N° 860 - Rapport de Mme Paula Forteza, en nouvelle lecture, sur le projet de loi, modifié par le Sénat, relatif à la protection des données personnelles (n°809).




N° 860

______

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUINZIÈME LÉGISLATURE

Enregistré à la Présidence de l'Assemblée nationale le 10 avril 2018

RAPPORT

FAIT

AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION ET DE L’ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE, EN NOUVELLE LECTURE, SUR LE PROJET DE LOI MODIFIÉ PAR LE SÉNAT EN PREMIÈRE LECTURE (n° 809)

relatif à la protection des données personnelles

PAR Mme Paula FORTEZA

Députée

——

Voir les numéros :

Assemblée nationale : 1ère lecture : 490, 579, 592 et T.A. 84.

Commission mixte paritaire : 855.

Sénat : 1ère lecture : 296, 350, 351 et T.A. 76 (2017-2018).

Commission mixte paritaire : 407 et 408 (2017-2018).

SOMMAIRE

___

Pages

TITRE IER – DISPOSITIONS D’ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 17

Chapitre Ier – Dispositions relatives à la Commission nationale de l’informatique et des libertés 17

Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Missions de la Commission nationale de l’informatique et des libertés 17

Article 1er bis (suppression maintenue)(art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Saisine de la CNIL par les présidents des assemblées parlementaires 19

Article 2 (art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Qualification des personnalités désignées par le Parlement 20

Article 2 bis (art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Délégation de certaines missions au secrétaire général de la CNIL 21

Article 4 (art. 44 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Moyens de contrôle des agents de la CNIL 22

Article 5 (art. 49, 49 bis et 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Coopération entre les autorités de contrôle européennes 23

Article 6 (art. 45 à 48 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et 226-16 du code pénal) : Mesures correctrices et sanctions 24

Article 6 bis (supprimé) : Charte de déontologie pour les fonctions de délégué à la protection des données dans les administrations publiques 27

Chapitre II  – Dispositions relatives à certaines catégories de données 27

Article 7 (art. 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Traitement des données « sensibles » 27

TITRE II – MARGES DE MANœUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE 29

Article 8 A (art. 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Champ des traitements de données à caractère personnel soumis à la loi « Informatique et libertés » 29

Chapitre II – Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements 30

Article 9 (art. 22 à 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et 226-16-1 A du code pénal) : Suppression des formalités préalables, sauf pour certains traitements de données personnelles particulièrement sensibles 30

Chapitre III – Obligations incombant aux responsables de traitement et à leurs sous-traitants 31

Article 10 bis (art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Inclusion du chiffrement de bout en bout dans le champ de l’obligation de sécurité des responsables de traitements 31

Chapitre IV – Dispositions relatives à certaines catégories particulières de traitements 32

Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, L. 111-13 du code de l’organisation judiciaire et L. 10 du code de justice administrative) : Traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes 32

Article 12 (art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et L. 1461-1 du code de la santé publique) : Traitement de données à des fins archivistiques 35

Article 12 bis (art. L. 212-4-1 du code du patrimoine) : Extension de la possibilité de mutualiser la conservation d’archives numériques 36

Article 13 (chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, L. 1121-1, L. 1123-7, L. 1124-1, L. 1461-7 et L. 6113-7 du code de la santé publique) : Traitements des données à caractère personnel dans le domaine de la santé 36

Article 13 ter (art. L. 4123-9-1 du code de la défense, 226-16 et 226-17-1 du code pénal et 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale) : Régime applicable aux fichiers de données dans lesquelles figure la mention de la qualité de militaire 38

Chapitre V – Dispositions particulières relatives aux droits des personnes concernées 39

Article 14 A (art. 7 bis [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Consentement des mineurs 39

Article 14 (art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, L. 311-3-1 du code des relations entre le public et l’administration et L. 612-3 du code de l’éducation) : Décisions administratives automatisées 40

Article 14 bis A (art. L. 121-4-2 [nouveau] du code de l’éducation) : Transparence du traitement des données scolaires 42

Article 14 bis (art. 32 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Information des mineurs 43

Chapitre VI – Voies de recours 44

Article 16 A(art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Action de groupe en réparation des préjudices matériels et moraux 44

Article 16 (art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Introduction d’une possibilité de mandater des associations pour exercer ses droits aux recours 46

Article 17 (art. 43 quinquies [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Nouvelle voie de recours en cas de transferts internationaux de données 47

Article 17 bis : Obligation pour le responsable du traitement d’être en mesure de démontrer les mesures prises pour se conformer aux obligations en matière de consentement 47

Article 17 ter (supprimé) (art. L. 420-2-3 [nouveau], L. 420-3, L. 420-4, L. 450-5, L. 462-3, L. 462-5, L. 462-6, L. 464-2 et L. 464-9 du code de commerce) : Prohibition de l’exploitation abusive d’une position dominante sur le marché des services de communication au public en ligne en subordonnant la vente d’un terminal à l’achat d’un service 51

TITRE III – DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL 52

Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Création d’un droit d’information de la personne et suppression du caractère indirect des droits d’accès, de rectification, d’effacement et de limitation 52

Article 19 (art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Dispositions applicables aux fichiers de police et de justice 54

TITRE III BIS – DISPOSITIONS VISANT À FACILITER L’APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES 57

Article 19 bis (supprimé) (art. L. 2335-17 [nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L. 5216-8 du code général des collectivités territoriales) : Dotation communale et intercommunale pour la protection des données à caractère personnel 57

Article 19 ter (art. L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales) : Mutualisation des services fonctionnels des collectivités territoriales et de leurs groupements 59

TITRE IV – HABILITATION À AMÉLIORER L’INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES 60

Article 20 : Habilitation à réviser par voie d’ordonnance la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés 60

Article 20 bis : (sous-section 4 de la section 3 du chapitre IV du titre II et art L. 242-20 du code de consommation et 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) Droit à la portabilité des données à caractère personnel et des données non personnelles 61

TITRE V – DISPOSITIONS DIVERSES ET FINALES 62

Article 21 (art. 13, 15, 16, 17, 21, 29, 30, 31, 39, 42, 67, 70 et 71 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Coordinations 62

Article 22 : Mise à disposition du public, dans un format ouvert et aisément réutilisable, de la liste des traitements ayant fait l’objet de formalités préalables 63

Article 23 (art. 230-8, 230-9 et 804 du code de procédure pénale) : Modalités d’effacement des données inscrites dans les traitements d’antécédents judiciaires 63

Article 23 bis (suppression maintenue)(art. L. 1461-7 du code de la santé publique) : Coordination 65

Article 24 : Dispositions d’entrée en vigueur 65

Mesdames, Messieurs,

Réunie à l’Assemblée nationale le vendredi 6 avril 2018, la commission mixte paritaire chargée d’élaborer un texte sur les dispositions restant en discussion du projet de loi relatif à la protection des données personnelles n’est pas parvenue à un accord.

En première lecture, l’Assemblée nationale avait approuvé les orientations du projet de loi visant à adapter notre droit au nouveau cadre européen applicable à la protection des données à caractère personnel constitué par le règlement (UE) 2016/679 (1) et la directive (UE) 2016/680 du 27 avril 2016 (2). Sans remettre en cause la philosophie générale de ce texte, elle en avait enrichi le contenu en utilisant certaines des marges de manœuvre laissées à chaque État membre par le droit européen.

Elle avait ainsi, à l’initiative de votre rapporteure, abaissé de 16 à 15 ans l’âge à partir duquel un mineur peut consentir seul au traitement des données qui le concernent sur les réseaux sociaux et plateformes, clarifié les conditions et les garanties minimales applicables en cas de mise en œuvre d’un traitement algorithmique, élargi l’action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux, amélioré la prise en compte des spécificités des petites et moyennes entreprises et renforcé la protection de certaines données sensibles. Elle avait également élargi aux commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’aux présidents de groupes parlementaires la possibilité de saisir la Commission nationale de l’informatique et des libertés (CNIL) sur toute proposition de loi portant sur la protection des données personnelles.

Le Sénat a voté en des termes identiques à l’Assemblée nationale six des trente-trois articles qui lui avaient été transmis et apporté, sur certains points, d’utiles compléments et précisions.

Il a cependant, dans le même temps, sensiblement modifié l’économie générale du projet de loi, notamment en restaurant, pour les fichiers de données pénales non mis en œuvre par l’État, un régime d’autorisation préalable par la CNIL, en insérant des dispositions contraires à la directive relative aux traitements de données personnelles en matière policière et pénale ou en surtransposant certaines des règles qu’elle établit, et en fragilisant le cadre applicable à l’open data des décisions de justice.

Le Sénat est revenu sur plusieurs évolutions promues par votre rapporteure en première lecture. Il a maintenu à 16 ans l’âge de consentement des mineurs sur internet. Il a modifié la rédaction équilibrée adoptée par les députés en matière d’usage des algorithmes par l’administration. Il a réduit la portée de l’extension de l’action de groupe en réparation de préjudices subis, en reportant de deux années l’entrée en vigueur du dispositif et en soumettant à un agrément délivré par l’autorité administrative la faculté pour une association d’exercer cette action. Il a supprimé l’extension des possibilités de saisine pour avis de la CNIL sur une proposition de loi.

Par ailleurs, le Sénat a instauré un « fléchage » du produit des amendes et astreintes prononcées par la CNIL pour le financement de l’assistance apportée par l’État aux responsables de traitements et à leurs sous-traitants.

Enfin, il a créé un régime dérogatoire pour les collectivités territoriales par la création d’une dotation communale et intercommunale pour la protection des données personnelles, la facilitation de la mutualisation des services numériques entre collectivités territoriales et la suppression de la faculté pour la CNIL de leur imposer des amendes administratives.

Ces évolutions ont constitué autant de sources de désaccord et le différend s’est avéré insurmontable entre les deux assemblées.

En effet, il n’a pas paru acceptable aux députés de revenir sur le renforcement des capacités d’action des citoyens face aux infractions à la loi, alors même que l’actualité ne cesse de révéler des manquements affectant la vie privée de centaines, de milliers voire de millions de personnes, dont notamment le dernier scandale impliquant Facebook et Cambridge Analytica. Le symbole est fort : pendant que nous examinions le présent projet de loi en commission des Lois, Mark Zuckerberg était auditionné par le Sénat américain et s’excusait face à des millions d’utilisateurs de pratiques qui dans quelques semaines constitueront un grave manquement en France et en Europe.

Par ailleurs, il n’était pas envisageable de déresponsabiliser des acteurs locaux qui manipulent chaque jour des centaines de milliers de données parfois très sensibles, comme la composition ou les revenus des foyers. Les pénalités financières sont au cœur de l’équilibre et du changement de paradigme mis en place par le RGPD qui élimine les autorisations préalables et allège les démarches administratives, tout en augmentant les amendes en cas de manquement grave comme premier levier de dissuasion. Il est plus fructueux d’accompagner ces acteurs dans la mise en conformité et de les aider à monter en compétence pour rehausser le niveau de protection globale, que d’établir un régime d’exceptions.

Enfin, un consensus a émergé à l’Assemblée Nationale : ce n’est pas le recours aux algorithmes par les administrations qui pose problème, mais l’absence de transparence et de contrôle de la part des citoyens. Il ne s’agit, en effet, que d’outils pour assurer un service public plus performant, tourné vers les besoins des citoyens. La transparence et la mise en place de voies de recours effectives sont les meilleurs garanties de régulation, et permettent par ailleurs de ne pas entraver ni l’innovation dans le secteur public, ni la modernisation et la simplification des politiques publiques.

En raison de ces différends insurmontables et, conformément à l’article 45, alinéa 4, de la Constitution (3), l’Assemblée nationale est aujourd’hui saisie, en nouvelle lecture, de ce projet de loi, dans la version que le Sénat a adoptée en première lecture.

DISCUSSION GÉNÉRALE

Lors de sa réunion du mardi 9 avril 2018, la commission des Lois examine, en nouvelle lecture, le projet de loi (n° 809) relatif à la protection des données personnelles (Mme Paula Forteza, rapporteure).

Mme la présidente Yaël Braun-Pivet. La commission mixte paritaire, réunie vendredi dernier, n’étant pas parvenue à un accord sur le projet de loi relatif à la protection des données personnelles, nous en reprenons l’examen en nouvelle lecture. Le texte issu de nos travaux sera examiné en séance publique jeudi 12 avril.

Mme Paula Forteza, rapporteure. Madame la présidente, chers collègues, nous nous retrouvons, en nouvelle lecture, pour examiner un texte qui a beaucoup évolué lors de son passage au Sénat avec, d’un côté, des apports que nous saluons et, de l’autre, des dispositions sur lesquelles nous sommes en profond désaccord avec nos collègues sénateurs, car elles remettent en cause les équilibres importants auxquels nous étions parvenus à l’Assemblée nationale.

Si la CMP a échoué, faute de compromis possible sur l’ensemble du texte, c’est dans un esprit constructif que je vous propose d’aborder cette réunion, afin de rétablir un texte respectueux de nos travaux en première lecture – adopté à une très large majorité de 523 voix – tout en conservant certaines avancées apportées par le Sénat.

Plusieurs des amendements que je vous proposerai d’adopter visent aussi à rétablir les dispositions qui avaient été portées par la majorité, souvent avec le soutien d’autres groupes, et que le Sénat a supprimées ou remises en question par des modifications substantielles de rédaction.

Ces dispositions constituent en effet les marqueurs de l’orientation que nous avons souhaité donner à ce projet de loi et sont le fruit d’un échange nourri avec les acteurs de l’écosystème numérique, mais également de la justice, de la recherche publique et privée ou de la protection de l’enfance.

En premier lieu, nous n’avons pas souhaité revenir sur l’équilibre que nous avions proposé entre l’exigence de protection des intérêts de l’enfant face aux traitements de ses données personnelles et l’adaptation de la législation à la réalité des pratiques numériques actuelles.

Le Sénat est revenu sur l’abaissement de 16 à 15 ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, alors même que cette proposition avait fait l’objet, à l’Assemblée nationale, d’un très large consensus, en emportant l’adhésion – fait rare – de l’ensemble des groupes politiques. Je vous proposerai de rétablir cette disposition.

De même, il ne nous paraît pas acceptable de revenir sur le renforcement des capacités d’action des usagers face aux manquements à la loi, alors même que l’actualité ne cesse de révéler des atteintes à la vie privée de centaines de milliers, voire de millions de personnes – je pense notamment au récent scandale impliquant Facebook et Cambridge analytica.

C’est pour cette raison que nous avons défendu en première lecture l’extension de l’action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux. Je vous proposerai, par conséquent, de revenir sur les limitations d’entrée en vigueur ou de critères à remplir par les associations compétentes, adoptées par le Sénat. Sur ce sujet, devenu un enjeu de société, il y a urgence à légiférer, en pensant d’abord au citoyen.

Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre de décisions administratives. Elle apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu’un renforcement de leur droit d’information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, et souvent en contradiction avec le règlement européen, le recours à ces outils d’aide à la décision.

J’ai une conviction sur ce sujet, que nous sommes nombreux à partager : ce n’est pas le recours aux algorithmes qui pose problème mais l’absence de transparence et de contrôle de la part des citoyens. Il ne s’agit, en effet, que d’outils au service des administrations qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l’objet d’une publication par défaut pour lever toute interrogation, voire tout soupçon.

La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n’entraver ni l’innovation dans les secteurs publics ni la modernisation et la simplification des politiques publiques. C’était la logique de la loi pour une République numérique et c’est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée AI for Humanity dans lequel il a exprimé le souhait que « l’État, pour ce qui le concerne, [rende] par défaut public le code de tous les algorithmes qu’il serait amené à utiliser au premier rang desquels […] celui de Parcoursup, parce que [...] c’est une pratique démocratique. »

Je vous proposerai, par conséquent, de revenir à la rédaction de l’Assemblée nationale en la matière, sous réserve du maintien d’une disposition, adoptée par le Sénat, qui assure la publicité de l’algorithme de Parcoursup. Peut-être évoluerons-nous sur sa rédaction d’ici à la séance pour en préciser les conditions mais c’est un point important qui a fait l’objet d’un engagement présidentiel.

Enfin, nous avions aussi élargi la possibilité de saisine de la Commission nationale de l’informatique et des libertés (CNIL) aux commissions permanentes des assemblées et aux présidents de groupes parlementaires. Le Sénat a supprimé cette disposition qui constitue pourtant un élément de revalorisation des moyens du Parlement et des droits de l’opposition. Je vous proposerai donc également d’y revenir. Il est essentiel que les parlementaires puissent disposer d’une expertise en la matière. Le numérique prend une place croissante dans les textes qui nous sont soumis. Nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d’une société de confiance, projet de loi Elan (Évolution du logement, de l’aménagement et du numérique), plan très haut débit, proposition de loi relative à la lutte contre les fausses informations et présent texte.

Enfin, j’ai déposé des amendements visant à supprimer des dispositions que je considère comme contraires à l’esprit du règlement européen ou à d’autres dispositions de notre droit national et qui expliquent l’échec de notre CMP comme le fléchage du produit des amendes et des astreintes prononcées par la CNIL, qui est contraire à la loi organique relative aux lois de finances (LOLF), l’encadrement des traitements de données pénales par des organismes privés qui fragiliserait l’action des associations de victimes et d’aide à la réinsertion, la remise en cause de l’open data des décisions de justice qui deviendrait quasiment impossible à mettre en œuvre, compte tenu des exigences posées par le Sénat en la matière ou, enfin, le durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.

S’agissant des collectivités territoriales, certaines dispositions adoptées par le Sénat ne sont pas acceptables. Je pense notamment à la création d’une dotation de 170 millions d’euros ou à l’exemption d’astreintes et d’amendes administratives pour les collectivités, même en cas de manquements graves qui persisteraient malgré les mises en demeure du président de la CNIL. Les pénalités financières sont au cœur de l’équilibre du règlement général sur la protection des données (RGPD) et du changement de paradigme sur lequel il repose. D’un côté, il élimine les autorisations préalables et allège les démarches ; de l’autre, il augmente les sanctions financières comme unique levier de dissuasion. Nous ne pouvons pas déresponsabiliser des acteurs qui manipulent chaque jour des centaines de milliers de données, parfois très sensibles, comme la composition ou les revenus des foyers. Nous voulons, au contraire, aider ces acteurs à monter en compétences pour rehausser le niveau de protection globale des données personnelles et trouver des façons de les accompagner dans le processus de mise en conformité à leur utilisation.

D’autres dispositions du Sénat vont dans le bon sens et méritent, au contraire, d’être conservées. Je pense notamment à l’amélioration de l’information à destination des collectivités territoriales, à la possibilité de mutualiser des services d’archives ou encore de conventionner entre échelons de collectivités pour mettre en place un service commun dédié à la protection des données personnelles. Par ailleurs, le Sénat a amélioré la lisibilité de la gradation des peines en cas de manquement et renforcé les obligations incombant aux responsables du traitement des données qui devront être en mesure de démontrer qu’ils se conforment à leurs obligations en matière de consentement.

Si la CMP a échoué, des accords ont donc pu être trouvés avec le Sénat et ils seront respectés à la condition qu’ils s’inscrivent bien dans la double démarche qui avait recueilli dans notre assemblée un soutien allant au-delà des rangs de la majorité : clarification des règles qui découlent du nouveau cadre européen ; accompagnement des acteurs publics et privés, qui devront au cours des prochaines années profondément adapter leurs pratiques aux nouvelles obligations qui leur sont faites.

Mme Christine Hennion. Je vous remercie, madame la rapporteure, pour votre intervention liminaire. Il me paraît en effet essentiel de rappeler les objectifs de ce texte : la protection des personnes dans un environnement tout-numérique et la responsabilisation de tous les acteurs, quels qu’ils soient.

M. Rémy Rebeyrotte. J’aimerais revenir sur la position du Sénat au sujet des collectivités territoriales. Nous attendions autre chose, les sénateurs ayant souvent une position frappée au coin du bon sens en ce domaine. Nous pensions que leur attention se porterait surtout sur les modalités d’accompagnement des collectivités locales et sur les moyens de renforcer leur information. Or leur proposition phare a été d’exonérer lesdites collectivités des nouvelles obligations posées par le texte.

Nous considérons qu’aller dans cette voie serait une erreur majeure pour plusieurs raisons.

Tout d’abord, les collectivités locales sont pour la plupart des structures qui comptent plus de 250 agents. Pourquoi les sortir du dispositif alors qu’elles en sont partie intégrante dans nombre de pays européens ?

Ensuite, il nous semble que la meilleure manière de protéger les maires et les élus locaux est de faire en sorte qu’un délégué chargé de la protection des données personnelles soit nommé dans les collectivités comptant plus de 250 agents. C’est une manière forte de responsabiliser les agents à tous les niveaux et d’éviter de placer les maires dans des situations où ils pourraient être considérés comme pénalement responsables.

Enfin, les collectivités territoriales gèrent des données sensibles que certains peuvent être tentés d’exploiter commercialement. Combien de fois les maires n’ont-ils pas été approchés par des mutuelles désireuses de mettre la main sur certains fichiers pour faire de la prospection auprès des agents ? Et puis, il y a l’aspect politique. Nous avons connu par le passé des dérives venant d’acteurs politiques qui auraient bien voulu mettre en place tel ou tel fichier pour organiser tel ou tel aspect des services publics de leur collectivité. Cela implique d’être encore plus vigilants.

Il me semble bon de rappeler ces divers éléments car, curieusement, le communiqué de presse que le Sénat a publié après la CMP évoque les algorithmes et l’âge du consentement des mineurs mais pas les collectivités territoriales alors qu’elles constituent la pierre d’achoppement avec l’Assemblée.

Bref, si nous pouvons accepter certains des ajouts du Sénat, nous ne pouvons le suivre dans sa volonté d’exonérer les collectivités territoriales de certaines obligations du projet de loi. Ce ne serait pas responsable et cela pourrait avoir des conséquences extrêmement préoccupantes.

M. Philippe Gosselin. Sachez que je regrette l’échec de la CMP. Nous pouvons déplorer quelques maladresses de la part du Sénat mais aussi une absence de volonté de la part de la majorité de l’Assemblée nationale de trouver des arrangements qui semblaient pourtant possibles la veille ou l’avant-veille. Sans vouloir faire un jugement à la Salomon, il me semble que les torts sont partagés.

La place des collectivités locales pose effectivement problème. Qu’on écarte ou pas les préconisations du Sénat, des questions demeureront sur l’accompagnement, sur la formation ou sur la responsabilisation, notamment des plus petites d’entre elles, d’où l’intérêt de la mutualisation des services numériques entre collectivités via les établissements publics de coopération intercommunale (EPCI). Tout n’est pas à rejeter dans les modifications du Sénat, loin s’en faut. Et je compte sur l’ouverture d’esprit dont vous êtes familière, madame la rapporteure, pour ne pas mettre à mal l’équilibre obtenu sur certains points.

Je partage certaines de vos préoccupations. Il n’est pas question de revenir sur l’extension de l’action de groupe – je défends cette disposition depuis suffisamment d’années pour ne pas y renoncer maintenant. Il n’est pas question non plus de revenir sur l’utilisation des algorithmes dans les administrations car ce qui est en cause, comme vous le disiez, c’est la transparence et non pas le recours aux algorithmes en tant que tel. Nous devons aussi maintenir la possibilité pour le Parlement de saisir la CNIL et de profiter de ses compétences larges. En matière de consentement des mineurs, fixer le seuil à quinze ans me semble être une sage décision, même si le débat n’est pas totalement tranché.

Je forme le souhait que nous aboutissions à un texte équilibré. Rappelons que notre temps est compté : le RGPD entrera en vigueur le 25 mai 2018. Or nos travaux vont être interrompus quelque temps et leur organisation sera affectée par les jours fériés du mois de mai.

M. Philippe Latombe. J’ai animé ce matin une réunion avec des patrons de petites et moyennes entreprises (PME) sur le RGPD. Beaucoup de questions ont porté sur les collectivités territoriales. Pourquoi appliquerait-on ce règlement aux entreprises et pas aux collectivités alors même qu’elles disposent de très nombreuses données personnelles ? Ce règlement européen doit être appliqué de manière uniforme et il serait très mal vu par les entrepreneurs que les collectivités soient exonérées de leurs responsabilités qu’il s’agisse du traitement des données ou des sanctions en cas de manquements graves.

Pour le reste, nous suivrons l’avis de la rapporteure sur les modifications à apporter au texte du Sénat.

Mme Marie-France Lorho. Beaucoup a été dit sur ce texte. Un article récemment publié par Le Monde l’indiquait : « Selon une étude menée par l’éditeur de logiciels Senzing en janvier, moins de la moitié des entreprises européennes étaient considérées comme étant “prêtes”, et en France moins d’un cinquième des entreprises se disaient très confiantes face aux obligations du RGPD ». Le débat reste vif quant à la place des algorithmes dans les administrations et l’âge du consentement au traitement des données, ce sont là des questions essentielles.

Pensez-vous cependant que les travaux de nos deux chambres aboutiront à l’instauration de dispositifs permettant effectivement la mise en œuvre du RGPD ?

Mme Danièle Obono. Je reviens en quelques mots sur la commission mixte paritaire. Pour notre part, nous considérons que le Sénat a introduit des éléments positifs, que nous avions d’ailleurs proposés. Et, alors que nous disions nous-mêmes qu’il y avait une logique politique dans ce texte, notre collègue sénateur Loïc Hervé a également très clairement indiqué, notamment au cours de la discussion générale, que ce projet de loi était non technique mais politique. Un certain nombre de propositions d’ajouts ont été faites : le renforcement des protections complémentaires, une charte de déontologie applicable aux délégués à la protection des données personnelles des administrations publiques établies par la CNIL, un régime d’autorisation préalable, un certain nombre de limitations de l’utilisation du traitement des données pour les données où la qualité de militaire apparaît. Bref, cela nous semblait aller dans le bon sens, et c’est pourquoi nous présenterons à nouveau quelques amendements visant à améliorer le texte.

Certes, le temps presse, mais nous aurions pu gagner un peu de temps ! Le groupe des sénateurs de La République en Marche a voté en faveur du texte sénatorial, qui comportait précisément des avancées refusées par le groupe La République en Marche de l’Assemblée nationale et que nous défendions. Peut-être un examen plus attentif des amendements aurait-il permis d’éviter ces retards. En tout cas, notre souci est d’améliorer ce texte en renforçant la protection des données. La logique politique que nous défendons est que cette protection doit s’exercer non pas a posteriori mais a priori, grâce à un renforcement du rôle de la CNIL.

Mme la présidente Yaël Braun-Pivet. Nous allons maintenant examiner les 95 amendements dont nous sommes saisis. 74 sont présentés par la rapporteure ; 40 d’entre eux visent à apporter des modifications rédactionnelles ou de coordination, les autres à revenir sur des modifications par le Sénat du texte que nous avions adopté.

La Commission en vient à l’examen des articles du projet de loi.

EXAMEN DES ARTICLES

TITRE IER
DISPOSITIONS D’ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016

Chapitre Ier
Dispositions relatives à la Commission nationale de l’informatique et des libertés

Article 1er
(art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Missions de la Commission nationale de l’informatique et des libertés

L’article 1er du projet de loi a pour objet de préciser le champ des missions dévolues à la CNIL, conformément au nouveau cadre européen en matière de protection des données personnelles. Cette autorité sera ainsi chargée, en complément des missions qu’elle exerce d’ores et déjà au titre de la loi « Informatique et libertés » du 6 janvier 1978, d’établir et de publier :

––  des lignes directrices, recommandations ou référentiels destinés à accompagner les responsables de traitement et sous-traitants dans la mise en œuvre des nouvelles obligations qui leur sont faites ;

––  des codes de conduite précisant ces obligations ;

––  des règlements types assurant la sécurité des systèmes et régissant les traitements de données de santé.

La CNIL peut également soit procéder directement à la certification de personnes morales, de produits, de systèmes ou de procédures conformes au règlement européen, soit agréer des organismes certificateurs à cette fin.

Par ailleurs, cette autorité pourra désormais être consultée par les présidents des deux assemblées parlementaires sur toute proposition de loi comportant des dispositions relatives à la protection ou au traitement de telles données.

En première lecture, l’Assemblée nationale a complété ces dispositions de manière à prévoir :

––  un accompagnement personnalisé des petites et moyennes entreprises par la CNIL ;

––  un élargissement du recours aux règlements types pour les données biométriques et génétiques, du fait de leur sensibilité particulière ;

––  l’extension aux commissions permanentes des assemblées parlementaires et aux présidents de groupes parlementaires de la possibilité de saisir la CNIL sur une proposition de loi portant sur la protection des données personnelles ;

––  des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics.

Le Sénat a, quant à lui, introduit des dispositions visant à :

––  étendre expressément la mission d’information de la CNIL aux collectivités territoriales et à leurs groupements ;

––  prévoir la prise en compte par cette autorité de la situation des personnes dépourvues de compétences numériques ;

––  permettre la certification des objets connectés ;

––  rendre obligatoire l’établissement d’une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de la CNIL ;

––  supprimer la possibilité de la saisine de cette autorité par les commissions permanentes et les présidents de groupes parlementaires.

En nouvelle lecture, votre commission des Lois, sur proposition de la rapporteure, a toutefois souhaité revenir sur ces trois dernières dispositions.

En effet, la certification des objets connectés est déjà possible au regard de la mission générale confiée à la CNIL de certification des produits prévue au présent article.

La faculté pour cette autorité d’établir une liste de traitements présentant un risque élevé pour les droits et les libertés des personnes concernées, telle qu’adoptée par l’Assemblée nationale, est conforme aux termes de la directive (UE) 2016/680 du Parlement européen et du Conseil.

Enfin, l’extension de la possibilité de saisine de la CNIL aux commissions permanentes des assemblées et aux présidents de groupes parlementaires a fait l’objet d’un large consensus à l’Assemblée nationale. Elle doit, en effet, permettre au Parlement de bénéficier d’une meilleure expertise sur les questions, parfois complexes tant en droit qu’en termes de technologie, relatives à la protection des données personnelles.

*

* *

La Commission adopte l’amendement rédactionnel CL48 de la rapporteure.

Puis elle se saisit de l’amendement CL49 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à supprimer la mention d’une mission de certification, redondante avec ce qui est déjà prévu par le présent article.

La Commission adopte l’amendement.

Elle examine ensuite l’amendement CL50 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Puis elle se saisit de l’amendement CL51 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Puis elle adopte l’article 1ermodifié.

Article 1er bis (suppression maintenue)
(art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Saisine de la CNIL par les présidents des assemblées parlementaires

Introduit à l’initiative de la rapporteure de l’Assemblée nationale en première lecture, cet article complète, par coordination avec les dispositions prévues à l’article 1er, l’ordonnance n° 581100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires de manière à prévoir la possibilité pour le président d’une assemblée parlementaire de saisir la CNIL.

Le Sénat a toutefois supprimé cet article au motif que cette coordination aurait pour effet de rigidifier la procédure de consultation de la CNIL par le Parlement.

En nouvelle lecture, votre commission des Lois a maintenu la suppression de cet article.

*

* *

La Commission maintient la suppression de l’article 1er bis.

Article 2
(art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Qualification des personnalités désignées par le Parlement

Le présent article aligne les conditions de nomination par le Parlement de deux personnalités qualifiées comme membres de la CNIL sur celles prévues pour les trois personnalités qualifiées nommées par le Gouvernement.

Elles devront ainsi disposer de compétences numériques ou en matière de protection des libertés individuelles.

Si l’Assemblée nationale n’a pas modifié cet article en première lecture, le Sénat a adopté une modification de nature rédactionnelle à l’initiative de sa rapporteure.

En nouvelle lecture, votre commission des Lois, sur proposition de la rapporteure, a adopté une disposition visant à rendre cumulatives les compétences exigées des cinq personnalités qualifiées membres de la CNIL.

*

* *

La Commission examine l’amendement CL52 de la rapporteure.

Mme Paula Forteza, rapporteure. Nous avons longuement débattu de cet amendement, et en commission et en séance. Je propose de rendre cumulatives les conditions de compétence des personnalités qualifiées membres de la CNIL. Cette commission va s’apparenter en effet, de plus en plus, à un tribunal, puisqu’il lui reviendra d’infliger de lourdes pénalités financières aux entreprises. Il est important que ces personnalités qualifiées comprennent les enjeux du numérique, qu’elles comprennent le métier, qu’elles aient elles-mêmes manipulé des données. Les autres membres ont, pour leur part, un profil plutôt juridique, puisqu’ils sont issus du Conseil d’État, de la Cour de cassation, de la Cour des comptes et du Conseil économique, social et environnemental.

M. Philippe Gosselin. Nous en avons longuement débattu et moi-même j’ai un peu varié sur le sujet. Je m’en tiens cependant au dernier point de vue que j’ai exprimé. En imposant que les personnalités qualifiées aient à la fois une connaissance du numérique et une connaissance des questions touchant aux libertés individuelles, nous allons réduire le champ des possibles. La CNIL n’est pourtant pas simplement une autorité de sanction. Certes, la formation restreinte est une autorité de sanction qui s’apparente de plus en plus, dirons-nous pour faire simple, à un tribunal, mais le collège, qui se réunit régulièrement, a besoin de compétences plus larges. Je crains qu’en imposant le cumul de ces compétences on ne s’enferme alors qu’il faudrait plutôt s’ouvrir. N’oublions pas les enjeux éthiques et la mission de réflexion de la CNIL.

Mme Paula Forteza, rapporteure. Il est intéressant que des profils différents et variés réfléchissent sur le numérique, mais plutôt dans le cadre d’une instance comme le Conseil national du numérique (CNNum), dont la réflexion est plus prospective, plus générale. Les compétences requises des membres de la CNIL sont plus étroitement dictées par les missions qui lui sont assignées par la loi « Informatiques et libertés » et désormais par le RGPD.

M. Philippe Gosselin. En ce qui concerne les missions de la CNIL, vos propos sont en contradiction avec la loi pour une République numérique adoptée il n’y a pas si longtemps, madame la rapporteure.

M. Philippe Latombe. Les membres du groupe du Mouvement Démocrate et apparentés ont déjà dit en séance que la proposition de M. Gosselin leur convenait. Nous ne sommes donc pas favorables à cet amendement. Exiger que les personnalités qualifiées aient à la fois une connaissance du numérique et une connaissance des questions touchant aux libertés individuelles pose un problème d’ouverture à des profils différents. Nous nous en tiendrons à la position que nous avions exprimée, comme un certain nombre d’autres députés de la majorité.

M. Rémy Rebeyrotte. Il me semble quand même qu’il est très important que les membres de la CNIL, pour prendre les décisions qui incombent à celle-ci, aient des compétences non seulement juridiques mais aussi numériques, étant entendu que ces deux types de compétences ne sont pas exclusifs d’autres. Si quelqu’un, en plus, a des compétences philosophiques, ethnographiques, poétiques, cela nous convient tout à fait ! Les compétences juridiques et numériques sont en tout cas une nécessité.

La Commission adopte l’amendement.

En conséquence, l’article 2 est ainsi rédigé, et les amendements CL72 et CL73 tombent.

Article 2 bis
(art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Délégation de certaines missions au secrétaire général de la CNIL

Introduit à l’initiative de la rapporteure de la commission des Lois, cet article a pour objet de :

––  prévoir la publicité de l’ordre du jour de la CNIL réunie en formation plénière ;

––  permettre à cette dernière de déléguer au secrétaire général l’exercice de sa mission consistant à informer les auteurs de plaintes ou de réclamations des suites données à celles-ci.

Cette disposition doit permettre à la CNIL de mieux traiter les nombreuses réclamations individuelles qu’elle reçoit chaque année.

Le Sénat a, d’une part, supprimé la disposition relative à la publicité de l’ordre du jour soulignant qu’elle relevait davantage du domaine réglementaire et, d’autre part, étendu le champ de la délégation par la commission de certaines de ses missions à son président ou à son vice-président.

Un décret en Conseil d’État, pris après avis de la CNIL, doit également fixer les conditions et les limites dans lesquelles le président de cette autorité et le vice-président peuvent déléguer leur signature.

En nouvelle lecture, votre commission des Lois, à l’initiative de la rapporteure, a adopté cet article qui permettra à la CNIL de disposer des souplesses institutionnelles nécessaires à son activité, sous réserve du rétablissement de la publicité de l’ordre du jour de sa formation plénière.

*

* *

La Commission examine l’amendement CL53 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Puis elle adopte l’article 2 bis modifié.

Article 4
(art. 44 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Moyens de contrôle des agents de la CNIL

Le présent article apporte des précisions sur les moyens de contrôle dont disposent les agents de la CNIL et notamment :

––  les conditions limitatives dans lesquelles le secret peut leur être opposé, en particulier le secret médical ;

––  la possibilité de recourir à une identité d’emprunt dans le cadre du contrôle des services de communication au public en ligne.

En première lecture, l’Assemblée nationale a approuvé l’économie générale de cette disposition.

Le Sénat a proposé, quant à lui, de prévoir, d’une part, que les agents de la CNIL ne peuvent inciter, sous une identité d’emprunt, à commettre une infraction, sous peine de nullité, et que, d’autre part, des experts peuvent les assister dans leurs contrôles à la demande du président de cette autorité.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 4 sans modification.

Article 5
(art. 49, 49 bis et 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Coopération entre les autorités de contrôle européennes

Le présent article prévoit que :

––  conformément aux dispositions du règlement (UE) 2016/679, la CNIL met en œuvre des procédures de coopération et d’assistance mutuelle avec les autres autorités de contrôle européennes concernées ;

––  le président de la CNIL est compétent pour inviter d’autres autorités de contrôle à participer à des opérations conjointes de contrôle ;

––  ce dernier peut habiliter, à ce titre, les agents de l’autorité de contrôle étrangère, présentant des garanties comparables à celles de la CNIL, pour exercer tout ou partie des pouvoirs de vérification et d’enquête ;

––  les conditions du respect du contradictoire sont précisées ainsi que les conditions de saisine du Comité européen à la protection des données (CEPD).

En première lecture, l’Assemblée nationale a approuvé l’économie générale de cet article, sous réserve de modifications rédactionnelles ou de coordination.

Le Sénat a, quant à lui, adopté de nouvelles souplesses organisationnelles permettant à la commission plénière de déléguer certaines de ses compétences au bureau.

En nouvelle lecture, votre commission des Lois a adopté cet article, sous réserve d’une modification de précision.

*

* *

La Commission examine l’amendement CL56 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Puis elle adopte l’article 5 modifié.

Article 6
(art. 45 à 48 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers
et aux libertés et 226-16 du code pénal)

Mesures correctrices et sanctions

Le présent article adapte la possibilité, actuellement reconnue à la CNIL, de prononcer des mesures correctrices ou des sanctions à l’encontre de responsables de traitement ne respectant pas leurs obligations prévues par le règlement (UE) 2016/679. Il précise à cette fin :

––  la répartition des pouvoirs entre le président de la CNIL et la formation restreinte ;

––  la nature des nouvelles sanctions pouvant être prononcées, à l’instar des astreintes ou du retrait de certification ou d’agrément ;

––  les mesures pouvant être prises par la formation restreinte en cas de procédure d’urgence ;

––  le maintien de la publicité des sanctions ;

––  l’augmentation du montant des sanctions pécuniaires pouvant être prononcées.

En première lecture, l’Assemblée nationale a adopté plusieurs amendements de précision portant sur les sanctions et les décisions que peut prendre la CNIL en cas de non-respect de ses obligations par le responsable d’un traitement. Elle a ainsi clarifié certaines incohérences rédactionnelles et a proposé de remplacer la possibilité de retirer une décision d’approbation d’une règle d’entreprise contraignante par sa suspension partielle ou totale en fonction de la gravité du manquement.

Le Sénat a poursuivi ce travail de réécriture en clarifiant la gradation des sanctions applicables, permettant une meilleure lisibilité du texte sur le volet répressif.

Il a également introduit deux nouvelles dispositions visant, pour l’une, à prévoir une exemption d’amendes administratives et d’astreintes pour les collectivités territoriales et leurs groupements, et, pour l’autre, à destiner le produit de ces sanctions pécuniaires au financement d’un accompagnement par l’État des responsables de traitement et de leurs sous-traitants.

En nouvelle lecture, votre commission des Lois, à l’initiative de la rapporteure, a supprimé ces deux dispositions.

Elle a, en effet, considéré que les collectivités territoriales et leurs groupements traitent de données personnelles sensibles pour les citoyens, telles que la composition des familles qui peut révéler l’orientation sexuelle des individus ou bien des données de santé, ou encore des données relatives aux ressources financières des personnes concernées.

Par conséquent, il semble nécessaire de garantir que la CNIL puisse agir en cas de manquements graves qui persisteraient malgré, le cas échéant, un premier avertissement ou une mise en demeure adressés par le président de cette autorité à une collectivité qui ne respecterait pas ses obligations.

Par ailleurs, l’astreinte ne peut être décidée qu’après une procédure contradictoire et la CNIL, qui accompagne d’ores et déjà les collectivités dans leurs efforts de mise en conformité, n’en fera usage qu’en cas de rigoureuse nécessité.

Le financement de l’assistance des responsables de traitements ou de leurs sous-traitants par le « fléchage » d’une recette du budget de l’État est, quant à lui, contraire au principe d’universalité budgétaire prévu par la loi organique n° 2001-692 du 1er août 2001 relative aux lois de finances.

*

* *

La Commission examine l’amendement CL74 de Mme Danièle Obono.

Mme Danièle Obono. La compétence d’établir des sanctions pécuniaires octroyée à la CNIL prend de nouvelles dimensions à la suite de la répartition des compétences organisée par ce projet de loi. La CNIL voit son rôle d’organe sanctionnant devenir l’une de ses principales missions. L’octroi d’un pouvoir de sanction doit être accompagné d’un strict encadrement des motifs légaux de la sanction, afin qu’une protection optimale des libertés fondamentales de tous et toutes soit assurée. Ainsi, cet amendement dessine les conditions du bien-fondé légal de la sanction. Cela permettrait non seulement à la CNIL mais également aux organes juridictionnels de même qu’aux citoyens et citoyennes d’évaluer au plus juste le sens et donc le fondement de la sanction.

Mme Paula Forteza, rapporteure. Nous avons déjà eu cette discussion. Il est bien précisé, à de nombreuses reprises, dans le RGPD, que les mesures prises doivent être appropriées, nécessaires et proportionnées. Fixer une grille d’astreinte serait aller un peu trop loin, et il faut laisser une marge de manœuvre à la CNIL pour décider des sanctions qu’elle doit prononcer.

La Commission rejette l’amendement.

Puis elle adopte l’amendement rédactionnel CL58 de la rapporteure.

Elle se saisit ensuite de l’amendement CL76 de Mme Danièle Obono.

Mme Danièle Obono. Le législateur européen n’ayant pas, en l’état du règlement RGPD, épuisé sa compétence sur le cas précis d’une récidive, nous pouvons tout à fait décider de préciser et compléter les dispositions européennes. Tel est le sens de cet amendement, qui permettra à la CNIL de jouer un rôle plus dissuasif.

Mme Paula Forteza, rapporteure. Les montants fixés par le RGPD nous semblent suffisamment dissuasifs. Le montant de l’amende encourue était, il y a quelques années, de 150 000 euros. Avec le règlement, il passe à 20 millions d’euros ou 4 % du chiffre d’affaires.

Mme Danièle Obono. Peut-être est-ce dissuasif pour certaines entreprises, mais l’actualité nous livre quelques révélations sur les géants du net. Les sanctions encourues devraient donc être revues à la hausse pour que le pouvoir de sanction conféré ait quelque réalité.

La Commission rejette l’amendement.

Elle examine ensuite l’amendement CL59 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Puis elle adopte l’amendement rédactionnel CL60 de la rapporteure.

Elle se saisit ensuite de l’amendement CL61 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Elle en vient à l’amendement CL62 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à revenir au texte de l’Assemblée nationale.

La Commission adopte l’amendement.

Elle adopte ensuite successivement l’amendement de coordination CL63 et l’amendement de précision CL64, tous deux de la rapporteure.

Puis elle adopte l’article 6 modifié.

Article 6 bis (supprimé)
Charte de déontologie pour les fonctions de délégué à la
protection des données dans les administrations publiques

Introduit en séance publique au Sénat à l’initiative de M. Alain Marc (groupe Les Indépendants – République et Territoires), avec un avis de sagesse de la commission des Lois et défavorable du Gouvernement, cet article prévoit que le président de la CNIL établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

En nouvelle lecture, votre commission des Lois l’a toutefois supprimé, à l’initiative de la rapporteure, au motif que la CNIL peut déjà établir des codes de conduite ou des guides de bonnes pratiques reprenant les orientations définies par le « G29 » (4).

*

* *

La Commission examine l’amendement CL65 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement, qui a pour objet de supprimer l’article 6 bis introduit par le Sénat, participe du rétablissement du texte de l’Assemblée nationale.

La Commission adopte l’amendement.

En conséquence, l’article 6 bis est supprimé.

Chapitre II
Dispositions relatives à certaines catégories de données

Article 7
(art. 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Traitement des données « sensibles »

Le présent article a pour objet d’adapter la législation nationale encadrant le traitement des données sensibles aux règles découlant du règlement et de la directive constituant le « paquet européen » adopté en 2016.

Il prévoit principalement d’élargir le champ de ces données aux données biométriques, génétiques ou relatives à l’orientation sexuelle des personnes.

En première lecture, l’Assemblée nationale a complété la liste des exceptions au principe d’interdiction des traitements de données sensibles. Elle a ainsi introduit la possibilité de réutiliser des données de cette nature dans le cadre de la mise à disposition, en open data, des décisions de justice, prévue par la loi du 7 octobre 2016 pour une République numérique, à la condition que cette réutilisation n’ait ni pour objet, ni pour effet de permettre la ré-identification des personnes concernées.

Le Sénat a adopté, quant à lui, deux dispositions visant à :

––  étendre la possibilité pour les employeurs ou les administrations de recourir à des traitements de données biométriques concernant leurs stagiaires et leurs prestataires, lorsque ces traitements sont strictement nécessaires au contrôle de l’accès aux lieux de travail et à leur activité ;

––  compléter la liste des exceptions au principe d’interdiction des traitements de données sensibles aux traitements nécessaires à la recherche publique, à la condition qu’ils soient conformes au règlement européen.

En nouvelle lecture, votre commission des Lois a adopté cet article sous réserve d’une modification rédactionnelle.

*

* *

La Commission adopte l’amendement rédactionnel CL68 de la rapporteure.

Puis elle se saisit de l’amendement CL75 de M. Ugo Bernalicis.

Mme Danièle Obono. Il nous importe de préserver les libertés individuelles. C’est pourquoi nous proposons d’interdire le profilage privé à des fins lucratives. Il s’agit de protéger la partie la plus faible. Le constat est double : d’une part, les pratiques commerciales de récolte des données, entre absence d’information et traitement automatisé, ne respectent pas le consentement des personnes ; d’autre part, l’usage des données individuelles constitue une création de richesses à l’insu des utilisateurs et des utilisatrices, par l’alimentation de bases de données. Nous proposons donc de créer un cadre réellement protecteur de nos droits et libertés qui incitera les acteurs français et européens du numérique à investir dans des modèles plus vertueux.

Mme Paula Forteza, rapporteure. Dans la perspective du RGPD, il ne s’agit pas d’interdire l’utilisation de ces technologies, mais de faire en sorte qu’il y ait obligatoirement un consentement, ce qui permettra d’éviter des scandales tels que celui de « Cambridge Analytica ». Il me semble que cet encadrement suffira.

La Commission rejette l’amendement.

Puis elle adopte l’article 7 modifié.

TITRE II
MARGES DE MANœUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

Article 8 A
(art. 2 de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Champ des traitements de données à caractère personnel
soumis à la loi « Informatique et libertés »

Le présent article est issu de l’adoption, en séance au Sénat, d’un amendement de Mme Christine Lavarde (groupe Les Républicains), avec un avis favorable de la commission des Lois et de sagesse du Gouvernement.

Il modifie le champ d’application matérielle de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de mettre en cohérence les traitements de données à caractère personnel qui seront soumis à ses dispositions avec les nouvelles règles prévues par les articles 2 (5) et 4 (6) du règlement général sur la protection des données.

À cette fin, l’article 2 de la loi de 1978 est modifié afin de préciser qu’elle s’appliquera aux traitements automatisés, « en tout ou partie », de données à caractère personnel () et que constitue un fichier de données à caractère personnel « tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » ().

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 8 A sans modification.

Chapitre II
Dispositions relatives à la simplification des
formalités préalables à la mise en œuvre des traitements

Article 9
(art. 22 à 25 et 27 de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés et 226-16-1 A du code pénal)

Suppression des formalités préalables, sauf pour certains traitements
de données personnelles particulièrement sensibles

Le présent article, tirant les conséquences de la nouvelle logique de conformité et de responsabilité posée par le règlement général sur la protection des données, supprime la plupart des formalités préalables obligatoires avant la mise en œuvre d’un traitement – déclaration, autorisation par la Commission nationale de l’informatique et des libertés (CNIL) ou par décret en Conseil d’État pris après avis de la CNIL – sauf pour certains traitements d’une sensibilité particulière –traitements utilisant le numéro de sécurité sociale (NIR) et traitements de données biométriques ou génétiques opérés par l’État.

En première lecture, l’Assemblée nationale n’avait apporté à ce dispositif que des modifications rédactionnelles et a réparé une omission.

Le Sénat a également approuvé l’économie générale de cet article en adoptant seulement un amendement de coordination visant à inscrire ici plutôt qu’à la fin du texte l’abrogation de l’article 226-16-1 A du code pénal sanctionnant le non-respect des formalités supprimées.

En nouvelle lecture, votre commission des Lois, sur proposition de votre rapporteure, est revenue sur l’introduction par le Sénat d’une disposition transitoire en lien avec l’abrogation de l’article 226-16-1 A précité. Une telle disposition n’est en effet possible qu’en cas de modification des règles de procédure pénale et non de droit pénal de fond.

*

* *

La Commission examine l’amendement CL2 de la rapporteure.

Mme Paula Forteza, rapporteure. Il s’agit de modifier une erreur dans le texte adopté par le Sénat.

La Commission adopte l’amendement.

Elle adopte ensuite l’article 9 modifié.

Chapitre III
Obligations incombant aux responsables de traitement et à leurs sous-traitants

Article 10 bis
(art. 34 de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Inclusion du chiffrement de bout en bout dans le champ
de l’obligation de sécurité des responsables de traitements

Le présent article est issu de l’adoption, en séance publique au Sénat, d’un amendement de Mme Esther Benbassa (groupe Communiste, républicain, citoyen et écologiste), avec l’avis favorable de la commission des Lois et défavorable du Gouvernement.

Il tend à préciser la portée de l’obligation de sécurité à laquelle sont soumis les responsables de traitements en vertu de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. En vertu de cette nouvelle rédaction, la sécurité des données impliquera notamment, « chaque fois que cela est possible », le chiffrement de bout en bout de celles-ci, ce qui exige que « les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données ».

L’article 32 du règlement général sur la protection des données prévoit, en matière de sécurité des traitements, que « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », parmi lesquelles figurent, notamment, la pseudonymisation et le chiffrement des données à caractère personnel.

En nouvelle lecture, sur proposition du Gouvernement et suivant l’avis favorable de la rapporteure, votre commission des Lois a supprimé cet article compte tenu du caractère excessif d’une telle obligation au regard des exigences posées par l’article 32 précité. Le chiffrement de bout en bout ne constitue en effet qu’une mesure de sécurité parmi d’autres, pertinente dans certaines situations seulement, qui ne saurait être imposée systématiquement. Il importe de veiller à ce que la législation en la matière demeure technologiquement neutre afin de laisser les responsables de traitements, sous le contrôle de la Commission nationale de l’informatique et des libertés, apprécier la mesure la plus appropriée au traitement et au risque qu’il présente.

*

* *

La Commission est saisie de l’amendement CL92 du Gouvernement.

Mme Paula Forteza, rapporteure. L’amendement vise à supprimer cet article, adopté à l’initiative du Sénat pour obliger le chiffrement de bout en bout. Je suis favorable à l’utilisation de ces technologies, mais l’obligation prévue me paraît excessive par rapport à la rédaction de l’article 32 du RGPD. Par ailleurs, la loi doit rester technologiquement neutre : le chiffrement est une des technologies susceptibles d’être utilisées pour garantir la sécurité, mais il en existe bien d’autres et des évolutions peuvent avoir lieu. Cette disposition étant trop restrictive, je donne un avis favorable à l’amendement.

La Commission adopte l’amendement.

En conséquence, l’article 10 bis est supprimé.

Chapitre IV
Dispositions relatives à certaines catégories particulières de traitements

Article 11
(art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique,
aux fichiers et aux libertés, L. 111-13 du code de l’organisation judiciaire
et L. 10 du code de justice administrative)

Traitements de données relatives aux condamnations pénales,
aux infractions ou aux mesures de sûreté connexes

Le présent article étend la liste des personnes habilitées à procéder au traitement de données pénales, à des fins autres que la prévention et la répression d’infractions pénales, qui relèvent de la directive (UE) 2016/680, à trois nouvelles catégories d’acteurs :

––  les personnes morales de droit privé collaborant au service public de la justice, telles que les associations d’aide aux victimes ou de réinsertion des personnes sous main de justice ;

––  certaines personnes aux fins de préparation, de suivi et d’exécution d’une action en justice (fichiers « contentieux » ou « précontentieux » d’organismes privés) ;

––  et les réutilisateurs des informations publiques figurant dans les décisions de justice.

En première lecture, l’Assemblée nationale avait considéré que les garanties apportées à la mise en œuvre de tels traitements étaient appropriées et se conformaient tant aux règles posées par le règlement général sur la protection des données qu’aux exigences posées par le Conseil constitutionnel en 2004 en la matière (7). Elle avait prévu la publication et la motivation de l’avis de la Commission nationale de l’informatique et des libertés (CNIL) sur le projet de décret fixant la liste des personnes morales de droit privé collaborant au service public de la justice habilitées à procéder à de tels traitements.

Sur proposition de sa rapporteure, la commission des Lois du Sénat a profondément modifié ces dispositions :

––  le Sénat est d’abord revenu sur la mise en cohérence de la désignation de ces fichiers avec les termes du règlement général sur la protection des données, qui ne fait plus référence, comme le fait l’article 9 de la loi de 1978, aux « traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté » mais aux traitements de données « relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes » (8(1° du I) ;

–– il a supprimé la possibilité d’effectuer de tels traitements « sous le contrôle de l’autorité publique », comme le prévoit pourtant l’article 10 du règlement général sur la protection des données (1° du I), et rétabli, pour les traitements autres que ceux restant soumis à des formalités préalables, la nécessité d’une autorisation préalable de la CNIL qui existe aujourd’hui (5° du I) ;

––  il a restreint la faculté pour les personnes morales de droit privé collaborant au service public de la justice de procéder à de tels traitements, « dans la mesure strictement nécessairement à l’exercice des missions qui leur sont confiées par la loi » et non « dans la mesure strictement nécessaire à leur mission » (2° du I);

––  il a renforcé l’encadrement des fichiers « contentieux » ou « précontentieux » mis en œuvre par les organismes privés, d’une part en limitant la durée de conservation des données à une durée « strictement » proportionnée à la finalité poursuivie, et, d’autre part, en renvoyant à un décret en Conseil d’État le soin de fixer les modalités d’application de cette disposition, notamment, pour chaque catégorie de données, les durées maximales de conservation des informations, les catégories de personnes autorisées à être les destinataires et les conditions de cette transmission (3° du I) ;

––  il a enfin ajouté des conditions à la mise en œuvre de l’open data des décisions de justice afin de prévenir « tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions » (II).

En nouvelle lecture, votre commission des Lois est revenue sur plusieurs des modifications opérées par le Sénat.

Sur proposition de votre rapporteure, elle a rétabli, au 2°, le texte adopté par l’Assemblée nationale : pour ne pas exclure du dispositif les associations qui bénéficient d’un agrément du ministère de la justice sans que des dispositions législatives consacrent leur mission, les personnes morales de droit privé collaborant au service public de la justice seront autorisées à procéder au traitement de données d’infraction « dans la mesure strictement nécessaire à leur mission », et non « à l’exercice des missions qui leur sont confiées par la loi ».

Toujours à l’initiative de votre rapporteure, elle a supprimé le II, considérant qu’il était impossible d’imposer, comme le proposait le Sénat, que la diffusion des décisions de justice prévienne tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, sauf à effacer des parties entières des décisions avant leur diffusion au public, ce qui les rendrait illisibles et inexploitables.

Le rapport remis par M. Loïc Cadiet sur l’open data des décisions de justice rappelle que la prévention absolue de la réidentification est impossible en pratique, car les décisions de justice contiennent de nombreuses données réidentifiantes. Pour votre rapporteure, la prévention de la réidentification doit donc constituer une obligation de moyens, et non de résultat. Les articles L. 111-13 du code de l’organisation judiciaire et L. 10 du code de justice administrative prévoient déjà que la diffusion doit être précédée d’une analyse du risque de ré-identification des personnes. Il appartiendra au pouvoir réglementaire, dont l’intervention a été prévue par la loi du 7 octobre 2016 pour une République numérique, à l’origine de ces dispositions, de préciser les modalités selon lesquelles sera assurée la protection des identités des professionnels de la justice.

Par ailleurs, suivant l’avis favorable de votre rapporteure, elle a adopté trois amendements du Gouvernement visant à :

––  mettre en cohérence la désignation des traitements concernés avec celle retenue par le règlement européen et en autoriser la mise en œuvre « sous le contrôle de l’autorité publique » comme celui-ci le prévoit () ;

––  à supprimer le renvoi à un décret en Conseil d’État pour fixer les modalités d’application des dispositions relatives aux fichiers « contentieux » ou « précontentieux » () ;

––  à revenir sur le rétablissement par le Sénat d’un régime d’autorisation préalable par la CNIL pour les fichiers autres que ceux mis en œuvre par l’État, conformément à la logique d’allègement des formalités préalables et de responsabilisation du droit européen ().

*

* *

La Commission examine l’amendement CL93 du Gouvernement.

Mme Paula Forteza, rapporteure. Cet amendement vise à rétablir la rédaction adoptée par notre assemblée en ce qui concerne l’article 9 de la loi informatique et libertés.

La Commission adopte l’amendement.

Elle est ensuite saisie de l’amendement CL3 de la rapporteure.

Mme Paula Forteza, rapporteure. À nouveau, je vous propose de rétablir le texte adopté par notre assemblée.

La Commission adopte l’amendement.

Puis elle adopte l’amendement CL4, de précision, de la rapporteure.

Elle examine ensuite l’amendement CL5 de la rapporteure.

Mme Paula Forteza, rapporteure. Je vous propose de supprimer les alinéas 13 à 16 de l’article 11, une fois encore afin de revenir au texte adopté par notre assemblée en première lecture.

La Commission adopte l’amendement.

Puis elle adopte l’article 11 modifié.

Article 12
(art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers
et aux libertés et L. 1461-1 du code de la santé publique)

Traitement de données à des fins archivistiques

Cet article a pour objet de modifier l’article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés de manière à tirer les conséquences de l’article 89 du règlement européen qui accorde aux traitements à des fins archivistiques, statistique ou de recherche scientifique ou historique des dérogations au cadre général de traitement des données personnelles à la condition qu’elles s’accompagnent de garanties appropriées au respect des droits et libertés des personnes concernées.

Adopté sans modification par l’Assemblée nationale, cet article a été complété au Sénat par le renvoi à un décret en Conseil d’État, pris après avis de la CNIL, de la définition des conditions et garanties devant encadrer son application.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 12 sans modification.

Article 12 bis
(art. L. 212-4-1 du code du patrimoine)

Extension de la possibilité de mutualiser
la conservation d’archives numériques

Introduit en séance publique au Sénat à l’initiative de M. Loïc Hervé (groupe Union Centriste), avec l’avis favorable de la commission des Lois et défavorable du Gouvernement, cet article a pour objet d’étendre les possibilités de mutualisation des services publics d’archives (SPA) des collectivités territoriales pour la conservation d’archives numériques.

Alors que cette possibilité ne concerne que les EPCI à fiscalité propre en application de l’article L. 212-4-1 du code du patrimoine, le présent article l’étend aux autres groupements de collectivités territoriales.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 12 bis sans modification.

Article 13
(chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, L. 1121-1, L. 1123-7, L. 1124-1, L. 1461-7 et L. 6113-7 du code de la santé publique)

Traitements des données à caractère personnel dans le domaine de la santé

Cet article a pour objet de regrouper au sein du chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés l’ensemble des dispositions relatives au traitement des données de santé réparties au sein de deux sections présentant pour l’une, les dispositions générales à respecter et, pour l’autre, les dispositions propres aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.

En première lecture, l’Assemblée nationale a apporté des précisions visant à :

––  améliorer la cohérence des procédures relatives au traitement des données de santé, conformément aux recommandations de la CNIL ;

––  inscrire l’ensemble des dispositions relatives à ces traitements à des fins de recherche, d’étude ou d’évaluation en matière de santé dans la section introduite à cet effet par le présent article ;

––  rappeler, conformément à l’article 9 du règlement, que la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public ;

––  circonscrire l’avis de l’Institut national des données de santé (INDS) sur le caractère d’intérêt public que présente une recherche, une étude ou une évaluation portant sur des données personnelles en matière de santé ;

––  aligner les règles applicables aux traitements de l’assurance maladie complémentaire mis en œuvre pour la prise en charge des prestations sur celles prévues pour les traitements de l’assurance maladie obligatoire.

Le Sénat a adopté deux nouvelles dispositions visant à :

––  préciser que les traitements mis en œuvre par l’assurance maladie complémentaire ne peuvent en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux, et la sélection des risques ;

––  à l’initiative du Gouvernement, créer un comité d’audit des traitements portant sur les données du système national des données de santé (SNDS), piloté par l’État et complémentaire aux contrôles réalisés par la CNIL, de manière à accroître les possibilités de contrôle de l’utilisation de ces données particulièrement sensibles.

En nouvelle lecture, votre commission des Lois, à l’initiative de la rapporteure, est revenue sur la précision introduite par le Sénat concernant l’assurance maladie complémentaire puisque les traitements des données de santé qu’elle réalise sont déjà fortement encadrés par le droit en vigueur, notamment pour prémunir les personnes concernées des risques visés par le Sénat.

La Commission a également rendu obligatoire la présence du président de la CNIL ou de son représentant, en tant qu’observateur, au sein du comité d’audit du système national des données de santé (SNDS).

En effet, la protection des données personnelles est une mission qui relève de la CNIL, autorité indépendante, qui a acquis une véritable légitimité en la matière au cours des dernières années.

Elle doit donc assurer sa mission de contrôle sans restriction, tout particulièrement en matière de données santé qui feront l’objet de traitements croissants par les acteurs publics ou privés à l’avenir. Il est donc important qu’elle soit associée, en tant qu’observatrice, à l’activité de ce comité.

*

* *

La Commission examine l’amendement CL66 de la rapporteure.

Mme Paula Forteza, rapporteure. Il s’agit de revenir à la rédaction adoptée par l’Assemblée nationale.

La Commission adopte l’amendement.

Puis elle adopte successivement les amendements de la rapporteure CL69, rédactionnel, et CL67, de coordination.

Elle en vient ensuite à l’amendement CL70 de la rapporteure.

Mme Paula Forteza, rapporteure. Le Sénat a adopté un amendement du Gouvernement créant un comité d’audit du système national des données de santé. Je vous propose de rendre obligatoire la présence du président de la CNIL ou de son représentant dans ce comité, à titre d’observateur afin que cette autorité ne soit pas tenue à l’écart d’un contrôle qui entre dans ses missions fondamentales.

La Commission adopte l’amendement.

Puis elle adopte successivement les amendements rédactionnels CL87 et CL86 de la rapporteure.

Elle adopte ensuite l’article 13 modifié.

Article 13 ter
(art. L. 4123-9-1 du code de la défense, 226-16 et 226-17-1 du code pénal et 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale)

Régime applicable aux fichiers de données dans lesquelles
figure la mention de la qualité de militaire

Introduit en séance publique au Sénat à l’initiative du Gouvernement avec l’avis favorable de la commission des Lois, le présent article prévoit un régime d’autorisation préalable auprès de la CNIL pour les traitements de données à caractère personnel dont la finalité est fondée sur la qualité de militaire des personnes concernées. Il prévoit également la réalisation d’une enquête administrative sur la personne responsable du traitement ainsi que sur les personnes accédant aux données comportant la qualité de militaire. Enfin, des prescriptions techniques peuvent être imposées aux opérateurs privés concernés par le dispositif.

En nouvelle lecture, votre commission des Lois a adopté ce dispositif sous réserve de modifications rédactionnelles.

*

* *

La Commission adopte successivement les amendements CL85, rédactionnel, et CL91, de coordination, de la rapporteure.

Puis la Commission adopte l’article 13 ter modifié.

Chapitre V
Dispositions particulières relatives aux droits des personnes concernées

Article 14 A
(art. 7 bis [nouveau] de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Consentement des mineurs

Le présent article avait été inséré dans le projet de loi en première lecture par la commission des Lois de l’Assemblée nationale sur l’initiative de votre rapporteure.

Utilisant une marge de manœuvre du règlement général sur la protection des données, il abaissait à 15 ans l’âge, fixé par défaut à 16 ans, à partir duquel un mineur peut consentir seul au traitement des données qui le concernent dans le cadre d’une offre directe de services de la société de l’information, principalement les réseaux sociaux, exigeait le double consentement des parents et du mineur en-dessous de cet âge et soumettait les responsables de traitements à une obligation d’information des mineurs dans des termes adaptés à leur âge.

Sur proposition conjointe de sa rapporteure et de M. Henri Leroy (groupe Les Républicains), la commission des Lois du Sénat a supprimé cet article afin de maintenir cet âge à 16 ans, compte tenu de la position défendue au niveau européen par la France lors des négociations sur le règlement et des interrogations soulevées par la fixation d’un âge pertinent en la matière, qui « révèlent avant tout un problème de société qui doit être réglé par le développement d’une véritable éducation au numérique dotée de moyens à la hauteur des enjeux » (9).

En nouvelle lecture, votre commission des Lois a adopté deux amendements identiques de la rapporteure et de M. Philippe Gosselin rétablissant le texte adopté par l’Assemblée nationale en première lecture.

*

* *

La Commission examine les amendements identiques CL6 de la rapporteure et CL1 de M. Philippe Gosselin.

Mme Paula Forteza, rapporteure. Nous en avons déjà parlé lors de la discussion générale : je vous propose de rétablir à quinze ans l’âge de la majorité numérique. C’est un sujet qui a fait l’objet d’un large consensus dans notre assemblée.

M. Philippe Gosselin. L’amendement CL1 a le même objet. L’ensemble des groupes a en effet retenu l’âge de 15 ans. Pour une fois qu’il existe un consensus, suivons-le.

M. Rémy Rebeyrotte. Le Sénat a trop tendance à suivre le Gouvernement (Sourires).

Mme la présidente Yaël Braun-Pivet. Il y a souvent des consensus à la commission des Lois. C’en est un de plus : ne nous privons pas.

La Commission adopte ces amendements.

En conséquence, l’article 14 A est ainsi rétabli.

Article 14
(art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers
et aux libertés, L. 311-3-1 du code des relations entre le public et l’administration
et L. 612-3 du code de l’éducation)

Décisions administratives automatisées

Le présent article propose d’ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées prises sur le fondement d’un algorithme, dans le seul champ des décisions administratives individuelles, à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de maîtrise des traitements, de droit au recours et de données traitées.

En première lecture, l’Assemblée nationale a clarifié, sur proposition de la rapporteure, les exceptions au principe selon lequel aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données et les garanties minimales à respecter dans ces cas-là.

Au Sénat, une réécriture globale de l’article a été proposée de manière à :

–– distinguer les décisions produisant des effets juridiques pour les personnes concernées, qui seraient soumises à certaines obligations de transparence, de celles qui n’en produisent pas ;

–– restreindre le champ des décisions pouvant être prises sur le fondement d’un traitement algorithmique aux cas n’appelant aucun pouvoir d’appréciation de la part de l’administration et permettre à la personne concernée d’exprimer son point de vue et de contester la décision ;

–– prévoir que l’absence de mention du recours à un algorithme dans le texte d’une décision administrative puisse être une cause de nullité ;

–– permettre la publication des algorithmes utilisés dans le cadre de la procédure nationale de préinscription dans une formation de premier cycle dispensée par un établissement public, soit en l’espèce de la plateforme d’admission « Parcoursup ».

En nouvelle lecture, votre commission des Lois, à l’initiative de la rapporteure, a modifié cet article de manière à revenir sur :

––  la restriction du recours aux algorithmes pour les seules décisions produisant des effets juridiques, introduite par le Sénat, qui n’est pas conforme au règlement européen ;

––  des incertitudes juridiques quant aux conditions à respecter pour recourir à un algorithme dans le cas de décisions administratives individuelles, ainsi que sur le champ des décisions concernées ;

––  la suppression de l’obligation d’apporter une information individualisée aux personnes concernées par une décision administrative recourant à un algorithme.

En effet, sur ce dernier point, le droit en vigueur, issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, permet d’assurer la transparence du recours aux algorithmes par l’administration et il convient de ne pas y revenir.

*

* *

La Commission examine l’amendement CL84 de la rapporteure.

Mme Paula Forteza, rapporteure. Mon amendement vise à rétablir la rédaction de l’alinéa 4 telle qu’elle a été adoptée par notre assemblée.

La Commission adopte l’amendement.

Elle est ensuite saisie de l’amendement CL83 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement a le même objet que le précédent, s’agissant de l’alinéa 5.

La Commission adopte l’amendement.

Puis elle examine l’amendement CL78 de M. Ugo Bernalicis.

Mme Danièle Obono. L’article 14 prévoit un recours accru au profilage administratif. Dans l’intérêt des droits et libertés numériques et afin d’éviter les biais discriminants, nous estimons que les algorithmes utilisés pour la prise des décisions publiques doivent nécessairement être soumis à un contrôle citoyen, avec les équipes d’inspection de la CNIL. Cet amendement permettrait à nos concitoyens de prendre connaissance de certains algorithmes et de les évaluer directement, en particulier celui d’Admission post-bac (APB) – mais on peut aussi penser à ceux de Pôle emploi. Nous nous inspirons notamment des constats et des conclusions du rapport sur les modalités de régulation des algorithmes de traitement des contenus qui a été remis au secrétaire d’État en charge du numérique en mai 2016. Cette mesure complétera une première ouverture importante, issue de la loi sur la République numérique, qui est le droit d’accès et d’information. Notre amendement permettra de renforcer la citoyenneté numérique en encadrant l’utilisation des algorithmes. Nous espérons qu’il y aura un consensus sur ce sujet, dans la lignée des travaux du Sénat.

Mme Paula Forteza, rapporteure. Je suis entièrement d’accord avec vos propos, mais cette disposition ne me paraît pas nécessaire. La CNIL réalise déjà ce travail sur les algorithmes – elle l’a notamment fait en ce qui concerne APB. Par ailleurs, la transparence permettra à de nombreux acteurs de se saisir du sujet, au-delà de la CNIL, – à l’instar de l’Institut national de recherche en informatique et en automatique (INRIA) et de nombreuses associations. Je donne donc un avis défavorable.

La Commission rejette l’amendement.

Elle examine ensuite l’amendement CL81 de la rapporteure.

Mme Paula Forteza, rapporteure. Je vous propose de revenir à la rédaction adoptée par notre assemblée, en supprimant l’alinéa 10.

La Commission adopte l’amendement.

Puis elle adopte l’article 14 modifié.

Article 14 bis A
(art. L. 121-4-2 [nouveau] du code de l’éducation)

Transparence du traitement des données scolaires

Le présent article résulte de l’adoption par le Sénat, en séance publique, d’un amendement de M. Alain Marc (groupe Les Indépendants – République et Territoires), avec un avis de sagesse de la commission des Lois et défavorable du Gouvernement.

Il inscrit, au sein d’un nouvel article L. 121-4-2 du code de l’éducation, l’obligation pour les établissements d’enseignement scolaire de mettre à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité, afin, notamment, que les parents d’élèves puissent savoir comment les données de leurs enfants sont traitées par les établissements d’enseignement public.

Cette disposition est la reprise d’un amendement que votre rapporteure avait déposé puis retiré en première lecture au bénéfice d’un travail d’écriture en lien avec le Gouvernement autour des registres tenus par les chefs d’établissement.

En nouvelle lecture, votre commission des Lois, tout en approuvant le principe d’une telle obligation, en a clarifié la rédaction en prévoyant que la publication des traitements portera sur le registre que devra élaborer chaque établissement en application du règlement européen, qui sera de fait réalisé dans un format accessible à tous et aisément réutilisable, et en précisant que cette publication s’imposera aux établissements publics d’enseignement scolaire.

À l’initiative du Gouvernement et suivant l’avis favorable de votre rapporteure, elle a reporté, à l’article 24 du projet de loi, l’entrée en vigueur de cette obligation au 1er septembre 2018 afin de laisser aux établissements concernés le temps de se préparer (10).

*

* *

La Commission est saisie de l’amendement CL7 de la rapporteure.

Mme Paula Forteza, rapporteure. Nous avons débattu en première lecture de l’importance de la protection des données scolaires, et un dialogue a été engagé avec le Gouvernement afin de trouver le bon dispositif dans ce domaine. Je suis heureuse de vous dire que nous sommes parvenus à un accord : il s’agit de mettre à la disposition du public le registre prévu par le RGPD en ce qui concerne les traitements mis en œuvre par les établissements publics d’enseignement scolaire.

M. Philippe Latombe. Sur ce point important, la discussion qui a eu lieu avec le Gouvernement nous satisfait. Nous voterons donc cet amendement.

La Commission adopte l’amendement.

Puis elle adopte l’article 14 bis A modifié.

Article 14 bis
(art. 32 de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Information des mineurs

Le présent article a été inséré dans le projet de loi, en première lecture, par l’Assemblée nationale à l’initiative d’un amendement présenté en séance publique par M. Philippe Gosselin, avec l’avis favorable de la Commission et du Gouvernement.

Il renforce l’obligation d’information à la charge des responsables de traitements en leur imposant, lorsque des données personnelles sont collectées auprès d’un mineur, que les éléments qui lui sont transmis le soient « dans un langage clair et facilement compréhensible ».

Initialement, le seuil en-dessous duquel cette obligation particulière avait vocation à s’appliquer avait été fixé à 15 ans, par cohérence avec l’article 14 A relatif à l’âge du consentement. Par coordination avec le relèvement à 16 ans de cet âge, la commission des Lois du Sénat a rendu cette obligation applicable lorsque le mineur est âgé de moins de 16 ans.

En nouvelle lecture, par cohérence avec l’article 14 A, votre commission des Lois a adopté un amendement de la rapporteure rétablissant à 15 ans l’âge en-dessous duquel cette obligation s’appliquera.

*

* *

La Commission adopte l’amendement de cohérence CL8 de la rapporteure.

Elle adopte ensuite l’article 14 bis modifié.

Chapitre VI
Voies de recours

Article 16 A
(art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Action de groupe en réparation des préjudices matériels et moraux

Le présent article, inséré dans le projet de loi, en première lecture, à l’initiative de votre rapporteure, a pour objet d’étendre la possibilité pour les associations agréées d’exercer une action de groupe, avec ou sans mandat, afin d’obtenir la réparation des préjudices matériels et moraux subis par les personnes concernées par la violation de leurs données personnelles par un responsable de traitement ou son sous-traitant.

En l’état du droit, l’action de groupe en constatation d’un manquement du responsable de traitement ou de son sous-traitant, introduite par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, ne prévoit pas la possibilité de demander la réparation des préjudices subis. Le droit européen offrait cependant une marge de manœuvre en la matière.

La commission des Lois du Sénat, sur proposition de sa rapporteure, a apporté deux précisions à ce dispositif :

––  en prévoyant que l’action de groupe pourra être exercée en cas de manquement aux dispositions de la loi française mais aussi du règlement européen ;

––  et en veillant à ce que la Commission nationale de l’informatique et des libertés soit informée par le demandeur de l’introduction d’une action de groupe afin d’être effectivement en mesure d’exercer son nouveau droit de présenter des observations devant toute juridiction.

Tout en acceptant cette évolution, favorable à un renforcement de la protection des données personnelles, elle en a sensiblement modifié la portée :

––  d’une part, elle a soumis à un agrément de l’autorité administrative – « subordonné à l’activité effective et publique de l’association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance » – la faculté pour une association d’exercer une action de groupe en matière de données personnelles ;

––  d’autre part, elle a différé de deux ans, au 25 mai 2020, son entrée en vigueur en précisant que « la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 25 mai 2020 » (11).

En nouvelle lecture, sur proposition de la rapporteure, votre commission des Lois est revenue sur ces deux dernières évolutions. Elle a supprimé l’agrément des associations, estimant que le risque de « multiplication de recours abusifs » n’était pas avéré et qu’un tel agrément allait à l’encontre de l’esprit de cet article dont l’objet est de renforcer les prérogatives des citoyens face aux éventuels manquements graves de responsables de traitements dans la protection de leurs données personnelles. Elle a prévu que l’action de groupe en réparation s’appliquerait immédiatement, pour les préjudices dont les faits générateurs interviendraient après l’entrée en vigueur du texte de loi, le délai de deux ans proposé par le Sénat n’apparaissant pas suffisamment justifié.

*

* *

La Commission adopte successivement les amendements rédactionnels CL9 et CL10 de la rapporteure.

Puis elle examine l’amendement CL11 de la rapporteure.

Mme Paula Forteza, rapporteure. Je vous propose de revenir à la rédaction adoptée par notre assemblée pour l’entrée en vigueur des actions de groupe en réparation des préjudices subis en matière de données personnelles.

La Commission adopte l’amendement.

Puis elle est saisie de l’amendement CL12 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement a le même objet en ce qui concerne les alinéas 7 et 12.

La Commission adopte l’amendement.

Puis elle adopte l’article 16 A modifié.

Article 16
(art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Introduction d’une possibilité de mandater des associations
pour exercer ses droits aux recours

Le présent article ouvre la possibilité de mandater certaines associations pour exercer une réclamation auprès d’une autorité de contrôle ou former un recours juridictionnel contre une autorité de contrôle ou un responsable de traitement ou un sous-traitant au nom de la personne concernée.

Les associations concernées sont celles régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, les associations de défense des consommateurs représentatives au niveau national et agréées lorsque le traitement affecte des consommateurs ainsi que les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre (12).

Alors que, en première lecture, l’Assemblée nationale n’avait apporté à cet article que des modifications rédactionnelles, la commission des Lois du Sénat, à l’initiative de sa rapporteure, a choisi de ne pas subordonner ce recours par mandataire à l’agrément préalable de l’association par l’autorité administrative, contrairement à ce qu’elle a décidé en matière d’action de groupe.

En nouvelle lecture, votre commission des Lois a adopté un amendement de la rapporteure de cohérence avec la modification proposée à l’article 16 A relative à la suppression de la condition d’agrément pour la mise en œuvre par une association d’une action de groupe en réparation des préjudices subis.

*

* *

La Commission adopte l’amendement CL13, de cohérence, de la rapporteure.

Puis elle adopte l’article 16 modifié.

Article 17
(art. 43 quinquies [nouveau] de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Nouvelle voie de recours en cas de transferts internationaux de données

Tirant les conséquences de l’arrêt Schrems de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 (13), le présent article permet à la Commission nationale de l’informatique et des libertés (CNIL) d’obtenir la saisine de la CJUE afin qu’elle apprécie la validité d’un acte de la Commission européenne permettant le transfert de données personnelles en dehors de l’Union européenne.

Initialement, le dispositif prévoyait que la CNIL puisse demander au Conseil d’État d’ordonner la suspension ou la cessation du transfert de données dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou un sous-traitant, elle estimerait fondés les griefs avancés, dans l’attente de l’appréciation par la CJUE de la validité d’une décision d’adéquation de la Commission européenne ou de tout acte pris par celle-ci autorisant ou approuvant les garanties appropriées pris sur le fondement du règlement général sur la protection des données. Si le Conseil d’État partage les doutes de la CNIL sur la validité de cet acte, il pourra poser une question préjudicielle à la CJUE.

En première lecture, l’Assemblée nationale a, sur proposition de votre rapporteure, supprimé la possibilité ouverte pour le Conseil d’État d’ordonner la cessation du transfert pour ne conserver que la possibilité d’ordonner sa suspension, dans la mesure où la décision du Conseil d’État est nécessairement temporaire.

Le Sénat a apporté à cet article des modifications de nature rédactionnelle et procédé à une coordination dans le code pénal.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 17 sans modification.

Article 17 bis
Obligation pour le responsable du traitement d’être en mesure
de démontrer les mesures prises pour se conformer
aux obligations en matière de consentement

Le présent article résulte de l’adoption, par le Sénat, de dispositions visant à renforcer, pour le consommateur sur internet, la possibilité de consentir à des services diversifiés et offrant de meilleures garanties de protection des données personnelles.

La commission des Lois avait initialement adopté un dispositif issu d’un amendement de M. Claude Raynal (groupe Socialiste et républicain) qui posait la nullité de toute clause contractuelle liant un responsable de traitement et un tiers « lorsqu’elle a pour effet de contraindre ce tiers à ne pas mettre en œuvre, notamment lors de la configuration d’un terminal, toutes les conditions du consentement de l’utilisateur final ». Il était précisé que ces conditions pourraient « consister à proposer à l’utilisateur final le choix entre différents services de communication au public en ligne de nature équivalente et dans des conditions d’utilisation équivalentes, pour lesquels peuvent différer les mesures techniques et organisationnelles de protection des données mises en œuvre par le responsable de traitement ».

Ce dispositif, susceptible de porter atteinte à la liberté contractuelle, a été revu en séance à l’initiative du Gouvernement et avec l’avis favorable de la Commission. La nouvelle rédaction impose au responsable de traitement, lorsque celui-ci repose sur le consentement de la personne concernée, « d’être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final ».

Cette obligation s’inscrit pleinement dans le cadre des exigences posées en matière de consentement par l’article 7 et le considérant 78 du règlement général sur la protection des données (14).

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission examine l’amendement CL89 de M. Éric Bothorel.

M. Éric Bothorel. Nous proposons de rompre avec la logique du consentement présumé de l’utilisateur d’un terminal mobile, à laquelle nous préférons celle du consentement effectif : on pourra choisir librement son service de communication en ligne par un acte positif. Les éditeurs d’applications peuvent signer des accords avec les fabricants de smartphones afin de bénéficier d’une exposition préférentielle, notamment grâce à un affichage par défaut. L’objectif de l’amendement n’est pas d’interdire la conclusion de ce type d’accords, mais d’empêcher qu’ils soient assortis d’une clause d’exclusivité empêchant le fabricant ou l’opérateur de proposer des alternatives à l’application configurée par défaut. Concrètement, chaque éditeur pourra demander que son application soit configurée par défaut, mais on ne pourra pas interdire que les alternatives soient proposées à l’utilisateur – certains éditeurs peuvent être plus protecteurs pour les données personnelles. Pour résumer, chacun pourra conclure des accords d’exposition préférentielle mais sans jamais avoir la possibilité d’évincer la concurrence. Notre amendement ne porte pas atteinte à la liberté contractuelle, mais cherche à ce qu’elle ne soit pas exercée au détriment de l’objectif de protection des données personnelles, qui passe par le libre consentement de l’utilisateur et donc par le libre choix des applications.

Mme Paula Forteza, rapporteure. Nous avons déjà eu plusieurs discussions sur ce sujet et celle d’aujourd’hui n’est probablement pas la dernière… Je veux redire mon soutien à ce que vous proposez, tout en soulignant que nous devons traiter la question dans le cadre d’une réflexion plus large sur la concurrence loyale dans l’industrie du numérique : il faut assurer le respect du droit de la concurrence dans ce domaine, tout en prenant en compte son articulation avec la politique des données, mais aussi avec d’autres types de dispositions telles que la commande publique, les obligations de transparence et la régulation des plateformes et des algorithmes. J’ai engagé un dialogue avec le Gouvernement sur la manière dont nous pourrions mener une réflexion d’ensemble dans un autre cadre. Je vous demande donc de retirer votre amendement afin que nous puissions continuer à échanger d’ici à l’examen du texte en séance.

M. Philippe Gosselin. Je prends note de l’optimisme de la rapporteure mais je rappelle que le texte sera examiné en séance jeudi matin – or nous sommes déjà mardi et il est dix-neuf heures quinze… Je veux bien que le Gouvernement avance et que nos débats soient fructueux mais je doute tout de même que rien de sérieux ne puisse être fait d’ici à jeudi.

L’amendement de nos collègues tourne en fait autour de la question de l’abus de position dominante, qu’on peut bien sûr qualifier, ou non, juridiquement. Au-delà, il pose la vraie question du libre choix et du consentement éclairé. Or il existe aujourd’hui des contrats d’adhésion léonins.

Aussi, j’attends pour jeudi, à défaut d’un texte qui ne pourra nous être présenté avant – je ne suis pas naïf –, des engagements précis du Gouvernement, avec l’appui de la rapporteure et de la majorité, pour que cette question, qui se pose depuis trop longtemps, ne soit pas renvoyée aux calendes grecques.

M. Rémy Rebeyrotte. Le paradoxe veut qu’il y ait un accord général sur la question et que, pour l’instant, nous n’ayons pas réussi à trouver les mots grâce auxquels nous ne serions pas juridiquement « blackboulés ». Il reste quarante-huit heures, certes…

M. Philippe Gosselin. Trente-six !

M. Rémy Rebeyrotte. En effet. Ce n’est pas faute pour les administrateurs, le Gouvernement et nos collègues auteurs de l’amendement d’avoir essayé de trouver le bon véhicule et les bons mots... J’espère encore que nous allons y parvenir d’autant que, je le répète, il y a un consensus pour que nous avancions.

M. Philippe Latombe. Nous partageons tous ce qui a été dit sur le fond et sur le problème que pose la forme. Soit nous parvenons à trouver la bonne formulation d’ici à jeudi et c’est tant mieux car nous la soutiendrons tous ; soit nous n’y arrivons pas et alors tâchons de trouver un nouveau vecteur. Si nous adoptions l’amendement tel quel, le texte s’en trouverait juridiquement fragilisé. Le retrait est donc sans doute la meilleure solution pour peu que la rapporteure et le Gouvernement s’engagent à proposer une nouvelle formulation jeudi matin en séance.

M. Cédric Villani. Comme nos collègues l’ont souligné, il y a un consensus sur le fond pour trouver un bon équilibre, sur des questions très sensibles, entre la liberté de l’entreprise et celle du consommateur. Nous nous étions d’ailleurs exprimés sur le sujet au cours de la première lecture en séance.

Nous allons dans l’immédiat retirer l’amendement mais qu’il soit clair qu’il se réincarnera en séance au cours des trente-six prochaines heures avec un nouveau choix de mots. Nous aurons d’autres sujets de discussion, à l’avenir, à n’en pas douter, sur l’intelligence artificielle par exemple, où le choix des mots sera beaucoup plus délicat.

M. Éric Bothorel. Je ne prise ni le péril ni la gloire et face au dilemme cornélien auquel vous me soumettez, soit maintenir un amendement qui recueille le consensus de nos collègues mais contre l’avis de la rapporteure, il est en effet sage d’envisager son retrait. Pour tout vous dire, nous travaillons déjà à une nouvelle rédaction à laquelle l’échec de la commission mixte paritaire (CMP) et l’accélération du calendrier ne nous ont pas permis d’aboutir.

Nous présenterons donc un nouvel amendement en séance. L’objectif est raisonnable compte tenu de l’enjeu.

M. Philippe Gosselin. Un amendement ressuscité en moins de trois jours !

M. Cédric Villani. Réincarné !

M. Éric Bothorel. Ce n’est pas saint Lazare, il s’agit bien ici de réincarnation. (Sourires.)

Mme Paula Forteza, rapporteure. Je m’engage personnellement à travailler sur la concurrence loyale dans l’industrie du numérique, sujet beaucoup plus large que ce cas particulier.

L’amendement est retiré.

La Commission adopte l’article 17 bis sans modification.

Article 17 ter (supprimé)
(art. L. 420-2-3 [nouveau], L. 420-3, L. 420-4, L. 450-5, L. 462-3, L. 462-5, L. 462-6, L. 464-2 et L. 464-9 du code de commerce)

Prohibition de l’exploitation abusive d’une position dominante
sur le marché des services de communication au public en ligne
en subordonnant la vente d’un terminal à l’achat d’un service

Le présent article est issu de l’adoption, en séance au Sénat, d’un amendement de Mme Catherine Morin-Desailly (groupe Union centriste), contre l’avis du Gouvernement mais avec l’avis favorable de la commission des Lois.

Comme le précédent article, il vise à davantage encadrer la vente liée de matériels informatiques et d’applications ou services préinstallés afin d’élargir le libre choix par les consommateurs de leurs outils numériques (moteur de recherche sur internet, système d’exploitation pour un ordinateur ou un smartphone…). Il s’inscrit, toutefois, dans le domaine du droit de la concurrence.

Le code de commerce prohibe déjà « l’exploitation abusive par une entreprise (…) d’une position dominante sur le marché intérieur », de tels abus pouvant notamment « consister (…) en ventes liées » (article L. 420-2), et sanctionne de nullité « tout engagement, convention ou clause contractuelle se rapportant à une pratique prohibée » (article L. 420-3).

Pour l’auteure de l’amendement, les moyens offerts par le droit de la concurrence pour lutter contre les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants, ne sont pas opérants dans la mesure où « le marché de ces services et celui des matériels constituent deux marchés distincts au sens du droit de la concurrence » (15).

C’est pourquoi il est proposé de créer, dans ce même code, un nouvel article L. 420-2-3 qui prohibe, « lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service » (). Seraient également frappés de nullité les engagements, conventions et clauses contractuelles se rapportant à une telle pratique ().

Les sanctions encourues seraient celles que peut prononcer l’Autorité de la concurrence en matière de pratiques anticoncurrentielles, en particulier des sanctions pécuniaires ().

En nouvelle lecture, suivant l’avis favorable de la rapporteure, votre commission des Lois a adopté un amendement du Gouvernement supprimant cet article pour trois motifs :

––  l’article L. 420-2 du code de commerce permet déjà de viser n’importe quelle pratique abusive mise en œuvre par une entreprise détenant une position dominante sur n’importe quel marché, y compris la vente liée qui est expressément mentionnée ;

––  en ciblant le cas particulier des ventes liées sur le marché des services de communication au public en ligne, une telle disposition créerait des risques d’interprétation a contrario et un risque d’obsolescence dans un secteur de forte innovation ;

––  en n’inscrivant la pratique prohibée que dans le code de commerce français, cet article soulève des questions de compatibilité avec l’application du droit de la concurrence qui est partagée entre les autorités de concurrence nationales et la Commission européenne, ce qui se retrouve par la mention des pratiques réprimées à la fois dans le règlement de 2003 et le code de commerce.

*

* *

Suivant l’avis favorable de la rapporteure, la Commission adopte l’amendement CL94 du Gouvernement visant à supprimer l’article.

En conséquence, l’article 17 ter est supprimé.

TITRE III
DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL

Article 18
(art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Création d’un droit d’information de la personne et suppression du caractère indirect des droits d’accès, de rectification, d’effacement et de limitation

L’article 18 modifie les conditions d’exercice des droits reconnus à la personne concernée par un traitement de données pénales ou intéressant la sûreté de l’État, la défense ou la sécurité publique mis en œuvre par les autorités publiques en vue de les aligner sur celles prévues par la directive (UE) 2016/680 relative aux fichiers de police et de justice :

––  il lève l’exclusion du droit d’information de la personne dans le cas des traitements ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté et pour ceux ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ;

––  il supprime le caractère indirect de l’exercice des droits d’accès, de rectification et d’effacement pour les traitements qui ont pour mission de prévenir, rechercher ou constater des infractions.

En première lecture, l’Assemblée nationale n’avait apportée à cet article que des modifications rédactionnelles.

Le Sénat, en séance, sur proposition de M. Jérôme Durain (groupe Socialiste et républicain), avec l’avis favorable de la commission des Lois mais contre celui du Gouvernement, a supprimé, à l’article 42 de la loi du 6 janvier 1978, le caractère indirect de l’exercice des droits d’accès, de rectification et d’effacement pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public consistant à « contrôler ou recouvrer des impositions ».

Cette modification a pour conséquence pratique de supprimer le droit d’accès indirect au fichier national des comptes bancaires et assimilés (FICOBA), seul traitement de l’administration fiscale aujourd’hui soumis à un tel régime.

En nouvelle lecture, sur proposition de la rapporteure, votre commission des Lois a rétabli l’exercice indirect du droit d’accès aux traitements de l’administration aux fins de contrôler ou de recouvrer des impositions. En pratique, la suppression du droit d’accès indirect au FICOBA et l’obligation pour l’administration de restituer, à la requête de n’importe quel contribuable, la liste des comptes bancaires qu’elle lui connaît, permettrait aux contribuables fraudeurs de transférer leurs fonds sur des comptes non connus par l’administration fiscale, fragilisant d’autant la politique de lutte contre la fraude fiscale menée par les pouvoirs publics. Il est également à noter que le droit européen autorise les exceptions au droit d’accès direct pour garantir « d’autres objectifs importants d’intérêt public général de l’Union ou d’un État, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal ».

*

* *

La Commission examine l’amendement CL14 de la rapporteure.

Mme Paula Forteza, rapporteure. Le présent amendement vise à rétablir la rédaction de l’Assemblée en première lecture.

La Commission adopte l’amendement.

Puis elle adopte l’article 18 modifié.

Article 19
(art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés)

Dispositions applicables aux fichiers de police et de justice

Le présent article transpose dans notre droit les dispositions de la directive (UE) 2016/680 relative aux traitements de données personnelles par la police et les autorités judiciaires en matière pénale dans quatre domaines principaux : les principes généraux applicables à ces fichiers, les obligations incombant aux autorités et responsables de traitements, les droits reconnus aux personnes concernées, assortis des restrictions susceptibles d’affecter leur portée ou leur exercice, ainsi que les conditions de transfert des données vers des États n’appartenant pas à l’Union européenne.

En première lecture, l’Assemblée nationale avait approuvé l’économie générale de cet article en y apportant de nombreuses améliorations rédactionnelles, en renforçant les conditions applicables à la conservation des données pénales traitées et en précisant le champ de l’obligation de notification à la personne concernée en cas de restriction de ses droits ainsi que les modalités de transmission des informations communiquées à celle-ci par le responsable du traitement.

Le Sénat a également approuvé la plupart des dispositions contenues dans cet article. Sa commission des Lois, sur proposition de sa rapporteure, lui a toutefois apporté neuf modifications :

––  elle a rétabli l’autorisation préalable de la Commission nationale de l’informatique et des libertés (CNIL) pour les fichiers en matière pénale relevant de la directive autres que ceux mis en œuvre pour le compte de l’État (article 70-3) ;

––  elle a soumis le traitement ultérieur des données aux principes de nécessité et de proportionnalité (article 70-6) ;

––  elle a modifié la rédaction de l’interdiction des décisions de justice fondées sur le profilage ou exclusivement sur un traitement automatisé de données (article 70-9) ;

––  elle a précisé que le contrat liant le sous-traitant au responsable du traitement devrait comporter les mesures techniques et organisationnelles destinées à assurer la sécurité du traitement (article 70-10) ;

––  elle a transformé en obligations de résultat les trois obligations – de moyens dans le texte adopté par l’Assemblée nationale – de distinguer les données fondées sur des faits de celles reposant sur des appréciations (article 70-8), de vérifier la qualité des données avant transmission ou mise à disposition du fichier (article 70-11) et de distinguer les données relevant de différentes catégories de personnes – suspects, coupables, victimes et tiers (article 70-12) ;

––  elle a étendu la liste des informations communiquées à la personne concernée à l’identité et aux coordonnées des sous-traitants ainsi qu’aux « stipulations du contrat de sous-traitance relatives à la protection des données personnelles » (article 70-18) ;

––  elle a limité à un mois le délai de réponse des responsables de traitements aux demandes d’effacement ou de rectification (article 70-20) ;

––  elle a étendu la portée de l’information due par le responsable de traitement à la personne concernée en prévoyant que lorsque la restriction porte sur le droit d’information, le responsable devrait aviser cette personne de la possibilité de saisir la CNIL et d’exercer un recours (article 70-22) ;

––  elle a renvoyé au code de procédure pénale le soin de définir les conditions d’exercice du droit de rectification ou d’effacement des données contenues dans une décision ou un dossier judiciaire au cours d’une procédure pénale (article 70-24).

En nouvelle lecture, votre commission des Lois est revenue sur celles de ces modifications qui soit surtransposaient la directive, soit contrevenaient à l’esprit général du nouveau cadre européen.

Elle a adopté plusieurs amendements du Gouvernement, avec l’avis favorable de votre rapporteure, visant à :

––  supprimer le régime d’autorisation préalable par la CNIL des traitements autres que ceux mis en œuvre par l’État, eu égard à la philosophie générale du projet de loi, fondée sur l’allègement des formalités préalables et la responsabilisation accrue des acteurs, et compte tenu de l’existence d’autres garanties suffisantes pour limiter les risques de ces traitements pour les droits et libertés des personnes concernées (analyse d’impact préalable, consultation de la CNIL…) ;

––  rétablir les trois obligations de moyens – de distinction des données fondées sur des faits de celles fondées sur des appréciations, de vérification des données avant leur transmission à des tiers et de distinction des données selon les catégories de personnes concernées (coupables, mises en cause, victimes, tiers…) – que le Sénat avait transformées en obligations de résultat, ce qui n’était ni exigé par la directive, ni réaliste pour les autorités compétentes ;

––  revenir au texte de l’Assemblée nationale imposant aux responsables de traitement de répondre « dans les meilleurs délais » aux demandes d’effacement ou de rectification qui leur sont adressées, par souci de cohérence avec les délais actuels et conformément aux dispositions de la directive ;

––  rétablir le texte de l’Assemblée nationale s’agissant des obligations du responsable de traitement lorsque le droit à l’information de la personne concernée est limité : dans ce cas, il devra seulement aviser la personne de la possibilité de saisir la CNIL, cette dernière devant seule l’informer de sa possibilité d’exercer un recours juridictionnel.

Enfin, sur proposition de votre rapporteure, elle a rétabli le texte de l’Assemblée nationale sur la liste des informations mises à la disposition des personnes concernées en vertu du droit général d’information, en supprimant l’ajout par le Sénat de l’identité et des coordonnées des sous-traitants ainsi que des stipulations du contrat de sous-traitance relatives à la protection des données personnelles, autant d’informations qui n’étaient pas prévues par le droit européen, relevaient d’intérêts contractuels ou étaient susceptibles de remettre en cause la sécurité du traitement.

*

* *

La Commission adopte successivement les amendements CL16, de précision, et les amendements CL17 et CL18, rédactionnels, de la rapporteure.

Puis, suivant l’avis favorable de la rapporteure, elle adopte l’amendement CL95 du Gouvernement, visant à supprimer l’alinéa 12.

La Commission adopte ensuite, successivement, les amendements rédactionnels CL21, CL23, et CL22, puis l’amendement de précision CL25, de la rapporteure.

Suivant l’avis favorable de la rapporteure, elle adopte l’amendement CL96 du Gouvernement, visant à rétablir le texte de l’Assemblée sur l’obligation de distinction des données fondées sur des faits et celles fondées sur des appréciations.

La Commission adopte ensuite l’amendement de cohérence CL104, de la rapporteure.

Suivant l’avis favorable de la rapporteure, elle adopte successivement les amendements CL97 et CL98 du Gouvernement, visant à rétablir la rédaction de l’Assemblée en première lecture.

Elle adopte ensuite, successivement, les amendements de la rapporteure CL26, de précision, CL27, rédactionnel, CL28, de précision, CL29, rédactionnel, CL15, visant à revenir au texte de l’Assemblée, CL30 et CL31, de précision, et CL32, rédactionnel.

Suivant l’avis favorable de la rapporteure, la Commission adopte l’amendement CL99 du Gouvernement, visant à revenir à la rédaction de l’Assemblée.

Puis elle adopte successivement les amendements rédactionnels de la rapporteure CL33, CL34, CL35 et CL36.

Suivant l’avis favorable de la rapporteure, elle adopte l’amendement CL100 du Gouvernement, qui vise à revenir au texte de l’Assemblée.

Puis elle adopte successivement les amendements rédactionnels de la rapporteure CL37, CL38, CL40, CL39, CL41, CL42, CL43 et CL44.

Enfin, elle adopte l’article 19 modifié.

TITRE III BIS
DISPOSITIONS VISANT À FACILITER L’APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES

(Division et intitulé nouveaux)

Article 19 bis (supprimé)
(art. L. 2335-17 [nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23,
L. 5215-32 et L. 5216-8 du code général des collectivités territoriales)

Dotation communale et intercommunale
pour la protection des données à caractère personnel

Introduit par la commission des Lois du Sénat à l’initiative de sa rapporteure, cet article a pour objet de créer une dotation de l’État en faveur des communes et des établissements publics de coopération intercommunale (EPCI) à fiscalité propre au titre des charges supportées pour se mettre en conformité avec les nouvelles obligations qui leur incombent en application du règlement européen sur la protection des données.

En nouvelle lecture, votre commission des Lois, à l’initiative de la rapporteure, a supprimé cette disposition car l’accompagnement des collectivités territoriales ne repose pas uniquement sur des besoins de financement. La CNIL leur apporte notamment un soutien technique et juridique qu’elle s’est engagée à renforcer au cours des prochaines années.

Par ailleurs, cette dotation de 170 millions d’euros aurait grevé d’autant les autres dotations comprises dans l’enveloppe normée applicable aux dotations de l’État au détriment de politiques publiques importantes pour les territoires.

*

* *

La Commission examine l’amendement CL80 de la rapporteure.

Mme Paula Forteza, rapporteure. Le présent amendement vise à supprimer l’article, introduit par le Sénat, qui vise à créer une dotation de 170 millions d’euros pour les collectivités territoriales.

M. Philippe Gosselin. En première lecture, et de façon consensuelle, nous avions appelé l’attention du Gouvernement et des responsables au sens large sur la nécessité d’être bienveillants à l’égard des petites entreprises, le RGPD impliquant des sujétions particulières et inversant un processus à l’œuvre jusqu’à présent. Ma remarque vaut également pour les petites collectivités et en particulier pour les plus petites d’entre elles : les communes rurales.

J’entends bien la volonté de supprimer la dotation prévue à l’article 19 bis mais je souhaite que le Gouvernement et la majorité prennent néanmoins en compte la question essentielle posée ici par le Sénat.

M. Rémy Rebeyrotte. La situation est similaire pour les très petites entreprises (TPE) et les petites collectivités pour lesquelles, à moins de fichiers particulièrement sensibles, il n’y aura pas de contraintes excessives. Il en ira en revanche différemment de celles employant plus de 250 agents qui, en général, ont déjà un service informatique de cinq ou six personnes. De nombreuses collectivités ont d’ailleurs anticipé les évolutions à venir en nommant une personne responsable des fichiers en question et un délégué à la protection des données personnelles.

Si l’on y ajoute la possibilité de la mutualisation – prévue par mon amendement CL88 rectifié à l’article 19 ter que je retirerai pour des raisons rédactionnelles mais que je proposerai à nouveau en séance dans trente-six heures –, on peut tout à fait imaginer que le dispositif soit administré au niveau de l’intercommunalité au bénéfice de l’ensemble des communes, petites ou grandes. Or charger quelqu’un de la protection des données personnelles, qui aidera élus et agents publics dans leur appréhension du numérique nous semble être une perspective intéressante.

M. Philippe Latombe. Le Sénat a eu la main un peu lourde et nous sommes favorables à la suppression de l’article. Reste que les collectivités doivent intégrer la philosophie du texte indépendamment de l’effet d’aubaine que créerait le versement d’un financement : le RGPD implique des pratiques qui doivent être quotidiennes.

Mme Paula Forteza, rapporteure. Je rappelle que nous avons retenu plusieurs propositions du Sénat en faveur des collectivités territoriales. Il conviendra par ailleurs, au moment de l’examen du projet de loi de finances, de débattre des moyens attribués à la CNIL. La majorité y veillera en tout cas de près.

M. Philippe Gosselin. Puisque vous évoquez les moyens de la CNIL, madame la rapporteure, je saisis cette occasion pour rappeler que la réforme ne se fait pas à droit constant. Quand on regarde ce qui se fait du côté de nos voisins allemands et britanniques, on se rend bien compte que nous sommes très loin du compte – quelques petites centaines d’agents chez nous, contre environ un millier pour les États que j’ai cités –, et ce n’est pas avec les quelques postes – un ou deux – qui vont être créés que la CNIL pourra assumer ses fonctions. La commission doit être en mesure d’assumer ses nouvelles contraintes et obligations : soyons-en les garants. C’est un vrai sujet car, si nous n’y prenons garde, la chute pourrait être vertigineuse.

M. Rémy Rebeyrotte. Les besoins exprimés par la CNIL paraissent assez raisonnables. Le Gouvernement examine dans quelle mesure ils pourraient être satisfaits dès le budget 2019, mais nous sommes effectivement loin des chiffres que vous avez cités pour l’Allemagne. La CNIL semble avoir l’habitude d’une certaine productivité et ne s’inscrit pas du tout dans une logique inflationniste : elle souhaite simplement conduire ses missions dans de bonnes conditions.

M. Philippe Gosselin. Effectivement, il ne s’agit que de quelques dizaines de postes, mais encore faut-il que le besoin exprimé soit entendu, ce qui n’est pas évident dans le cadre budgétaire actuel.

La Commission adopte l’amendement.

En conséquence, l’article 19 bis est supprimé.

Article 19 ter
(art. L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales)

Mutualisation des services fonctionnels des collectivités territoriales
et de leurs groupements

Introduit par la commission des Lois du Sénat, à l’initiative de sa rapporteure, cet article a pour objet de permettre aux communes et aux intercommunalités de mutualiser des services « support » avec d’autres collectivités territoriales ou établissements publics, notamment dans le domaine informatique.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

L’amendement CL88 rectifié a été retiré.

La Commission adopte l’article 19 ter sans modification.

TITRE IV
HABILITATION À AMÉLIORER L’INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES

Article 20
Habilitation à réviser par voie d’ordonnance la loi n° 78-17
du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Le présent article autorise le Gouvernement à prendre par voie d’ordonnance les mesures permettant une remise en forme et en cohérence de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi que les textes voisins et liés afin de garantir une meilleure accessibilité de l’ensemble du droit applicable au traitement des données personnelles.

En première lecture, sur proposition de votre rapporteure, la commission des Lois avait adopté un amendement de précision relatif à l’application outre-mer de ce dispositif.

Au Sénat, cet article a, dans un premier temps, été supprimé par la commission des Lois à l’initiative de sa rapporteure en vue de « signifier au Gouvernement sa vive désapprobation du procédé » et de lui laisser « le soin, s’il le souhaite, de venir en séance devant la représentation nationale rétablir l’habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance » (16).

Il a été rétabli en séance à la suite de l’adoption d’un amendement du Gouvernement modifié par deux sous-amendements présentés par la commission des Lois, l’un précisant expressément que l’ordonnance ne pourra modifier les équilibres auxquels sera parvenu le Parlement, l’autre réduisant à quatre mois le délai offert au Gouvernement pour prendre cette ordonnance.

En nouvelle lecture, suivant l’avis favorable de la rapporteure, votre commission des Lois a adopté un amendement du Gouvernement rétablissant à six mois le délai d’habilitation, compte tenu de l’ampleur du travail de codification à accomplir et de la complexité légistique de cette entreprise.

*

* *

Suivant l’avis favorable de la rapporteure, la Commission adopte l’amendement CL101 du Gouvernement, visant à rétablir la rédaction de l’Assemblée nationale en première lecture.

Puis elle adopte l’article 20 modifié.

Article 20 bis
(sous-section 4 de la section 3 du chapitre IV du titre II et art L. 242-20 du code de consommation et 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique)

Droit à la portabilité des données à caractère personnel
et des données non personnelles

Cet article est issu de l’adoption, en première lecture, par l’Assemblée nationale en séance, d’un amendement de M. Rémy Rebeyrotte, avec l’avis favorable du Gouvernement et de la commission des Lois. Il supprime de notre droit les dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs, dont le principe est désormais régi par le règlement général sur la protection des données en ce qui concerne la portabilité des données personnelles.

Ces dispositions avaient été introduites par l’article 48 de la loi du 7 octobre 2016 pour une République numérique, qui avait institué dans le code de la consommation, à compter du 25 mai 2018, un droit général à la récupération et à la portabilité des données (article L. 224-42-1) :

––  pour les données personnelles, un renvoi était opéré au droit à la portabilité créé par l’article 20 du règlement européen dans le cas de données fournies sur la base d’un consentement ou d’un contrat, garantissant aux personnes le droit de « recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et (…) de transmettre ces données à un autre responsable de traitement » (article L. 224-42-2) ;

––  pour les données n’ayant pas de caractère personnel, un autre régime s’appliquerait aux fournisseurs de services de communication au public en ligne afin qu’ils proposent aux consommateurs une fonctionnalité gratuite leur permettant la récupération de tous les fichiers mis en ligne, toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur, et certaines données associées au compte utilisateur du consommateur facilitant le changement de fournisseur.

La suppression de ces dispositions était justifiée par les difficultés d’articulation entre ces règles nationales et le droit à la portabilité des données prévu par l’article 20 du règlement européen. D’une part, les données à transmettre dans le second cas recoupent celles à communiquer dans le premier, comme en témoigne l’interprétation des notions de droit à la portabilité et de données à caractère personnel par les autorités de contrôle européennes. D’autre part, les modalités de mise en œuvre du droit à la portabilité instauré par la loi pour une République numérique seraient moins aisées, et donc moins favorables, pour les consommateurs que celles qui régissent le droit à la portabilité au niveau européen.

Sur proposition de M. Christophe-André Frassa (groupe Les Républicains), qui fut le rapporteur pour le Sénat du projet de loi pour une République numérique, la commission des Lois du Sénat, suivant l’avis favorable de sa rapporteure, a supprimé cet article, compte tenu de « l’utilité de conserver également un droit spécifique à la récupération et à la portabilité des données n’ayant pas un caractère personnel » (17).

Votre commission des Lois a, en nouvelle lecture, rétabli cet article à l’initiative de la rapporteure, peu convaincue par ces explications : en effet, l’articulation de ces dispositions avec le règlement général sur la protection des données est problématique et source de difficultés juridiques et pratiques, la définition donnée au niveau européen de ce droit et de la notion de données à caractère personnel ne permettant pas de déterminer quelles données pourraient être concernées par ces dispositions.

*

* *

La Commission est saisie de l’amendement CL46 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement vise à rétablir l’article 20 bis dans sa rédaction adoptée par l’Assemblée nationale.

La Commission adopte l’amendement.

L’article 20 bis est ainsi rétabli.

TITRE V
DISPOSITIONS DIVERSES ET FINALES

Article 21
(art. 13, 15, 16, 17, 21, 29, 30, 31, 39, 42, 67, 70 et 71 de la loi n° 78-17
du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Coordinations

Le présent article procède à diverses modifications au sein de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de supprimer celles de ses dispositions qui sont en contradiction avec le règlement (UE) 2016/679 et la directive (UE) 2016/680 du 27 avril 2016 et de réaliser les coordinations rendues nécessaires par les nouvelles dispositions introduites par le présent projet de loi.

Comme l’Assemblée nationale l’avait fait en première lecture, le Sénat a modifié cet article en cohérence avec le résultat de ses délibérations.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 21 sans modification.

Article 22
Mise à disposition du public, dans un format ouvert et aisément réutilisable, de la liste des traitements ayant fait l’objet de formalités préalables

Le présent article maintient, pour les traitements ayant fait l’objet de formalités antérieurement à l’entrée en vigueur de la future loi, l’obligation pour la Commission nationale de l’informatique et des libertés (CNIL) de publier un registre des traitements déclarés ou autorisés arrêté à cette date, pour une durée de dix ans.

En première lecture, votre commission, à l’initiative de votre rapporteure, n’avait apporté qu’une précision au dispositif.

Le Sénat a adopté, en séance, avec l’avis favorable de la commission des Lois, un amendement du Gouvernement tirant les conséquences du maintien, à l’article 9 du présent projet de loi, d’une formalité préalable particulière – un décret-cadre pris après avis motivé et publié de la CNIL – pour les traitements qui nécessitent l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Dans un souci de sécurité juridique, les traitements qui auront été autorisés avant le 25 mai 2018 par un acte réglementaire ou la CNIL et qui ne seraient pas mentionnés dans ce décret-cadre ne seront pas soumis, jusqu’à leur modification et au plus tard jusqu’au 25 mai 2020, à l’obligation d’y être mentionnés.

En nouvelle lecture, votre commission des Lois a adopté cet article sans modification.

*

* *

La Commission adopte l’article 22 sans modification.

Article 23
(art. 230-8, 230-9 et 804 du code de procédure pénale)

Modalités d’effacement des données inscrites
dans les traitements d’antécédents judiciaires

Le présent article tire les conséquences de la décision n° 2017-670 QPC du 27 octobre 2017 par laquelle le Conseil constitutionnel a considéré que les dispositions régissant le traitement des antécédents judiciaires (TAJ), en privant les personnes mises en cause dans une procédure pénale autres que celles ayant fait l’objet d’une décision d’acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d’obtenir l’effacement de leurs données personnelles inscrites dans ce fichier, portaient une atteinte disproportionnée au droit au respect de la vie privée (18).

En première lecture, tout en approuvant cet article, votre commission, sur proposition de votre rapporteure, avait aligné à deux mois les délais laissés aux magistrats compétents pour statuer sur les demandes d’effacement qui leur sont adressées.

À l’initiative de sa rapporteure, la commission des Lois du Sénat a procédé à deux clarifications :

––  elle a précisé que les demandes formulées par les personnes condamnées ne seraient recevables que si plus aucune mention « de nature pénale en lien avec la demande » ne figure dans le bulletin n° 2 du casier judiciaire ;

––  elle a inscrit dans la loi l’interprétation du Conseil d’État selon laquelle l’effacement est de droit pour les demandes portant sur des données dont la collecte au sein du TAJ n’est pas autorisée.

La commission des Lois a par ailleurs apporté deux autres modifications plus substantielles.

D’une part, elle a posé le principe de l’effacement, sauf décision contraire, des données des mis en cause en cas de décision de non-lieu ou de classement sans suite, renversant le principe initialement fixé par le projet de loi selon lequel ces données seraient maintenues, sauf décision contraire, à la différence des situations de relaxe ou d’acquittement où le principe serait l’effacement.

D’autre part, elle a réduit à un mois, soit le délai actuel, le temps laissé aux magistrats pour statuer sur les demandes qui leur sont adressées.

En nouvelle lecture, votre commission des Lois, sur proposition du Gouvernement et suivant l’avis favorable de la rapporteure, a rétabli le texte qu’elle avait adopté en première lecture, en conservant la précision apportée par le Sénat selon laquelle les demandes formulées par les personnes condamnées ne seront recevables que si plus aucune mention « de nature pénale en lien avec la demande » ne figure dans le bulletin n° 2 du casier judiciaire.

Ont été supprimés l’effacement de droit des données relevant d’autres catégories que celles prévues à l’article 230-7 du code de procédure pénale, déjà satisfait par les articles 6 et 40 de la loi du 6 janvier 1978, ainsi que la réduction de deux à un mois du délai de réponse des magistrats, compte tenu de la probable augmentation du nombre de demandes qui résultera des possibilités nouvelles d’effacement anticipé permises par le projet de loi.

Surtout, le principe d’une mention des décisions de non-lieu et de classement sans suite au TAJ, sauf décision d’effacement, a été rétabli. En effet, la situation des personnes ayant fait l’objet d’un classement sans suite ou d’une décision de non-lieu ne peut pas être assimilée aux personnes ayant bénéficié d’une décision définitive de relaxe ou d’acquittement : à titre d’exemple, un classement sans suite ne signifie pas l’absence d’infraction et peut correspondre à la mise en œuvre d’alternatives aux poursuites, la procédure pouvant de surcroît être rouverte en cas de charges nouvelles.

*

* *

Suivant l’avis favorable de la rapporteure, la Commission adopte l’amendement CL102 du Gouvernement, visant à rétablir la rédaction de l’Assemblée nationale en première lecture

Puis elle adopte l’article 23 modifié.

Article 23 bis (suppression maintenue)
(art. L. 1461-7 du code de la santé publique)

Coordination

Cet article a été introduit, en première lecture, par la commission des Lois de l’Assemblée nationale à l’initiative de votre rapporteure, afin de procéder à une coordination au sein du code de la santé publique rendue nécessaire pour maintenir la possibilité pour toute personne qui en fait la demande que ses données de santé ne soient pas mises à la disposition du système national des données de santé.

Cette coordination découlant de l’article 13 du projet de loi, elle a été intégrée à cet article par la commission des Lois du Sénat sur proposition de sa rapporteure.

En nouvelle lecture, votre commission des Lois n’a pas rétabli cet article.

*

* *

La Commission maintient la suppression de cet article.

Article 24
Dispositions d’entrée en vigueur

Le présent article fixe au 25 mai 2018, date à laquelle le règlement général sur la protection des données deviendra directement applicable en droit interne et avant laquelle la directive sur les fichiers de police et de justice doit être transposée, l’entrée en vigueur des titres Ier à III ainsi que des articles 21 et 22 du présent projet de loi, conformément à la date d’entrée en vigueur du règlement (UE) 2016/679.

Une exception est ménagée pour la mise en œuvre de l’obligation de journalisation concernant les traitements relevant de la directive, qui pourra être repoussée, conformément à l’article 63 de celle-ci, au plus tard le 6 mai 2023 et, dans certaines circonstances, le 6 mai 2026.

En première lecture, la commission des Lois de l’Assemblée nationale, sur proposition de votre rapporteure, avait clarifié la rédaction de cet article.

La commission des Lois du Sénat a adopté un amendement de sa rapporteure différant de deux ans, jusqu’au 25 mai 2020, l’entrée en vigueur de l’article 16 A qui étend l’action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux.

En nouvelle lecture, votre commission des Lois a apporté à cet article trois modifications :

––  sur proposition du Gouvernement et avec l’avis favorable de votre rapporteure, elle a reporté à la prochaine rentrée scolaire l’entrée en vigueur des dispositions introduites à l’article 14 bis A relatives à la transparence des traitements de données scolaires, afin de laisser le temps aux établissements publics concernés de se mettre en conformité avec cette nouvelle obligation ;

––  à l’initiative de votre rapporteure, elle a reporté au 1er janvier 2019 l’entrée en vigueur de la disposition adoptée par le Sénat prévoyant la nullité des décisions administratives individuelles prises sur le fondement d’un traitement algorithmique qui ne comporteraient pas la mention prévue à l’article L. 311-3-1 du code des relations entre le public et l’administration. Ce délai supplémentaire doit, en effet, laisser à l’administration le temps nécessaire pour adapter en conséquence l’information délivrée aux citoyens ;

––  toujours à l’initiative de votre rapporteure, elle a supprimée le report de deux années, jusqu’au 25 mai 2020, de la date d’entrée en vigueur de l’action de groupe en réparation des préjudices subis en matière de données personnelles, aucun argument ne justifiant un tel report.

*

* *

La Commission est saisie de l’amendement CL47 de la rapporteure.

Mme Paula Forteza, rapporteure. Il s’agit de revenir à la rédaction adoptée par l’Assemblée nationale.

La Commission adopte l’amendement.

Elle examine l’amendement CL105 de la rapporteure.

Mme Paula Forteza, rapporteure. Cet amendement a pour objet de reporter au 1er janvier 2019 l’entrée en vigueur de la disposition adoptée par le Sénat prévoyant la nullité des décisions administratives individuelles prises sur le fondement d’un traitement algorithmique qui ne comporteraient pas la mention prévue à l’article L.311-3-1 du code des relations entre le public et l’administration.

Ce délai supplémentaire doit laisser à l’administration le temps nécessaire pour s’organiser et adapter en conséquence l’information délivrée aux citoyens.

La Commission adopte l’amendement.

Elle est saisie de l’amendement CL103 du Gouvernement.

Mme Paula Forteza, rapporteure. Le Gouvernement propose de reporter à la rentrée scolaire 2018 l’entrée en vigueur des dispositions que nous avons votées à l’article 14 bis A rendant obligatoire la publication du registre des traitements de données scolaires.

M. Philippe Gosselin. La rédaction de l’amendement CL103 est-elle suffisamment précise quand elle évoque « la rentrée de l’année scolaire 2018-2019 » ? En effet, les dates de rentrée scolaire ne sont pas forcément identiques en outrer-mer et en métropole. Peut-être faut-il revoir la formulation ?

Mme Paula Forteza, rapporteure. C’est justement pour englober toutes les possibilités qu’il a été choisi ne pas préciser une date d’entrée en vigueur, mais nous pourrons vérifier que cette rédaction est bien la plus adaptée.

La Commission adopte l’amendement.

Puis elle adopte l’article 24 modifié.

Elle adopte enfin l’ensemble du projet de loi modifié.

*

* *

En conséquence, la commission des Lois constitutionnelles, de la législation et de l’administration générale de la République vous demande d’adopter, en nouvelle lecture, le projet de loi (n° 809) relatif à la protection des données personnelles dans le texte figurant dans le document annexé au présent rapport.

© Assemblée nationale

1 () Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

2 () Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

3 () « Si la commission mixte ne parvient pas à l’adoption d’un texte commun (…), le Gouvernement peut, après une nouvelle lecture par l’Assemblée nationale et par le Sénat, demander à l’Assemblée nationale de statuer définitivement (…) ».

4 () Instance regroupant l’ensemble des autorités de protection des données personnelles de l’Union européenne.

5 () Le 1 de cet article prévoit que « le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

6 () Le 6 définit la notion de fichier comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

7 () Décision n° 2004-499 DC du 29 juillet 2004, Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

8 () Article 10 du règlement général sur la protection des données.

9 () Rapport (n° 350, session ordinaire de 2017-2018) fait par Mme Sophie Joissains au nom de la commission des Lois sur le projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles, mars 2018, pp. 105-106.

10 () Voir infra, le commentaire de l’article 24.

11 () L’entrée en vigueur différée de cet article figure à l’article 24 du projet de loi.

12 () IV de l’article 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

13 () CJUE, 6 octobre 2015, Maximillian Schrems c/ Data Protection Commissioner, n° C-362/14.

14 () Ce considérant prévoit que « lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent » en la matière.

15 () Exposé sommaire de l’amendement n° 78 rect de Mme Catherine Morin-Desailly.

16 () Rapport (n° 350, session ordinaire de 2017-2018) précité, pp. 183-184.

17 () Rapport (n° 350, session ordinaire de 2017-2018) précité, pp. 185-186.

18 () Décision n° 2017-670 QPC du 27 octobre 2017, M. Mikhail P. [Effacement anticipé des données à caractère personnel inscrites dans un fichier de traitement d’antécédents judiciaires].