollet, Philippe Vuilque.
(2) Chantal Berthelot, Gérard Charasse, René Dosière, Paul Giacobbi, Annick Girardin, Joël Giraud, Christian Hutin, Serge Letchimy, Apeleto Albert Likuvalu, Jeanny Marc, Dominique Orliac, Sylvia Pinel, Simon Renucci, Chantal Robin-Rodrigo, Christiane Taubira.
EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
Les évolutions technologiques de la dernière décennie ont créé de nouvelles opportunités d’échanger et d’accéder à l’information.
Ainsi, le développement d’internet s’est accompagné de l’explosion des réseaux sociaux. Le web est entré dans la vie quotidienne de chacun multipliant ainsi les occasions de faire apparaître ou de transmettre ses données personnelles. La vie privée des personnes – englobant leur réseau d’amis, leurs idées politiques, leur orientation sexuelle ou encore leur religion – est potentiellement visible instantanément par tous et partout via ces sites de socialisation. Pourtant, tous ne sont pas conscients qu’une telle exposition publique de soi risque d’entraîner une perte de contrôle de ses données personnelles.
Par ailleurs, les systèmes de géolocalisation ouvrent un éventail de services tout en possédant un revers qui est de rendre transparents les déplacements de chacun via son téléphone portable, son titre de transport ou de paiement ou encore par l’usage du télépéage. D’autres outils comme la vidéoprotection ou la biométrie se sont imposés. Ces technologies partagent un point commun : l’accroissement de la traçabilité des individus et les risques inhérents en matière de respect de la vie privée.
La protection des données personnelles constitue un véritable enjeu juridique et sociétal mais également économique tant celles-ci sont devenues l’or noir de l’économie numérique. La gratuité des services offerts dans l’environnement en ligne a, de plus en plus souvent, pour contrepartie la collecte, l’usage et le transfert de ces données. Celles-ci font l’objet d’une commercialisation et sont utilisées afin de constituer les profils des utilisateurs-consommateurs sans aucune information de ces derniers. L’autorégulation ne peut suffire en la matière, c’est pourquoi il convient, par des règles juridiques, de responsabiliser les entreprises.
L’objectif général ne peut être de contrer les changements fondamentaux en cours en matière de service, de communication, d’échange et d’accès à l’information mais de les accompagner et de les sécuriser. La France, à travers notamment le travail de la CNIL, a imposé un contrôle strict de la captation, du transfert, de l’utilisation et de la conservation des données à caractère personnel. Selon leur « sensibilité », ces données font l’objet d’une protection plus ou moins forte.
L’adoption, il y a dix-sept ans, de la directive européenne 95/46/CE relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » fut l’acte fondateur de la protection de la vie privée à l’échelle communautaire. Sa modernisation semble désormais à la fois urgente et indispensable. Dans le cadre de sa prochaine révision, le Parlement français se doit de faire valoir un certain nombre de principes, valeurs et droits essentiels.
En effet, l’ambition de l’Union européenne est de permettre une meilleure circulation des données à caractère personnel en son sein. Néanmoins, un tel objectif ne peut être mené qu’à la seule et unique condition que toutes les garanties sont prises en matière de protection de celles-ci.
Par conséquent, la présente proposition de résolution européenne tend à affirmer un certain nombre de principes afin que tous les citoyens, français et européens, puissent tirer profit de cette révolution technologique. La protection de la vie privée et plus globalement de toutes les données personnelles doit devenir une exigence de fait et de droit au niveau national mais aussi communautaire et international.
PROPOSITION DE RÉSOLUTION EUROPÉENNE
Article unique
L’Assemblée nationale,
Vu l’article 151-5 du Règlement de l’Assemblée nationale,
Vu le Traité sur le fonctionnement de l’Union européenne, et notamment son article 16,
Vu la Charte des droits fondamentaux de l’Union européenne, notamment ses articles 7 et 8,
Vu la Convention Européenne de sauvegarde des Droits de l’Homme et des libertés fondamentales (CEDH), notamment son article 8 relatif a la protection de la vie privée et familiale,
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative a la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »),
Vu les conclusions du Conseil relatives à la communication de la Commission intitulée « Une approche globale de la protection des données à caractère personnel dans l’Union européenne »,
Vu le rapport du Parlement européen sur une approche globale de la protection des données à caractère personnel dans l’Union européenne, 22 juin 2011,
Vu l’avis du contrôleur européen de la protection des données (CEPD) du 14 janvier 2011 sur la communication de la Commission intitulée « Une approche globale de la protection des données à caractère personnel dans l’Union européenne »,
Vu la contribution du groupe de travail « Article 29 » sur la protection des données à la consultation de la Commission sur le cadre juridique du droit fondamental à la protection des données à caractère personnel intitulée « L’avenir de la protection de la vie privée »,
Vu la « Résolution de Madrid » pour l’établissement de normes internationales sur la vie privée et la protection des données personnelles, adoptée le 5 novembre 2009 par la 31e Conférence des commissaires à la protection des données et à la vie privée,
Vu l’article 1er de la loi française « informatique et libertés » du 6 janvier 1978 qui dispose que « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »,
Vu le rapport d’information sur les droits de l’individu dans la révolution numérique présenté par MM. Patrick Bloche et Patrice Verchère, Assemblée nationale, n° 3560, 22 juin 2011,
Vu le rapport d’information de M. Yves Détraigne et Mme Anne-Marie Escoffier, « La vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l’information », fait au nom de la commission des lois du Sénat, n° 441, 27 mai 2009,
Considérant que constitue une donnée à caractère personnel, en vertu de l’article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne,
Considérant que les évolutions technologiques permettent une intensification et une rapidité croissante des transferts de données à caractère personnel,
Considérant que de nombreux acteurs économiques transfrontaliers tels que les réseaux sociaux ont pour objet de leur activité la mise à disposition et le partage de données à caractère personnel,
Considérant que les systèmes de traitement de données à caractère personnel doivent être au service des citoyens et doivent ainsi respecter les libertés et droits fondamentaux des personnes dont leur vie privée,
Considérant que l’article 8 de la Charte des droits fondamentaux de l’Union européenne détermine que « toute personne a droit à la protection des données à caractère personnel la concernant », que « ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification » et que « le respect de ces règles est soumis au contrôle d’une autorité indépendante ».
Considérant que les mineurs doivent bénéficier d’une protection particulière,
Considérant que l’harmonisation du droit au niveau communautaire doit avoir pour objectif une protection juste et efficace des données à caractère personnel et non un alignement sur le « moins disant »,
1. Appelle à l’adoption par les États membres de l’Union européenne et les États tiers d’une convention internationale pour la protection des personnes à l’égard du traitement des données personnelles, comme le soutient la Résolution de Madrid, adoptée par la 31e Conférence des commissaires à la protection des données et à la vie privée ;
2. Considère que l’harmonisation des règles relatives aux données à caractère personnel au niveau de l’Union européenne doit se faire à un niveau élevé de protection ;
3. Souhaite que soit lancée une campagne d’information destinée à sensibiliser les citoyens, et notamment les plus jeunes, aux enjeux liés à la vie privée et à la protection des données personnelles à l’heure du numérique ainsi qu’à les informer de leurs droits ;
4. Juge indispensable de renforcer l’information des personnes dont les données personnelles sont collectées, de s’assurer que celle-ci soit accessible de manière permanente et de permettre à ces personnes un contrôle de leurs données ; souhaite, par conséquent, que soit prévue une entière transparence pour les personnes concernées quant au responsable du traitement de leurs données, leurs destinataires notamment en cas de transfert des données vers des tiers ou vers des applications extérieures, leur utilisation, leur durée de conservation, leur degré de protection ainsi qu’en matière de droit d’accès, de rectification et de suppression de celles-ci ;
5. Estime nécessaire que soit prévu le consentement en connaissance de cause, préalable et explicite, des personnes dont les données personnelles sont collectées notamment sur le réseau internet mais aussi en matière de géolocalisation ;
6. Propose la reconnaissance d’un « droit à l’oubli » notamment sur les réseaux sociaux qui serait un droit exprès et effectif à l’effacement de ses données et non un simple droit à la désactivation de son profil couplé à la garantie d’une procédure simple et facilement accessible, permettant d’effacer l’intégralité de ses données ou de les récupérer en vue de les réutiliser ; de plus, suggère l’effacement par principe des données d’un profil d’utilisateur après un certain délai si aucun usage n’en est fait, l’utilisateur pouvant opter pour le non-effacement de ses données ;
7. Recommande d’imposer un haut niveau de protection par défaut concernant les mineurs ainsi que l’instauration d’obligations et d’exigences spécifiques au traitement des données personnelles des mineurs ;
8. Considère qu’il convient d’exclure de « l’informatique en nuage » réalisé hors de l’Union européenne les données personnelles dites « sensibles » ou comportant certains risques pour les personnes concernées, comme les données biométriques, les données génétiques, les données judiciaires, les données financières ou les données concernant des enfants ;
9. Souligne la nécessité d’un encadrement strict des transferts internationaux des données à caractère personnel ;
10. Encourage l’Union européenne à développer la recherche, l’innovation et le développement dans le secteur des technologies respectueuses de la vie privée dès leur conception, dites « privacy by design », afin de doter l’Europe d’une véritable politique industrielle du numérique et lui permettre ainsi de bénéficier d’un indéniable avantage comparatif dans la compétition mondiale ;
11. Soutient le développement de navigateurs Internet plus protecteurs et plus transparents en matière de ciblage publicitaire ;
12. Propose la création de labels permettant d’identifier les logiciels, applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles ;
13. Recommande l’élaboration d’étude d’impact sur la protection des données personnelles de certains produits développés par les entreprises préalablement à leur mise en application ;
14. Est favorable au fait de faire obligation aux responsables de traitement, et plus particulièrement les acteurs de « l’informatique en nuage », de réaliser régulièrement des audits de sécurité ;
15. Souhaite obliger tout responsable de traitements de données à caractère personnel à notifier les failles de sécurité auprès de l’autorité nationale de protection des données personnelles et des particuliers concernés par ces violations ;
16. Soutient les recommandations du G29 visant à contraindre les fournisseurs de services, après six mois de conservation, d’une part, à détruire, les références aux adresses IP des utilisateurs de ses services et, d’autre part, à anonymiser complètement ces données ;
17. Souhaite rendre possible la mise en œuvre d’action de groupe en matière de protection des données personnelles ;
18. Juge essentiel que les autorités nationales de protection des données ainsi que le groupe de travail G29 bénéficient de compétences idoines et de ressources suffisantes pour leur permettre de mener à bien leur tâche et garantir leur indépendance ; invite, par ailleurs, à renforcer la coopération entre ces autorités ;
19. Se prononce pour le renforcement des possibilités de coercition des autorités nationales, notamment envers les entreprises extra-européennes qui, dans le cadre de leurs activités, ciblent les consommateurs de l’Union ;
20. S’oppose à la mise en œuvre envisagée au niveau communautaire du critère de l’établissement principal qui ne pourra susciter qu’une course au « moins-disant » des entreprises (ainsi, dans l’hypothèse d’une directive européenne, un seul droit national s’appliquerait à une entreprise établie dans plusieurs États membres et, en cas de règlement européen, une seule autorité nationale serait compétente).
© Assemblée nationale