C. LE NÉCESSAIRE RENFORCEMENT DU POSITIONNEMENT EUROPÉEN
1. Une législation européenne en constante adaptation
a) Le règlement général sur la protection des données à caractère personnel
L'évolution rapide et constante d'internet et de ses usages et les avancées d'une société toujours plus connectée ont amené l'Union européenne à proposer de nouvelles règles pour encadrer ces usages, en conformité avec les principes démocratiques qui la fondent et la nécessaire protection de ses ressortissants. Ces règles concernent en premier lieu la protection de la vie privée, donc des données à caractère personnel. Elles visent également à doter les Européens d'une cybersécurité plus robuste.
Si le règlement général sur la protection des données à caractère personnel (RGPD) a été adopté il y a déjà deux ans 18 ( * ) , son entrée en vigueur est prévue le 25 mai 2018 19 ( * ) . Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel définit un niveau cohérent et élevé de protection des personnes physiques et lève les obstacles aux flux de données à caractère personnel au sein de l'Union. Il harmonise à cet effet les règles de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données dont il entend assurer une application homogène.
Or, comme le rappelle la note d'information de la commission des affaires européennes du 21 juillet 2016, le RGPD consacre, s'une part, le droit de la personne à donner et retirer son consentement et, d'autre part, « il attribue des caractères au consentement. Ainsi, le traitement des données ne peut se faire sans le consentement de la personne concernée et uniquement à des fins déterminées jusqu'au moment où la personne décide de retirer son consentement. Ce dernier doit être « indubitable » pour les traitements de données sensibles et « explicite » dans tous les cas où il est exigé » .
D'application directe dans les États membres sans qu'il soit besoin de procéder à une transposition, le RGPD constitue dorénavant le cadre général de la protection des données personnelles applicable aux opérateurs de l'Union européenne ou offrant des biens et services aux citoyens et résidents de l'Union. Il renvoie toutefois à des mesures d'application internes, comme la désignation de l'autorité nationale de contrôle compétente. Surtout, face à la grande inégalité des régimes de protection au sein de l'Union européenne et pour répondre à la sensibilité particulièrement forte en la matière de certains États comme la France, il autorise les États membres à maintenir ou à introduire des dispositions nationales pour préciser davantage l'application de ses règles, et leur laisse des « marges de manoeuvre » pour compléter les dispositions concernant le traitement de catégories particulières de données à caractère personnel, dénommées « données sensibles ». Par ailleurs, il n'exclut pas que des législations sectorielles nationales spécifiques, dans des domaines qui requièrent des dispositions plus détaillées, précisent les circonstances des situations particulières de traitement, y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est alors licite.
b) La proposition de règlement sur la cybersécurité
Présentée en septembre 2017 par la Commission européenne, ce texte s'articule autour de deux axes. Le premier vise à faire de l'Agence européenne chargée de la sécurité des réseaux et de l'information une agence permanente de l'Union européenne, dont les objectifs et les missions seront étendus. Le second axe vise à mettre en place une certification européenne de sécurité des technologies de l'information et de la communication.
La certification s'effectue actuellement au niveau national sur la base de normes internationales de sécurité informatique, ce qui a engendré un paysage européen morcelé car seuls 13 États membres, dont la France, ont signé un accord pour des critères communs d'évaluation de la sécurité des technologies de l'information. La mesure s'appuierait sur un guichet unique à disposition des entreprises souhaitant faire certifier leurs produits : il leur suffirait d'obtenir un certificat dans un seul pays de l'Union et celui-ci serait valable dans tous les États membres. Trois niveaux d'assurance sont proposés selon le type de produits (élémentaire, substantiel et élevé), sur la base de normes, de critères d'évaluation et de méthodes d'essai communs. La proposition est en cours de discussion à Bruxelles et donnera prochainement lieu à un examen de la commission des affaires européennes du Sénat, sur le rapport de nos collègues René Danési et Laurence Harribey.
c) La proposition de règlement sur la libre circulation des données à caractère non personnel
Enfin, on peut aussi évoquer une proposition de règlement visant à instaurer un cadre juridique pour la libre circulation des données à caractère non personnel dans l'Union européenne qui pose le principe de la libre circulation de ces données au sein de l'Union, interdisant - sauf exceptions - une localisation à des fins de stockage ou de traitement de ces données sur le territoire d'un seul État membre. Les objets connectés vont produire aussi des données à caractère non personnel et ils seront soumis à la future règlementation européenne en la matière.
2. L'action externe : la protection des données en dehors des frontières de l'Union et la question de l'extraterritorialité des mesures
Pour l'Union européenne, le transfert de données à caractère personnel en dehors de son territoire est en principe interdit. Il peut être autorisé si le pays ou le destinataire assure un niveau de protection suffisant, c'est-à-dire correspondant aux critères européens. L'autorisation s'appelle « décision d'adéquation ». Par cette décision, la Commission reconnait que le pays de destination assure un niveau de protection équivalent des données à caractère personnel en raison de la législation interne et des engagements internationaux auxquels il a souscrit. De telles décisions ont déjà été adoptées concernant notamment le Canada, la Suisse, l'Argentine, ou encore Guernesey.
Les décisions d'adéquation sont adoptées selon la « procédure de comité » qui comprend les étapes suivantes : • la Commission présente une proposition ; • le G29 (qui deviendra le comité européen de la protection des données, organe de l'Union doté de la personnalité juridique, créé par l'article 68 du RGPD) rend un avis non contraignant ; • le comité réunissant les représentants des États membres rend un avis adopté à la majorité qualifiée ; • le Parlement européen et le Conseil peuvent, à tout moment, demander à la Commission de maintenir, modifier ou retirer la décision d'adéquation au motif qu'elle excède les compétences d'exécution prévues par la Directive ; • le collège des membres de la Commission adopte la décision. |
Concernant les États-Unis d'Amérique, en raison de la domination des entreprises américaines sur l'internet mondial et de leur avancée technologique dans le traitement des données, c'est la décision la plus importante pour les données à caractère personnel des Européens. Pourtant, le doute persiste sur le niveau réel de protection.
Edward Snowden a mis en lumière la surveillance de masse qu'exercent les services de renseignement américains et britanniques sur l'internet mondial. Au-delà, il a porté le doute sur la surveillance que peuvent exercer ces services sur les données à caractère personnel des consommateurs européens. En effet, l'internet étant dominé par les GAFAM américains et l'ensemble de ces données étant transmises outre-Atlantique où elles sont traitées, comment ne pas suspecter un espionnage ?
Et derrière cette interrogation, pointe celle du respect des droits des citoyens européens quant au traitement de leurs données par les grands acteurs d'internet. L'action de l'avocat autrichien Max Schrems a entraîné l'invalidation du précédent accord juridique entre l'Union européenne et les États-Unis encadrant le transfert des données des Européens vers les entreprises américaines, le Safe Harbor , au motif qu'il n'assurait pas le respect du droit européen.
Cet accord a été depuis remplacé par l'accord Privacy Shield , censé apporter plus de garanties. Sa mise en oeuvre fait l'objet d'un suivi attentif de la Commission européenne et du groupe rassemblant les autorités européennes nationales de protection des données personnelles - le G29 - auquel participe la CNIL française.
Dans son premier rapport d'application de l'accord présenté en janvier 2018, la Commission européenne estime que la mise en oeuvre de cet accord doit être améliorée, en particulier la vérification de la conformité des entreprises qui se sont auto-certifiées. Un prochain rapport d'application doit être présenté en septembre.
Dans un internet qui se joue des frontières, les difficultés rencontrées avec les États-Unis soulèvent l'enjeu de l'extraterritorialité du droit applicable aux données à caractère personnel. Comme le relevait Simon Sutour dans son rapport 20 ( * ) sur le projet de loi relatif à la protection des données, le RGPD organise une exportation contrôlée des données assortie d'une application extraterritoriale des règles européennes :
« Le règlement s'applique à tout établissement ou sous-traitant établi dans l'Union européenne, que le traitement des données à caractère personnel ait lieu ou non sur le territoire de celle-ci, comme à tout établissement ou sous-traitant qui n'est pas établi dans l'Union européenne pour les activités de traitement de données à caractère personnel de personnes physiques résidant dans l'Union européenne, dès lors que ces activités de traitement sont liées à l'offre de services ou de biens à ces personnes, quand bien même aucun paiement ne serait exigé des intéressés, ou au suivi d'un comportement au sein de l'Union européenne.
Sauf si le traitement présente un caractère occasionnel, les données ne peuvent être transférées dans un pays tiers que si la Commission européenne a pris à son égard une décision d'adéquation du niveau de protection ou moyennant l'existence de garanties appropriées, et à la condition que la personne concernée dispose de droits opposables et de voies de recours effectives. Des mécanismes de coopération internationale devront être mis en place en la matière. »
Et comme le faisait remarquer l'auteur, « l'Europe s'efforce de porter ce débat sur la souveraineté mais les discussions avec les États-Unis autour du « bouclier » sont loin d'être abouties » .
3. Une démarche active en matière de normalisation
Le terme de « normalisation » renvoie aux normes d'application volontaire élaborées par des organismes réunissant les professionnels du secteur concerné pour leur propre usage. On peut le distinguer de celui de « standardisation », qui fait référence à la réunion de certains professionnels d'un secteur en vue de définir et de défendre un standard particulier. La normalisation est institutionnalisée et se veut un processus intégrant l'ensemble des acteurs de la filière concernée, là où la standardisation ne relève que de démarches ad hoc à la seule initiative de certains acteurs d'une filière.
La normalisation constitue, ainsi, un enjeu économique majeur. Consciente de cet enjeu, l'Union européenne est déjà très active en la matière. Au demeurant, l'internet des objets fait déjà l'objet de nombreux travaux de normalisation, tant au niveau national qu'européen ou international.
a) La normalisation : un enjeu économique majeur
Le rapport remis par Mme Claude Revel à la ministre du commerce extérieur résumait ainsi les enjeux géopolitiques de la normalisation : « Il est de plus en plus difficile de séparer le « technique » du politique, les choix techniques étant non seulement souvent issus de la volonté d'ouvrir des marchés ou d'en fermer aux concurrents, mais aussi reflétant des choix politiques voire idéologiques, en tout cas de société de ceux qui les promeuvent » . Comme le relevait notre collègue Elisabeth Lamure dans son rapport sur la normalisation 21 ( * ) , les acteurs nationaux de la normalisation « se livrent à une véritable course pour être à même de proposer avant d'autres l'ouverture de travaux dans les organismes européens ou internationaux de normalisation dans certains domaines » .
Comme le décrit le rapport d'Elisabeth Lamure sur la normalisation, il existe aujourd'hui trois niveaux de normalisation : international, européen et national. 1/ La normalisation au niveau international Trois organismes principaux coexistent au niveau international, qui ont leurs caractéristiques propres quant à leurs compétences et à leur statut. Le premier a une compétence générale : il s'agit de l' International organization for standardization (ISO) 22 ( * ) . Les deux autres sont plus spécialisés : l' International electrotechnical commission (IEC) 23 ( * ) concerne la filière électrotechnique, quand l'Union Internationale des Télécommunications (UIT) traite, plus largement, du domaine des technologies de l'information et de la communication. Si l'ISO et l'IEC sont des organisations non gouvernementales , dans lesquelles la France est représentée par l'AFNOR, l'UIT est une institution spécialisée de l'Organisation des Nations unies (ONU). Elle réunit les 193 États membres et 800 entités privées ou universitaires y sont associées. Plus précisément, c'est l'UIT-T (pour télécommunications) qui est en charge de la normalisation. Le fonctionnement de ces organismes est similaire. Une assemblée plénière définit les grandes orientations 24 ( * ) , et des comités techniques 25 ( * ) composés d'experts nationaux élaborent les projets de normes. Le principe d'adoption des normes est toujours le même : chaque membre dispose d'une voix 26 ( * ) . Une nuance à ce principe est toutefois à souligner s'agissant de l'UIT-T : certaines résolutions élaborées par les commissions d'études sont considérées comme adoptées dès lors que la commission a élaboré un texte définitif. Elles ne sont donc pas soumises à approbation de l'ensemble des membres. 2/ La normalisation au niveau européen Le « système » de normalisation européen est composé de trois entités qui répondent en partie aux trois entités internationales, à la différence qu'elles sont toutes des organisations non gouvernementales . Il repose aujourd'hui sur le règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne. Recouvrant chacun un périmètre géographique différent 27 ( * ) , le Comité européen de normalisation (CEN) a une vocation généraliste , quand le Comité européen de normalisation électronique (CENELEC) et de l' European Telecommunications Standards Institute (ETSI) sont spécialisés , le premier en matière électrotechnique, le second en matière de technologies de l'information et de la communication. Ces organismes sont composés de délégations nationales . Les normes ne sont, en revanche, pas votées selon le principe selon lequel « un État = une voix ». Au CEN et au CENELEC, le vote est pondéré en fonction de la population, quand à l'ETSI, les votes y sont pondérés en fonction de la contribution financière à l'organisme et les votes positifs doivent représenter 71 % des suffrages. Ces organismes entretiennent des liens étroits avec l'Union européenne . En effet, la Commission européenne peut, d'une part, leur octroyer des subventions et, d'autre part, leur donner un mandat d'édiction de normes dans des secteurs et sur des questions qu'elle juge prioritaires. S'ils acceptent ce mandat, la Commission évalue la conformité des documents élaborés et, lorsqu'elle estime que la norme harmonisée répond aux exigences qu'elle vise à couvrir, elle publie une référence à cette norme harmonisée au Journal officiel de l'Union européenne . 3/ La normalisation au niveau national Au niveau national, c'est l'Association française de normalisation (AFNOR) 28 ( * ) , association régie par la loi de 1901, qui assure le rôle d'animation de la normalisation en France et représente la France dans les organismes européens et internationaux de normalisation. À ce titre, l'AFNOR exerce une mission de service public et est dotée de prérogatives de puissance publique illustrées notamment par le pouvoir reconnu à son directeur général d'homologuer les normes afin qu'elles puissent rentrer dans le « catalogue », ou la « collection », des normes françaises. |
b) Les outils mobilisés par la Commission pour renforcer l'influence européenne au niveau international
L'Union européenne agit en vue de renforcer l'influence européenne au niveau international en matière de normalisation à travers deux outils : la définition d'orientations en matière de normalisation et le soutien financier qu'elle apporte aux entreprises pour s'investir dans le processus de normalisation.
Afin que normalisation professionnelle et réglementation accompagnent efficacement le développement de l'activité économique sur un territoire donné, il importe que les orientations des acteurs de la normalisation soient définies en lien avec les pouvoirs publics . L'Union européenne doit assumer son rôle stratégique en la matière. La définition de priorités à échéance régulière est en effet un outil permettant, in fine , de faire converger les acteurs européens de la normalisation vers une solution commune dont l'influence au niveau international serait plus importante que si cette solution n'était retenue que par quelques États membres. C'est ainsi que la Commission européenne définit un programme annuel de travail en matière de normalisation européenne 29 ( * ) . S'agissant du numérique et des objets connectés, elle a adopté une communication relative à la normalisation en matière de technologies de l'information et de la communication 30 ( * ) , qui établit comme domaines prioritaires : l'informatique en nuage, l'internet des objets , les réseaux 5G, la cybersécurité et les données. Il revient aux organismes de normalisation des États membres de définir leurs priorités d'action conformément à celles déterminées dans ces programmes.
Par ailleurs, comme l'ensemble des États membres, l'Union européenne peut également favoriser l'investissement des acteurs industriels nationaux à travers l'apport d'un soutien financier à la participation aux organismes de normalisation. En mars dernier, la Commission a lancé le projet StandICT.eu 31 ( * ) , qui a précisément pour objectif de renforcer la présence européenne dans les activités de standardisation du numérique à l'échelle internationale. D'ici à 2020, des appels à candidatures seront lancés dans ce cadre tous les deux mois en vue de distribuer des aides forfaitaires à des projets de standardisation portés par des universitaires ou des entreprises. Le montant des aides s'étalera de 1 000 euros à 3 000 euros pour la participation à un évènement ponctuel, et s'élèvera jusqu'à 8 000 euros pour des projets sur douze mois.
c) De nombreux travaux de normalisation en cours concernent les objets connectés
L'internet des objets suscite des réflexions dédiées au sein des organismes de normalisation. Au niveau international, le comité technique ISO/IEC JTC 1/SC 41 « Internet des objets et technologies connexes » établit des projets de normes portant principalement sur les définitions de l'internet des objets et les réseaux de capteurs 32 ( * ) . Au niveau européen, la Commission européenne a lancé, en 2015, l' « Alliance for Internet of Things Innovation » (AIOTI). L'ETSI participe à des coopérations entre organismes internationaux de normalisation en matière de télécommunications, comme le projet « OneM2M » dédié à la normalisation des services liés aux équipements de communication de machine à machine. L'Association française de normalisation (AFNOR) a, de son côté, créé début 2016 la Commission Nationale sur l'internet des objets (CN IoT) pour défendre les enjeux français lors des travaux internationaux menés par l'ISO. Mentionnons également, en dehors des instances de normalisation, la LoRa Alliance, qui réunit des opérateurs européens et mondiaux pour travailler à plus de standardisation dans le domaine de l'internet des objets.
De très nombreuses autres initiatives en lien avec les objets connectés ont été lancées. En matière de cybersécurité, on peut mentionner les structures de travail suivantes : ISO/TC 121/AG « Compréhension des vulnérabilités et des menaces en matière de cybersécurité », CEN/CLC/JTC 13 « Cybersécurité et protection des données », et AFNOR/CN 27 SSI « Sécurité des systèmes d'information ». En matière de protection des données à caractère personnel, plusieurs structures intéressent directement les objets connectés : ISO/IEC/JTC1/SC 31 « Automatic identification and data capture techniques », CEN/TC 225 - « Codes à barres », et AFNOR/CN 31 « RFID, codes à barres et autres techniques d'identification automatique des objets ».
* 18 Note d'information de la commission des affaires européennes n° 51 du 21 juillet 2016 sur la protection des données.
* 19 En outre, un projet de loi relatif à la protection des données personnelles transpose la directive (UE) 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et précise les modalités d'application en France du RGPD. Il est en cours d'adoption par le Parlement français (http://www.senat.fr/dossier-legislatif/pjl17-296.html).
* 20 Rapport d'information fait au nom de la commission des affaires européennes par M. Simon Sutour sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles (n° 296, 2017 2018).
* 21 Rapport d'information n° 627 (2016-2017) du 12 juillet 2017 fait au nom de la commission des affaires économiques par Mme Elisabeth Lamure, Où va la normalisation ? En quête d'une stratégie de compétitivité respectueuse de l'intérêt général.
* 22 163 Etats sont représentés à l'ISO.
* 23 84 pays sont représentés à l'IEC.
* 24 « Assemblée générale » de l'ISO, « Conseil » de l'IEC, « Assemblée mondiale de normalisation des télécommunications » de l'UIT-T.
* 25 « Comités techniques » à l'ISO et à l'IEC, « commissions d'étude » à l'UIT-T.
* 26 À l'ISO comme à l'IEC, chaque norme élaborée par un comité technique est soumis au vote de l'ensemble des membres - pour qu'elle soit adoptée, il faut une majorité des deux tiers des votes exprimés et que les votes négatifs ne représentent pas plus d'un quart du total.
* 27 Le CEN et le CENELEC réunissent 34 organismes membres, parmi lesquels ceux des 28 États membres de l'Union européenne ainsi que de la Suisse, de l'Islande, de la Norvège, de la Turquie, de la Macédoine et de la Serbie. L'ETSI réunit 68 pays différents.
* 28 Depuis 2014, l'activité de normalisation dans le domaine électrotechnique - initialement exercée par l'Union technique de l'électricité (UTE) fondée en 1907 pour représenter les acteurs français à la Commission électrotechnique internationale (IEC), puis au Comité européen de normalisation électrotechnique (Cenelec) - a rejoint l'AFNOR.
* 29 En application de l'article 8 du règlement européen sur la normalisation. Le dernier exemple en date est la communication du 25 août 2017 de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions relative au programme de travail annuel de l'Union en matière de normalisation européenne pour 2018.
* 30 Communication du 19 avril 2016 de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions relative aux priorités pour la normalisation en matière de TIC dans le marché unique numérique.
* 31 https://standict.eu/content/open-calls
* 32 https://www.iso.org/fr/committee/6483279/x/catalogue/