Les interventions en séance

M. Jean-Paul Amoudry

Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, la présente proposition de loi, cela a déjà été rappelé, est le fruit d’une initiative conjointe de nos deux collègues Yves Détraigne et Anne-Marie Escoffier, initiative que je tiens à saluer. En effet, la protection de la vie privée est sans cesse remise en question par la perpétuelle évolution des technologies numériques.
Sur la base d’un rapport d’information très approfondi, le texte qui nous est présenté propose un dispositif rassemblant des mesures très variées, les unes visant à mieux protéger l’internaute, le citoyen et, plus globalement, les libertés fondamentales, les autres à renforcer les moyens d’action de la Commission nationale de l’informatique et des libertés.
Ce texte résulte d’une collaboration très appréciable entre la commission des lois et la commission de la culture. Je veux à mon tour saluer l’excellent travail de nos collègues Christian Cointat, rapporteur au fond, et Catherine Morin-Desailly, rapporteur pour avis. Cette dernière a apporté une contribution pertinente au texte en récrivant l’article 1er afin d’améliorer le dispositif de prévention en faveur des jeunes. Il est en effet indispensable de prévoir une formation des élèves, et de leurs enseignants, aux risques que peut présenter Internet au regard de la protection de la vie privée. Dans ce domaine, l’affirmation d’une volonté et d’une politique de prévention, surtout à l’adresse des plus jeunes, constitue une orientation salutaire.
Dans son article 2, la proposition de loi soulève une question à la fois technique et symbolique, celle de l’adresse IP. Cette adresse, qui est en quelque sorte le numéro identifiant chaque ordinateur connecté à Internet, a été récemment le sujet de jurisprudences fluctuantes quant à sa nature juridique, la question étant de savoir si cette adresse revêt ou non le statut de donnée à caractère personnel. La proposition de loi tranche le débat : l’adresse IP, lorsqu’elle permet d’identifier un internaute, est une donnée à caractère personnel au sens de la loi informatique et libertés. La clarification opérée par ce texte apparaît donc comme très utile.
Concernant les problèmes soulevés par les cookies, il est important de rappeler que la protection des libertés individuelles repose d’abord sur le recueil du consentement a priori, ou opt-in, et non sur la simple faculté de s’opposer a posteriori, ou opt-out.
Une fois ce principe rappelé, il est nécessaire de le confronter aux impératifs techniques et pratiques de la navigation sur Internet.
En premier lieu, la proposition de loi améliore l’information des internautes sur les cookies, notamment ceux que l’on dit « comportementaux ». Saluons cette amélioration, car une information spécifique, claire, accessible et permanente garantira un choix éclairé en matière de cookies.
En second lieu, comme l’a rappelé le rapporteur, le principe de l’opt-in tel qu’il était décrit dans la proposition de loi initiale, c’est-à-dire un opt-in au sens strict, risquerait de contrarier la fluidité et la rapidité de la navigation des internautes. Le texte issu des travaux de la commission des lois permettra à l’utilisateur d’exprimer un choix préalable et éclairé en matière de cookies. Et c’est bien là le plus important : que chaque internaute puisse librement et en connaissance de cause exprimer son choix, tout en conservant une navigation aussi fluide que possible.
La proposition de loi prévoit également des évolutions majeures en matière de fichiers de police. Au vu des réactions suscitées, notamment, lors de la création du fichier EDVIGE, il paraissait souhaitable que le législateur pût se prononcer sur la création de ces fichiers, dans la mesure où cette question relève des « garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques », au sens de l’article 34 de la Constitution.
Les aménagements proposés par le rapporteur ont fait sensiblement évoluer le texte sur ce point. Un amendement a ainsi introduit une liste des finalités auxquelles devront répondre les fichiers pour pouvoir être créés par voie réglementaire. Tout fichier créé par arrêté ou par décret devrait répondre à au moins une des finalités énumérées.
Or cette énumération de treize catégories pourrait avoir pour conséquence paradoxale d’amoindrir le contrôle de la CNIL puisque ces catégories, étant créées par la loi, deviennent ipso facto légitimes.
Si l’objectif de la proposition de loi est légitime, la nouvelle rédaction proposée pour l’article 26 de la loi informatique et libertés ne permet pas de garantir, pour chaque création de traitement, que le contrôle de proportionnalité prévu à l’article 6 de la loi du 6 janvier 1978, modifié, sera bien exercé. Aux termes de cette rédaction, en effet, les données ne sont collectées que pour des finalités déterminées, légitimes et explicites. Compte tenu de la sensibilité de tels traitements, il importe que nous rappelions qu’ils ne peuvent être autorisés que s’ils respectent le principe de proportionnalité. Un amendement sera présenté à cette fin.
Abordons maintenant l’un des sujets phares de cette proposition de loi : les évolutions du statut et des attributions des correspondants « informatique et libertés », les CIL.
Le texte prévoit l’obligation de notification par les CIL des failles de sécurité. Si nous sommes favorables à cette nouvelle obligation, nous pensons aussi qu’il n’est pas opportun de confier aux CIL le soin de prendre les mesures nécessaires pour permettre le rétablissement de l’intégrité et de la confidentialité des informations. Cette tâche incombe, à notre sens, aux responsables de traitement et non aux CIL.
Le texte prévoit également la création obligatoire des CIL à certaines conditions.
Institués en 2004, ces correspondants ont permis la diffusion très large de la culture « informatique et libertés ». Leur nombre est en augmentation constante depuis leur création : ils sont passés de 1 300 en 2007 à 6 200 en 2010. Néanmoins, ce bilan très satisfaisant concerne principalement le secteur privé. En effet, les CIL sont toujours faiblement implantés dans les collectivités territoriales, dans les ministères et dans la sphère publique en général, ce qui est regrettable.
Si l’on peut s’interroger, comme l’a d’ailleurs fait le rapporteur, sur le seuil qui a été retenu de cinquante personnes ayant accès au traitement, le principe de création obligatoire posé par le texte me semble opportun. En effet, compte tenu du bilan très positif des CIL depuis leur mise en place, il conviendra de passer du volontariat à l’instauration obligatoire de ces correspondants. On peut d’ailleurs noter que différents autres pays européens ont déjà appliqué ce régime.
Mais j’entends aussi les réserves et interrogations qui ont été formulées sur cette mesure. Le caractère obligatoire de la désignation peut effectivement avoir des conséquences importantes, notamment organisationnelles, pour les entreprises et les administrations concernées. C’est pourquoi je proposerai un amendement ayant pour objet de différer l’entrée en vigueur du dispositif et de prévoir la réalisation par le Gouvernement d’une étude d’impact permettant d’appréhender les conséquences de cette mesure.
Je présenterai aussi un amendement visant à modifier le dispositif de l’article 3, qui prévoit que la CNIL peut refuser la désignation d’un CIL s’il ne possède pas les compétences requises.
Cette disposition soulève des difficultés quant au rôle de la CNIL à l’égard des entreprises. Il lui serait en effet très difficile de déterminer les critères objectifs nécessaires à l’évaluation d’un défaut de compétence d’un correspondant « informatique et libertés ». Des critères tels que l’ancienneté de la personne, ses diplômes ou le poste qu’elle occupe doivent être mis en relation avec la taille de l’organisme concerné, le secteur d’activité dans lequel il évolue et la nature des données traitées. Il apparaît ainsi que le responsable de traitement est le mieux placé pour effectuer ce choix.
Enfin, la possibilité donnée à la CNIL de s’opposer au choix initial d’un responsable de traitement pourrait être vécue par celui-ci comme une perte de contrôle quant à l’organisation de ses services, ce qui n’est pas souhaitable.
Je voudrais aussi saluer le renforcement des moyens de la CNIL, garante de la protection des données à caractère personnel, et ce sur trois points.
En ce qui concerne les contrôles, le droit en vigueur permet au responsable des lieux de s’opposer à une visite de la CNIL. Cette visite ne pouvant alors se dérouler qu’avec l’autorisation d’un magistrat, saisi sur requête du président de la CNIL, les contrevenants ont tout le temps de dissimuler ou de détruire des fichiers litigieux.
Aussi, je me félicite de l’adoption par la commission des lois de l’article 9 bis, qui tend à donner à la CNIL la possibilité de demander au juge des libertés et de la détention l’autorisation préalable d’effectuer une visite inopinée « lorsque l’urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l’exigent ». En permettant au juge des libertés et de la détention, gardien des libertés individuelles, d’autoriser la CNIL à effectuer un contrôle inopiné, le texte renforce l’efficacité des missions de cette autorité tout en respectant les droits du responsable des lieux visités.
En ce qui concerne l’expérimentation des fichiers, les services de l’État sont conduits, dans la situation actuelle, à soumettre les traitements informatisés dans leur état final à la CNIL, ce qui présente le double inconvénient de ne pas permettre à celle-ci de suggérer des modifications en cours d’élaboration et d’obliger ceux-là à remettre en cause toute l’architecture de leur projet pour faire droit aux demandes tardives de la CNIL.
La proposition de loi crée heureusement un régime spécifique qui permet à la CNIL d’intervenir en amont de l’élaboration de ces fichiers. Le dispositif proposé par le texte est donc une avancée importante, même si les garanties prévues pourraient être renforcées. En effet, une simple déclaration pour expérimenter un fichier de police, comme le prévoit la proposition de loi, sans aucun avis ni contrôle a priori de la CNIL, ne semble pas suffisante en termes de protection des données et de la vie privée.
En ce qui concerne, enfin, l’intervention de la CNIL devant les juridictions, l’article 13 de la proposition de loi, inspiré des dispositions qui ont été retenues pour la Haute Autorité de lutte contre les discriminations et pour l’égalité, la HALDE, permettra de faciliter l’intervention de la Commission nationale devant les juridictions appelées à connaître d’affaires mettant en jeu la protection des données à caractère personnel. Nous nous félicitons de cette évolution particulièrement utile et opportune.
Pour conclure, mes chers collègues, je tiens une fois encore à saluer l’initiative de nos collègues Yves Détraigne et Anne-Marie Escoffier ainsi que le travail important qu’ils ont réalisé, travail approfondi et enrichi, d’une part, par la commission des lois et son excellent rapporteur, notre collègue Christian Cointat, et, d’autre part, par l’éclairage pertinent de Catherine Morin-Desailly, rapporteur pour avis de la commission de la culture.
En fonction des débats qui vont suivre, et sur la base des travaux de la commission des lois, le groupe de l’Union centriste votera la proposition de loi. (Applaudissements sur les travées de l’Union centriste et de l’UMP. – Mme Anne-Marie Escoffier applaudit également.)