N° 2468
_____
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
QUATORZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 16 décembre 2014.
PROPOSITION DE LOI
visant à renforcer la protection des données
à caractère personnel sur internet,
(Renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale
de la République, à défaut de constitution d’une commission spéciale
dans les délais prévus par les articles 30 et 31 du Règlement.)
présentée par Mesdames et Messieurs
Pierre MOREL-A-L’HUISSIER, Dino CINIERI, Yves FOULON, Éric STRAUMANN, Philippe VITEL, Marc LE Fur, Étienne BLANC, Philippe COCHET, Michel TERROT, Yves NICOLIN, Jean-Michel COUVE, Damien ABAD, Marc-Philippe DAUBRESSE, Frédéric REISS, Claude STURNI, Jean-Pierre DECOOL, Guy GEOFFROY, Paul SALEN, Jean-Claude GUIBAL, Nicole AMELINE, Jean-Sébastien VIALATTE, Jean-Claude MATHIS, Alain MARLEIX, Michel HEINRICH, Jean-Pierre DOOR, Michel VOISIN, Jean-Marie TÉTART, Alain MARTY, Alain MOYNE-BRESSAND, Jean-Frédéric POISSON, Patrick HETZEL, Valérie LACROUTE, Julien AUBERT, Hervé GAYMARD, Annie GENEVARD, Fernand SIRÉ, Marie-Louise FORT, Alain GEST, Daniel FASQUELLE et Dominique DORD,
députés.
EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
À l’heure du développement massif du numérique, la protection des données des internautes est essentielle. Ceux-ci se révèlent en quête de maîtrise de leur identité numérique face à l’immense liberté que permet l’internet. Le dispositif mis en place par la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 aout 2004 se révèle déjà insuffisant.
En effet, la Commission nationale de l’informatique et des libertés (CNIL) a reçu 5 738 plaintes en 2011, soit une augmentation de 19 % par rapport à 2010. Dans son rapport annuel de 2013, la CNIL fait état d’environ 1 000 plaintes par an relatives sur la suppression des données.
L’Union européenne s’est saisie très tôt de cet enjeu et a tenté d’harmoniser les législations des États membres. Aujourd’hui, elle souhaite renforcer davantage la protection offerte aux internautes concernant leurs données à caractère personnel.
La France doit accompagner ce mouvement.
D’abord, et face aux hésitations de la jurisprudence sur ce point, la définition des éléments permettant l’identification de la personne ne peut se restreindre au nom, au prénom, à la photographie ou aux données biométriques de la personne, mais doit s’étendre à l’adresse IP de celle-ci. C’est vers cet élargissement que tend l’article 1er de la proposition.
En second lieu, le consentement de la personne concernée par les données doit être encadré lorsqu’il est requis. Aussi doit-il résulter d’un acte positif ainsi que d’une volonté libre et éclairée. L’article 2 de la proposition s’attache donc à éviter que la vie privée d’une personne ne soit exhibée à son insu et ne puisse parfois se retourner contre elle. À ce consentement, ne pourrait déroger, outre les cas déjà prévus par la loi, qu’un intérêt légitime, mais aussi impérieux aux termes de l’article 3 de la proposition. L’article 4 tend également vers un renforcement de la protection de la vie privée en rétablissant l’exigence d’une autorisation préalable par la CNIL concernant les « fichiers régaliens » et les « données sensibles ».
En troisième lieu, la consécration d’un véritable droit à l’oubli est inévitable. L’article 5 tend à faciliter les demandes de suppressions de données en abandonnant l’obligation faite à l’internaute de démontrer que sa demande répond à des « motifs légitimes ». Aussi un renversement de la charge de la preuve est nécessaire, le responsable devant alors démontrer que la demande n’est pas légitime eu égard à l’objectif poursuivi. L’article 6 permet quant à lui de procéder à une demande de suppression par simple courrier électronique afin de ne pas décourager les internautes d’effectuer cette démarche. Toujours dans le sens d’un droit à l’oubli, l’article 7 de la proposition crée une obligation de déréférencement à la charge du responsable du traitement dès lors que la personne a obtenu la suppression de la données la concernant afin qu’aucune trace ne demeure sur internet.
Le droit à l’oubli renvoie également à la question des stockages de données à des fins commerciales. Aussi l’article 8 vise à rendre permanente l’information relative aux finalités du stockage de données et à la faculté de s’opposer à celui-ci.
Dans une optique dissuasive, la publication des sanctions prononcées par la CNIL ne peut demeurer subordonnée, comme en pratique, à la mauvaise foi du responsable du traitement. L’article 9 tend donc à la généralisation de la publicité des sanctions en la matière.
Enfin, le renforcement de la protection passe par la généralisation, prévue à l’article 10, du correspondant informatique et libertés permettant d’assurer une proximité avec le responsable du traitement, tout en imposant à l’article 11 une obligation d’alerte en cas de difficulté.
PROPOSITION DE LOI
Constitue un élément d’identification, tel qu’il est défini au deuxième alinéa de l’article 2 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, l’adresse Internet Protocole (IP) de l’internaute.
Le consentement de la personne concernée par les données à caractère personnel, tel qu’il est visé à l’article 7 de la même loi, doit être explicite, libre et éclairé. La preuve de celui-ci incombe au responsable du traitement.
L’intérêt du responsable du traitement ou du destinataire comme exception au consentement de la personne concernée par les données à caractère personnel, tel qu’il est visé au 5° de l’article 7 de la même loi, doit être légitime et impérieux.
Les traitements mentionnés aux articles 26 et 27 de la même loi font l’objet d’une autorisation préalable.
I. – À l’article 38 de la même loi, les mots : « motifs légitimes » sont supprimés.
II. – Toute personne physique a le droit de s’opposer à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement sous réserve des dispositions de l’article 7 de la loi précitée. Il appartient le cas échéant au responsable du traitement de démontrer que la demande n’est pas légitime au regard de l’objectif poursuivi par le traitement.
La demande de suppression de données à caractère personnel peut s’effectuer par la voie d’un simple courrier électronique au responsable du traitement.
L’obtention par une personne de la suppression d’une donnée à caractère personnel la concernant, engendre une obligation de déréférencement sans délai à la charge des moteurs de recherche.
Au premier alinéa du II de l’article 32 de la même loi, les mots : « , sauf s’il l’a été au préalable, » sont supprimés.
Les sanctions prononcées par la Commission nationale de l’informatique et des libertés sont rendues publiques.
La désignation d’un correspondant informatique et libertés est obligatoire au sein des autorités ou organismes publics, des entreprises de 50 salariés et plus, et tout autre organisme dont les activités consistent en des traitements qui, du fait de leur nature, de leur portée et de leurs finalités, exigent un suivi régulier et systématique.
Lorsque le correspondant informatique et libertés est confronté à une difficulté dans le cadre de l’exercice de ses missions, il doit tenter de résoudre ce problème au sein de son organisme. Si la difficulté persiste sans que le responsable du traitement n’agisse conformément à la recommandation faite par le consultant informatique et liberté, celui-ci doit saisir la Commission nationale de l’informatique et des libertés.
© Assemblée nationale