SÉANCE

du jeudi 17 octobre 2013

11e séance de la session ordinaire 2013-2014

présidence de M. Thierry Foucaud,vice-président

Secrétaires : Mme Michelle Demessine, Mme Catherine Procaccia.

La séance est ouverte à 9 h 30.

Le procès-verbal de la précédente séance, constitué par le compte rendu analytique, est adopté sous les réserves d'usage.

Débat sur la protection des données personnelles

M. le président.  - L'ordre du jour appelle un débat sur la protection des données personnelles.

M. Yves Détraigne, pour la commission des lois .  - La commission des lois a souhaité, conjointement avec la commission des affaires économiques, organiser ce débat à la suite d'une communication de M. Sutour sur la proposition de directive européenne relative au traitement des données dans le cadre de la coopération policière et judiciaire en matière pénale. Les débats en cours en Europe ont incité nos deux commissions à se saisir de cette matière.

L'enjeu est de taille. Le règlement européen, quand il sera adopté, se substituera à la loi du 6 janvier 1978 Informatique et libertés. D'où la proposition de résolution européenne, adoptée le 6 mars 2012 au Sénat, pour demander au Gouvernement de veiller à ce que soit ouverte la possibilité pour les États membres d'adopter des dispositions plus protectrices. Notre débat est l'occasion de suivre le devenir des travaux de la commission des lois sur la protection des données personnelles : après le rapport que j'ai commis avec Mme Escoffier quand elle siégeait parmi nous, la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique, rapportée M. Cointat et adoptée par le Sénat en mars 2010, est toujours en attente de discussion à l'Assemblée nationale. Hélas, car les problèmes qu'elle soulevait demeurent.

Premier constat : la méconnaissance de nos concitoyens quant aux conséquences possibles sur leur vie privée de l'utilisation du numérique : réseaux sociaux, cookies, géolocalisation, biométrie, profilage... Le rapport se félicitait de la prise de conscience des autorités comme des efforts de régulation mis en oeuvre, mais le contentieux opposant la Cnil à Google montre que le chemin reste long. D'où notre première recommandation : sensibiliser les écoliers et les citoyens sur la question et les informer des droits que leur reconnaît la loi Informatique et libertés. Nous préconisons de définir des labels valorisant les applications et logiciels protecteurs -comme l'a fait la Cnil en 2011.

Pour les moyens de la Cnil, dont les missions ne cessent d'augmenter et auxquels veille Mme Klès dans son avis budgétaire, on peut regretter que le plafond des sanctions pécuniaires reste trop bas face à la puissance de groupes multinationaux comme Google.

L'adresse IP devrait avoir le statut de donnée personnelle, ainsi que le reconnaissent la jurisprudence et le législateur européen. Mais cet acquis est fragile, comme le montre le projet de règlement européen. Et en France, le débat n'est pas tranché... Un « droit à l'oubli » sur internet devrait venir compléter notre droit. Le règlement européen peut être un complément utile, mais se pose la question de la conciliation de ce droit avec la liberté d'expression.

La loi de 1978, qui a inspiré la directive de 1995, assure un haut niveau de protection. Notre rapport allait dans le même sens. Car on peut craindre que la directive européenne ne tire dans l'autre.

La question des fichiers est centrale. Le rapport recommandait de donner au législateur une compétence exclusive sur la création de fichiers de police, de sorte que soit assuré un équilibre vertueux entre sécurité et liberté. Nous n'y sommes pas, la loi de 1978 n'a toujours pas été modifiée en ce sens. Sur le fichier central biométrique des cartes d'identité et des passeports, le Conseil constitutionnel a exercé sa censure, estimant que l'atteinte aux droits de la vie privée n'était pas proportionnée au but poursuivi, eu égard à la nature des données enregistrées, à l'ampleur de leur traitement, au caractère technique de la base et aux conditions de consultation.

Chacun d'entre nous est concerné. Notre responsabilité de législateur est de nous assurer du respect de la vie privée. Le Sénat restera, comme à son habitude, le gardien vigilant des libertés individuelles, y compris dans les nouvelles technologies. Ce débat est l'occasion de le rappeler. (Applaudissements)

M. Simon Sutour, président de la commission des affaires européennes .  - Le Sénat est en effet dans son rôle. La protection des données personnelles touche aux libertés fondamentales. Internet simplifie beaucoup d'actes de la vie quotidienne, est un atout pour la vie économique et fournit des instruments pour lutter contre les menaces terroristes ou criminelles. Mais nos concitoyens sont en droit d'attendre que leurs données personnelles ne soient pas utilisées sans leur consentement. Ils doivent pouvoir accéder à leurs données, les faire rectifier ou effacer. (Mme Nathalie Goulet approuve) Il est de la responsabilité des législateurs nationaux et européens d'édicter des règles sûres ; de celle des pouvoirs publics de veiller à ce que les données de nos concitoyens ne soient pas transférées sans contrôle à d'autres pays. Le scandale de la révélation du programme américain Prism -d'écoute généralisée des non-Américains- en a souligné l'impérieuse nécessité. Un groupe d'experts a été mis sur pied, qui réunit États membres, Commission et autorités américaines : quels sont, madame la ministre, les résultats de ses travaux ? Les services américains auraient surveillé, on l'a appris en septembre, la société Swift, chargée de sécuriser les transferts bancaires internationaux ; l'accord de 2010 a-t-il été violé, madame la ministre ?

J'ai défendu deux propositions de résolution sur les textes en préparation à la Commission européenne : sur le règlement, d'abord, qui sera d'application directe, nous réaffirmions certains principes. Notre position est claire et unanime : nos concitoyens doivent pouvoir continuer à s'adresser à leur autorité de contrôle. Sur les transferts de données, les États doivent pouvoir garantir à leurs citoyens un haut niveau de protection des données. Nous ne voulons pas d'une uniformisation par le bas. Où en est, madame la ministre, la négociation ? La France est pionnière en Europe sur le sujet. La loi Informatique et libertés offre un cadre de protection efficace. Nous ne pouvons accepter une régression. D'où l'avis motivé que nous avons adopté sur la subsidiarité. Ce que propose la Commission européenne ne saurait excéder ce qui est nécessaire pour atteindre l'objectif poursuivi. Est-ce le cas, madame la ministre, du projet de directive ?

Dans le cadre de la coopération policière et judiciaire en matière pénale, nécessaire, il faut, aussi, assurer un niveau élevé de protection des droits fondamentaux. C'est le cas de notre droit qui dispose que le traitement des données personnelles dans le cadre des activités répressives doit être mis en oeuvre conformément aux principes généraux de protection des données, les dérogations devant être justifiées et proportionnées aux besoins. Or, sur ce sujet, la directive n'apporte que des garanties minimales. Les États doivent pouvoir aller au-delà. Quelles sont les intentions du Gouvernement ? L'harmonisation européenne, souhaitable, ne doit pas se faire au détriment de notre cadre national, plus protecteur.

Pour nous, le traitement des données biométriques devrait faire l'objet d'un encadrement spécifique. La durée de conservation des données doit être encadrée et de solides garanties apportées en cas de transfert. Où en sommes-nous ?

Où en est la négociation de l'accord cadre Union européenne-États-Unis ? Quel lien avec l'accord PNR portant sur l'enregistrement des données des passagers et la révision du cadre juridique européen ? La commission européenne prépare un PNR européen, que le Parlement européen a rejeté. Le Sénat avait émis des recommandations, notamment l'exclusion des données sensibles et des garanties renforcées en cas de transfert à des pays tiers. Le Gouvernement les prend-il en compte dans la négociation ?

Nous resterons vigilants pour la protection des droits fondamentaux. (Applaudissements)

M. François Pillet .  - Après l'affaire du fichier Safari, la France a adopté la loi fondatrice Informatique et libertés, qui a doté le pays d'une autorité de contrôle, la Cnil, et réglementé la collecte, l'exploitation et la conservation des données par les entreprises et les pouvoirs publics. Cependant, le numérique change la donne, tant les mutations sont rapides. La législation européenne est donc en voie de refonte. Le texte de 1995 est obsolète.

Le secteur de la donnée est bouleversé. Les données personnelles sont désormais traitées à grande échelle par les acteurs publics comme privés, l'État s'est doté de nombreux fichiers, parfois interconnectés. Avec internet, les citoyens sont de plus en plus acteurs de la diffusion de données personnelles les concernant ou, pire, concernant des tiers, avec le développement du commerce électronique ou des réseaux sociaux. Désormais, tous les acteurs sont concernés. Il importe de définir un cadre global.

L'objectif du règlement européen doit avoir une ambition forte d'harmonisation. Le Digital Agenda, en vue d'un marché unique du numérique, n'aurait sinon pas de sens. Se pose aussi la question internationale : de plus en plus de données transitent dans le monde. Le cadre européen doit reposer sur des principes clairs. Le premier, l'harmonisation, car il faut en finir avec les paradis numériques. Harmonisation, aussi, des activités de contrôle, en respectant le principe de la plus haute protection.

Nous sommes à un carrefour : le droit sait-il se rendre maître des techniques ? Qu'en feront les entreprises, la médecine ? Ce cadre doit être clair : stabilité juridique et protection des individus. La transparence est le principe clé, qu'elle concerne les États ou les entreprises. Les individus doivent savoir pourquoi leurs données sont collectées, comment elles sont utilisées et pour quelle finalité. Ils doivent pouvoir contrôler leur usage -c'est le fameux droit à l'oubli, le droit à la portabilité, aussi. Il ne revient pas à un tiers de décider ce qu'il adviendra des données d'un individu mais à lui-même. Troisième objectif : la sécurité, essentielle.

Nous appelons donc à un cadre de qualité, stabilisé pour les entreprises et assurant le plus haut niveau de protection.

M. Jean Bizet.  - Très bien.

M. François Pillet.  - Il faut aller vite mais sans laisser de côté la qualité du droit qui va s'élaborer. Comment serons-nous jugés demain si nous ne veillons pas aujourd'hui à la protection des droits fondamentaux ? (Applaudissements)

Mme Éliane Assassi .  - Les possibilités de collecter des données personnelles à l'insu de l'individu se multiplient. La lutte contre l'insécurité et le terrorisme est devenue, depuis dix ans, la justification d'un fichage généralisé, au mépris des libertés publiques. Nous n'avons cessé de dénoncer ce fichage tentaculaire qui concerne les acteurs de l'éducation nationale comme les bénéficiaires de minima sociaux ou les étrangers. Les fichiers et leur traitement informatisé sont devenus de véritables outils de gestion de la société, en même temps qu'une formidable manne financière pour les entreprises, soucieuses de cibler leur publicité.

La directive de 1995 fut l'acte fondateur de la protection de la vie privée à l'échelle communautaire mais sa révision s'impose aujourd'hui de façon urgente. La Commission européenne a fait le choix d'user de deux instruments, l'un étant relatif à la coopération policière et judiciaire en matière pénale. On peut regretter une telle disjonction à l'heure où les fichiers de sécurité se multiplient.

L'enjeu est de taille : garantir le respect de la vie privée dans un cadre mouvant. Les garanties qu'offre notre droit national ne doivent pas être affaiblies. Le guichet unique ne doit pas priver les citoyens de voies de protection nationales. La résolution de M. Sutour a attiré l'attention sur ce point : les pouvoirs a priori et a posteriori de la Cnil doivent être préservés.

Autre enjeu, le droit à l'oubli. Des obligations doivent peser sur les moteurs de recherches pour le garantir de façon effective.

Mme Nathalie Goulet.  - Très bien !

Mme Éliane Assassi.  - Veillons à ce que le droit européen nouveau ne remette pas en cause des dispositions nationales plus protectrices. Il est vrai que la protection est relative. Voyez le fichier national des empreintes génétiques, qui ne cesse de gonfler, touchant même de simples manifestants que la proposition de loi de notre groupe, bloquée à l'Assemblée nationale, propose d'en sortir.

Gardons à l'esprit nos principes et nos valeurs, dont le citoyen est le centre de gravité. (M. Simon Sutour, président de la commission des affaires européennes, applaudit)

Mme Françoise Laborde .  - Fidèle à sa tradition de défense des libertés publiques, le groupe du RDSE se réjouit de ce débat. Il s'est emparé très tôt du sujet avec la proposition de loi Escoffier-Détraigne, votée en mars 2010 et toujours en attente d'examen à l'Assemblée nationale -nous regrettons que les députés tardent à agir sur une question aussi fondamentale pour les libertés publiques.

Un récent sondage a montré que 80 % des Français ne croient pas à la confidentialité de leurs données personnelles. Les faits leur donnent raison, il est urgent d'agir. De l'affaire Snowden aux propensions de Google à collecter des données, tout doit nous alerter. La France avait su, en son temps, se montrer pionnière, avec la loi Informatique et libertés de 1978. Mais le cadre doit désormais devenir européen pour être efficace. Nous approuvons ainsi la mise en place d'un guichet unique, mais sous réserve que tous les Européens adoptent un même standard de protection de la vie privée. C'est l'esprit de la proposition de la garde des sceaux, qui a demandé que soit retenue une procédure de co-décision entre autorité en charge et autorités nationales.

C'est pour un vrai droit à l'autonomie numérique que nous plaidons, ce qui suppose un droit à l'oubli numérique, qui demeure encore une chimère.

La sécurité ne doit pas servir de prétexte à un fichage tous azimuts ni à la banalisation des outils de surveillance de la population. Le fichier PNR en est un exemple. La commission des libertés civiles du Parlement européen l'a rejeté au nom des droits fondamentaux de la personne.

La vidéosurveillance a benoîtement pris le nom de vidéoprotection, tandis que les fichiers se multiplient, sans que les délais de conservation soient suffisamment encadrés. J'en veux pour preuve la récente condamnation de la France par la Cour européenne des droits de l'homme pour le fichier des empreintes digitales.

Faire de 2014 l'année de l'éducation numérique est essentiel dans un contexte où les droits de la personne demandent à être protégés. (Applaudissements)

Mme Hélène Lipietz .  - La loi Informatique et libertés de 1978 est-elle toujours suffisante ? Donner son numéro de sécurité sociale était inadmissible il y a trente ans ; aujourd'hui, on remet sans s'inquiéter sa carte vitale à son pharmacien... Et tout à l'avenant. Publier ses exploits sur Facebook est devenu banal. Les parents suivent désormais au jour le jour les résultats de leur enfant sur internet, le privant de toute autonomie, au contraire de ce que préconisait Françoise Dolto. Le fichier génétique, qui touche à l'intime, a été étendu à toutes formes de délinquance, jusqu'aux faucheurs volontaires... Les entreprises incontournables de l'internet imposent à la planète des conditions douteuses d'utilisation des données personnelles.

Les données ne doivent devenir sociales que quand l'intérêt de la société le justifie. Ainsi des données médicales qui, en Suède, deviennent sociales pour les besoins des progrès de la médecine, mais anonymisées. Les données personnelles, cependant, sont aussi des données lucratives pour les entreprises. Sans parler de l'usage qu'en font des services secrets au prétexte de la veille antiterroriste.

Comment donc protéger les citoyens et faire que leurs données personnelles ne soient utilisées que dans un but d'utilité collective ? Telle est la gageure. Cela suppose de couper le cordon ombilical entre données personnelles et données socialisées et de garantir la maîtrise, par le citoyen, de ses propres données. La Cnil pourrait évoluer pour mieux répondre aux enjeux ; mais en a-t-elle les moyens humains ? Les amendes devraient être aggravées, pour que nos vies ne deviennent pas une nouvelle marchandise. (Applaudissements sur les bancs écologistes)

Mme Catherine Morin-Desailly .  - L'Union européenne, colonie du monde numérique. Tel est le titre provocateur que j'ai proposé pour mon récent rapport, dans lequel j'appelle à une prise de conscience et à un sursaut. Car il faut s'inquiéter de la perte de maîtrise de l'Union européenne sur ses données. La commission des affaires européennes a adressé un avis politique à Bruxelles, fondé sur les conclusions de mon rapport. Les réponses qu'a apportées la Commission européenne ne sont pas à la hauteur des enjeux stratégiques, je dirais même des enjeux de civilisation.

Cependant, l'idée fait son chemin. Pour la première fois, le numérique est à l'ordre du jour d'un Conseil européen ; et le rapport de la commission des affaires européennes de l'Assemblée nationale rejoint mes préconisations. L'heure du sursaut arrive en France. Elle doit sonner au niveau européen.

Le scandale Prism n'a été pour moi qu'une demi-surprise, bien que ce soit grave. Car il y va de la protection de la vie privée et d'un enjeu économique considérable.

Google refuse les modifications demandées par la Cnil et ne respecte pas la loi Informatique et libertés. L'adoption rapide du règlement européen est donc souhaitable. La Commission semble convaincue de l'importance du sujet. Mais une véritable politique industrielle doit être mise en oeuvre. Les routeurs de coeur de réseau doivent être labellisés par une autorité nationale ou européenne pour se prémunir de l'espionnage.

Les services en nuage comportent des dangers. Les prestataires sont le plus souvent américains. M. Montebourg semble ignorer l'extraterritorialité des lois américaines. La solution est de favoriser l'émergence d'un cadre juridique européen. Le stockage à distance des données est d'autant plus préoccupant que se développe l'internet des objets, qui les fera communiquer entre eux.

Une mobilisation politique de l'Union européenne au plus haut niveau est nécessaire. Le 7 octobre, les grands organismes de régulation, réunis à Montevideo, dont l'Icann, ont pris leur distance avec la mainmise américaine sur internet.

Pour les États-Unis, le contrôle des données est aussi vital que celui de l'eau, de l'énergie. Mais il leur est difficile de maintenir le statu quo. Le système de gestion des noms de domaine doit devenir multilatéral. A l'Union européenne d'entrer dans le jeu et aux États-Unis de se conformer aux principes démocratiques. (Applaudissements)

M. Gaëtan Gorce .  - Notre Sénat porte une attention constante à la protection des données personnelles. On peut regretter que le règlement européen tarde à être adopté. La Cnil est en pointe sur le sujet. Quel type de société voulons-nous ? Telle est la question de fond. Je ne veux pas casser l'ambiance mais le numérique est lourd de menaces sur nos libertés individuelles. Soyons vigilants. Des évolutions technologiques présentées comme positives sont neutres en réalité, mais peuvent devenir négatives si notre attention se relâche. Je pense au fameux Big data, source de stratégies de marketing, mais aussi de profilage, de connaissance des opinions et de la santé des personnes.

Quant à l'Open Data, il se met en place sans évaluation préalable de ses risques sur la vie privée. Et que dire de la biométrie, considérée comme normale pour accéder à une cantine scolaire, ou à un équipement sportif ? Simon Sutour a soulevé le problème de l'exploitation de données personnelles par des services secrets, en citant Prism. Qui dit que nos propres services n'en font pas autant ?

Mme Nathalie Goulet.  - Secret défense !

M. Gaëtan Gorce.  - Je ne veux pas noircir le tableau à l'excès mais, pour des questions politiques, philosophiques et morales, face à ces évolutions technologiques, la notion même de vie privée ne disparaît-elle pas tout bonnement ?

Mme Nathalie Goulet.  - Si !

M. Gaëtan Gorce.  - Le comportement même de nos concitoyens favorise le phénomène. Les réseaux sociaux, sous couvert de nous valoriser, nous poussent à en dire trop.

Cette part d'intimité qui nous constitue, ce « misérable petit tas de secrets » dont parlait Malraux, que deviennent-ils s'ils ne sont point protégés ? L'ordre public en la matière doit être rappelé. Il ne doit pas être porté atteinte à la vie privée, qu'il s'agisse de la santé, des opinions... Travaillons-y et gardons-nous des dérives comme la croyance béate en la bonté absolue de la technologie. Celle-ci doit être conforme à nos valeurs. Les données doivent être subordonnées à d'autres préoccupations. Il faut se méfier de l'économisme primaire qui annonce l'essor de notre industrie et de notre économie : madame la ministre, vous n'échappez pas tout à fait à cette tentation. Le droit et la politique doivent primer. Mettrons-nous de l'ordre dans un droit international diffus ? Les États-Unis exigent la communication de données européennes sans qu'on en sache la finalité. Je regrette que le Gouvernement soit resté si prudent dans l'affaire Snowden. Ces pratiques sont contraires à notre conception de la société et posent un problème politique de fond, indiquons le clairement aux États-Unis au moment d'engager la négociation transatlantique.

M. Jean Bizet.  - Très bien !

M. Gaëtan Gorce.  - J'aimerais entendre plus souvent ceci : il s'agit d'abord d'une question de société. (Applaudissements)

Mme Nathalie Goulet .  - Je vais franchement casser l'ambiance. La protection des données personnelles a été abandonnée. Toutes les Cnil du monde n'y pourront rien. J'aimerais savoir comment les psychologues analysent cet objet transitionnel que nous tripotons à longueur de journée. Comment faisait-on avant ? Twitter et Facebook sont exclus de facto de la protection des données. On y voit la photo de votre domicile, on y lit la plaque d'immatriculation de la voiture, pas forcément la vôtre, garée devant. On abdique le respect de la vie privée, le secret ; l'internaute n'a plus que des droits, aucune obligation. Diffamez et il en restera toujours quelque chose, sous couvert d'anonymat. Oui, nous avons abdiqué. Je milite pour que l'adresse IP ne soit plus une donnée personnelle. La liberté des uns s'arrête là où comment celle des autres ; je regrette d'être bien seule à défendre cette cause légitime. Le droit à l'oubli ? Une loi californienne est intéressante, qui va donner aux mineurs de 18 ans le moyen d'obtenir, sur simple demande, l'effacement des données qu'ils ont pu mettre en ligne comme des photos qu'ils jugent plus tard compromettantes.

Nous sommes dans la lutte de l'obus et du blindage, dans le contexte post 11 septembre, où la peur prédomine partout, où l'on stocke les données, je doute du résultat de nos débats, pleins de bonnes intentions. C'est peine perdue, mais il vaut la peine de défendre les principes face à la technique qui, hélas, prime tout. (Applaudissements sur les bancs écologistes)

M. Simon Sutour, président de la commission des affaires européennes.  - Un peu pessimiste !

Mme Nathalie Goulet.  - Très pessimiste !

Mme Virginie Klès .  - Quatre mots, « protection des données personnelles », qui posent de nombreuses questions. Protection contre quoi ? Que sont ces données ? Que recouvrent-elles ? Notre identité sociale, civile, commerciale, bancaire, juridique ?

Les traces qu'on laisse partout ? Oui, dans quelle société voulons-nous vivre ?

Si les données personnelles désignent notre identité, quel rôle doit avoir l'État dans sa protection ? Il doit produire des documents garantis, infalsifiables, qui créent une identité de confiance. Je suis choquée que dans un magasin, on vous demande trois pièces d'identité différentes quand vous signez un chèque, faute de confiance dans ces documents. Le passeport biométrique ? Êtes-vous conscients des traces qu'il laisse partout où vous passez, pas seulement quand vous rendez aux États-Unis ? Quant au PNR, il pose beaucoup de questions, mais que font les autres pays de notre passeport biométrique français ? Le problème se pose même en Europe : les données biométriques, considérées comme sensibles en France, ne le sont pas en Allemagne. La voix n'est-elle pas devenue une donnée biométrique ? Ne peut-on fabriquer de fausses empreintes digitales ? Et des empreintes combinées avec le lacis veineux d'un doigt sont-elles encore des données biométriques ? Que fait-on face aux évolutions de la technologie ? Ne doit-on pas prendre les devants ? Nos données bancaires et patrimoniales sont-elles considérées comme sensibles ? On vient de décider de révéler celles de certaines personnes publiques... A toutes ces questions, on ne peut apporter une réponse simple.

Nos concitoyens ont-ils conscience de la valeur commerciale, financière de nos traces amalgamées en fichiers ? Ces données peuvent être transférées vers d'autres détenteurs poursuivant d'autres objectifs que ceux qui ont présidé à leur collecte, faite parfois à notre insu.

Les frontières, évidentes en principe, entre liberté et sécurité, droit et technologie, sont bien floues. Les réponses à toutes ces questions sont nécessairement complexes. Les Cnil du monde peuvent-elles tout contrôler ? En ont-elles les moyens ?

Oui, monsieur Gorce, nous avons tous droit à cette part de vie privée qui doit être respectée et protégée. Gardons le contrôle. Sachons dans quelle société nous voulons vivre. (Applaudissements)

M. Jean-Yves Leconte .  - Ce débat, dédions-le à Edward Snowden, réfugié à Moscou, qui a mis en évidence la faiblesse de nos protections, l'exigence d'une gouvernance mondiale et donné conscience des limites du net.

La quantité de données stockées par l'humanité jusqu'en 2003, il ne fallut plus que deux jours pour la produire en 2011, dix minutes aujourd'hui. La capacité d'en produire a été multipliée par un million. Peut-on sérieusement garantir le droit à l'oubli ? Quand on achète sur le net, peut-on garantir le respect de son intimité ? Hélas non. C'est pourtant un droit fondamental de l'homme. Pour protéger l'individu, doit-on brider l'internet, formidable outil de communication ? Non. Internet pose le plus grand défi à la souveraineté des nations qu'ait connu l'histoire humaine. Les États doivent réinventer leur rôle, en participant à la création d'une gouvernance mondiale, seule réponse valable aux défis du monde, loin du repli sur soi, de la nostalgie, du refus de la globalisation. Si l'on tourne le dos à la réalité, on ne protège pas les citoyens, on en fait des objets de la mondialisation.

Comprenons comment les données sont conservées, transmises. Une avance technique doit être assurée par des investissements conséquents, au service de cette priorité stratégique.

Le projet de règlement européen doit être soutenu mais ne doit pas remettre en question la Cnil, institution utile, qui pilote -et c'est heureux- le G 29 des autorités de contrôle. Les réserves que celui-ci a exprimées sur le projet, nous les partageons.

Madame la ministre, pouvez-vous indiquer quelle est la position de la France à cet égard ? L'Europe doit parler d'une seule voix aux États-Unis.

La place prépondérante des États-Unis dans l'économie numérique ne durera pas. D'où l'importance de la régulation interne à l'Europe. La liberté est inscrite dans l'ADN des États-Unis, contrairement à celui d'autres puissances émergentes qui, demain, pourraient prendre le contrôle de l'économie numérique.

C'est un enjeu fondamental pour notre démocratie que d'être à la pointe de la technique pour défendre nos valeurs. (Applaudissements)

Mme Fleur Pellerin, ministre déléguée auprès du ministre du redressement productif, chargée des petites et moyennes entreprises, de l'innovation et de l'économie numérique .  - Resituons-nous dans le contexte d'une économie et d'une société qui deviennent numériques. Le numérique a dévoré le monde, il a modifié en profondeur le commerce, le tourisme et, demain, l'automobile, l'urbain, la santé aussi.

Cette grande transformation repose sur une immense masse de données, dont l'économie conditionnera notre souveraineté.

Les données personnelles ont été d'abord protégées contre l'État ; l'harmonisation européenne a déplacé le débat sur le contrôle des entreprises privées ; nous sommes dans une troisième phase car internet fait partie de notre quotidien, qui sera envahi demain par les objets connectés ; il convient de définir des règles adaptées.

La Cnil a mis en demeure le CHU de Saint-Malo, qui laissait des données de santé trop accessibles, ce qui n'est pas acceptable. Le projet de règlement européen a reçu quatre mille amendements, émanant pour la plupart de sociétés américaines. Je vous proposerai une loi sur la confiance et l'innovation dans l'économie numérique. Définissons des règles correspondant à la défense de nos valeurs. Google considère que la loi Informatique et libertés ne s'applique pas à lui. Or, 95 % des Français utilisent ce moteur de recherche sur internet.

J'entends proposer un Schengen des données personnelles. Concentrons-nous d'abord sur les transferts de données personnelles à l'extérieur, avant de nous lancer dans cette démarche protectionniste.

Construisons une industrie numérique européenne de rang mondial. C'est l'objet du prochain Conseil européen.

Le Big data, les nuages, les nouveaux usages sont lourds de menaces, certes, mais aussi riches d'opportunités pour notre économie. Nous avons besoin, dans cet esprit, d'une loi équilibrée sur l'innovation et la confiance numériques. Faisons respecter nos règles par les acteurs globaux, installés ou non en France.

Pour notre pays, pour l'Europe, reprenons la main, avec une ambition industrielle, une priorité donnée à l'éducation et la loi sur la confiance et l'innovation numériques. Les enjeux ne sont pas seulement techniques, ils sont politiques.

J'en viens aux données personnelles et à la biométrie. Le Gouvernement, sur le programme Prism, partage les préoccupations de la Cnil et entend inscrire son action dans le cadre de la loi Informatique et libertés.

L'Union européenne et la France souhaitent s'appuyer sur des données recueillies par le PNR pour lutter contre le terrorisme et le crime organisé. D'où le projet de directive à l'étude. L'article 10 du projet de loi de programmation militaire est également concerné. Le ministre de l'intérieur a rappelé combien la menace terroriste nécessite des adaptations de notre législation. Je ne doute pas que vous enrichirez ce texte.

Le Fichier national des empreintes génétiques n'autorise des prélèvements que dans le cadre de certaines infractions pénales. Madame Assassi, la participation pacifique à une manifestation n'est pas une infraction puisque c'est un droit garanti par la Constitution.

Sur le fichier automatisé des empreintes digitales, la Cour européenne des droits de l'homme a rendu une décision considérant que certaines dispositions du décret de 1987 sont contraires à l'article 8 de la Convention européenne des droits de l'homme.

D'où un nouveau projet de décret en cours, qui sera prochainement examiné par la Cnil.

Je compte bien sur le soutien du Sénat dans la discussion du projet de règlement européen. Le Gouvernement estime indispensable le maintien d'un très haut degré de protection des données personnelles, indispensable à la confiance, laquelle est le fondement de la compétitivité de l'économie numérique. Je sais le Sénat en pointe sur ce sujet.

Le Gouvernement a indiqué que le projet de loi que j'ai évoqué renforcera les pouvoirs de la Cnil.

Le droit à l'oubli, évoqué par nombre d'entre vous, figure dans le projet de règlement. C'est une nécessité, même si cela soulève des polémiques, au regard de la liberté d'expression. Mais que peut faire une personne qui n'obtient pas la suppression des données par la voie légale ? (Mme Nathalie Goulet approuve) Il reviendra, à mon sens, au juge d'apprécier l'équilibre entre les deux principes. La question de la territorialité de la loi française se pose. Le cadre actuel n'est pas adapté au monde numérique, puisqu'il repose sur la localisation de l'établissement principal et des moyens de traitement. Le projet de règlement propose des solutions. Pour les données des personnes hors d'Europe, il faudra revoir le safe harbour pour s'assurer que le transfert des données de citoyens européens vers les pays tiers soit plus protecteur.

Comment harmoniser les réglementations en Europe ? Les principes de base sont partagés mais restent des divergences très fortes, qui reflètent des cultures et une histoire différentes entre la France, l'Allemagne et les pays latins, régulateurs et protecteurs, et le Royaume-Uni, l'Irlande, les Pays-Bas, plus libéraux. Le règlement risque, de fait, de réduire le niveau de protection des personnes, sous l'influence de ces derniers. Il faut donc veiller à ce que l'harmonisation ne se fasse pas par le bas.

Le sursaut, madame Morin-Desailly ? Nous travaillons à le produire, avec ce que j'ai dit sur le safe harbour mais aussi en plaidant pour que, par l'action collective, on crée des acteurs européens suffisamment puissants : la prévalence de nos valeurs ne se fera pas autrement. On retrouvera ainsi notre souveraineté. Je travaille à faire avancer l'agenda européen en ce sens.

Oui, monsieur Gorce, il faut défendre nos valeurs et notre modèle de société. D'où la nécessité d'aider les acteurs européens à acquérir une puissance de marché pour faire pièce aux acteurs actuels. La publication des données personnelles est un enjeu économique, mais pas seulement. Aux États-Unis, la publication de données de santé a permis de faire d'énormes progrès, notamment en termes d'épidémiologie, mais avec une totale anonymisation. Cette ouverture doit s'inscrire dans un cadre protecteur en apportant une garantie des données privées.

M. Gaëtan Gorce.  - Quelle garantie ?

Mme Fleur Pellerin, ministre déléguée.  - Cela fait partie de la réflexion sur l'évolution de la Cnil. Il faut concilier prise en compte des avancées technologiques, comme le big data, et protection des données personnelles. L'innovation n'est pas mauvaise en soi : tout dépend de la façon dont on en use.

M. Gaëtan Gorce.  - Le problème, c'est que l'on ouvre les données avant d'ouvrir le débat ; ce devrait être l'inverse.

Mme Fleur Pellerin, ministre déléguée.  - Il faut faire les deux en même temps. L'enjeu du règlement, madame Klès, est bien d'harmoniser en Europe, y compris sur les fichiers et la biométrie. Le débat mérite de se poursuivre et je suis prête à vous donner rendez-vous pour l'approfondir avec le projet de loi sur l'innovation et la confiance dans le numérique. (Applaudissements)

La séance est suspendue à 11 h 40.

présidence de M. Thierry Foucaud,vice-président

La séance reprend à 15 heures.