Mes chers collègues, nous allons entendre aujourd'hui nos collègues Marietta Karamanli et Guy Geoffroy qui ont été chargés au début de cette législature d'assurer une veille européenne pour notre Commission. C'est la première communication qu'ils vont nous présenter.

Sur une proposition du président de la commission des Lois, son bureau a décidé, le 3 juillet dernier, de renforcer le suivi des Affaires européennes entendu au sens large, c'est-à-dire du droit de l'Union européenne et de celui issu de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, dans les matières relevant de ses compétences. Le 11 juillet dernier, notre Commission a nommé deux co-rapporteurs, Guy Geoffroy et moi-même, pour assurer ce suivi.

Cette première communication a pour objet de présenter le cadre général de cette « veille européenne » et la manière dont nous la concevons, ainsi que de faire le point sur l'état des négociations concernant deux sujets : la refonte du règlement dit « Eurodac », relatif au droit d'asile, et la réforme du régime de protection des données personnelles.

La suppression de la division en « piliers » de l'Union européenne et le renforcement des compétences européennes relatives à la construction d'un espace de liberté, de sécurité et de justice résultant de l'entrée en vigueur, le 1er décembre 2009, du traité de Lisbonne exigent une implication plus importante et un suivi plus régulier de la part de la commission des Lois. Sous les législatures précédentes, les commissions permanentes ont éprouvé des difficultés à aborder la dimension européenne des politiques qu'elles traitent. Les connexions entre la commission des Affaires européennes et les commissions permanentes – en tout état de cause avec la commission des Lois – auraient mérité d'être plus intenses. Par ailleurs, les arrêts de la Cour européenne des droits de l'homme (CEDH) ont un impact croissant sur les matières relevant de la compétence de la commission des Lois, en particulier sur la procédure pénale. On se souvient de la décision relative à la garde à vue.

Ce suivi des Affaires européennes peut s'opérer de diverses manières. En accord avec le président Urvoas, nous avons choisi la méthode suivante :

– des rendez-vous réguliers – tous les trimestres – avec une communication de notre part devant la Commission, faisant le point de l'état des négociations sur les principaux textes en cours d'examen au sein des institutions de l'Union européenne ;

– des auditions de responsables des Affaires européennes : commissaires européens à la justice, aux droits fondamentaux et à la citoyenneté et aux affaires intérieures, ministre délégué aux Affaires européennes, secrétaire général des Affaires européennes (SGAE), représentant permanent de la France à Bruxelles, etc. La commission des Lois auditionnera ainsi Mme Viviane Reding, vice-présidente de la Commission européenne en charge de la justice, des droits fondamentaux et de la citoyenneté, conjointement avec la commission des Affaires européennes, le 21 novembre prochain ;

– des déplacements réguliers à Bruxelles, afin de rencontrer les négociateurs de la représentation permanente, les rapporteurs des textes et les coordinateurs des groupes au Parlement européen, les responsables des directions générales « Justice » et « Affaires intérieures » de la Commission européenne, etc. ;

– la participation aux réunions des présidents des commissions homologues de la commission des Lois, organisées par la présidence de l'Union européenne, ainsi qu'aux réunions thématiques organisées par le Parlement européen. Le président Jean-Jacques Urvoas a ainsi participé à une réunion organisée par la présidence chypriote à Nicosie, les 23 et 24 septembre 2012, qui était consacrée au régime d'asile européen commun, à la protection des données personnelles et à l'intégration des ressortissants de pays tiers, et je me suis rendue à une réunion organisée par la commission des Libertés civiles, de la justice et des affaires intérieures (LIBE) sur la protection des données à caractère personnel, le 9 octobre dernier ;

– des contacts avec les parlementaires européens membres des commissions intervenant dans les domaines relevant de la commission des Lois (commissions LIBE et des Affaires juridiques).

Au-delà de ces questions de méthode, il serait utile de définir une stratégie sur les finalités de ce suivi. Quelques pistes peuvent être esquissées à cet égard, axées autour de quatre objectifs principaux : informer, contrôler, évaluer et influencer.

Informer d'abord : renforcer le suivi des Affaires européennes signifie informer et alerter les membres de la Commission, et, plus largement, la représentation nationale des enjeux soulevés par les textes « justice et affaires intérieures » en préparation par les instances européennes et de leur impact sur le droit français.

Contrôler ensuite : s'impliquer davantage dans le suivi des Affaires européennes, c'est mieux contrôler l'action du Gouvernement dans ce domaine, qui ne saurait plus être considéré comme relevant de la politique étrangère, alors que les matières concernées sont au coeur de la compétence du Parlement (droit pénal, droit civil, droit commercial, etc.). Cela requiert d'opérer un suivi des suites données aux prises de position de l'Assemblée nationale, notamment lorsqu'elles ont été exprimées dans une résolution adoptée au titre de l'article 88-4 de la Constitution ou par la voie d'un avis motivé sur le fondement de l'article 88-6.

Pour ce qui est de l'évaluation, nous essaierons d'évaluer, en amont, les propositions présentées, notamment au regard du principe de subsidiarité, afin de s'assurer qu'elles sont justifiées et qu'elles ont fait l'objet d'une étude d'impact et d'une concertation préalables. En aval, je souhaiterais aussi que nous suivions l'évaluation de leur transposition dans le droit national et de leur application, opérée, à titre principal, par la Commission européenne dans son rôle de « gardienne des traités ».

Influencer enfin : la commission des Lois doit trouver le moyen de porter ses positions au-delà de sa seule enceinte. Son influence s'exerce, en premier lieu, sur la position française qui sera défendue au Conseil par le Gouvernement français, que l'Assemblée nationale peut, sinon bouleverser, du moins infléchir. Elle s'exerce, en second lieu, sur les deux autres pôles du triangle institutionnel, la Commission et le Parlement européen, où l'Assemblée nationale peut faire entendre sa voix, à condition de développer une coopération avec les autres parlements nationaux et d'apparaître auprès de ces institutions européennes comme une force de proposition, et non de blocage.

J'en viens maintenant à l'état des négociations sur le premier des deux textes auxquels notre communication est consacrée : la refonte du règlement « Eurodac ».

Le système Eurodac est une base de données informatisée, utilisée depuis 2003, afin de permettre la comparaison des empreintes digitales des demandeurs d'asile. Son but est de permettre une application efficace du règlement dit « Dublin II », établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande d'asile, en vigueur dans trente États.

Outre les empreintes de toute personne de plus de 14 ans ayant déposé une demande d'asile (« catégorie 1 »), Eurodac comporte également les empreintes de deux autres catégories de personnes : celles qui ont été appréhendées lors du franchissement irrégulier de la frontière extérieure d'un État membre (« catégorie 2 ») et celles en séjour irrégulier sur le territoire d'un État membre, lorsque les autorités compétentes estiment nécessaire de vérifier l'existence d'une éventuelle demande d'asile antérieure (« catégorie 3 »). Au total, au 31 décembre 2011, la base comportait, en « stock », les empreintes digitales de près de 2 millions de personnes. En 2011, les empreintes de plus de 410 000 personnes lui ont été transmises, dont celles de 275 857 demandeurs d'asile. Près d'un quart d'entre elles (22,4 %) correspondaient à des demandes d'asile multiples, c'est-à-dire une deuxième demande ou plus.

La refonte du règlement Eurodac s'inscrit dans le cadre de la mise en place d'un « régime d'asile européen commun », prévue pour la fin 2012 qui fera l'objet d'une prochaine communication. Une première proposition de règlement a été présentée par la Commission européenne en 2008. Les négociations n'ont progressé que très lentement, et la Commission a dû modifier sa proposition à trois reprises ce qui est rare, en 2009, 2010 puis 2012.

La proposition de refonte comporte de nombreuses améliorations techniques. Les principales difficultés soulevées concernent les deux points suivants.

En ce qui concerne l'accès des services répressifs nationaux à Eurodac, il est proposé de permettre aux « services compétents pour la prévention, la détection et l'enquête en matière d'infractions terroristes et d'autres infractions pénales graves » d'avoir accès à cette base de données. Ces services pourraient ainsi comparer une empreinte digitale, retrouvée sur le lieu d'un crime ou d'un attentat par exemple, avec celles contenues dans la base. Cet accès est encadré par plusieurs conditions :

– la comparaison avec les bases nationales d'empreintes digitales (en France, le fichier automatisé des empreintes digitales – FAED) de l'État concerné et avec celles des autres États membres n'a pas permis d'identifier la personne recherchée ;

– la comparaison est nécessaire dans une affaire déterminée, les comparaisons systématiques étant proscrites ;

– il doit y avoir des motifs raisonnables de penser que la comparaison avec Eurodac contribuera à la prévention, à la détection et aux enquêtes en matière d'infractions terroristes ou d'infractions pénales graves ;

– une « autorité vérificatrice » nationale s'assurera, sauf en cas d'urgence exceptionnels, que la demande d'accès remplit les conditions posées. C'est par elle que ces demandes seront transmises par le point d'accès national au système central Eurodac.

Cet accès des services répressifs à Eurodac a fait l'objet de critiques, de la part d'associations de défense des droits des étrangers et des autorités de protection des données à caractère personnel, européenne (le contrôleur européen de la protection des données, CEPD) et nationales (Commission nationale de l'informatique et des libertés, CNIL). Ces critiques insistent sur le détournement de la finalité originelle d'Eurodac. Le Sénat a également émis de fortes réserves sur ce point, dans une résolution adoptée le 31 juillet 2012, à l'initiative de M. Jean-Yves Leconte.

Rappelons, enfin, que le Conseil constitutionnel, dans une décision n° 97-389 DC du 22 avril 1997 sur la loi portant diverses dispositions relatives à l'immigration avait censuré les possibilités d'accès d'agents expressément habilités des services du ministère de l'Intérieur et de la gendarmerie nationale au fichier informatisé des empreintes digitales des demandeurs d'asile géré par l'Office français de protection des réfugiés et des apatrides (OFPRA) en vue de l'identification des étrangers en séjour irrégulier. Cette censure était fondée sur la confidentialité des éléments d'informations détenus par l'OFPRA sur les demandeurs d'asile, que le Conseil a considéré comme « une garantie essentielle du droit d'asile ».

Par ailleurs, il est envisagé d'autoriser l'Office européen de police (Europol) à accéder aussi aux données Eurodac. Cet accès suscite les mêmes critiques que celui des services répressifs des États membres, au regard du détournement de finalité d'Eurodac. S'y ajoutent d'autres réserves, liées à un encadrement plus faible des demandes formulées par Europol. Contrairement aux services des États membres, Europol pourrait en effet accéder aux données « pour une analyse de portée générale et de type stratégique ». Il conviendrait d'aligner les conditions d'accès d'Europol à Eurodac sur les conditions d'accès des services des États membres. C'est la position défendue par le Gouvernement français, qui semble avoir été entendue par la présidence chypriote et les autres délégations, ce dont je me félicite.

Je souligne, par ailleurs, que la transmission des données Eurodac à des pays tiers, qu'il a été, un temps, proposé de rendre possible, est interdite dans la version actuelle du projet, ce qui est un point essentiel pour les demandeurs d'asile.

Pour l'ensemble de ces raisons, je suis favorable à l'adoption de cette proposition, qui comporte de nombreuses avancées techniques, sous réserve que plusieurs améliorations lui soient apportées. La commission des Affaires européennes a adopté hier des conclusions en ce sens, sur ma proposition. Celles-ci recommandent notamment que les conditions d'accès d'Europol soient alignées sur celles prévues pour les services des États membres et que la protection des données personnelles soit renforcée, grâce à un audit régulier des activités de l'agence européenne des réseaux par le Contrôleur européen de la protection des données. Il est également essentiel de maintenir l'interdiction de transmettre des données à des pays tiers.

Les récents progrès technologiques ont suscité de nouveaux usages qui, au-delà de l'attrait qu'ils peuvent susciter, sont susceptibles de porter atteinte au respect de la vie privée. Les enjeux sont à la fois civils et commerciaux, et liés à la lutte contre le crime organisé et le terrorisme. La difficulté à les traiter se traduit notamment dans la durée des négociations en cours entre l'Union européenne et les États-Unis sur l'accord sur les données des passagers aériens (dit accord « PNR »). Notre assemblée a régulièrement l'occasion de débattre de ces sujets : en février 2012, notre collègue Philippe Gosselin avait présenté devant la commission des Affaires européennes des conclusions qui restent très pertinentes sur le projet de révision de la directive européenne du 24 octobre 1995 relative à la protection des données personnelles. Cette révision offre l'occasion unique de relever le niveau de protection en Europe.

Il existe d'ores et déjà un cadre juridique européen riche et exigeant en matière de protection des données personnelles, qui repose principalement sur la directive du 24 octobre 1995. Ce texte européen de référence, qui s'applique à toutes les bases de données personnelles, tant dans le secteur public que dans le secteur privé, assure un champ de protection large, reprenant l'essentiel des dispositions de notre loi « Informatique et libertés » du 6 janvier 1978. La directive du 24 octobre 1995.

Le Traité de Lisbonne a cependant introduit une nouvelle base juridique pour la protection des données à caractère personnel dans l'ensemble des politiques de l'Union. En effet, l'article 16 du traité sur le fonctionnement de l'Union européenne rappelle que « toute personne a droit à la protection des données à caractère personnel la concernant » et confie, pour ce faire, au Parlement européen et au Conseil « le soin de fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données ». Dans cette perspective, la révision de la directive du 24 octobre 1995 est l'occasion pour l'Union européenne de se doter d'un corpus de règles générales sur la protection des données personnelles, dont l'application serait étendue aux domaines de la coopération policière et judiciaire en matière pénale.

Le processus de révision du cadre juridique européen en matière de protection des données personnelles a été initié en 2009. À la suite de nombreuses consultations, la Commission européenne a publié le 4 novembre 2010 une communication stratégique intitulée : Une approche globale de la protection des données à caractère personnel dans l'Union européenne, marquant ainsi le lancement de ses travaux.

La révision de cette directive, qui se veut ambitieuse, globale et cohérente, est fondamentale, puisqu'elle doit être l'occasion d'un alignement par le haut des législations nationales régissant la protection des données personnelles. En effet, certains de nos voisins européens ne partagent pas tous cette ambition et souhaitent des règles du jeu a minima.

En l'état actuel, la directive du 24 octobre 1995 n'a que partiellement rempli son objectif d'une harmonisation des législations nationales en matière de protection des données personnelles. En effet, la directive reconnaît aux États membres une marge de manoeuvre dans certains domaines et elle les autorise à maintenir ou à introduire des régimes particuliers pour des situations spécifiques. Ces éléments, combinés au fait que les États membres appliquent parfois incorrectement la directive, sont à l'origine de divergences entre les législations nationales la transposant.

Le 25 janvier 2012, après avoir hésité à présenter un texte unique, révisant à la fois la directive du 24 octobre 1995 et la décision-cadre du 27 novembre 2008, la Commission européenne a présenté deux projets distincts relatifs à la protection des données :

— d'une part, une proposition de règlement révisant la directive du 24 octobre 1995 et concernant donc principalement les fichiers civils et commerciaux ;

— d'autre part, un projet de directive, révisant la décision-cadre du 27 novembre 2008 sur les fichiers de souveraineté qui inclut les traitements nationaux de fichiers des États membres.

Les principales modifications envisagées par la Commission européenne, dans sa proposition de règlement, sont notamment les suivantes :

— un corpus unique de règles relatives à la protection des données s'appliquera de manière homogène dans toute l'Union. Dans cette perspective, la Commission européenne propose de réviser la directive du 24 octobre 1995 par un règlement, qui sera donc d'application directe et immédiate et ne nécessitera pas de transposition ; cet instrument permettra plus de cohérence dans les pratiques des États, mais suppose aussi une plus grande vigilance de notre part, en amont de son adoption définitive ;

— les entreprises et autres organisations devront, sans retard et si possible dans un délai de 24 heures, notifier les violations graves de données personnelles à l'autorité nationale de contrôle compétente ;

— les règles de recueil du consentement des citoyens seront renforcées, afin d'arriver à un meilleur équilibre entre l'utilité de la circulation accrue des données personnelles et la nécessité de renforcer le niveau de leur protection. Ainsi, chaque fois que le consentement de la personne concernée est exigé pour que ses données personnelles soient collectées et traitées, ce consentement ne sera pas présumé mais devra être donné explicitement, suivant la règle de l'« opt-in » ;

— l'accès des personnes concernées à leurs propres données personnelles sera facilité – cela semble évident, mais certaines données y échappent encore, aujourd'hui –, de même que le transfert de données à caractère personnel d'un prestataire de services à un autre (droit à la portabilité des données) ;

— les citoyens se verront reconnaître un droit à l'oubli numérique, ce qui est un élément nouveau : ils pourront obtenir la suppression de données les concernant, dès lors qu'aucun motif légitime ne justifie pas leur conservation ;

— la liste des données à caractère personnel sensibles sera élargie aux données génétiques et à celles relatives à des condamnations pénales, afin de mieux protéger les données les plus délicates ;

— les autorités nationales chargées de la protection des données personnelles seront renforcées, afin qu'elles puissent mieux faire appliquer les règles de l'Union européenne sur le territoire de l'État dont elles relèvent. Elles seront habilitées à infliger aux entreprises en infraction des amendes, qui pourront atteindre 1 million d'euros ou 2 % du chiffre d'affaires annuel global de l'entreprise.

S'agissant de la proposition de directive, elle appliquera les règles et principes généraux relatifs à la protection des données personnelles à la coopération policière et judiciaire en matière pénale. Les règles s'appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.

L'esprit général de ces mesures a été salué, en ce qu'elles favorisent une meilleure protection des droits. Certaines dispositions suscitent toutefois les interrogations, voire l'inquiétude, de plusieurs autorités européennes de protection des données personnelles, à commencer par la CNIL.

Ces difficultés ont fait l'objet d'une analyse très fouillée par la commission des Affaires européennes de l'Assemblée nationale. En effet, en application de l'article 88-4 de la Constitution, le Gouvernement a transmis, le 1er février 2012, la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Notre assemblée disposait d'un délai de huit semaines – soit jusqu'au 28 mars 2012 – pour adopter une résolution européenne sur ce projet de règlement.

Dans ce délai, la commission des Affaires européennes a examiné et adopté, le 7 février 2012, la proposition de résolution européenne de M. Philippe Gosselin sur la proposition de règlement. En application de l'article 151-6 de notre Règlement, notre Commission n'ayant pas déposé son rapport dans le mois suivant le dépôt du rapport de la commission des Affaires européennes concluant à l'adoption de la proposition de résolution de M. Philippe Gosselin, c'est ce texte qui est aujourd'hui considéré comme adopté par la commission des Lois et in fine par l'Assemblée nationale.

À la lumière de cette proposition de résolution et de l'état d'avancement des négociations, le projet de directive soulève en l'état trois difficultés :

— le critère du principal établissement du responsable de traitement, qui fait courir un risque élevé de nivellement par le bas des exigences en matière de protection des données. Pour un responsable de traitement installé dans plusieurs États membres de l'Union européenne, seule l'autorité de protection du pays accueillant le principal établissement de ce responsable sera compétente pour l'ensemble des traitements mis en oeuvre sur le territoire européen. Par exemple, pour un traitement réalisé en France concernant des clients français, la CNIL ne sera pas nécessairement compétente pour traiter les plaintes de ceux-ci : sera compétente l'autorité du pays dans lequel est installé le principal établissement de ce responsable de traitement. Cette solution favorisera l'établissement d'entreprises vers les États membres dont les autorités de protection des données personnelles privilégient une approche plus « souple », principalement les autorités anglo-saxonnes et nordiques ;

— des pouvoirs d'exécution excessifs confiés à la Commission européenne, aux dépens des autorités nationales de protection, pour l'élaboration des lignes directrices en matière de protection des données personnelles ainsi que la définition des modalités d'application du règlement. Si le projet de révision instaure un droit à l'oubli pour les citoyens, il reviendra à la seule Commission européenne d'en préciser les conditions concrètes d'application, tant juridiques que techniques. Or, un tel recours quasi systématique aux actes délégués pour préciser la quasi-totalité des points du règlement parait de mauvaise méthode ;

— un encadrement insuffisant des transferts internationaux de données, qui doivent nécessairement préserver les pouvoirs de contrôle et d'autorisation des autorités nationales de protection sur ces échanges. En effet, la possibilité qui sera désormais offerte aux responsables de traitement de mettre en oeuvre certains transferts de données en dehors de l'Union européenne, en auto-évaluant les conditions de sécurité de ces échanges, fait peser le risque d'une baisse considérable du niveau de protection des droits des citoyens.

Pour conclure, mes chers collègues, je considère que la proposition de règlement de la Commission européenne en vue de réviser la directive du 24 octobre 1995 est, à l'heure du développement continu des nouvelles technologies, une avancée indéniable de l'Union européenne dans la protection des données personnelles de nos concitoyens. Cependant, gardons à l'esprit que, pour concrétiser cette avancée, il convient au préalable de lever les risques qui pèsent sur le texte dans sa rédaction actuelle. J'invite donc l'ensemble des institutions européennes et tout particulièrement nos collègues du Parlement européen à répondre dès à présent aux craintes que suscite ce texte.

Je remercie Marietta Karamanli et Guy Geoffroy de cette communication. La veille européenne est un sujet essentiel : il est très important que la commission des Lois prenne l'habitude de consacrer des séances aux modalités de l'organisation des libertés publiques dans l'espace européen ; cela est d'autant plus nécessaire, depuis le traité de Lisbonne, avec l'achèvement de la communautarisation de celui que nous appelions le troisième pilier, à savoir les questions relevant de la justice et des affaires intérieures.

Je rappelle notamment que le Royaume-Uni envisage de faire valoir la possibilité de déroger à l'application de certaines normes européennes : c'est ainsi que le 28 septembre dernier, le Premier ministre David Cameron a évoqué la possibilité d'une exemption concernant la mise en oeuvre de rien moins que 130 mesures européennes, même s'il est vrai qu'aucune décision formelle n'a été prise, la Grande-Bretagne disposant d'un délai pour ce faire jusqu'au 1er juin 2014. Nous verrons en particulier ce qui résultera de la réunion du Conseil des ministres en charge de l'intérieur et de la justice prévue les 25 et 26 octobre prochains à Luxembourg. J'ai eu l'occasion, avec notre collègue Axelle Lemaire, de rencontrer la semaine dernière le ministre britannique en charge de la justice, qui ne nous a pas caché ses intentions concernant un désengagement s'agissant des domaines de la justice et des affaires intérieures.

Bref, il est capital de suivre l'ensemble de ces évolutions, au plus près de l'impact concret des décisions européennes. C'est également dans cette perspective que notre Commission a entendu récemment Mme Isabelle Falque-Pierrotin, présidente de la CNIL. Pour ce qui est du sujet de la protection des données personnelles, la vigilance est de rigueur, sans quoi notre droit interne encourt un réel risque d'affaiblissement.

Encore merci à nos deux collègues d'avoir contribué à la mise à jour de connaissances parfois éparses et lacunaires en la matière.

Je m'associe naturellement à ces remerciements. J'insisterai pour ma part sur la question de la protection des données personnelles, tant il est vrai que la révision de la directive et sa transformation, à cette occasion, en règlement, soulèvent de réelles interrogations – par-delà la question de la modification des effets juridiques de ce corpus, dans la mesure où, en droit communautaire, le règlement, contrairement à la directive, a un impact juridique direct sur l'ordre interne des États, sans que sa transposition expresse soit requise.

Sans doute, l'harmonisation des législations au plan européen – engagée dès 1995 – constitue-t-elle une réelle avancée en cette matière sensible que constitue la protection des données personnelles ; on ne peut que s'en réjouir, alors que ces données occupent une place toujours croissante dans nos sociétés contemporaines. Des questions nouvelles apparaissent, on l'a vu avec le thème du « droit à l'oubli », et les approches communes sont éminemment souhaitables.

Dans le même temps, comme je l'ai dit, les inquiétudes sont nombreuses.

En premier lieu, le choix du critère du principal établissement est lourd de menaces. La CNIL est, si l'on peut dire, une vieille autorité administrative indépendante – l'une des toutes premières avec, notamment, le Médiateur de la République ou la Commission des opérations de bourse à l'époque. Ces dernières années, de nouvelles missions lui ont été confiées, par exemple par la loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Il serait pour le moins paradoxal que ce qui constitue une spécificité et une avancée françaises, notre pays étant en quelque sorte « fer de lance » en Europe sur le sujet, souffre d'un affaiblissement lié à la recherche d'un mieux-disant au profit d'autres États européens. Ce que l'on risque, c'est une forme de « dumping » : il sera tentant pour une entreprise d'arguer de la présence de son principal établissement dans un autre État pour échapper à la compétence de la CNIL et à la législation qui y est afférente.

J'insiste sur ce point : il y a là une véritable menace – ce n'est pas un simple petit chiffon rouge – pour la protection des données personnelles en France. L'audition de Mme Isabelle Falque-Pierrotin, présidente de la CNIL, évoquée par le président Urvoas tout à l'heure, a montré que nous pouvons réagir. La CNIL est à même de peser sur le processus de révision en cours, par des propositions de modifications qu'il revient à notre commission des Lois de relayer, mais aussi au Gouvernement de reprendre.

En deuxième lieu, se pose la question du pouvoir d'exécution de la Commission européenne. Ce pouvoir est bien compréhensible au regard de la nécessité d'une harmonisation des législations, dans la mesure où c'est la Commission qui est garante des grands équilibres au sein de l'Union européenne à 27. Mais cela ne doit en aucun cas se faire au détriment des autorités nationales. En France, la CNIL occupe une place particulière et assure une protection spécifique des données personnelles – il n'en va pas ainsi dans tous les pays. Personne ne comprendrait qu'on dépouille Pierre pour habiller Paul, ce même Paul étant à moitié couvert !

Une préoccupation voisine prévaut, en troisième lieu, s'agissant de l'encadrement des transferts internationaux de données. Celui-ci ne doit pas conduire à un affaiblissement, dans certains pays, de la protection de ces données, qui serait contraire aux intentions que, me semble-t-il, nous partageons collectivement, en dépit de sensibilités parfois quelque peu divergentes.

Enfin, je reconnais que le sujet particulier des fichiers dits de souveraineté soulève parfois davantage de discussions entre nous, y compris au sein de notre commission des Lois – même si des progrès doivent être signalés. On ne peut à l'évidence procéder à des fichages systématiques, mais ceux-ci s'avèrent indispensables dans un certain nombre de cas.

En conclusion, je m'associe pleinement aux propositions de Guy Geoffroy. La commission des Lois doit se faire l'écho de ces préoccupations et le Gouvernement faire valoir auprès des autorités européennes les propositions de la CNIL : même si la volonté de la Commission européenne est d'aller vite, il reste des marges pour négocier. Il est d'autant plus indispensable de peaufiner ce travail – notamment pour ce qui est du critère du principal établissement – que l'on ne retouchera pas ce cadre juridique de sitôt. Il en va de la protection de nos libertés individuelles et collectives, qui ont bien sûr tout à y gagner.

J'en reviens, pour ma part, à Eurodac : à partir de quel âge les empreintes des demandeurs d'asile sont-elles relevées ? Combien de temps les données sont-elles conservées ? Existe-t-il des situations – par exemple, l'hypothèse où l'intéressé aurait acquis, après la demande d'asile, la nationalité d'un État européen – dans lesquelles ce délai de conservation est modifié ?

Sont enregistrées dans le système Eurodac les empreintes de personnes âgées de quatorze ans et plus. Les empreintes des personnes relevant de la « catégorie 1 » (les demandeurs d'asile) sont conservées pendant dix ans, celles des étrangers appréhendés lors du franchissement illégal d'une frontière extérieure (« catégorie 2 ») le sont pendant deux ans. Elles peuvent être effacées avant la fin des délais précités à la suite de certains changements dans la situation des personnes concernées, et notamment en cas d'acquisition de la nationalité de l'un des États membres.

Pour la protection des données, la question des conséquences du choix du pays pour l'établissement principal d'une entreprise est fondamentale. Il me semble qu'il faut fortement insister sur ce point et inviter le Gouvernement à obtenir que soient précisées les modalités de contrôle de la Commission européenne sur la réalité du pays d'établissement principal déclaré par telle ou telle entreprise. Afin d'éviter qu'une entreprise déclare un pays d'établissement principal fictif afin de bénéficier d'une surveillance moins attentive de la part de l'autorité de contrôle nationale, le règlement doit indiquer sur quels critères doit se fonder la détermination de ce pays.

Je souhaiterais évoquer deux questions sous-jacentes à nos débats de ce jour. D'une part, il est bien compréhensible qu'il puisse exister des divergences d'appréciation du droit applicable entre les États de l'Union européenne. Mais les institutions européennes oublient trop souvent d'appliquer le principe de subsidiarité, dont je rappelle qu'il permet de placer la prise de décision au niveau le plus opérationnel : or la mise en oeuvre de ce principe s'avère souvent bien plus efficace que celle d'un processus qui resterait trop éloigné des préoccupations réelles.

D'autre part, pour ce qui concerne les pouvoirs de la Commission européenne, je rappelle que celle-ci, dotée de prérogatives considérables – peut-être même supérieures à celles des élus –, n'est cependant pas issue d'une élection démocratique, ce qui peut engendrer une forme de gêne : il convient d'être vigilant sur ce point et de laisser dans toute la mesure du possible le pouvoir aux élus, dont la légitimité procède directement du peuple.

Je souscris à la prégnance du risque mentionné par Guy Geoffroy, relatif à un éventuel détournement de la procédure qui serait instituée avec le critère du principal établissement, certaines entreprises se localisant à l'étranger pour échapper au contrôle de la CNIL. Je souscris de même à la nécessité d'une action commune du Parlement – en l'espèce de notre commission des Lois – et du Gouvernement pour peser sur le processus de révision, tant cette question s'avère sensible aujourd'hui.

Notre Commission devrait entendre prochainement la commissaire européenne chargée de la justice Mme Viviane Reding : ce sera l'occasion de faire passer ce message.

J'en reviens à la question des implications juridiques de la révision de la directive du 24 octobre 1995 : dès lors qu'un règlement sera adopté, et que donc l'ensemble de ses dispositions s'appliqueront directement et à l'identique dans tous les États européens, quel biais pourra-t-il être exploité par certaines entreprises désireuses d'échapper aux normes applicables pour le contrôle ?

Par ailleurs, dans la mesure où, le nouveau règlement une fois appliqué, plus aucune disposition législative ne permettra d'y déroger, il est d'autant plus crucial d'être vigilant en amont de ce processus de révision : de quelle manière la commission des Lois pourra-t-elle agir auprès du Gouvernement, de sorte que notre excellent débat de ce jour soit suivi d'effets ?

Si le règlement fixe les mêmes règles dans tous les États membres, il n'est pas évident – et le contraire est même certain – que sa mise en oeuvre par les différentes autorités nationales de contrôle sera identique partout. Pour que la Commission européenne soit en mesure d'assurer le meilleur niveau de protection dans le plus grand nombre de pays, il faut poser des critères dont elle vérifiera le respect. En l'état actuel de la proposition, on n'est même pas sûr que la Commission puisse remettre en cause la déclaration par une entreprise de l'État du pays où se situe son établissement principal.

Le 9 octobre dernier, à l'occasion de la réunion interparlementaire sur la réforme de la protection des données personnelles qui s'est tenue à Bruxelles, j'ai présenté la position de notre Assemblée et insisté sur ce point ; les représentants d'autres États ont d'ailleurs abondé dans le même sens. Nous devons maintenir la pression jusqu'au bout de la procédure d'élaboration de ce règlement, qui n'est pas encore achevée.

Notre Assemblée a une capacité d'action. Sur la refonte du règlement « Eurodac », la commission des Affaires européennes a adopté des conclusions favorables à la proposition qui lui était soumise, avec les trois réserves que j'ai présentées. En effet, alors qu'un vote négatif aurait été inutile, elle a préféré une démarche constructive, plus à même de conduire à un amendement de la proposition. Si elle le jugeait nécessaire, la commission des Lois pourrait adopter une proposition de résolution s'inspirant de ces conclusions.

La définition objective de la notion d'établissement principal constitue, dans notre débat, une question centrale et préoccupante. A-t-on engagé une réflexion sur la définition d'une liste de critères en fonction desquels la Commission européenne se prononcerait et jugerait tel établissement principal valide, ou au contraire discutable, au regard des règles applicables ? Ou bien s'en remettra-t-on à l'appréciation que l'on pourrait dire intuitive, presque sensitive, de la Commission ?

Sans être trop manichéen, je souligne que notre discussion de ce jour renvoie aussi à une petite lutte d'influence entre le droit continental et le droit anglo-saxon qui induisent, chacun, une approche différente de la notion de données personnelles. En droit anglo-saxon, les données personnelles sont souvent appréhendées dans une acception commerciale : il est révélateur qu'aux États-Unis – loin de toute application des normes communautaires j'en conviens –, les données personnelles relèvent de la compétence de l'autorité de la concurrence et non de l'autorité équivalent à notre CNIL. Ces différences doivent être prises en compte dans l'appréciation du débat sur le critère du principal établissement.

Je remercie nos deux collègues chargés de la veille européenne pour cette première communication et cet échange très utile.

L'examen des pétitions constitue une lourde charge, qu'avait assurée sous les deux précédentes législatures notre collègue Pierre Morel-A-L'Huissier. Je rappelle que, conformément au Règlement de notre Assemblée, les pétitions doivent être adressées au Président de l'Assemblée nationale. Celui-ci les renvoie à notre commission des Lois, compétente pour leur examen. Elle désigne un rapporteur à cet effet. Après avoir entendu les conclusions du rapporteur, la Commission peut décider soit de classer purement et simplement une pétition, soit de la renvoyer à une autre commission permanente de l'Assemblée ou à un ministre, soit enfin de la soumettre à l'Assemblée nationale. Je dois dire que je n'ai pas souvenir que cette troisième voie ait jamais été utilisée, ni connaissance d'un précédent en ce sens. Cela dit, je ne plaide pas pour que nous innovions nécessairement…

Je vous informe par ailleurs que lors de la réunion que notre Commission tiendra, en commission élargie, le jeudi 25 octobre 2012, à 21 heures, pour examiner les crédits sur la mission « Immigration, asile et intégration », M. Éric Ciotti, rapporteur pour avis « Asile », a souhaité pouvoir être suppléé par M. Guy Geoffroy.