N° 3366 - Rapport d'information de Mme Marietta Karamanli déposé par la commission des affaires européennes portant observations sur le projet de loi pour une République numérique




NO 3366

______

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUATORZIÈME LÉGISLATURE

Enregistré à la Présidence de l'Assemblée nationale le 16 décembre 2015

RAPPORT D’INFORMATION

DÉPOSÉ

PAR LA COMMISSION DES AFFAIRES EUROPÉENNES(1)

portant observations sur le projet de loi pour une République numérique (no 3318),

ET PRÉSENTÉ

PAR MME Marietta KARAMANLI,

Députée

——

La Commission des affaires européennes est composée de : Mme Danielle AUROI, présidente ; M. Christophe CARESCHE, Mme Marietta KARAMANLI, MM. Jérôme LAMBERT, Pierre LEQUILLER, vice-présidents ; M. Philip CORDERY, Mme Estelle GRELIER, MM. Arnaud LEROY, André SCHNEIDER, secrétaires ; MM. Ibrahim ABOUBACAR, Kader ARIF, Jean-Luc BLEUNVEN, Alain BOCQUET, Jean-Jacques BRIDEY, Mmes Isabelle BRUNEAU, Nathalie CHABANNE, MM. Jacques CRESTA, Mme Seybah DAGOMA, MM. Yves DANIEL, Bernard DEFLESSELLES, Mme Sandrine DOUCET, M. William DUMAS, Mme Marie-Louise FORT, MM. Yves FROMION, Hervé GAYMARD, Jean-Patrick GILLE, Mme Chantal GUITTET, MM. Razzy HAMMADI, Michel HERBILLON, Laurent KALINOWSKI, Marc LAFFINEUR, Charles de LA VERPILLIÈRE, Christophe LÉONARD, Jean LEONETTI, Mme Audrey LINKENHELD, MM. Lionnel LUCA, Philippe Armand MARTIN, Jean-Claude MIGNON, Jacques MYARD, Rémi PAUVROS, Michel PIRON, Joaquim PUEYO, Didier QUENTIN, Arnaud RICHARD, Mme Sophie ROHFRITSCH, MM. Jean-Louis ROUMEGAS, Rudy SALLES, Gilles SAVARY.

SOMMAIRE

___

Pages

I. VERS UNE VERITABLE STRATÉGIE NUMÉRIQUE ? 11

A. SOUS LA PRÉCÉDENTE COMMISSION EUROPÉENNE, UN PROGRAMME NUMÉRIQUE DÉCEVANT 11

1. Une panne de doctrine sur les questions numériques 11

2. Quelques initiatives législatives, dont certaines sont encore en cours de négociation 11

a. Mécanisme pour l’interconnexion en Europe 11

b. Identification électronique et services de confiance dans les transactions électroniques : le règlement « eIDAS » du 23 juillet 2014 11

c. Sécurité des réseaux 12

d. Accessibilité des sites web des administrations publiques 12

3. Les négociations entre le Conseil et le Parlement européen sur cette directive devraient être engagées au début de l’année 2016. 13

a. Réduction du coût du haut débit 13

b. Le règlement «  Télécoms » 13

i. Un règlement initial très critiqué 13

ii. Des négociations complexes 14

iii. Le règlement final du 25 novembre 2015 14

B. LE NOUVEL ÉLAN DONNÉ PAR LA COMMISSION JUNCKER AU MARCHÉ UNIQUE NUMERIQUE 15

1. Une priorité affichée de la nouvelle Commission européenne 15

2. Seize actions pour un marché unique numérique 15

II. LA PROTECTION DES DONNÉES PERSONNELLES DANS UN CADRE EUROPÉEN 17

A. LE FUTUR RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES PERSONNELLES : UN TEXTE TRÈS AMBITIEUX, QUI CONSACRE DE NOUVEAUX DROITS 17

1. La protection des données personnelles, consacrée par la Charte européenne des droits fondamentaux et par le traité de Lisbonne 17

2. La proposition de règlement de la Commission européenne : renforcer les droits des individus, alléger les charges des entreprises, harmoniser les règles du jeu 18

3. Des négociations complexes, qui doivent aboutir en décembre 2015 20

a. Le mandat adopté par le Parlement européen 20

b. L’orientation générale adoptée au Conseil le 15 juin 2015 21

c. L’aboutissement des négociations prévu pour décembre 2015 21

B. LES LIGNES ROUGES FIXÉES PAR LA JURISPRUDENCE RECENTE DE LA COUR DE JUSTICE DE L’UNION EUROPENNE 22

1. L’invalidation de la directive sur la rétention des données télécoms 22

2. Le « droit au déréférencement », un droit à l’oubli ? 22

3. L’invalidation du Safe Harbor : les tâtonnements de la protection des données personnelles dans le cadre transatlantique 23

LE PROJET DE LOI DANS SON CONTEXTE EUROPÉEN 25

I. GARANTIR UN INTERNET NEUTRE, UN PRÉALABLE INDISPENSABLE À L’EXERCICE DES LIBERTÉS NUMÉRIQUES 25

A. LA NEUTRALITÉ : UN PRINCIPE FONDATEUR D’INTERNET, DONT LES CONTOURS FONT ENCORE DÉBAT 25

1. Un principe fondateur d’internet 25

2. Un principe menacé par les pratiques des opérateurs ? 26

3. Les premières tentatives de régulation aux États-Unis et au niveau européen 26

B. UN PRINCIPE GARANTI PAR LE RÈGLEMENT TÉLÉCOMS DU 25 NOVEMBRE 2015 27

1. De la « neutralité du net » au droit « d’accès à un internet ouvert » 27

2. Un règlement final décevant pour les défenseurs de l’internet libre 29

C. LE PROJET DE LOI CONSACRE EXPLICITEMENT LA NEUTRALITÉ DU NET 30

II. RESPONSABILISER LES PLATEFORMES EN LEUR IMPOSANT UNE OBLIGATION DE LOYAUTÉ 30

A. LA NÉCESSITÉ DE RÉGULER DES ACTEURS DEVENUS INCONTOURNABLES 30

B. UNE PRIORITÉ DE LA NOUVELLE COMMISSION EUROPÉENNE 32

C. LE PROJET DE LOI : DÉFINIR LES PLATEFORMES, GARANTIR LEUR LOYAUTÉ, REGULER LES AVIS EN LIGNE 34

III. LA PROTECTION DE LA VIE PRIVÉE EN LIGNE 36

1. Les mesures prévues par le projet de loi et le projet de règlement européen relatif aux données personnelles : des mesures complémentaires 36

a. Sur le droit des individus 36

i. Le droit à l’autodétermination informationnelle 36

ii. La « mort numérique » 36

iii. Le droit à l’oubli pour les mineurs 37

b. Sur les missions de la CNIL 38

c. Sur la portabilité des données 39

2. Deux calendriers à articuler 39

3. Le secret des correspondances 40

IV. D’AUTRES DISPOSITIONS DU PROJET DE LOI SONT DIRECTEMENT CONCERNÉES PAR LE DROIT EUROPÉEN 41

1. L’accès aux résultats de la recherche publique : concilier circulation du savoir et respect du droit d’auteur 41

i. Le libre-accès aux données de la recherche : le choix de la « voie verte » 41

ii. La fouille de données et de textes : une réflexion en cours au niveau européen 42

2. La transparence vis-à-vis des consommateurs sur les débits : une disposition qui devrait faire référence au règlement européen 43

3. Le recommandé électronique 43

4. La transposition anticipée des dispositions de la directive PSD2 sur le paiement par SMS 44

5. L’accessibilité des sites web du secteur public 44

TRAVAUX DE LA COMMISSION 45

PROPOSITION DE CONCLUSIONS 51

ANNEXES 53

ANNEXE NO 1 : LISTE DES PERSONNES AUDITIONNÉES PAR LES RAPPORTEURS 55

ANNEXE NO 2 : RÉPONSES DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES AUX QUESTIONS DE LA RAPPORTEURE (18/12/2015) 57

ANNEXE NO 3 : RÉSOLUTION EUROPÉENNE SUR LA STRATÉGIE SUR LA STRATÉGIE NUMÉRIQUE DE L’UNION EUROPÉENNE (1ER NOVEMBRE 2013) 63

ANNEXE NO 4 : RÉSOLUTION EUROPÉENNE SUR LA PROPOSITION DE RÈGLEMENT RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES (23 MARS 2012) 67

ANNEXE NO 5 : CONCLUSIONS ADOPTÉES PAR LA COMMISSION DES AFFAIRES EUROPÉENNES SUR LE PAQUET LÉGISLATIF RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES PERSONNELLES (14 MAI 2014) 71

« Internet opérait l’éblouissante transformation du monde en discours. Le clic sautillant et rapide de la souris sur l’écran était la mesure du temps. »

Annie Erneaux, Les années, 2008

« Les nouvelles technologies en elles-mêmes ne peuvent être des solutions aux problèmes de société »

Joël de Rosnay, Entretien dans Sciences-Ouest, 14 janvier 1997

Mesdames, Messieurs,

Le projet de loi pour une République numérique présenté mercredi 9 décembre par la secrétaire d’État chargée du numérique, Axelle Lemaire, est issu d’un ambitieux processus de co-écriture citoyenne.

Dès octobre 2014, une grande concertation nationale a été lancée par le Premier ministre. Plus de 4 000 contributions d’entreprises, d’administrations et de particuliers ont été reçues et synthétisées par le Conseil national du numérique, qui a remis au Gouvernement ses conclusions le 18 juin 2015. Un pré-projet de texte a ensuite été élaboré par le Gouvernement puis soumis à une consultation publique en ligne, qui a donné lieu à plus de 8 500 contributions et près de 150 000 votes.

Cette démarche participative doit être saluée : elle rappelle que le numérique est un outil puissant pour penser différemment les grands problèmes sociaux actuels, qui permet aussi de repenser notre manière de faire de la politique.

Ce projet de loi numérique s’inscrit dans un environnement européen en pleine mutation.

Aujourd’hui, l’Europe paraît à la traîne de la révolution numérique, et peine à faire émerger de véritables « champions européens », capables de concurrencer les leaders américains et asiatiques dans ce secteur.

Mais le cadre règlementaire européen nécessaire à cette révolution numérique se trouve aujourd’hui à un tournant majeur.

Des principes fondateurs sont désormais consacrés par le droit européen, ou sur le point de l’être, comme la « neutralité d’internet » ou le « droit à l’oubli ». Le règlement européen relatif à la protection des données personnelles, présenté par la Commission européenne en 2012, est sur le point d’être adopté : il permettra des avancées majeures pour les droits fondamentaux dans ce nouvel univers numérique.

L’Europe constitue aujourd’hui l’échelon optimal pour encourager et encadrer ces nouveaux modes de production, de consommation, de création, car le numérique n’a que faire des frontières. Face à la puissance de start-ups devenues des multinationales comme Google, Amazon, Facebook ou Apple – les fameux « GAFA » -, seule l’Union européenne a la taille critique pour agir comme le médiateur d’un internet ouvert et respectueux des droits de l’individu. Se contenter de légiférer au niveau national n’aurait pas véritablement de sens, et risquerait de désavantager les entreprises françaises par rapport à leurs concurrentes européennes : l’horizon final d’une règlementation numérique efficace et ambitieuse doit être européen.

La nouvelle Commission européenne l’a compris : elle a fait du numérique l’une de ses priorités et a présenté, le 6 mai 2015, une nouvelle stratégie numérique.

Le projet de loi présenté par le Gouvernement doit contribuer à renforcer cet élan européen, en stimulant le débat public autour de ces sujets mais également en jouant un rôle de précurseur, en dessinant les grandes lignes qui pourraient servir de base à la future règlementation européenne, de la même manière que la loi CNIL de 1978 a inspiré les grands principes de la directive de 1995 sur la protection des données personnelles.

De nombreux sujets abordés par le projet de loi sont liés directement ou indirectement au droit européen. Dans un souci d’efficacité et de sécurité juridique, la bonne articulation entre les dispositions proposées par ce projet de loi et celles en vigueur – ou à venir – au niveau européen est donc cruciale.

Le Gouvernement en est pleinement conscient. Dès septembre, la secrétaire d’État a informé les deux commissaires européens en charge du numérique des principales dispositions du texte soumis à la consultation par courrier, avant de se rendre à Bruxelles, pour présenter, entre autres, les principaux axes du projet de loi à la Commission européenne et au Parlement européen. (2)

C’est pour cette même raison que la commission des Affaires européennes a décidé de formuler des observations sur ce projet de loi, en application de l’article 151-1-1 du règlement de l’Assemblée nationale.

L’UNION EUROPÉENNE AU CœUR DES QUESTIONS NUMÉRIQUES

La stratégie Europe 2020, qui a succédé à la stratégie de Lisbonne, avait identifié comme l’un de ses principaux objectifs la mise en place d’une « stratégie numérique pour l’Europe ». Cette stratégie, révisée à mi-mandat, n’a pas permis à la Commission européenne d’impulser une véritable dynamique européenne autour des enjeux numériques.

Dans leur rapport sur la stratégie unique numérique de l’Union européenne d’octobre 2013, M. Hervé Gaymard et Mme Axelle Lemaire dénonçaient ainsi une « panne de doctrine » sur les questions numériques, reprochant à la Commission européenne de se focaliser uniquement sur les aspects relatifs au marché intérieur, laissant de côté les problématiques liées à l’innovation et à la stratégie industrielle(3).  

Lancé par la Commission européenne dans le cadre des perspectives financières de l’Union européenne pour 2014-2020, ce mécanisme financier comporte un volet dédié aux réseaux transeuropéens de télécommunications et aux services numériques paneuropéens. Initialement doté d’une enveloppe de 10,5 milliards d’euros, le Conseil européen des 7 et 8 février 2013 a réduit ces crédits de près de 90 %, soulignant ainsi le décalage entre la volonté affichée et les moyens concrets mis en œuvre en faveur du numérique.

Les règles européennes issues de la directive du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques n’étant plus adaptées à l’évolution des transactions électroniques, la Commission européenne a présenté en 2012 une proposition de règlement relative à l’identification électronique et aux services de confiance, adoptée définitivement le 23 juillet 2014.

Ce règlement fixe les règles relatives aux services de confiance, bien au-delà de la seule signature électronique (cachet électronique pour les personnes morales, horodatage électronique, services d’envoi de recommandé électronique, authentification de sites internet). Il fixe également les conditions relatives à la reconnaissance mutuelle de l'identification électronique (4).

La Commission européenne a présenté le 7 février 2013 une proposition de directive en matière de sécurité des réseaux et des systèmes d’information  (5), ainsi qu’une communication conjointe avec le Service européen d’action extérieure sur une stratégie européenne de cybersécurité.

La proposition de la Commission européenne prévoyait notamment un renforcement des capacités des États membres face aux cybermenaces, la mise en place d’une coordination européenne permettant de répondre aux incidents informatiques nationaux et la prévention des cybermenaces pour les administrations publiques et certaines entreprises, dans des secteurs « critiques ».

Après l’échec des premiers trilogues sur cette directive, la présidence lettone a finalement obtenu le 29 juin 2015 un accord politique avec le Parlement européen sur les grands principes. Les travaux sur le texte se sont poursuivis au deuxième semestre 2015, et les négociations pourraient aboutir d’ici la fin de l’année.

La Commission européenne a présenté le 3 décembre 2012 une proposition de directive relative à l’accessibilité des sites web d’organismes du secteur public, en particulier pour les personnes handicapées et les personnes âgées, introduisant notamment une nouvelle norme européenne en la matière.

Le Parlement européen s’est prononcé en première lecture sur cette proposition de directive en février 2014, mais elle fait l’objet de beaucoup plus de réserves au sein du Conseil. Ces réserves portent sur son imprécision, son coût, les obligations de contrôle très lourdes, le risque de surcharge administrative qu’elle pourrait engendrer et la pertinence d’élaborer une norme européenne spécifique alors qu’une norme internationale (WCAG 2.0) existe déjà.

La directive du 15 mai 2014 (6) sur la réduction du coût du haut débit incite au déploiement des réseaux de communication à très haut débit dans les États membres. Elle encourage notamment :

- l’exploitation des infrastructures existantes ;

- une meilleure coordination des travaux de génie civil et la simplification des démarches administratives ;

- la présence systématique d’infrastructures de très haut débit dans tous les immeubles neufs et dans les projets de grande rénovation.

La transposition de cette directive par ordonnance est prévue par la loi 2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques.

La Commission européenne a présenté en septembre 2013 un « paquet Télécoms »  composé d’une proposition de règlement établissant des mesures relatives au marché européen des communications électroniques accompagnée d’une étude d’impact et d’une communication. Ce texte proposait notamment :

- de simplifier la règlementation communautaire applicable aux opérateurs de télécommunications ;

- d’éliminer les frais d’itinérance applicables aux appels entrants lors de déplacements dans l’Union européenne ;

- de supprimer les majorations appliquées aux appels intra-européens ;

- d’instaurer des règles juridiques visant à préserver la neutralité du net ;

- d’ouvrir des droits nouveaux pour les consommateurs (notamment le droit d'opter pour une fonction de transfert des courriers électroniques vers une nouvelle adresse électronique après avoir changé de fournisseur d'accès à internet) ;

- de mieux coordonner l’attribution des radiofréquences afin de permettre un meilleur accès aux réseaux 4G et Wi-Fi.

Ce texte, présenté comme le projet « le plus ambitieux [que la Commission européenne] ait proposé en vingt-six ans de réformes concernant le marché des télécommunications » a donné lieu à de très nombreuses critiques de la part des États membres, des parlementaires européens et de l’Organe des régulateurs européens des communications électroniques, remettant en cause la fiabilité de l’étude d’impact et le calendrier choisi par la Commission européenne, déposant une proposition de cette importance en toute fin de mandat. Dans leur rapport sur la stratégie numérique de l’Union européenne, Mme Axelle Lemaire et M. Hervé Gaymard reprochaient à cette proposition de règlement d’être « en inadéquation avec les vrais enjeux ».

Le Parlement européen a adopté sa position sur le texte en première lecture avant la fin de la 7ème législature européenne, le 3 avril 2014.

Le texte adopté par le Parlement européen à la suite de débats très intenses introduisait des mesures beaucoup plus protectrices de la neutralité du réseau que celles prévues par la Commission européenne (cf. infra).

Sous Présidence lettonne, le champ de la proposition de règlement a été restreint à l’itinérance et à la neutralité du net, demande formulée par le Conseil « Transports, télécommunications et énergie » du 27 novembre 2014.

Les négociations qui ont eu lieu entre le Parlement européen, le Conseil et la Commission européenne entre fin janvier et fin juin ont principalement porté sur le caractère prescriptif des dispositions sur la neutralité du net et sur la date d’abolition des frais d’itinérance.

Le règlement finalement adopté par le Parlement européen le 27 octobre 2015 (7) ne mentionne plus le principe de neutralité du réseau en tant que tel mais garantit l’accès à un internet ouvert (cf. infra).

Le règlement prévoit la suppression des frais d’itinérance à partir du 15 juin 2017. Les consommateurs payeront donc le même prix pour les appels, les SMS et les données mobiles où qu’ils se rendent dans l’Union européenne. Dès avril 2016, les frais d’itinérance seront réduits : les opérateurs ne pourront facturer qu’un petit montant additionnel aux prix domestiques jusqu’à 5 centimes par minute d’appel effectuée, 2 centimes par SMS envoyé, et 5 centimes par mégabyte envoyé ou téléchargé d’internet (hors TVA). (8)

La nouvelle Commission européenne semble avoir entendu le message porté par le Gouvernement français, au côté d’autres États membres, et en premier lieu l’Allemagne : l’Europe ne peut se contenter d’agir sur le secteur numérique sur le seul angle du marché unique et de la régulation des télécoms.

Préalablement au Conseil européen d’octobre 2013 – consacré en partie au numérique, le Gouvernement français avait en effet plaidé dans une contribution spécifique pour que l’Europe ne devienne pas « un simple espace de consommations de services numériques développés ailleurs, via des technologies, des modèles et des normes qu’elle ne maitriserait pas » et en faveur d’une Europe qui garantirait « qu’Internet fonctionne comme un espace public ouvert à tous et respectueux des droits de chacun, un levier de développement économique, un instrument de liberté et d’émancipation politique  ». Le numérique a également été à l’ordre du jour des Conseils des ministres franco-allemands des 19 février 2014 et 31 mars 2015, préfigurant la conférence numérique franco-allemande du 27 octobre 2015.

En présentant les orientations politiques de la nouvelle Commission européenne le 15 juillet 2014, Jean-Claude Juncker a fait du « marché numérique connecté » sa deuxième priorité, souhaitant que la nouvelle Commission européenne ait «  le courage de briser les barrières nationales en matière de réglementation des télécommunications, de droit d'auteur et de protection des données, ainsi qu'en matière de gestion des ondes radio et d'application du droit de la concurrence ».

Deux commissaires européens sont en charge du numérique : M. Andrus Ansip, le commissaire estonien, Vice-président en charge du marché unique numérique, et M. Günther Oettinger, le commissaire allemand, en charge de la société et de l’économie numérique.

La Commission européenne a adopté le 6 mai 2015 une stratégie numérique axée autour de trois piliers et de 16 actions (9).

Un premier pilier « marché unique numérique » vise à « assurer un meilleur accès des consommateurs et des entreprises aux biens et aux services en ligne » avec :

- des règles relatives aux marchés transfrontières plus simples et plus efficaces ;

- le rééxamen du règlement relatif à la coopération en matière de protection des consommateurs ;

- la facilitation de la livraison des colis transfrontières ;

- la fin des pratiques injustifiées de géo-blocage ;

- une enquête sur la concurrence dans le secteur du commerce électronique, concernant le commerce en ligne de biens et la fourniture en ligne de services ;

- le réexamen de la directive « satellite et câble » ;

- la modernisation du cadre juridique des droits d’auteur (une mission d’information de la commission des affaires européennes de l’Assemblée nationale est actuellement en cours sur ce sujet) ;

- la simplification des procédures de TVA transfrontalière pour la vente en ligne et les petites start-ups de commerce électronique.

Un deuxième pilier « régulation » vise à « créer des conditions favorables et des règles du jeu équitables pour les réseaux numériques avancés et les services innovants » avec :

- la révision du paquet télécoms pour permettre la coordination du spectre radioélectrique et le développement du très haut débit ;

- le réexamen de la directive sur les services de médias audiovisuels ;

- l’évaluation du rôle des plateformes et des intermédiaires ;

- le renforcement de la sécurité des réseaux par la création d’un partenariat public-privé sur la sécurité des données ;

- la révision de la directive « vie privée et communications électroniques ».

Un troisième pilier « industriel » vise à « maximiser le potentiel de croissance de l’économie numérique européenne » avec :

- des initiatives concernant la propriété des données, la libre circulation des données et la création d’un nuage européen (« cloud computing ») ;

- la définition de priorités en matière de normes et d’interopérabilité des nouvelles technologies dans certains domaines prioritaires : santé en ligne, transports, environnements ;

- la présentation un plan d’action en faveur de l’administration en ligne.

Toutefois, la rapporteure souligne que l’on peut là encore regretter l’absence d’un véritable plan industriel en matière de numérique, mettant l’accent sur l’accompagnement à l’investissement et à l’innovation.

La Gouvernement français a salué les avancées de la Commission, notamment sur deux questions qui n’étaient pas identifiées par la précédente Commission : la régulation des principales plateformes numériques et la prise en compte des enjeux industriels du numérique, notamment en matière de standardisation.

Les premières initiatives découlant de cette stratégie numérique ont été adoptées par la Commission européenne le 9 décembre dernier :

- une communication sur la révision du cadre européen en matière de droit d’auteur ;

- un projet de règlement sur la portabilité des droits d’auteur ;

- un projet de directive sur la fourniture de contenu numérique ;

- un projet de directive sur la vente en ligne de biens.

« Toute personne a droit à la protection des données à caractère personnel la concernant »

Article 8 de la Charte européenne des droits fondamentaux

La protection des données à caractère personnel au sein de l’Union européenne relève actuellement, hormis pour les questions relevant de la politique européenne de sécurité et de défense et de la coopération policière et judiciaire pénale, de la directive 95/46/CE du 24 octobre 1995. (10)

Ce cadre juridique a été élaboré alors que l’utilisation d’internet n’en était qu’à ses débuts. Or, depuis l’entrée en vigueur de cette directive, les technologies mais également les comportements des utilisateurs ont considérablement évolué. Le développement des sites internet de réseaux sociaux en est probablement l’exemple le plus frappant.

Avec l’entrée en vigueur du traité de Lisbonne, la protection des données personnelles a été consacrée comme un droit nouveau.

En effet, le traité donne force juridique contraignante à la Charte européenne des droits fondamentaux, dont l’article 8 consacre un droit à la protection des données personnelles, et précise que ces données doivent être traitées « loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi ». Une autorité de contrôle indépendante doit veiller au respect de ces règles.

L’article 16 du traité sur le fonctionnement de l’Union européenne consacre lui aussi ce droit, et prévoit qu’il appartient au Parlement européen et au Conseil, statuant conformément à la procédure législative ordinaire, d’adopter les règles relatives à la protection des personnes à l’égard du traitement de leurs données personnelles et à la libre circulation de leurs données.

C’est dans ce contexte que la Commission européenne a présenté deux textes le 25 janvier 2012 : une proposition de règlement général sur la protection des données et une proposition de directive spécifique aux données policières et judiciaires.

L’Assemblée nationale s’est prononcée sur la proposition de règlement à plusieurs reprises, notamment dans une résolution du 23 mars 2012. (11)

Depuis janvier 2012, l’examen de ces textes au Conseil est apparu très difficile, tant du fait de leur extrême complexité technique que de fortes réserves politiques de la part de certains États membres.

Le règlement présenté par la Commission européenne est ambitieux : il l’est tout d’abord dans sa forme, puisque qu’il s’agit d’un règlement et non plus d’une directive, qui sera donc d’application directe et ne nécessitera pas de transposition, devant ainsi permettre une réelle harmonisation des droits nationaux.

Ce règlement est également ambitieux dans son contenu, puisqu’il vise à concilier deux objectifs : renforcer les droits des citoyens sur les données qui les concernent et renforcer la sécurité juridique et pratique pour les responsables de traitement (entreprises et pouvoirs publics), nécessaire au développement de l’économie numérique.

Au-delà du renforcement des droits des personnes, le futur règlement doit répondre à un impératif : être technologiquement neutre, c’est-à-dire capable de s’adapter aux évolutions sans cesse plus rapides des technologies de l’information et de la communication.

Le règlement proposé par la Commission européenne prévoit ainsi de nouveaux droits pour les citoyens, en créant un « droit à l’oubli numérique » et en garantissant un « droit à la portabilité des données ». Il consacre le principe du consentement explicite au traitement des données et prévoit un meilleur encadrement de la pratique du profilage, c’est-à-dire du croisement de données personnelles pour obtenir un « profil » de la personne concernée.

La proposition de la Commission européenne étend également le champ d’application territorial des règles européennes de protection des données personnelles, puisque le règlement s’appliquerait non seulement au traitement des données à caractère personnel par des responsables de traitement établis dans l’Union européenne mais également au traitement des données personnelles par des responsables établis hors de l’Union européenne s’ils visent des résidents de l’Union européenne.

Par ailleurs, la proposition de la Commission européenne prévoit d’alléger les charges des entreprises, en supprimant l’obligation systématique de déclaration préalable à la mise en œuvre d’un traitement automatisé de données personnelles et en adoptant une approche fondée sur le risque : seuls les traitements susceptibles de présenter des risques particuliers pour les droits et libertés – déterminés par une analyse d’impact– seraient soumis à une obligation de notification.

Parallèlement, les responsables de traitement seraient soumis à des exigences de sécurité accrues :

- les responsables de traitement devraient adopter des mesures qui répondent aux principes de la protection des données par défaut et dès la définition des moyens de traitement des données, dites de « privacy by design » ;

- des « délégués à la protection des données » seraient obligatoirement désignés dans les entreprises de plus de 250 salariés et dans les organismes publics ;

- des codes de conduite et des mécanismes de certification seraient mis en œuvre ;

- la notification des failles de sécurité à l’autorité de contrôle et aux personnes concernées serait obligatoire.

La proposition de règlement prévoit également des obligations propres aux sous-traitants, ce qui permettrait notamment de mieux prendre en compte la problématique de « l’informatique en nuage ».

Enfin, la proposition de règlement prévoit la création d’un Comité européen de la protection des données (CEPD), composé des directeurs des autorités de contrôle nationales et du contrôleur européen de la protection des données.

Un système de « guichet unique » serait mis en place afin de simplifier les démarches des entreprises : une seule autorité de contrôle serait compétente pour juger des éventuelles atteintes à la règlementation par un responsable de traitement si le responsable de traitement dispose d’établissements dans plusieurs États membres ou si le traitement concerne des citoyens résidant dans plusieurs États de l’Union européenne.

Au Parlement européen, le rapport de Jan Philipp Albrecht (Verts/ALE) a été adopté le 12 mars 2014 en plénière à une large majorité.

Le Parlement européen souhaite notamment :

- que le plafond des sanctions prévues par le règlement soit augmenté (100 millions d’euros ou 5 % du chiffre d’affaires annuel mondial d’une entreprise lorsque celle-ci viole les règles européennes, contre 250 000 euros ou 2 % dans le texte de la Commission européenne) ;

- qu’une autorité chef de file soit désignée dans le système du guichet unique, qui prendrait des mesures après consultation de toutes les autres autorités de contrôle ;

- que l’information des utilisateurs soit renforcée ;

- que le marketing direct, qui consiste à s’adresser de manière personnalisée et individualisée aux potentiels clients ciblés, soit très encadré ;

- que le transfert de données soumises au droit de l’Union européenne à des autorités publiques de pays tiers en faisant la requête ne puisse avoir lieu qu’avec l’autorisation de l’autorité européenne de contrôle compétente ;

- qu’un droit de s’opposer au profilage soit consacré ;

- que le seuil de 250 salariés rendant obligatoire la désignation d’un délégué à la protection des données soit remplacé par un critère relatif au nombre de traitements effectués (plus de 5 000 personnes concernées sur une période de douze mois consécutifs).

Alors que la proposition de la Commission européenne prévoyait la création d’un nouveau droit, le droit à la portabilité des données, le Parlement européen a considéré que ce droit à la portabilité ne constituait pas un nouveau droit en tant que tel mais était simplement une « déclinaison » du droit d’accès aux données.

Enfin, de nouvelles précisions ont été ajoutées concernant les données personnelles sensibles, ajoutant notamment « l’orientation sexuelle ou l’identité de genre » à la liste de ces données.

Après plusieurs orientations générales partielles, les ministres de la Justice des 28 États membres réunis en Conseil Justice et Affaires intérieures (JAI) se sont accordés le 15 juin 2015 sur la totalité du règlement.

Les points les plus problématiques de la négociation portaient sur les conditions de licéité du traitement des ultérieures données, sur le consentement des mineurs, sur le recours à la pseudonymisation, sur les conditions du transfert de données personnelles à des pays tiers et sur le mécanisme du guichet unique.

Le texte issu du Conseil prévoit notamment que les données personnelles « doivent être collectées et traitées de manière licite dans des conditions strictes et à des fins légitimes », avec le consentement « sans ambiguïté » de la personne concernée.

L’adoption de cette orientation générale a permis d’ouvrir les trilogues (négociations entre le Parlement européen, le Conseil et la Commission européenne) dès le 24 juin 2015.

Après plusieurs mois de trilogues, les institutions européennes sont parvenues à un accord sur la proposition de règlement le 15 décembre dernier. Cet accord doit être adopté en commission des libertés civiles le 17 décembre, puis en session plénière au début de l’année prochaine. S’il est comme prévu adopté sans amendements, il pourrait donc être publié au cours du premier semestre 2016, après son lissage et sa traduction.

Le règlement entrerait en application deux ans après son adoption, donc au premier semestre 2018.

Dans l’attente de l’adoption du paquet législatif, la jurisprudence de la Cour de Justice de l’Union européenne (CJUE) a considérablement contribué, depuis 2014, à l’adoption de règles relatives à la protection des données personnelles.

Le 8 avril 2014, la CJUE a invalidé la directive sur la rétention des données télécoms (12),  qui imposait aux opérateurs de télécommunication de stocker pour une durée minimale de six mois et maximale de deux ans les données de téléphonie des utilisateurs, afin qu’elles puissent être utilisées par les services répressifs des États membres dans la conduite d’enquête relatives à des infractions graves.

Sans remettre en cause le principe même de cette rétention de données, la Cour a considéré que les mesures prévues par cette directive n’étaient pas accompagnées des garde-fous nécessaires, critiquant notamment :

- un accès aux données par les services répressif trop large et encadré de manière insuffisante, ne faisant pas l’objet du contrôle préalable d’une autorité indépendante ;

- une durée de conservation imprécise ;

- l’absence totale d’obligation de conserver ces données sur le territoire de l’Union.

Elle a ainsi considéré que ces mesures constituaient « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, sans que cette ingérence soit limitée au strict nécessaire ».

Alors que les États membres se sont majoritairement prononcés en faveur d’une nouvelle directive européenne sur ce sujet, la Commission européenne a fait savoir qu’elle n’avait pas l’intention de présenter une proposition en ce sens, laissant aux États membres le soin de légiférer sur cette question.

Dans un arrêt très commenté du 13 mai 2014, Google Spain c. AEPD, la CJUE a jugé que toute personne a, sous certaines conditions, un droit au déréférencement des informations la concernant.

Elle considère que l’exploitant d’un moteur de recherche peut être tenu responsable du traitement de données personnelles figurant sur des pages web publiées par des tiers, et que, à ce titre, les personnes concernées peuvent demander à ce que les liens menant vers ces données soient supprimées lorsqu’elles ne sont plus actuelles ou pertinentes. La personne concernée peut donc s’adresser directement à l’exploitant pour obtenir la suppression d’un lien de la liste de résultats, et le moteur de recherche peut y être contraint par les autorités compétentes de protection des données.

Ce droit au déréférencement n’est toutefois pas absolu, et la suppression de ces liens doit être appréciée au cas par cas. Ainsi, l’analyse doit permettre de confronter l’intérêt de la personne concernée au déréférencement de ces informations, selon leur contenu et leur sensibilité avec l’intérêt des internautes à recevoir ces informations, en fonction notamment du rôle joué dans la vie publique par cette personne.

En novembre 2014, les autorités européennes de protection des données réunies au sein du Groupe de l’article 29 (G29) ont adopté des lignes directrices pour assurer une application harmonisée de l’arrêt de la CJUE, donnant une interprétation commune de l’arrêt et définissant des critères pour le traitement des plaintes.

En juin 2015, près de 2000 plaintes avaient été reçues par les autorités de protection des données. Des problèmes subsistent quant aux critères permettant de définir les personnes « jouant un rôle dans la vie publique ». Selon le G29, dans la grande majorité des cas, le moteur de recherche justifie le refus de déréférencer par le fait que l’information en question est en lien direct avec l’activité professionnelle du demandeur ou qu’elle est pertinente au regard de l’actualité ou de l’objectif du traitement.

Le « Safe Harbor » (« sphère de sécurité ») est une décision d’adéquation adoptée par l’Union européenne dans le cadre de la directive européenne de 1995 sur la protection des données qui permet l’échange de données entre entreprises de l’Union européenne et entreprises américaines respectant un certain niveau de protection des données.

Suite à l’affaire PRISM, le Safe Harbor a fait l’objet d’une évaluation et de recommandations de la Commission européenne, présentées dans une communication du 29 novembre 2013, dans laquelle la Commission européenne critiquait fortement le fonctionnement de l’accord et formulait des recommandations visant à renforcer le dispositif existant.

Dans un arrêt Schrems c. Data Protection Commissioner du 6 octobre 2015, la CJUE a invalidé la décision d’adéquation, considérant que ce mécanisme ne permettait pas d’assurer un niveau de protection suffisant des données à caractère personnel européennes transférées.

La Commission européenne a présenté le 6 novembre dernier des lignes directrices indiquant aux entreprises européennes la marche à suivre suite à cette décision. Dans la pratique, les entreprises disposent toujours d’autres moyens pour transférer les données stockées en Europe vers les États-Unis : pour le moment, les entreprises peuvent recourir aux « binding corporate rules » (règles internes d’entreprise) applicables aux transferts intragroupes ou à des solutions contractuelles.

Le G29 a appelé la Commission européenne et les entreprises américaines à trouver un accord avant la fin du mois de janvier 2016. Si aucune solution satisfaisante n’était trouvée, et en fonction de l’évaluation en cours des outils de transferts par le G29, les autorités nationales de protection des données se sont engagées à mettre en œuvre toutes les actions nécessaires, et examineront la possibilité d’user de leurs pouvoirs de suspension ou d’interdiction des transferts de données personnelles vers les États-Unis. 

L’invalidation du « Safe Harbor » rend d’autant plus urgente l’adoption d’un règlement européen qui fixe des grands principes directeurs, permettant de renégocier un Safe Harbor ambitieux.

La rapporteure souligne l’importance de se saisir politiquement de ce sujet, qui revêt une importance majeure.

LE PROJET DE LOI DANS SON CONTEXTE EUROPÉEN

Pour Tim Wu, universitaire américain qui fut l’un des premiers théoriciens de la neutralité du net, « pour qu’un réseau public d’information soit le plus utile possible, il doit tendre à traiter tous les contenus, sites et plateformes de la même manière (…) Internet n’est pas parfait mais son architecture d’origine tend vers ce but. Sa nature décentralisée est la raison de son succès à la fois économique et social » (13).

Les débats autour de la neutralité d’internet renvoient essentiellement à la question de savoir quel contrôle les acteurs de l’internet ont le droit d’exercer sur le trafic acheminé. Un internet neutre suppose que les opérateurs de télécommunications transportent tous les flux d’information de manière neutre, indépendamment de leur nature, de leur contenu, de leur expéditeur ou de leur destinataire.

Ce principe de neutralité absolue est menacé par toutes les pratiques de blocage de la transmission de données, de dégradation ou de ralentissement du trafic :

- pour des raisons techniques : les opérateurs de télécommunications sont parfois amenés à mettre en place des pratiques dites de « gestion de trafic », pour contrôler la hausse du trafic, et, par exemple, lutter contre la congestion du réseau ;

- pour des raisons économiques : les opérateurs peuvent être tentés de faire payer les fournisseurs de contenus qui génèrent le trafic le plus important, en contrepartie d’une garantie de qualité de diffusion, ou de dégrader l’accès à des services concurrents à ceux qu’ils proposent ;

- pour des raisons juridiques : la puissance publique peut imposer aux opérateurs de bloquer certains contenus illégaux contenus sur internet.

Depuis le début des années 2000, le trafic sur internet a connu une croissance très forte, notamment du fait du développement de la vidéo et de l’augmentation du nombre de terminaux connectés à internet. Conjugué avec le déploiement de nouveaux réseaux d’accès couteux (fibre optique, réseau mobile de quatrième génération, etc.) cela s’est traduit pour les opérateurs par des besoins de financement nouveaux.

Les opérateurs cherchent donc à développer de nouveaux usages d’internet plus rémunérateurs, en développant des services dits services « spécialisés » ou services « gérés » : ce sont des services « premium », restreints à certains utilisateurs, avec une qualité contrôlée. L’exemple le plus frappant du développement de ces services spécialisés est notamment l’essor des offres « triple play » conjuguant accès à internet, téléphonie fixe et télévision par internet. Ces « services gérés » transitent par les mêmes réseaux que le trafic ordinaire, et les opérateurs doivent donc être en mesure de réserver une capacité prioritaire pour s’assurer de leur qualité.

Les opérateurs cherchent également à augmenter la contribution des fournisseurs de contenus et d’applications au financement des réseaux.

Le principe de neutralité du net a fait l’objet de vives controverses aux États-Unis depuis le début des années 2000.

En 2005, la Federal Communications Commission a défini quatre principes tendant à garantir cette neutralité du net : le droit pour les consommateurs d’avoir accès au contenu légal de leur choix et d’utiliser les applications ou services de leur choix, dans le respect de la loi ; le droit de connecter les terminaux de leur choix au réseau, sous réserve qu’ils ne portent pas atteinte au bon fonctionnement du réseau  ; le droit de faire jouer la concurrence entre les fournisseurs d’accès, de services, d’applications et de contenus.

La mise en œuvre de ces principes reste difficile. Une nouvelle règlementation a été proposée en 2014, mais celle-ci a été partiellement annulée par le juge, et les dernières réponses règlementaires apportées en 2015 font également l’objet de contestations.

En Europe, le « troisième paquet télécoms » de 2009 a apporté de premiers éléments en faveur d’une telle neutralité : (14)

- en consacrant comme objectifs de la régulation d’Internet les volets économique (la concurrence effective entre fournisseurs d’accès à internet et prestataires de la société de l’information « y compris pour la transmission de contenu ») et sociétal (l’accès des utilisateurs finals à l’information) de la neutralité du net ;

- en prévoyant d’imposer aux opérateurs des obligations de transparence en matière de gestion du trafic et de restrictions à l’accès au réseau ;

- en donnant de nouveaux pouvoirs au régulateur : pouvoir de fixer des exigences minimales en terme de qualité de service, pouvoir de règlement des différends étendu aux litiges entre les fournisseurs de contenus et les opérateurs sur les conditions d’acheminement du trafic.

En France, ces dispositions ont été transposées par l’ordonnance n°2011-1012 du 24 août 2011, donnant à l’Autorité de Régulation des Communications Électroniques et des Postes (ARCEP) de nouveaux objectifs liés à la neutralité du net.

Alors que la neutralité du net avait été explicitement consacrée lors de la première lecture de la proposition de règlement par le Parlement européen, elle a disparu dans la version du texte issue des trilogues et a été remplacée par la notion de « garantie de l'accès à un internet ouvert ».

L’article 3 du règlement final dispose que :

- les utilisateurs finals ont le « droit d’accéder aux informations et aux contenus et de les diffuser, d’utiliser et de fournir des applications et des services et d’utiliser les équipements terminaux de leur choix, quel que soit le lieu où se trouve l’utilisateur final ou le fournisseur, et quels que soient le lieu, l’origine ou la destination de l’information, du contenu, de l’application ou du service, par l’intermédiaire de leur service d’accès à internet » (sous réserve de la légalité de ces contenus, de ces applications ou de ces services) ;

- les accords entre les fournisseurs d’accès à internet et les utilisateurs finals sur les conditions commerciales et techniques, les caractéristiques des services d’accès à internet (prix, volume de données, débits) et les pratiques commerciales des fournisseurs d’accès ne peuvent pas limiter ce droit ;

- les fournisseurs d’accès traitent tout le trafic de façon égale et sans discrimination, restriction ou interférence, quels que soient l’expéditeur et le destinataire, les contenus consultés ou diffusés, les applications ou les services utilisés ou fournis ou les équipements terminaux utilisés. Les fournisseurs d’accès à Internet peuvent toutefois mettre en œuvre des mesures raisonnables de gestion du trafic ;

- pour être réputées raisonnables, les mesures de gestion du trafic doivent être transparentes, non discriminatoires et proportionnées, et elles ne doivent pas être fondées sur des considérations commerciales, mais sur des différences objectives entre les exigences techniques en matière de qualité de service de certaines catégories de trafic ;

- des mesures discriminatoires visant à bloquer, ralentir, modifier, restreindre, perturber ou dégrader des contenus, des applications ou des services ne peuvent être mises en place que (1) pour se conformer à la législation européenne ou nationale, (2) pour préserver l’intégrité et la sûreté du réseau (3) ou pour prévenir une congestion imminente du réseau et atténuer les effets d’une congestion exceptionnelle ou temporaire du réseau ;

- la fourniture de services spécialisés est possible uniquement si les capacités du réseau sont suffisantes pour les fournir sans dégradation de la disponibilité ou de la qualité générale des services d’accès à l’Internet pour les utilisateurs finals.

L’article 4 du règlement précise les mesures de transparence qui doivent garantir l’accès à un internet ouvert, notamment dans les contrats conclus par les fournisseurs d’accès et dans le traitement des réclamations des utilisateurs.

L’article 5 précise les modalités de surveillance de ces nouvelles dispositions. Les autorités règlementaires nationales (en France, l’ARCEP) sont en charge de cette surveillance, et peuvent à cette fin imposer, entre autres, des exigences concernant des caractéristiques techniques et des exigences minimales de qualité du service à un ou plusieurs fournisseurs de communications électroniques. Les fournisseurs de communications électroniques devront mettre à la disposition des régulateurs toutes les informations relatives à la neutralité du réseau.

L’article 6 laisse aux États membres le soin de déterminer les sanctions applicables et les mesures nécessaires pour assurer la mise en œuvre de ces dispositions européennes. Ces mesures doivent être notifiées au plus tard le 30 avril 2016.

L’Organe des régulateurs européens des communications électroniques (l’ORECE) doit également adopter des lignes directrices pour la mise en oeuvre des obligations incombant aux régulateurs nationaux dans le courant de l’été 2016.

Un texte final en retrait par rapport au vote initial du Parlement européen

La version du texte adoptée en première lecture le 3 avril 2014 par le Parlement européen allait beaucoup plus loin que les propositions de la Commission européenne.

Le Parlement européen avait notamment fait le choix de consacrer explicitement la neutralité du réseau, lui donnant une véritable définition : « Le principe selon lequel l’ensemble du trafic Internet est traité de façon égale, sans discrimination, limitation ni interférence, indépendamment de l’expéditeur, du destinataire, du type, du contenu, de l’appareil, du service ou de l’application ». Tous ces éléments de définition sont repris dans le règlement final.

Le texte adopté par le Parlement européen reconnaissait l’existence de services spécialisés, mais imposait que les accords passés entre les fournisseurs d’accès à internet et les fournisseurs de ces services spécialisés ne nuisent pas à la qualité de l’accès à d’autres contenus, en prévoyant que ces services ne soient proposés que si la capacité du réseau est suffisante pour les fournir en plus des services d’accès à l’Internet et s’ils ne portent pas atteinte à la disponibilité ou à la qualité des services d’accès à l’Internet. Il imposait aux fournisseurs d’accès de ne pas opérer de discrimination entre des services ou des applications fonctionnellement équivalentes.

Si la définition des services spécialisés donnée par la proposition de la Commission européenne était sans doute trop souple, plusieurs États membres, dont la France, ont considéré que la définition choisie par le Parlement européen était trop restrictive, et risquerait de nuire à l’innovation et au développement de services de qualité supérieure.

Le texte adopté par le Parlement européen était également plus exigeant que la proposition de la Commission européenne en ce qui concerne la possibilité de pratiquer des mesures techniques de gestion de trafic, en supprimant la possibilité de mesures de gestion de trafic visant à prévenir les communications non sollicitées (« spams ») et en exigeant que la congestion du trafic justifiant une mesure de gestion soit « temporaire et exceptionnelle » et non pas « temporaire ou exceptionnelle ».

Mme Nathalie Martial-Braz, codirectrice du Pôle propriété intellectuelle et numérique du réseau Trans Europe, entendue par votre rapporteure, a souligné que le choix final fait par les législateurs européens reflète une vision «  technique  » de ce concept de neutralité, « évacuant la question cruciale de la gouvernance de l’internet ».

Ce choix explique en partie les très fortes critiques émises à l’égard du règlement par certaines associations comme la Quadrature du net, qui a considéré le vote final comme une « trahison » du Parlement européen, ouvrant la voie à « un Internet pour les riches et un autre pour les pauvres », regrettant notamment le manque d’encadrement des services spécialisés.

L’article 19 du projet de loi consacre la neutralité de l’internet. Il définit ce principe comme le fait de garantir l’accès à l’internet ouvert régi par le règlement du 25 novembre 2015, et prévoit que l’ARCEP est chargé de veiller au respect de cette règle. Il considère donc ces deux notions de neutralité du net et de garantie d’accès à l’internet ouvert comme équivalentes.

La rapporteure approuve le choix final fait par le Gouvernement de faire référence au projet de règlement européen sans pour autant paraphraser le texte original du règlement, ce qui aurait été vecteur d’une potentielle insécurité juridique. La formule finalement retenue par le projet de loi permet de consacrer le principe de la neutralité du net en tant que telle, tout en lui donnant une définition qui lui permet d’être en adéquation complète avec les choix effectués au niveau européen.

La rapporteure tient toutefois à rappeler que si politiquement, réaffirmer le principe de neutralité du net est un symbole très fort, juridiquement, la garantie de l’accès à l’internet ouvert est déjà consacrée dans notre droit positif.

En effet, les règlements européens sont obligatoires dans toutes leurs dispositions, ce qui signifie que les États membres sont tenus de les appliquer telles qu’elles sont définies par le règlement, et directement applicables dans l’ordre juridique des États membres : contrairement aux directives, ils n’ont pas besoin d’être transposés.

Comme le souligne le rapport de la Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique (15), la notion de «  plateforme » dans l’univers numérique est une notion « très large qui peut recouvrir des interprétations diverses mais au cœur de laquelle réside le principe de l’intermédiation entre, d’une part, un producteur ou un vendeur et, d’autre part, un utilisateur d’internet, qu’il s’agisse d’un usager ou d’un consommateur ».

Par exemple, les moteurs de recherche (Google), les réseaux sociaux (Facebook), les plateformes de partage de vidéos (YouTube) ou des sites comme de réservation d’hôtels ou de transports comme « Booking » ou »  GoVoyages » sont des plateformes.

Cette notion a progressivement émergée car la catégorie des « hébergeurs » ne correspond plus à la réalité de certains services en ligne : alors que l’hébergeur est « passif », les plateformes en ligne jouent un rôle « actif », en classant et référençant des contenus, biens ou services proposés par des tiers.

L’émergence de ces « plateformes » soulève de nombreuses questions, car elles cumulent des caractéristiques qui tendent à leur conférer un pouvoir de marché considérable. En effet, ces plateformes bénéficient d’un fort effet de réseau : plus le nombre d’utilisateurs du réseau est important, plus il est intéressant d’y participer. Par ailleurs, ces plateformes se caractérisent souvent par une intégration verticale, en diversifiant leurs activités : on pense par exemple à Google (développement d’applications comme le service de courrier électronique Gmail, l’explorateur internet Google Chrome, le système d’exploitation Google Chrome OS, rachat de Youtube, etc.).

Certaines plateformes à l’image des « géants du Web » que sont Google ou Facebook, sont donc devenues des intermédiaires incontournables.

Ces plateformes peuvent abuser de leur pouvoir de marché :

- en imposant à leurs partenaires commerciaux (les entreprises, par exemple les annonceurs) des conditions contractuelles déséquilibrées ;

- en restreignant la concurrence, en valorisant leurs offres ou en dévalorisant les offres de leurs concurrents. C’est ce qu’est accusé de faire « Google » en affichant prioritairement, parmi ses résultats de recherche, ses propres services.

Les comportements des plateformes risquent également de nuire aux utilisateurs et à leur liberté de choix et d’accès à l’information.

Ainsi, comme le souligne le rapport Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique précité, ces plateformes  « ne permettent pas toujours de déterminer facilement si ce qui est présenté relève de la publicité, d’une sélection algorithmique générique, d’une adaptation personnalisée ou d’une préférence pour l’offre de la plateforme hôte ». Plus généralement, la prédominance de certaines plateformes pose des questions majeures en terme de « pluralisme, de liberté d’expression et d’accès à l’information ».

Juridiquement, la plupart de ces acteurs sont encore considérés par le droit européen comme des hébergeurs. De ce fait, ils sont soumis à un régime de responsabilité limitée en ce qui concerne leurs activités de référencement, issu de l’article 14 de la directive « e-commerce » du 8 juin 2000 (16).

La jurisprudence de la CJUE a permis d’éclairer la manière dont le statut d’hébergeur s’applique aux plateformes. Dans le cas de sociétés comme e-Bay mettant à la disposition des vendeurs une assistance leur permettant d’optimiser la présentation de leurs offres et de mieux les promouvoir, elle a tranché en refusant de leur accorder le statut d’hébergeur (17). En revanche, la nature juridique des moteurs de recherche reste beaucoup plus floue : ainsi, la CJUE a pour le moment laissé aux juges nationaux le soin de qualifier le service de Google, considérant que le régime de responsabilité limitée applicable aux hébergeurs s’applique « au prestataire d’un service de référencement sur internet lorsque ce prestataire n’a pas joué un rôle actif de nature à lui confier une connaissance ou un contrôle des données stockées » (18) . Mais Google joue-t-il ou non un « rôle actif » en référençant les contenus ?

Dans le prolongement des débats sur la neutralité du net, des questions ont donc émergé sur la neutralité et la transparence vis-à-vis des utilisateurs de ces plateformes, qui, lorsqu’elles acquièrent une position dominante sur leur marché, peuvent être tentées de favoriser certains contenus ou certaines applications plutôt que d’autres.

Cependant, il est délicat de transposer ce principe de neutralité tel quel aux plateformes, comme l’a souligné le Conseil d’État dans son rapport annuel de 2014 sur le numérique et les droits fondamentaux, rappelant que ces plateformes ont une liberté éditoriale : « l’objet de ces plateformes est de fournir un accès organisé, hiérarchisé ou personnalisé aux contenus mis à disposition sur leur site ou auxquelles elles donnent accès. En vertu du principe de neutralité du net, un fournisseur d’accès doit traiter de la même manière tous les contenus ; un tel traitement égalitaire ne peut être demandé à un moteur de recherche, puisque l’objet même d’un moteur de recherche est de hiérarchiser les sites internet. Les plateformes n’ont pas une responsabilité analogue à celle des gestionnaires d’infrastructures d’un réseau qui doit être universellement accessible : elles peuvent, dans le cadre de leur liberté contractuelle, exercer une sélection des services proposés ».

Il est donc préférable de parler de loyauté des plateformes plutôt que de neutralité.

Dès septembre 2013, le Gouvernement français, dans sa contribution en vue du Conseil européen des 24 et 25 octobre 2013, appelait la Commission européenne à présenter une proposition législative à la fin du 1er semestre 2014 sur la régulation des plateformes, soulignant que la régulation des principales plateformes de services et applications numériques est « nécessaire pour garantir un accès ouvert aux services et utilisateurs d’Internet et permettre l’émergence d’acteurs européens de niveau mondial ».

Dans le même sens, l’Assemblée nationale, dans sa résolution européenne sur la stratégie numérique européenne du 1er novembre 2013, demandait « à ce que soit élaboré, après consultation des acteurs du secteur, un régime de gouvernance et de régulation des services numériques, en imposant aux plateformes de services numériques des règles du jeu équitables pour lutter contre l’abus de position dominante de certains acteurs du numérique ».

2. Un objectif de la nouvelle Commission européenne, sous le prisme du numérique mais également de la concurrence

La Commission européenne semble enfin avoir entendu cette demande, et a ouvert une consultation le 24 septembre 2015 relative au rôle des plateformes en ligne, qui sera probablement suivie d’une initiative législative.

Cette consultation propose notamment une définition des plateformes : « on entend par "plateforme en ligne" une entreprise active sur des marchés bifaces (ou multifaces), qui utilise Internet pour permettre des interactions entre au moins deux groupes distincts, mais interdépendants, d'utilisateurs de façon à créer de la valeur pour au moins l'un des groupes. Certaines plateformes sont aussi considérées comme des prestataires de services intermédiaires ». Cette définition n’a pas de valeur juridique, mais servira de base aux discussions. 

Le Vice-président de la Commission européenne en charge du marché unique numérique, M. Andrus Ansip, auditionné par la rapporteure, a confirmé que la transparence des plateformes était l’une des priorités de la nouvelle Commission européenne, mais a toutefois souligné que tout dépendrait des résultats de la consultation. Le Commissaire en charge de l’économie numérique M. Günther Oettinger a fait des déclarations beaucoup plus volontaristes sur la nécessité de réguler les plateformes, affirmant sa volonté de mieux encadrer les géants du web.

La régulation des plateformes est également au cœur des préoccupations de la Commissaire européenne chargée de la concurrence.

Après cinq ans d’enquête sur un éventuel abus de position dominante du moteur de recherche Google, la Commission européenne a en effet envoyé le 15 avril 2015 une « communication de griefs » au groupe américain. La Commission européenne accuse notamment Google d’avantager injustement son propre service de comparaison des prix, en violation des règles de l’Union européenne en matière d’ententes et d’abus de position dominante. Le moteur de recherche ayant répondu à cette communication au mois d’août, affirmant que ces accusations sont infondées, la Commission européenne doit désormais décider de poursuivre ou non la procédure. Elle pourrait infliger à Google une amende pouvant atteindre six milliards d’euros.

L’article 22 du projet de loi consacre un principe de loyauté des plateformes. Ces plateformes sont définies comme les activités consistant à classer ou référencer des contenus, biens ou services proposés ou mis en ligne par des tiers, ou de mettre en relation, par voie électronique, plusieurs parties en vue de :

- la vente d’un bien ;

- la fourniture d’un service, y compris à titre non rémunéré ;

- l’échange ou du partage d’un bien ou d’un service.

La rapporteure se félicite de cette définition, qu’elle considère plus pertinente car plus complète que celle proposée pour le moment par la Commission européenne. Certains éléments se retrouvent dans les deux définitions : le caractère multi-face de la plateforme et son rôle d’intermédiaire notamment. Mais, comme l’a souligné Mme Martial-Braz lors de son audition, la définition retenue par le projet de loi va plus loin que la vision de la Commission européenne, centrée sur le marché, qui parle « d’entreprise » et de « création de valeur », car elle inclut des activités non rémunérées, l’échange, ou le partage. Elle permet ainsi d’englober toutes les plateformes issues de l’économie collaborative, comme Wikipédia, Airbnb ou Blablacar.

Adopter cette définition au niveau national permettra à la France de jouer un rôle de précurseur au niveau européen : ce sera un argument de poids lors des discussions sur la régulation des plateformes au niveau européen, la légitimité de cette définition étant renforcée par le processus de consultation publique.

Le projet de loi impose aux plateformes une obligation de loyauté : elles doivent délivrer au consommateur une information loyale, claire et transparente sur les conditions générales d’utilisation de leur service et sur les modalités de référencement, de classement et de déréférencement utilisées. Si une relation contractuelle, des liens capitalistiques (entreprises appartenant à la même société mère par exemple) ou une rémunération existent entre la plateforme et les personnes référencées, la plateforme devra l’indiquer clairement.

Pour la rapporteure, imposer une obligation de loyauté des plateformes au seul niveau national est un défi ambitieux, dans la pratique mais aussi dans le droit.

Comme l’ont souligné certaines des personnes entendues par la rapporteure, la première question qui se pose est celle de l’application territoriale de cette mesure.

En effet, la directive « e-commerce » précitée consacre le principe du pays d’origine pour l’application des règles relatives aux services de la société de l’information. Les règles françaises en matière de e-commerce ne s’appliquent donc qu’aux établissements situés sur le territoire français.

La directive prévoit toutefois à son article 3, paragraphe 3, des exceptions à cette règle. Ces exceptions concernent notamment les obligations contractuelles concernant les contrats conclus par les consommateurs : cette disposition permettrait d’appliquer les dispositions prévues par la loi françaises à des entreprises qui ne sont pas françaises, si l’on suppose qu’il existe un contrat conclu entre la plateforme et l’utilisateur, considéré comme un consommateur.

Pour certaines plateformes, on peut en effet considérer que l’utilisateur est un consommateur et qu’il existe un contrat : on pense notamment à des plateformes hôtelières, comme AirBnb, ou à des services d’abonnement comme Netflix ou Deezer. Mais les utilisateurs de moteurs de recherche, ou de plateformes mettant en ligne du contenu, comme Dailymotion, pourront-ils être considérés comme des consommateurs ? Ces utilisateurs ne doivent à aucun moment valider des conditions générales d’utilisation (les fameuses « CGU »), qui pourraient être assimilées à un contrat.

Il existe donc un risque que ces dispositions sur la loyauté des plateformes ne puissent s’appliquer qu’aux établissements situés sur le territoire national, et ne concernent donc pas les « géants du Web ».

Par ailleurs, si l’on considère que la question de la loyauté des plateformes est un droit du consommateur, il faudra également s’interroger sur l’articulation entre cette mesure et le droit européen de la consommation. En effet, les directives 2011/83 (19) et 2005/29 (20) relatives au droit de la consommation sont toutes les deux des directives d’harmonisation maximale, c’est-à-dire que si la directive ne le prévoit pas expressément, il n’est pas possible pour les États membres de prévoir des dispositions allant au-delà.

D’un point de vue pratique, l’ARCEP, auditionnée par votre rapporteure, a souligné que « seul Bruxelles a la taille critique pour lutter contre les géants du Web », et qu’adopter des mesures nationales ne répondrait aux problèmes posés par les plateformes que de manière très partielle. Selon l’Association Française des Éditeurs de Logiciels et Solutions Internet, cette mesure pourrait « créer des barrières à l’export des startups françaises Internet et à l’arrivée en France de services Internet développés dans d’autres États ». Cette critique doit toutefois être relativisée, les contraintes imposées par le projet de loi restant mesurées.

L’article 24 porte sur la régulation des avis en ligne, qui peut être vue comme une application concrète de ce principe de loyauté. Il introduit dans le code de la consommation une disposition imposant aux sites internet mettant en ligne des avis d’indiquer, de manière explicite, si leur publication a fait l’objet d’un processus de vérification et les caractéristiques principales de cette vérification. C’est donc essentiellement une mesure de transparence.

Le projet de loi ne prévoit pas d’imposer aux plateformes une vérification systématique des avis en ligne aux entreprises, ce qui risquerait d’être contraire à la directive de 2000 sur le e-commerce, elle aussi d’harmonisation maximale.

Cette mesure permettra de favoriser les « bonnes pratiques », et de renforcer la confiance des consommateurs dans l’économie numérique, en luttant contre les « faux avis » qui circulent sur le web.

Pour la rapporteure, les dispositions prévues par le projet de loi s’inscrivent pleinement dans l’esprit du projet de règlement. Ce sont des mesures à la fois ambitieuses et à forte portée symbolique.

i. Le droit à l’autodétermination informationnelle

L’article 26 consacre un nouveau droit, le droit à l’autodétermination informationnelle, qui s’inspire de la jurisprudence constitutionnelle allemande. Il consacre ainsi le droit de l’individu de décider de la communication et de l’utilisation de ses données personnelles. Cela exclut la possibilité d’une privatisation des données personnelles : ces données ne font pas partie du patrimoine de l’individu.

Les articles 31 et 32 du projet de loi visent à encadrer la « mort numérique », c’est-à-dire le devenir des données personnelles après la mort. Ainsi, toute personne pourrait définir des directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès. Si aucune directive n’a été donnée du vivant de la personne, ou si aucune mention contraire ne figure dans les directives générales ou particulières, les héritiers pourraient exercer l’ensemble des droits de l’individu sur ses données personnelles.

La « mort numérique a fait l’objet de discussions lors des derniers trilogues sur la proposition de règlement européen. Il a finalement été décidé de ne pas légiférer au niveau européen sur cette question, intégré expressément dans le champ de la protection des données mais laissé aux États membres (21).  

La rapporteure se félicite de cette mesure, mais considère qu’il est nécessaire d’être vigilant sur les conséquences que pourrait avoir le droit d’accès des héritiers aux données personnelles du défunt.

L’article 32 du projet de loi prévoit également un droit à l’oubli spécifique pour les mineurs. Ce droit à l’oubli est en réalité un droit à l’effacement : le responsable de traitement serait tenu d’effacer dans les meilleurs délais les données à caractère personnel collectées lorsque la personne était mineure au moment de la collecte. En cas de non-exécution de l’effacement ou d’absence de réponse, une procédure accélérée spécifique serait mise en œuvre auprès de la CNIL, qui devrait se prononcer sur la demande dans un délai de quinze jours.

Pour le moment, le futur règlement européen prévoit des mesures spécifiques pour le traitement des données personnelles des enfants. En effet, son actuel article 8 prévoit des conditions plus exigeantes pour la licéité du consentement des enfants de moins de 16 ans : ce consentement n’est licite que si et dans la mesure où il est donné ou autorisé par un parent de l’enfant ou par son tuteur légal. Le responsable de traitement devra s’efforcer raisonnablement de vérifier la validité de ce consentement, compte tenu des moyens technologiques disponibles.

Le règlement européen prévoit également des dispositions spécifiques pour le droit à l’effacement des données lorsque la personne concernée était enfant au moment de la collecte (article 17). Alors que le droit à l’effacement pour les majeurs est soumis à des conditions précises, le droit à l’effacement pour les enfants est conçu comme un droit automatique : ils ne doivent pas apporter de preuves.

Le projet de loi prévoit exactement les mêmes exceptions que le projet de règlement pour ce droit à l’oubli si le traitement de ces données est nécessaire :

- pour exercer le droit à la liberté d’expression et d’information ;

- pour respecter une obligation légale qui requiert le traitement de données ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

- pour des motifs d’intérêt public dans le domaine de la santé publique ;

- à des fins d'archivage dans l'intérêt général ou à des fins scientifiques, statistiques et historiques ;

- à la constatation, à l’exercice ou à la défense de droits en justice.

Pour la rapporteure, ces dispositions vont dans le bon sens, car les mineurs sont particulièrement exposés aux risques générés par la sphère numérique, notamment par le biais des réseaux sociaux. Toutefois, la question de la conformité avec le futur règlement européen doit être posée. Si la mise en œuvre d’une procédure accélérée spécifique ne devrait pas poser de problème, la création d’un droit à l’effacement spécifique pour les mineurs devra faire l’objet d’ajustements en fonction de la version finale du règlement.

L’article 29 du projet de loi précise les missions de la CNIL, qui doit notamment promouvoir l’utilisation de technologies protectrices de la vie privée et donc la « protection des données dès la conception » (« privacy by design »). En cela, le projet de loi s’inscrit clairement dans l’esprit du futur règlement européen, qui consacrera les principes de protection des données dès la conception et de protection des données par défaut.

L’article 30 du projet de loi prévoit que tout responsable de traitement ou sous-traitant puisse demander à la CNIL un accompagnement pour la mise en conformité des traitements, et prévoit que la CNIL puisse certifier la conformité des processus d’anonymisation.

La valorisation de cette mission d’accompagnement est primordiale dans la perspective du futur règlement européen. En effet, le projet de règlement opère un changement de paradigme dans le contrôle de la licéité des traitements : il responsabilisera les entreprises, en supprimant l’obligation de déclaration préalable, et en adoptant une approche fondée sur le risque.

L’article 33 du projet de loi porte sur le pouvoir de sanction de la CNIL. Il complète ainsi le futur règlement européen, qui prévoit principalement des mesures liées au type de sanctions risquées, aux critères d’appréciation de la sanction administrative et au montant de la sanction.

La rapporteure considère que le projet de loi pourrait dès à présent contenir des mesures permettant d’adapter le niveau des sanctions qui peuvent être prononcées par la CNIL de manière à anticiper l’adoption du futur règlement : l’actuelle version du règlement européen prévoit d’augmenter substantiellement le niveau des sanctions à 4% du chiffre d’affaires mondial de l’entreprise, dans la limite de cent millions d’euros.

L’article 21 du projet de loi va plus loin en créant un droit à la portabilité des données beaucoup plus général que celui prévu par le projet de règlement européen relatif aux données personnelles. Son champ est beaucoup plus large que celui des seules données personnelles. Par ailleurs, alors que le règlement ne concerne que les personnes physiques, le projet de loi concernera également les personnes morales. Enfin, alors que le règlement devrait prévoir que cette portabilité s’effectue sous la forme d’une copie ou d’un transfert des données, le projet de loi prévoit expressément que cette portabilité doit être effectuée sur la forme d’un transfert.

Cette mesure vise notamment à favoriser la portabilité des services de courrier électronique. L’opérateur devrait ainsi offrir au consommateur la possibilité de transférer sur un autre service ses courriels et sa liste de contacts. Les fournisseurs de services de courrier électronique devraient également proposer gratuitement au consommateur la possibilité de continuer à avoir accès à son courrier électronique au cours des six mois suivant la résiliation ou la désactivation du service.

L’article prévoit également un droit à la portabilité pour les contenus, concernant notamment les services en ligne associés à un compte utilisateur (par exemple, Deezer ou Facebook) et les services de « cloud computing ». L’Association Française des Éditeurs de Logiciels et Solutions Interne a alerté la rapporteure sur le risque que cette mesure puisse « freiner les acteurs français du cloud computing, dans une phase historique de leur développement », et il conviendra de rester vigilant sur cette question.

En tout état de cause, cette disposition devra être articulée avec les dispositions relatives à la portabilité des données personnelles prévue par le règlement européen, une fois celui-ci adopté.

Pour le moment, des doutes subsistent encore quant à la portée de ce futur droit. Les institutions européennes doivent encore se mettre d’accord sur son champ (concernera-t-il uniquement les données mises en ligne par l’utilisateur lui-même ? Ou toutes les données du profil ?), sur son caractère contraignant (a priori, le règlement devrait préciser que le droit à la portabilité n’est offert que s’il est possible techniquement).

La rapporteure tient à attirer l’attention sur le calendrier d’adoption de ces mesures nationales. En effet, selon toute probabilité, le règlement définitif devrait être adopté au cours du premier semestre 2016, et ses dispositions devraient être applicables au premier semestre 2018.

La rapporteure souligne que les dispositions de ce texte seront par défaut d’harmonisation maximale, c’est-à-dire que les États membres ne pourront pas prévoir de mesures différentes que celles prévues par le règlement, même si elles vont plus loin ou qu’elles sont plus protectrices pour l’utilisateur. Quelques exceptions seront prévues, notamment sur les archives et les données de santé. Ces exceptions ne concerneront a priori pas les articles du règlement relatifs au droit des personnes.

En effet, l’ambition de ce règlement européen est d’établir un véritable « guichet unique » pour les litiges relatifs à la protection des données : ce n’est envisageable que si cela va de pair avec l’harmonisation des règles en vigueur au sein de l’Union, afin d’éviter le « forum shopping », c’est-à-dire l’établissement d’entreprises au sein des États membres dont les autorités de protection privilégient une approche plus permissive.

Au cours de l’examen du projet de loi, il faudra donc s’assurer que les dispositions proposées soient compatibles avec la version finale du règlement qui sera adoptée en 2016, afin de ne pas prendre le risque que ces dispositions deviennent caduques lors de l’entrée en vigueur du règlement en 2018, et d’éviter une situation d’insécurité juridique, pour les entreprises comme pour les citoyens.

Par ailleurs, la rapporteure rappelle qu’avant l’entrée en vigueur du règlement, et donc probablement dans le courant de l’année 2017, un important chantier devra être rouvert au Parlement sur ces questions, notamment pour réviser la loi CNIL de 1978, afin d’adapter les dispositions nationales aux dispositions du règlement.

En ce qui concerne la territorialité de ces mesures, jusqu’à l’entrée en vigueur du règlement européen et du mécanisme de guichet unique, les dispositions du projet de loi ne s’appliqueront a priori qu’aux responsables de traitement établis sur le territoire français (cette notion pouvant être interprétée de manière large (22)) ou lorsque le responsable de traitement recourt à des moyens de traitement sur le territoire français.

L’article 34 du projet de loi renforce le principe du secret des correspondances, afin qu’il s’applique au-delà du seul champ des opérateurs de services de communications électroniques, à de nouveaux supports, comme par exemple les services de messagerie proposés par les réseaux sociaux. L’ARCEP, entendu par la rapporteure, a souligné l’importance d’assurer la cohérence de ces dispositions avec les règles en vigueur au niveau communautaire.

La Commission européenne, dans sa stratégie numérique présentée en mai dernier, a prévu de réviser la directive « vie privée et communications électroniques » : la France pourra alors porter les nouvelles dispositions adoptées au niveau national dans le débat européen.

L’article 17 du projet de loi permettra de favoriser la libre diffusion des résultats de la recherche publique, en prévoyant notamment que les publications nées d’une activité de recherche financée principalement sur fonds publics, même en cas de cession exclusive à un éditeur, puissent être rendues publiquement et gratuitement accessibles en ligne par leurs auteurs, après un délai d’embargo de six mois pour les sciences, la technique et la médecine et de douze mois pour les sciences humaines et sociales.

Le projet de loi fait ainsi le choix du modèle de libre-accès dit de l’open access green (« voie verte »), qui permet aux chercheurs d’archiver eux-mêmes les résultats de leurs recherches en ligne. Sans véritablement remettre en cause le système actuel de publication scientifique, cela permettrait de corriger le fort déséquilibre qui existe aujourd’hui dans relations entre chercheurs et grands éditeurs.

Ce dispositif est encouragé par la Commission européenne. Dans une recommandation de 2012 (23), elle appelait notamment les États membres à veiller « à ce que les publications issues de la recherche financée par des fonds publics soient librement accessibles dans les meilleurs délais, de préférence immédiatement, et, dans tous les cas, au plus tard six mois après leur date de publication » (douze mois pour les publications dans les domaines des sciences sociales).

En juin et octobre 2013, l’Allemagne et l’Italie ont déjà adopté des dispositions similaires à celle proposée par le projet de loi.

En revanche, pour l’analyse des textes et de données à des fins de recherche (« text and data mining », parfois appelée « TDM »), évoquée lors de la consultation publique sur le projet de loi, aucune exception en ce sens n’est explicitement prévue par l’article 5 de la directive du 22 mai 2001 sur le droit d’auteur, le cadre juridique en vigueur précédant largement ces nouvelles innovations technologiques (24).

Cette technique permet, grâce à l’extraction de manière automatisée des informations d’un nombre gigantesque de données ou de textes, de créer de l’information qui ne pourrait pas forcément être produite autrement. Dans la pratique, ces opérations de fouilles nécessitent que des copies temporaires des documents explorés soient effectuées : elles pourraient donc aller à l’encontre des règles en vigueur sur le droit d’auteur.

Dans sa communication du 9 décembre 2015 intitulée Vers un cadre moderne et plus européen pour le droit d’auteur, la Commission européenne a affirmé clairement son intention de se pencher sur les exceptions au droit d’auteur, afin notamment de permettre aux chercheurs d’utiliser plus facilement les techniques de fouilles de texte et de données. Elle affirme notamment que « l’absence de régime clairement défini en matière de TDM à des fins de recherche scientifique crée des incertitudes pour les acteurs de la recherche. Elle nuit à la compétitivité de l’Union et à son excellence scientifique à un moment où la recherche et l’innovation au sein de l’Union nécessitent de plus en plus une collaboration transfrontière et interdisciplinaire à plus grande échelle ».

Une proposition législative permettant de favoriser la fouille de données et de texte doit être publiée au printemps 2016.

Dans le cadre de sa réponse à la consultation publique de la Commission européenne sur le droit d’auteur, qui a eu lieu en 2014, le Gouvernement français a fait valoir que l’introduction d’une telle exception nécessite une étude d’impact approfondie afin de démontrer l’utilité de cette nouvelle exception.

En tout état de cause, le Gouvernement estime que si un débat devait être engagé sur ce point, cette exception devrait :

- être clairement limitée aux activités de recherche réalisées à une fin non commerciale à l’exclusion de tout droit de communication au public ;

- rester facultative, strictement limitée à la recherche scientifique, sur une base volontaire et se limiter aux seuls actes de reproduction sans affecter le droit de communication au public dont bénéficient les titulaires de droit.

Ces propositions seront examinées en profondeur au cours de la mission d’information de la rapporteure sur l’évolution du cadre européen en matière de droit d’auteur.

L’article 25 du projet de loi introduit des mesures dans le code de la consommation relatives à l’information contractuelle des consommateurs sur les débits fixes et mobiles.

Cette mesure reprend les dispositions consacrées par l’article 4 (25) du règlement Télécoms du 25 novembre 2015. Comme rappelé précédemment, la rapporteure souligne que ces dispositions règlementaires ne nécessitent pas de mesures de transposition et sont déjà entrées en vigueur. Toutefois, la référence à cette disposition permet de clarifier les modalités de mise en application de cette disposition, et notamment la répartition des compétences entre la DGCCRF et l’ARCEP.

L’article 4 (paragraphe 3) du règlement européen permet de maintenir ou d’instaurer des exigences supplémentaires relatives à ces mesures de transparence, et les dispositions du projet de loi en la matière pourraient donc aller plus loin.

Toutefois, la rapporteure s’interroge sur la formulation retenue par le projet de loi, qui ne semble pas apporter de mesures supplémentaires et paraphrase le règlement européen, sans toutefois utiliser exactement les mêmes termes (« internet mobile » au lieu de « réseaux mobiles » par exemple) : en l’absence d’exigences supplémentaires, il serait préférable de retenir la même solution que celle retenue par l’article 19 relatif à la neutralité de l’internet et de faire directement référence au règlement européen.

L’article 40 du projet de loi précise les exigences applicables au recommandé électronique, dans le prolongement du règlement européen « eIDAS » (cf. supra).

Alors que le texte issu de la consultation prévoyait que l’ARCEP délivre une autorisation au prestataire de lettre recommandée électronique, ce qui aurait posé un problème de compatibilité important au regard des règles du marché intérieur, le texte du projet de loi permet une plus grande sécurité juridique, puisqu’il fait directement référence au règlement européen.

L’article 41 du projet de loi porte sur les paiements par SMS, et facilite notamment la réalisation de dons par SMS. Il transpose ainsi par anticipation la directive sur les services de paiement révisée en 2015 (article 3) l)). Ce règlement devrait être publié très prochainement.

L’article 44 créé des obligations à la charge des administrations pour permettre l’accessibilité des sites internet aux personnes handicapées. La rapporteure se félicite que les obligations prévues par le projet de loi soient bien plus adaptées et plus ambitieuses que celles prévues par la directive européenne sur le même sujet, qui devrait être adoptée en 2016.

TRAVAUX DE LA COMMISSION

La Commission s’est réunie le 16 décembre 2015, sous la présidence de Mme Danielle Auroi, Présidente, pour examiner le présent rapport d’information.

Mme Marietta Karamanli,rapporteure. Madame la Présidente, mes chers collègues.Tout d’abord, je souhaitais vous annoncer une excellente nouvelle : un accord informel entre les institutions européennes vient enfin d’être trouvé sur le paquet relatif à la protection des données personnelles, après quatre ans de négociations très intenses. La commission « libé » du Parlement européen devrait voter ce texte dès demain, avant son adoption en plénière en janvier 2016 a priori. Je m’en félicite, c’est un gigantesque pas en avant. Ce règlement renforcera la place de l’Europe comme leader sur ces questions, et donnera des droits majeurs aux citoyens européens dans la maitrise de leur vie privée.

Le projet de loi pour une République numérique présenté mercredi dernier par la secrétaire d’État chargée du numérique est issu d’un véritable processus de co-écriture citoyenne. En effet, un pré-projet de texte élaboré par le Gouvernement a été soumis à une consultation publique en ligne, qui a donné lieu à plus de 8 500 contributions et près de 150 000 votes.

L’Europe constitue aujourd’hui l’échelon optimal pour encourager et encadrer ces nouveaux modes de production, de consommation, de création. Par définition, le numérique n’a pas de frontières, et face à la puissance de start-ups devenues des multinationales comme Google ou Facebook, seule l’Union européenne a la taille critique pour agir comme le médiateur d’un internet ouvert et respectueux des droits de l’individu.

La nouvelle Commission européenne l’a compris : elle a fait du numérique l’une de ses priorités et a présenté le 6 mai 2015 une nouvelle stratégie numérique. Le présent rapport revient sur ce nouveau plan d’action.

Le projet de loi présenté par le Gouvernement doit contribuer à renforcer cet élan européen. Le législateur peut aujourd’hui jouer un rôle de précurseur, en dessinant les grandes lignes qui pourraient servir de base à la future règlementation européenne, de la même manière que la loi CNIL de 1978 a inspiré les grands principes de la directive de 1995 sur les données personnelles.

De nombreux sujets abordés par le projet de loi sont liés directement ou indirectement au droit européen. Dans un souci d’efficacité et de sécurité juridique, la bonne articulation entre les dispositions proposées par ce projet de loi et celles en vigueur ou à venir au niveau européen est donc cruciale.

C’est pour cette raison que j’ai souhaité que notre commission se saisisse pour observations sur ce projet de loi.

Le rapport se concentre sur trois axes principaux : la neutralité du net, la loyauté des plateformes, la protection des données personnelles.

Parler de la neutralité du net, c’est se demander quel contrôle les opérateurs de télécoms ont le droit d’exercer sur le trafic acheminé, à la fois pour des raisons techniques et pour des raisons économiques. A cette question s’ajoute parfois celle du blocage des contenus illégaux.

Depuis le début des années 2000, le trafic sur internet a connu une croissance exponentielle, liée notamment au développement de services de téléphonie en ligne ou à la vidéo sur internet.

Cela pose des questions à la fois techniques - comment gérer cet important trafic ? - mais aussi économiques - qui doit en assumer les coûts ?

Je vais vous donner un exemple très concret de risque pour la neutralité du net : votre fournisseur d’accès à internet, qui, probablement, ne vous fournit pas seulement internet mais également votre service de téléphone fixe, pourrait être tenté de ralentir « Skype » ou de ne pas acheminer le trafic suffisant pour que Skype marche bien, pour que vous utilisiez plutôt votre fixe.

L’émergence de « services spécialisés » remet également en cause la neutralité du net. Ces services font l’objet d’un contrat entre un fournisseur de contenu et un fournisseur d’accès : c’est par exemple le cas des offres de télévision par internet (Triple Play). Pour fonctionner, ces services doivent aller de pair avec une qualité de service garantie. Mais s’ils se développent de manière importante, ils pourraient nuire à la qualité de l’accès général l’Internet ! Les opérateurs pourraient préférer développer ces services qui génèrent directement des revenus, plutôt que de chercher à garantir la qualité de l’accès à internet normal.

Cette notion de neutralité du net a fait l’objet d’intenses débats au niveau européen. Finalement, le règlement Télécoms adopté en octobre 2015 ne consacre pas explicitement ce principe de neutralité du net mais la notion très proche de « garantie de l'accès à un internet ouvert ». Le texte final a déçu les défenseurs de l’internet libre comme la Quadrature du net, mais il établit tout de même des principes fondamentaux pour la mise en œuvre de la neutralité du net.

Le projet de loi consacre lui aussi la neutralité de l’internet. Il définit ce principe comme le fait de garantir l’accès à l’internet ouvert régi par le règlement du 25 novembre 2015, et prévoit que l’ARCEP est chargé de veiller au respect de cette règle.

Je me félicite de la formule finalement retenue par le projet de loi, qui consacre explicitement le principe de la neutralité du net, tout en lui donnant une définition qui lui permet d’être en adéquation complète avec les choix européens.

Je tiens toutefois à rappeler que si politiquement, affirmer le principe de neutralité du net est un symbole fort, juridiquement, la garantie de l’accès à l’internet ouvert est déjà consacrée dans notre droit.

L’article 25 du projet de loi, relatif à l’information contractuelle des consommateurs sur les débits fixes et mobiles, reprend également une disposition consacrée par le nouveau règlement Télécoms.

Je m’interroge sur la rédaction de cet article, qui paraphrase le règlement européen, sans toutefois utiliser exactement les mêmes termes : il me semble qu’il serait préférable de faire directement référence au règlement européen.

Le projet de loi fait un grand pas en avant en consacrant le principe de loyauté des plateformes.

Qu’est-ce qu’une plateforme ? C’est une notion très large mais liée au concept d’intermédiaire entre un vendeur et un utilisateur.

Par exemple, les moteurs de recherche (Google), les réseaux sociaux (Facebook), les plateformes de partage de vidéos (Youtube) mais également des sites comme Booking ou GoVoyages sont des plateformes.

Cette notion a progressivement émergée car la catégorie des «  hébergeurs » ne correspond plus à la réalité de certains services en ligne : alors que l’hébergeur est « passif », les plateformes en ligne jouent parfois un rôle «  actif » en classant et référençant des contenus.

L’émergence de ces « plateformes » soulève de nombreuses questions. Certaines plateformes, comme Google ou Facebook, sont en effet devenues des intermédiaires incontournables, qui peuvent abuser de leur pouvoir de marché.

Lorsque l’on fait une recherche sur Google, ou que l’on cherche un hôtel le moins cher possible sur Booking, comment savoir si les premiers résultats sont vraiment les meilleurs, ou si la plateforme ne met pas en valeur ses propres offres ?

La nouvelle Commission européenne a enfin décidé de s’emparer de ce sujet.

Elle a ouvert une consultation le 24 septembre dernier relative au rôle des plateformes en ligne, qui sera probablement suivie d’une initiative législative.

Par ailleurs, la Commission a également pris des mesures pour lutter contre les abus de certaines plateformes sous l’angle de la concurrence : comme vous le savez, Google est aujourd’hui accusée par Bruxelles de violation des règles européennes en matière d’ententes et d’abus de position dominante.

Le projet de loi va de l’avant en définissant de manière précise les plateformes.

Je me félicite de la définition retenue par le projet de loi. En effet, cette disposition va plus loin que celle proposée Commission européenne, car elle inclut des activités non rémunérées, l’échange, ou le partage. Elle permet ainsi d’englober toutes les plateformes issues de l’économie collaborative.

Adopter cette définition permettra à la France de jouer un rôle de précurseur lors des discussions sur la régulation des plateformes au niveau européen.

Le projet de loi impose aux plateformes une obligation de loyauté à ces plateformes : elles devront délivrer au consommateur une information loyale, claire et transparente sur les conditions générales d’utilisation de leur service et sur les modalités de référencement, de classement et de déréférencement utilisées. Si une relation contractuelle, des liens capitalistiques ou une rémunération existent entre la plateforme et les personnes référencées, la plateforme devra l’indiquer clairement.

Je soutiens pleinement le principe de cette mesure, mais il faudra se poser la question de son application territoriale.

En effet, la directive « e-commerce » consacre le principe du pays d’origine pour l’application des règles relatives aux services de la société de l’information. Elle prévoit une exception à cette règle, notamment les obligations contractuelles envers les consommateurs : cette disposition permettrait d’appliquer les dispositions prévues par la loi françaises à des entreprises qui ne sont pas françaises, si l’on suppose qu’il existe un contrat conclu entre la plateforme et un consommateur.

Pour certaines plateformes, l’utilisateur est un consommateur et il existe une sorte de contrat : je pense notamment à des plateformes hôtelières ou à des services d’abonnement comme Deezer. Mais les utilisateurs de moteurs de recherche, ou de plateformes mettant en ligne du contenu, comme YouTube, pourront-ils être considérés comme des consommateurs ?

Il existe donc un risque que ces dispositions sur la loyauté des plateformes ne puissent s’appliquer qu’aux établissements situés sur le territoire national, et ne concernent donc pas les « géants du Web ».

Par ailleurs, il faudra également s’interroger sur la compatibilité entre cette mesure et le droit européen de la consommation.

Enfin, sur la protection des données personnelles, plusieurs mesures sont prévues par le projet de loi. Nous avons déjà débattu ici plusieurs fois du projet de règlement européen sur les données personnelles. Comme je vous l’ai annoncé, le texte final devrait, si tout se passe bien, voir le jour au premier semestre 2016.

Sur le même sujet, le projet de loi comporte de nombreuses mesures, importantes et symboliques.

Il légifère sur la mort numérique, c’est-à-dire sur le devenir des données personnelles après la mort. Toute personne pourrait définir des directives relatives au sort de ses données à caractère personnel après son décès. Si aucune directive n’a été donnée, les héritiers pourraient exercer l’ensemble des droits de l’individu sur ses données personnelles.

Il prévoit un droit à l’oubli spécifique pour les mineurs.

Il renforce les missions de la CNIL.

Au cours de l’examen du projet de loi, il faudra impérativement s’assurer que les dispositions proposées soient compatibles avec la version finale du règlement qui sera adoptée en 2016, afin d’éviter une situation d’insécurité juridique, pour les entreprises comme pour les citoyens. C’est surtout le cas pour le droit à l’oubli spécifique pour les mineurs, qui recoupe directement des dispositions du futur règlement européen.

Par ailleurs, je vous signale qu’avant l’entrée en vigueur du règlement, et donc probablement dans le courant de l’année 2017, un important chantier devra être rouvert au Parlement sur ces questions, notamment pour réviser la loi CNIL de 1978, afin d’adapter les dispositions nationales aux dispositions du règlement.

Une petite remarque pour conclure, pour plus de clarté et de précisions, je souhaiterais remplacer le 3ème considérant des conclusions qui vous ont été soumises par ce considérant : « considérant que le projet de loi ne doit pas faire peser des obligations trop importantes sur les acteurs de l’économie numérique établis en France par rapport à leurs concurrents européens  ».

La présidente Danielle Auroi. Si personne n’y voit d’objections, les conclusions ainsi modifiées sont donc adoptées à l’unanimité.

PROPOSITION DE CONCLUSIONS

La Commission des Affaires européennes,

Vu l’article 8 de la Charte européenne des droits fondamentaux,

Vu l’article 16 du traité sur le fonctionnement de l’Union européenne,

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [COM(2012) 11 final, no E 7055],

Vu le règlement 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques et le règlement (UE) no 531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union,

Vu le projet de loi pour une République numérique,

Vu l’article 151-1-1 du règlement de l’Assemblée nationale,

Considérant qu’il est urgent de promouvoir des solutions régulatrices équilibrées, conciliant le formidable potentiel du numérique avec les exigences de compétitivité des entreprises, de respect de la vie privée, de protection des consommateurs et des utilisateurs ;

Considérant que, dans la compétition internationale, l’Europe est le niveau pertinent pour penser une stratégie numérique ambitieuse ;

Considérant que le projet de loi ne doit pas faire peser des obligations trop importantes sur les acteurs de l’économie numérique établis en France par rapport à leurs concurrents européens ;

1. Prend acte du projet de loi pour une République numérique et en soutient résolument les objectifs ;

2. Rappelle la nécessité d’une articulation cohérente entre les calendriers d’examen des projets de loi nationaux et ceux des textes européens : en l’espèce, certaines dispositions du projet de loi pour une République numérique sur la protection des données personnelles sont susceptibles de devoir être modifiées prochainement compte tenu du calendrier d’adoption de la proposition de règlement européen ;

3. Se félicite que le projet de loi pour une République numérique consacre explicitement un principe de neutralité du net, reprenant le droit d’accès à un internet ouvert tel que garanti par le droit européen ;

4. Souhaite que l’article du projet de loi relatif à l’information contractuelle des consommateurs sur les débits fixes et mobiles fasse directement référence au règlement européen qu’il reprend, dans un souci de plus grande sécurité juridique ;

5. Se félicite de la définition des plateformes numériques proposée par le projet de loi ;

6. Appelle à l’élaboration d’une règlementation européenne ambitieuse relative à la régulation des plateformes, s’inspirant directement des mesures proposées par le projet de loi, afin de garantir le respect des règles de concurrence mais également la liberté de choix et d’accès à l’information des utilisateurs ;

7. Estime qu’il est nécessaire de s’interroger sur la territorialité des mesures prévues par le projet de loi sur la loyauté des plateformes et sur la compatibilité de ces mesures avec le droit européen de la consommation ;

8. Réaffirme son engagement en faveur de la protection des données à caractère personnel, qui est un droit fondamental à part entière pour les personnes concernées ;

9. Souligne l’importance de protéger plus particulièrement les mineurs face aux nouveaux risques induits par le numérique en matière de protection de la vie privée ;

10. Soutient l’introduction au niveau national de dispositions visant à encadrer la « mort numérique » ;

11. Suggère d’introduire dès à présent dans le projet de loi une disposition permettant d’augmenter le niveau des sanctions qui peuvent être prononcées par la Commission nationale de l’informatique et des libertés, de manière à anticiper l’adoption du futur règlement européen ;

12. Appuie la volonté du Gouvernement de promouvoir le libre-accès en ligne aux données de la recherche, afin de permettre une meilleure circulation, utilisation et valorisation du savoir tout en respectant le droit d’auteur.

ANNEXES

ANNEXE NO 1 :
LISTE DES PERSONNES AUDITIONNÉES PAR LES RAPPORTEURS

I. À Luxembourg

M. Andrus Ansip, Vice-président de la Commission européenne en charge du marché unique numérique

II. À Paris :

Mme Nathalie Martial-Braz, Professeur de droit privé à l’université Paris Descartes, codirectrice du Pôle propriété intellectuelle et numérique du réseau Trans Europe Experts

Secrétariat général des affaires européennes

- M. Francesco Gaeta, secrétaire général adjoint,

- M. Philippe Lucas, chef du secteur ITEC (industrie, télécoms, numérique, environnement, climat, compétitivité),

- Mme Émilie Brunet, adjointe au secteur espace judiciaire européen, chargée de la protection des données personnelles,

- M. Joris Dumazer, adjoint au conseiller juridique,

- M. Siegfried Martin-Diaz, adjoint au secteur ITEC en charge des télécoms et de la société de l’information,

- M. Guillaume Fuchs, adjoint au secteur parlements.

Autorité de régulation des communications électroniques et des postes (ARCEP)

- M. Sébastien Soriano, président,

- M. Benoît Loutrel, directeur général.

Commission Nationale de l'Informatique et des Libertés (CNIL)

- Mme Florence Raynal, chef du service des Affaires européennes et internationales,

- Mme Tiphaine Inglebert, conseillère pour les questions institutionnelles et parlementaires.

ANNEXE NO 2 :
RÉPONSES DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES AUX QUESTIONS DE LA RAPPORTEURE (18/12/2015)

Question 1 : Sur le calendrier : où en sont les trilogues ? Pensez-vous que le règlement pourrait aboutir d'ici la fin de l'année comme prévu ?

Le Parlement et le Conseil ont conclu un compromis le 15 décembre et les députés parlementaires de la commission des libertés civiles ont soutenu l'accord le 17 décembre. Les prochaines étapes pour formaliser le texte au Conseil et au Parlement se dérouleront au début de l'année prochaine. Le Parlement a précisé que le vote en séance plénière aura lieu au printemps.26

Question 2 : Le projet de loi français prévoit de renforcer la protection spécifique des mineurs : que prévoit le règlement dans son état actuel sur cette question ? Prévoit-il des procédures de recours spécifiques, par exemple une procédure accélérée ? Quels sont les points défendus par le CEPD sur cette question ?

Le texte compromis du CEPD défend les points suivants concernant les enfants.

Au considérant 29 du texte provisoire du règlement, il est précisé que les enfants (‘children’) méritent une protection spécifique de leurs données à caractère personnel puisqu’ils peuvent être moins conscients des risques, des conséquences, des mesures de protection et de leurs droits en ce qui concerne le traitement des données à caractère personnel. Cela concerne en particulier l’usage des données d’enfants à des fins commerciales ou afin de créer un profil d’utilisateur ou de personnalité, et la collecte de données sur l’enfant lors de l’utilisation de services offerts directement à un enfant. L'accord du titulaire de la responsabilité parentale de l’enfant ne devrait pas être nécessaire dans le cadre de services de prévention et de conseil offerts directement à l'enfant.

Le considérant 46, qui explique le principe de transparence, ajoute qu’étant donné le fait que les enfants ont droit à une protection spécifique, toute information et communication, lorsque le traitement de données concerne un enfant, doit être rédigée de manière claire et simple de façon à ce qu’un enfant puisse comprendre. L’article 12 sur la transparence de l’information et de la communication exige que l’information, donnée ou communiquée dans le cadre du traitement des données à caractère personnel, soit concise, transparente, compréhensible, sous une forme aisément accessible, rédigée dans un style clair et simple, surtout pour toute information spécifiquement adressée à un enfant.

Le considérant 53, qui réaffirme le ''droit à l’oubli'', clarifie que ce droit est d’autant plus pertinent lorsque la personne concernée a donné son accord au traitement des données étant enfant, lorsqu’elle n’était pas pleinement consciente des risques associés au traitement, et souhaite plus tard supprimer de telles données, surtout sur internet. Cette personne devrait pouvoir exercer ce droit malgré le fait qu’elle n’est plus un enfant. Cependant, la conservation des données pour une période supplémentaire devrait être autorisée lorsque cela est nécessaire pour exercer le droit à la liberté d’expression et d’information, pour respecter une obligation légale, pour exercer une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins d’archivage dans l’intérêt public ou à des fins de recherche scientifique et historique ou à des fins statistiques, à la constatation, à l'exercice ou à la défense de droits en justice.

Le considérant 58 insiste sur l’obligation d’exclure les enfants des opérations de traitement automatisé, dont le profilage.

Le considérant 60a indique que les enfants sont des personnes vulnérables.

L’article 6 sur la licéité du traitement répète au paragraphe (f) une base juridique déjà contenue dans la directive 95/46, laquelle justifie le traitement lorsqu’il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées (…). Le règlement précise toutefois la condition à laquelle cette base juridique est soumise : (…) à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, surtout lorsqu’il s’agit d’un enfant.

En outre, l’article 8 est dédié aux conditions applicables au consentement de l’enfant dans le cadre des services de la société de l’information. Tout d’abord, le consentement d’un enfant de moins de 16 ans, ou, si la loi de l'État Membre le prévoit, d'un plus jeune âge qui ne peut être inférieur à 13 ans, ne sera licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale de l’enfant. La personne responsable du traitement doit entreprendre des efforts raisonnablement nécessaires pour vérifier dans ce cas que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale de l’enfant, compte tenu de la technologie disponible. Cependant, ces règles ne portent pas atteinte au droit contractuel des États membres comme les règles sur la validité, la formation ou les effets des contrats.

L’article 38 sur les codes de conduite propose des thèmes dont les codes pourraient traiter afin de clarifier l’application des dispositions du Règlement. L’information et la protection des enfants ainsi que la manière dont le consentement du titulaire de la responsabilité parentale de l’enfant est obtenu.

L’article 52 sur la mission des autorités de contrôle les oblige, entre autres, à promouvoir la sensibilisation et la compréhension du public à l’égard des risques, des règles, des mesures de protection et des droits en rapport avec le traitement des données à caractère personnel. Une attention particulière doit être portée aux activités qui sont spécifiquement destinées aux enfants.

Question 3 : Quels seront les impacts du futur règlement sur les contrôleurs nationaux ? Quelles dispositions devront être prises au niveau national ?

Tout d'abord, le Groupe Article 29 formé par les autorités de protection des données des États membres de l’Union européenne (G29) sera remplacé par le comité européen de la protection des données. Sa mission sera très renforcée et une plus grande coordination sera nécessaire.27

Quant aux contrôleurs nationaux, la dernière version du texte du règlement spécifie la notion d'indépendance et les règles pour établir les autorités nationales.28 Le texte clarifie également les compétences de chaque autorité et la manière de coopérer entre elles.29 Alors que la directive demande la publication d'un rapport d'activités à intervalles réguliers, le règlement exige un rapport annuel.30 Avant tout, le futur règlement décrit en détails les missions et les pouvoirs des autorités nationales. Veuillez noter cependant que les États membres sont susceptibles d'avoir déjà introduit certains de ces détails au niveau national tandis que le règlement les harmoniserait au niveau européen.31

Selon le futur règlement, les autorités nationales seront désormais aussi chargées de promouvoir la sensibilisation et la compréhension du public à l’égard des risques, des règles, des mesures de protection et des droits en rapport avec le traitement des données à caractère personnel, en portant une attention particulière aux activités spécifiquement destinées aux enfants.32 Elles devront aussi sensibiliser les responsables de traitement de données à leurs obligations33 et fournir des informations aux personnes concernées au sujet de l'exercice de leurs droits34. Les autorités se devront aussi de surveiller toute évolution importante qui pourrait avoir un impact sur la protection des données, en particulier le domaine des technologies de l'information et de la communication.35 Elles devront aussi établir une liste des conditions à respecter lors d'une évaluation de l'impact sur la protection des données.36 Le règlement indique l'étendue de leurs missions en précisant que les autorités nationales doivent remplir toute autre mission qui concerne la protection des données à caractère personnel.37 En outre, les autorités devront faciliter le dépôt de plaintes, en mettant par exemple à disposition un formulaire de dépôt de plainte38, et l'exécution de leurs tâches se devra d'être gratuite pour les personnes concernées et les délégués à la protection des données39 sauf lorsque les demandes sont sans fondement et excessives40.

Quant aux pouvoirs des autorités, le règlement oblige les États membres à accorder, au moins, une série de pouvoirs aux autorités nationales de contrôle. Cette liste est plus détaillée que celle prévue par la directive et elle laisse aussi la possibilité d'ajouter d'autres pouvoirs.41

Question 4 : Quel a été l'impact concret de l'arrêt de la CJUE de 2014 ? Cet arrêt a-t-il eu un impact sur l'évolution du règlement ? Comment est-il mis en œuvre pour le moment ?

L’arrêt de la CJEU de 2014 a confirmé que les droits d’accès, d’effacement et d’opposition, introduits en France par la loi Informatique et Libertés depuis 1978 et établis au niveau européen par la directive 95/46, incluent aussi un droit au déréférencement de données à caractère personnel publiées sur des moteurs de recherche. En d’autres termes, l’arrêt clarifie le champ d’application de ces droits mais il n’introduit pas un nouveau droit. Ce droit au déréférencement est donc soumis aux mêmes conditions, y compris le respect d’autres libertés fondamentales comme le droit à l’information. Il peut être exercé suite une demande adressée au responsable du traitement, c’est-à-dire, le moteur de recherche. D’un point de vue juridique, le raisonnement de la cour a démontré l’applicabilité de la directive 95/46 (et, par conséquent, des lois nationales transposant ces règles) aux moteurs de recherche, même si le serveur sur lequel les données sont traitées se trouve en dehors de l’Union européenne.

Concrètement, le moteur de recherche doit, suite à une demande de la personne concernée, décider au cas par cas de déréférencer les données ou non. La décision est prise sur base de critères établis par la législation européenne et interprétés par l’arrêt, dont l’obligation de concilier le droit au déréférencement et le droit du public à avoir accès à certaines informations. Cela signifie que ces données n’apparaitraient plus dans la liste des résultats du moteur de recherche. Cependant, les données ne sont pas également supprimées du site internet sur lequel elles se trouvent étant donné que le niveau d’intrusion dans la vie privée peut varier et que cet autre traitement de données pourrait lui être autorisé. Lorsque la personne concernée n’est pas satisfaite de la décision prise par le moteur de recherche, elle peut saisir l’autorité nationale de protection des données (en France, la CNIL). A ce jour, la CNIL a déjà reçu plus de 200 plaintes.42

Le 26 novembre 2015, les autorités de protection des données de tous les Etats membres de l’Union européenne (G29) ont adopté des lignes directives afin d’assurer une interprétation commune de l’arrêt et afin d’établir des critères communs à respecter lors de l’instruction des plaintes reçues au niveau national.43 En mai 2015, la CNIL a ordonné à Google de déréférencer non seulement les données se trouvant sur le domaine .fr mais aussi celles sur tous les autres noms de domaine du moteur de recherche.44 Enfin, le G29 a débuté un audit en juin 2015 pour ''évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement''.45

La proposition de la Commission précisait déjà que les entreprises non-européennes qui offrent des services aux consommateurs européens doivent respecter la législation européenne. Tandis que la directive exigeait que les moyens de traitement de données se trouvent en Europe, la dernière version du texte du règlement indique que la loi devra être respectée par tout responsable de traitement de données qui offre des biens ou des services aux citoyens européens ou surveille le comportement des citoyens européens lorsque celui-ci a lieu en Europe.46 La Commission avait aussi proposé le renversement de la charge de la preuve lors d’une demande d’effacement, c’est-à-dire qu’au lieu de demander à la personne concernée de prouver que ses données ne sont plus nécessaires et doivent donc être effacées, l’entreprise devrait démontrer à l’individu que ses données sont encore nécessaires ou toujours pertinentes. La Commission envisageait également d’exiger des responsables de traitement de données d’obtenir auprès de tiers l’effacement de données sous certaines conditions.47 Le compromis du texte du GDPR renverse en effet la charge de la preuve, oblige à informer les tiers responsables du traitement des données et indique explicitement ce qui a été clarifié par l'arrêt, bien que ces règles fassent déjà partie de la directive. Toutefois, il est important de relever le fait qu'il est possible que le titre de l'article sur le droit d'effacement soit également qualifié de droit à l'oubli entre parenthèses.

ANNEXE NO 3 :
RÉSOLUTION EUROPÉENNE SUR LA STRATÉGIE SUR LA STRATÉGIE NUMÉRIQUE DE L’UNION EUROPÉENNE (1ER NOVEMBRE 2013)

Article unique

L’Assemblée nationale,

Vu l’article 88-4 de la Constitution,

Vu le traité sur l’Union européenne,

Vu le traité sur le fonctionnement de l’Union européenne, en particulier ses titres Ier, XIII, XV à XVII et XIX,

Vu la communication de la Commission, du 3 mars 2010, « Europe 2020. Une stratégie pour une croissance intelligente, durable et inclusive » (COM [2010] 2020 final),

Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, du 26 août 2010, « Une stratégie numérique pour l’Europe » (COM [2010] 245 final/2),

Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, du 18 décembre 2012, « Une stratégie numérique pour l’Europe : faire du numérique un moteur de la croissance européenne » (COM [2012] 784 final),

Vu l’ordre du jour du Conseil européen des 24 et 25 octobre 2013,

Considérant que l’essor du numérique est porteur d’immenses transformations scientifiques, économiques, sociales et sociétales, sources de croissance et d’emplois ;

Considérant que, dans la compétition internationale, l’Europe, riche de son marché intérieur et de sa tradition tournée vers les savoirs et la connaissance, est un niveau optimal pour penser une stratégie numérique ambitieuse ;

Considérant que le retard accusé par l’Europe dans la répartition de la valeur générée par l’économie numérique risque de s’accentuer dans les décennies à venir si les États membres ne font pas de ce secteur une priorité de leur agenda politique ;

Considérant qu’il convient de promouvoir une régulation favorable au développement du numérique, levier de croissance et d’intégration européenne, en conciliant les exigences d’investissement, d’emploi, de compétitivité des entreprises, d’innovation, de respect des données à caractère personnel, de protection des consommateurs, d’aménagement du territoire, de développement des usages et de sécurité des réseaux ;

1. Se félicite que l’ordre du jour de la prochaine session du Conseil européen comporte, pour la première fois, un point consacré à l’économie numérique, à l’innovation et aux services, ce qui permettra de donner une impulsion politique forte aux initiatives européennes prises en ces domaines ;

2. Exprime le souhait que l’Union européenne conforte la place du numérique dans l’agenda européen et adapte sa stratégie numérique aux défis contemporains et futurs ;

3. Approuve les grandes orientations de la contribution de la France au Conseil européen et soutient la démarche constructive du Gouvernement français vis-à-vis des autres États membres et de la Commission européenne ;

4. Préconise de définir une véritable politique industrielle dans le secteur numérique afin d’ouvrir de nouvelles perspectives de croissance, d’emploi, d’innovation et de compétitivité et de garantir la souveraineté numérique européenne :

a) En développant une approche de filière industrielle européenne, fondée sur la prise en compte des intérêts économiques et sociaux de l’ensemble des acteurs du numérique et des télécommunications, y compris des équipementiers ;

b) En encourageant l’investissement, dans les infrastructures fixes et mobiles et dans les services numériques, par une mobilisation plus effective des crédits des programmes-cadres de recherche et d’innovation, des fonds structurels et de la Banque européenne d’investissement ;

c) En facilitant le financement de l’innovation, notamment en créant des fonds de fonds paneuropéens, pour accompagner l’essor des « start-up » susceptibles de devenir les champions numériques de demain ;

d) En élaborant un corpus de règles spécifiques pour l’accès des petites et moyennes entreprises innovantes aux marchés publics ;

e) En ciblant l’effort stratégique d’investissement vers des innovations technologiques et commerciales à fort enjeu industriel, notamment l’informatique en nuage, la nanoélectronique, le stockage et le traitement des masses de données, les objets connectés ou encore les services sans contact ;

f) En développant des pôles de recherche multidisciplinaires et des synergies européennes, dans le cadre de l’Espace européen de la recherche et de la mise en œuvre d’Horizon 2020 ;

g) En intégrant à l’industrie numérique les préoccupations environnementales et les objectifs de réduction des émissions de carbone, d’accessibilité et d’efficacité énergétique, ainsi que les problématiques sanitaires ;

5. Demande que soit élaboré, après consultation des acteurs du secteur, un régime de gouvernance et de régulation des services numériques :

a) En imposant aux plateformes de services numériques des règles du jeu équitables pour lutter contre l’abus de position dominante de certains acteurs du numérique et pour assurer que les fournisseurs de service internet autant que les fournisseurs de communications électroniques opèrent de façon neutre vis-à-vis de l’ensemble des acteurs ;

b) En assurant le respect des valeurs fondamentales de l’Union européenne, incluant les droits humains, la promotion de la démocratie et le principe de protection des données personnelles et du secret des affaires, et en favorisant la diffusion des contenus culturels dans leur diversité ;

c) En modernisant le cadre de protection des données personnelles, afin de garantir les droits des usagers par la mise en place d’un guichet unique et le renforcement de la coopération entre les autorités de régulation nationales ;

d) En œuvrant pour l’association de toutes les parties prenantes à la gouvernance de la gestion et de l’internationalisation des noms de domaine, dans un souci d’intérêt public ;

e) En imaginant une fiscalité coordonnée, de nature à empêcher l’évasion fiscale et l’érosion des bases, et en soutenant les initiatives engagées en ce sens par l’Organisation de coopération et de développement économiques ;

f) En garantissant une rémunération juste des prestataires numériques intervenant sur la totalité de la chaîne de valeur des produits dématérialisés ;

g) En faisant en sorte que la propriété intellectuelle et les droits d’auteur soient respectés ;

h) En renforçant la coopération interétatique en matière de prévention et de lutte contre la cybercriminalité ;

i) En sécurisant au maximum les transactions commerciales et bancaires en ligne au sein du marché intérieur ;

6. Appelle à bâtir un environnement propice à l’appropriation et à la diffusion des savoirs numériques :

a) En proposant aux jeunes Européens des formations qualifiantes adaptées pour préparer des cohortes suffisantes de professionnels possédant les compétences numériques que requerront les emplois de demain ;

b) En favorisant la formation professionnelle continue pour faciliter l’adaptation des compétences aux nouveaux métiers de la transformation numérique ;

c) En incitant davantage les femmes à opter pour les formations et les métiers du numérique ;

d) En accompagnant les citoyens européens, enfants et adultes, pour les aider à devenir des usagers autonomes et avertis de l’espace numérique.

ANNEXE NO 4 :
RÉSOLUTION EUROPÉENNE SUR LA PROPOSITION DE RÈGLEMENT RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES (23 MARS 2012)

Article unique

L’Assemblée nationale,

Vu l’article 88-4 de la Constitution,

Vu l’article 151-5 du Règlement de l’Assemblée nationale,

Vu le traité sur le fonctionnement de l’Union européenne, notamment son article 16,

Vu la charte des droits fondamentaux de l’Union européenne, notamment ses articles 7 et 8,

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,

Vu la communication de la Commission européenne, du 4 novembre 2010, au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée : « Une approche globale de la protection des données à caractère personnel dans l’Union européenne » (COM [2010] 609 final),

Vu la proposition de règlement du Parlement européen et du Conseil, du 27 janvier 2012, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des marchés) (COM [2012] 11 final/ no E 7055),

1. Réaffirme son engagement en faveur d’une protection renforcée de la vie privée des citoyens. Cela constitue une exigence démocratique face à l’apparition de nouvelles technologies et à l’émergence d’acteurs mondiaux dont le modèle économique repose notamment sur le traitement commercial de données personnelles ;

2. Soutient les objectifs annoncés par la Commission européenne dans sa communication du 4 novembre 2010 précitée concernant la révision du cadre juridique européen en matière de protection de la vie privée et des données personnelles ;

3. Estime que la modernisation, l’harmonisation et la simplification des règles applicables favoriseront une meilleure prise en compte, par l’ensemble des acteurs, des exigences européennes sur ces questions, grâce notamment à une plus grande responsabilisation des responsables de traitement, qui devront prendre toutes les mesures nécessaires à la protection des données personnelles traitées ;

4. Se félicite à ce titre de l’introduction, au niveau européen, de nouvelles dispositions qui participeront à une meilleure protection des droits des citoyens ;

5. Rappelle les orientations figurant dans la déclaration parlementaire franco-allemande de la mission d’information de l’Assemblée nationale sur les droits de l’individu dans la révolution numérique et de la commission d’enquête du Bundestag sur internet et la société numérique, en date du 19 janvier 2011 ;

6. Souligne ainsi l’inscription dans le texte proposé par la Commission européenne d’un droit à l’oubli pour les citoyens, qui devrait, dans un souci de réalisme, être applicable aux réseaux sociaux et qui permettra aux personnes d’obtenir plus simplement la suppression de leurs données personnelles par les responsables de traitement. Il conviendra toutefois de s’assurer que ce droit permette aux personnes concernées d’obtenir la suppression des données mises en ligne par un tiers ;

7. Se prononce également en faveur de l’introduction d’un nouveau droit à la portabilité des données personnelles pour les citoyens, qui pourront désormais obtenir, à leur demande, restitution des données traitées, et notamment celles publiées sur les réseaux sociaux, dans un format électronique qui permette leur réutilisation sur d’autres supports ;

8. Défend la proposition de la Commission européenne visant à modifier considérablement les règles de recueil du consentement des citoyens au traitement de leurs données personnelles. Cette disposition sera beaucoup plus protectrice puisque l’expression du consentement nécessitera désormais une action positive du citoyen. Son silence ou son inaction ne pourront plus être assimilés à un consentement implicite ;

9. Soutient la désignation de délégués à la protection des données au sein des administrations publiques et des entreprises de plus de 250 salariés. Cette disposition, particulièrement attendue par certaines autorités de protection européennes, participera assurément à une meilleure prise en compte des règles applicables dans ce domaine et à une plus grande sensibilisation des structures publiques et privées à ces questions. Toutefois, le caractère obligatoire de la désignation pourrait être contre-productif, une attention particulière devant être portée à la situation des salariés désignés délégués à la protection des données ;

10. Exprime son opposition claire à l’inscription, dans le texte proposé par la Commission européenne, du critère du principal établissement du responsable de traitement, qui serait porteur de conséquences politiques et économiques extrêmement dommageables pour notre pays et pour l’ensemble du territoire européen ;

11. Considère que cette solution éloignerait les Européens des autorités compétentes et qu’elle irait à l’encontre de la construction d’une Europe politique et concrète, proche des préoccupations de ses citoyens. Elle favoriserait également la pratique du « forum shopping », et l’établissement d’entreprises au sein des États membres dont les autorités de protection privilégient une approche plus souple. Elle réduirait également considérablement l’attractivité des territoires français et européens ;

12. Défend une solution alternative, fondée sur le maintien de la compétence d’une autorité de protection d’un État sur tout traitement de données ciblant spécifiquement la population de cet État, quel que soit l’État membre sur lequel est établi le responsable de traitement ;

13. Exprime ses plus vives inquiétudes quant au mécanisme de coopération proposé par la Commission européenne, qui ne garantirait pas une information suffisante des autorités de protection, notamment dans les cas de traitement de données particulièrement sensibles, comme les données génétiques, biométriques ou les données de santé, réduisant considérablement les contrôles a priori sur ces traitements à risque. Elle soutient l’introduction de nouvelles dispositions permettant une coopération renforcée entre les autorités de protection afin notamment de garantir un contrôle rigoureux des traitements de données à risque ;

14. Regrette la concentration de pouvoirs considérables entre les mains de la Commission européenne, aux dépens des autorités de protection, quant à l’élaboration des lignes directrices en matière de protection des données personnelles et à la définition des modalités d’application des nouvelles dispositions. Elle défend un rééquilibrage de ces compétences au profit des autorités de protection qui bénéficient de l’expertise technique indispensable à cette mission ;

15. Appelle à un meilleur encadrement des transferts internationaux de données, qui doivent nécessairement préserver les pouvoirs de contrôle et d’autorisation de ces échanges des autorités nationales de protection. L’auto-évaluation des conditions de transfert par les responsables de traitement eux-mêmes conduirait à une baisse considérable du niveau de protection des droits des citoyens ;

16. Invite le Gouvernement français à se saisir de cette question dans les plus brefs délais et à défendre une réforme plus respectueuse des droits de nos concitoyens, en accord avec la position défendue publiquement par la Commission nationale de l’informatique et des libertés ;

17. Appelle à l’adoption, par les États membres de l’Union européenne et les États tiers, d’une convention internationale pour la protection des personnes à l’égard du traitement des données personnelles, comme le soutient la résolution de Madrid, adoptée par la 31e conférence internationale des commissaires à la protection des données et de la vie privée.

ANNEXE NO 5 :
CONCLUSIONS ADOPTÉES PAR LA COMMISSION DES AFFAIRES EUROPÉENNES SUR LE PAQUET LÉGISLATIF RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES PERSONNELLES (14 MAI 2014)

Article unique

« La Commission des affaires européennes,

Vu l’article 88-4 de la Constitution,

Vu l’article 8 de la Charte européenne des droits fondamentaux,

Vu l’article 16 du traité sur le fonctionnement de l’Union européenne,

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale,

Vu la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données [COM(2012) 010 final, no E 7054],

Vu la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [COM(2012) 011 final, no E 7055],

Vu la résolution législative du Parlement européen du 12 mars 2014 sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données,

Vu la résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

1. Réaffirme son engagement en faveur de la protection des données à caractère personnel, qui est un droit fondamental à part entière pour les personnes concernées ;

2. Estime qu’il est primordial d’aboutir au plus tard en 2015 à une adoption simultanée de la proposition de règlement et de la proposition de directive précitées ;

3. Approuve la proposition du Parlement européen d’augmenter le plafond des sanctions à 100 millions d’euros ou 5 % du chiffre d’affaires annuel mondial d’une entreprise lorsque celle-ci viole les règles européennes en matière de protection des données à caractère personnel ;

4. Soutient l’introduction au sein de la proposition de règlement précitée d’un article prévoyant que lorsqu’une décision d’une juridiction ou d’une autorité administrative d’un pays tiers demande à un responsable de traitement ou à un sous-traitant soumis au droit de l’Union européenne de divulguer des données à caractère personnel, celui-ci doit obtenir l’autorisation de l’autorité européenne de contrôle compétente ;

5. Se félicite des avancées obtenues depuis le début des négociations sur le mécanisme du guichet unique ;

6. Rappelle la nécessité d’aboutir à une solution qui n’éloigne pas les Européens des autorités compétentes et ne favorise pas l’établissement d’entreprises au sein des États membres dont les autorités de contrôle privilégient une approche plus souple ;

7. Souhaite que le Comité européen de protection des données soit doté de pouvoirs juridiquement contraignants en cas de désaccord entre l’autorité chef de file et les autres autorités nationales concernées ;

8. Demande la mise en œuvre d’actions de groupe en matière de protection des données à caractère personnel ;

9. Souligne la nécessité de préciser la notion « d’intérêt légitime » autorisant le traitement de données à caractère personnel sans que le consentement de la personne concernée soit requis ;

10. Est favorable à un encadrement plus strict du « marketing direct », en limitant le nombre de cas dans lesquels celui-ci est considéré comme automatiquement licite ainsi qu’en renforçant et simplifiant les mécanismes « d’opt-out » ;

11. Rappelle que la proposition de directive précitée doit permettre d’atteindre un juste équilibre entre la protection des données à caractère personnel et la conduite des mesures de prévention des infractions, des enquêtes et des procédures pénales.

1 () La composition de cette commission figure au verso de la présente page.

2 () Le Gouvernement a également notifié ces mesures dès le 10 novembre à la Commission européenne : un délai dit de statu quo est ouvert pendant trois mois – éventuellement prolongeable de quatre mois, durant lequel les mesures notifiées ne sauraient être adoptées.

3 () Rapport d’information n° 1409 déposé par la commission des affaires européennes de l’Assemblée nationale sur la stratégie numérique de l’Union européenne, 8 octobre 2013.

4 () Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

5 () Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union du 7 février 2013, COM(2013) 48 final.

6 () Directive 2014/61/UE du Parlement européen et du Conseil du 15 mai 2014 relative à des mesures visant à réduire le coût du déploiement de réseaux de communications électroniques à haut débit.

7 () Règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques et le règlement (UE) n° 531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union.

8 () Si les opérateurs sont capables de prouver qu’ils ne peuvent pas recouvrer leurs coûts et que cela affecte les prix nationaux, des surtaxes pourraient toutefois être autorisées de façon exceptionnelle. Des dispositions permettent également de lutter contre les abus et d’éviter l’itinérance « permanente ».

9 () Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Stratégie pour un marché unique numérique en Europe », COM (2015) 192 final.

10 () Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

11 () Rapport n° 4326 du 7 février 2012 de M. Patrick Bloche sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union européenne, notamment dans le cadre de la réforme de la directive 95/46/CE ;

Rapport n° 4325 du 7 février 2012 de M. Philippe Gosselin sur la proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Communication de Mme Marietta Karamanli sur le paquet législatif relatif à la protection des personnes physiques à l’égard du traitement des données personnelles du 14 mai 2014 ;

Communication de Mme Marietta Karamanli et M. Charles de La Verpillière sur la protection des données personnelles dans un cadre transatlantique du 1er juillet 2015.

12 () Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.

13 () Tim Wu, extrait d’un article intitulé « Network neutrality, Broadband discrimination » dans « Open architecture as communications policy », Center for Internet and society, Stanford Law School, 2004.

14 () Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.

Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques.

15 () Numérique et libertés : un nouvel âge démocratique, rapport n° 3119 présenté par M. Christian Paul et Mme Christiane Féral-Schuhl.

16 () Directive 2000/31/CE du 8 juin 2000 relative à certains aspects techniques des services de la société de l’information et notamment du commerce électronique.

17 () CJUE (Grande Chambre) du 12 juillet 2011, L’Oréal SA et autres contre eBay International AG et autres.

18 () CJUE, Grande Chambre, du 23 mars 2010, Google France SARL et Google Inc. contre Louis Vuitton Malletier SA (C-236/08).

19 () Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs.

20 () Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur.

21 () Article 23 bis bis dans la version issue du Conseil JAI du 15 juin :  « Il n'y a pas lieu d'appliquer les principes de protection des données aux données concernant des personnes décédées. Le droit national d'un État membre peut prévoir des règles relatives au traitement des données à caractère personnel concernant des personnes décédées. »

22 () La CJUE, dans l’affaire « Google Spain » précitée, a considéré que « la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante».

23 () Recommandation de la Commission européenne du 17 juillet 2012 relative à l'accès aux informations scientifiques et à leur conservation.

24 () Directive 2001/29/CE du Parlement européen et du Conseil du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information.

25 () Paragraphe 1) d).

26 Voir les communiqués de presse du Parlement: http://www.europarl.europa.eu/news/fr/news-room/20151215IPR07597/Protection-des-donn%C3%A9es-le-Parlement-et-le-Conseil-proches-d'un-accord et http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes .

27 Chapitre VII, 3e section.

28 Articles 46-49.

29 Articles 51 et 51a.

30 Article 54.

31 Articles 52 et 53.

32 Article 52(1)(aa).

33 Article 52(1)(ac).

34 Article 52(1)(ad).

35 Article 52(1)(e).

36 Article 52(1)(fa).

37 Article 52(1)(f).

38 Article 52(4).

39 Article 52(5).

40 Article 52(6).

41 Article 53.

42 Pour plus d’informations, voir le rapport annuel de la CNIL 2014, pp.10-15.

43 Voir les versions publiées par la CNIL à des fins pédagogiques: http://www.cnil.fr/linstitution/actualite/article/article/droit-au-dereferencement-interpretation-de-larret-et-criteres-communs-dinstruction-des-pla/?tx_ttnews[backPid]=91&cHash=e0b43252878e9fe1882880d280bb2abf

44 http://www.cnil.fr/linstitution/actualite/article/article/droit-au-dereferencement-rejet-du-recours-gracieux-forme-par-google-a-lencontre-de-la-mis/?tx_ttnews[backPid]=91&cHash=c0411f4f7fb42ffa00ef6a2a502bef9e

45 http://www.cnil.fr/linstitution/actualite/article/article/droit-au-dereferencement-bilan-du-g29-un-an-apres-larret-de-la-cjue/?tx_ttnews[backPid]=91&cHash=d70373c1e10445c510380f76a8f3dae3

46 Article 3.

47 http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf