Protection des données personnelles (Procédure accélérée)
M. le président. - L'ordre du jour appelle la discussion du projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles.
Discussion générale
Mme Nicole Belloubet, garde des sceaux, ministre de la justice . - Ce texte adapte au droit de l'Union européenne la loi de janvier 1978 Informatique et Libertés. Le nouveau cadre juridique européen entre en vigueur en mai prochain. Les textes communautaires, aboutissement d'une longue négociation, traduisent l'ambition de l'Europe dans le domaine de la protection des données personnelles. Pionnière avec la loi du 6 janvier 1978, la France a pris une part très active dans les négociations afin de promouvoir son modèle, qui fait référence. Fruit d'un compromis, le paquet européen adopté le 27 avril 2016 se compose de deux textes : le règlement général sur la protection des données (RGPD) qui fixe le cadre général, et une directive sur les données personnelles en matière pénale.
Le règlement crée un cadre unifié protecteur pour tous les résidents du territoire européen s'appliquant aux fournisseurs de services et à leurs sous-traitants, quelle que soit la localisation du stockage et du traitement des données.
Le règlement crée une procédure de coopération intégrée entre les autorités de protection des données des États membres, gage d'une application uniforme des nouvelles obligations sous l'égide du comité européen à la protection des données. C'est une conception européenne de la protection des données personnelles, conciliant les valeurs du progrès et de la garantie des droits et libertés fondamentales.
Le règlement instaure de nouveaux droits, comme la portabilité des données, mais veut aussi offrir un environnement attractif pour des acteurs économiques plus responsables. Il remplace ainsi le contrôle a priori par un contrôle a posteriori fondé sur l'appréciation des risques par les responsables de traitement, ce qui suppose d'intégrer les exigences de protection très en amont et d'offrir, par défaut, le niveau de protection le plus élevé.
La désignation d'un délégué à la protection des données sera obligatoire dans le secteur public mais des mutualisations seront possibles. Les violations devront être signalées aux autorités et, en cas de risque élevé, aux personnes concernées.
En responsabilisant les acteurs, le projet de loi consacre de nouvelles modalités de régulation, via des outils de droit souple. En contrepartie, les pouvoirs de la CNIL sont renforcés et les sanctions portées jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial consolidé.
La directive s'applique aux traitements de données personnelles à vocation de prévention, de détection, d'enquête ou d'exécution des sanctions pénales. Sont concernés les fichiers des empreintes génétiques, des interdits de stade ou de traitement des antécédents judiciaires (TAJ). Elle n'est pas applicable aux traitements intéressant la sûreté de l'État et la défense, qui ne relèvent pas du droit européen.
La directive crée un droit à l'information de la personne concernée par les données personnelles et consacre un droit d'accès, de rectification et d'effacement ; ils s'exercent directement auprès du responsable de traitement, à la différence du régime actuel.
Le paquet est donc un progrès considérable. Philippe Bas a raison de dire que d'apparence technique, ce projet recèle des enjeux politiques considérables.
La transposition nous a imposé des choix de méthode. Le règlement étant directement applicable, les dispositions qui se suffisent à elles-mêmes, comme celles relatives au délégué, ne figurent pas dans le texte mais pourront être invoquées directement à compter du 25 mai 2018. Il faudra donc lire cette nouvelle loi avec le règlement européen à portée de main. Nous veillerons à ce que la version en ligne soit maniable.
La cinquantaine de marges de manoeuvre laissée aux États suppose également des choix politiques. Conformément à son engagement de ne pas sur-transposer, le Gouvernement a choisi de supprimer la plupart des formalités préalables à l'ouverture d'un traitement. Ce choix a été salué par Simon Sutour, rapporteur pour la commission des affaires européennes.
Nous conservons toutefois certaines formalités pour le traitement de données sensibles, biométriques, génétiques ou les traitements qui reposent sur le numéro d'inscription au répertoire (NIR). Le traitement des données de santé fait l'objet d'un régime protecteur et unifié ; enfin, les formalités préalables à la création d'un traitement pour le compte de l'État sont maintenues.
Le règlement fixe à 16 ans l'âge du consentement à l'offre directe de services numériques - en clair, l'accès aux réseaux sociaux. Le Gouvernement a choisi de ne pas profiter de la marge de manoeuvre qui permet d'abaisser ce seuil à 13 ans. L'Assemblée nationale l'a fixé à 15 ans ; votre commission des lois l'a ramené à 16 ans. Sur cette question délicate, le Gouvernement s'en remettra à la sagesse de la représentation nationale. L'autorisation parentale doit surtout être l'occasion d'un dialogue au sein des familles.
Votre commission des lois a apporté d'autres modifications : encadrement de l'usage des algorithmes par l'administration, renforcement des conditions de traitement des données d'infraction, introduction d'un motif de nullité contractuelle en cas de non-respect par les fournisseurs de l'obligation de consentement... Nous y reviendrons lors de l'examen des amendements.
Surtout, votre commission a manifesté son attention vis-à-vis des collectivités territoriales, notamment des plus petites : création d'une dotation communale et intercommunale, mutualisation des services, suppression des amendes administratives, report de deux ans de l'action de groupe, encouragement à la diffusion de l'information, etc. Le Gouvernement entend cette préoccupation ; mais il est injuste de dire qu'il ferait preuve d'un mépris abyssal pour les collectivités territoriales !
M. Philippe Bas, président de la commission des lois. - Pas abyssal, non...
Mme Nicole Belloubet, garde des sceaux. - Il faut répondre à ces inquiétudes, non les exacerber. J'ai ainsi rappelé devant les préfets la nécessité d'accompagner les petites communes. Les collectivités sont déjà soumises à certaines obligations en la matière pour la gestion des fichiers des ressources humaines, les badges d'accès ou la gestion des services publics... Le projet de loi allège substantiellement les formalités, pour elles comme pour les autres.
Le règlement européen permet de mutualiser la fonction de délégué. Cela sera rappelé dans le décret d'application, en cours de rédaction.
La CNIL a conclu une convention de partenariat avec l'Association des départements de France (ADF), et bientôt avec l'Association des maires de France (AMF). Consciente de l'inquiétude que suscite l'échéance du 25 mai, elle saura se montrer pragmatique - ce que le Gouvernement encourage ; elle accompagnera les collectivités pour se mettre en conformité et mettra à jour un guide complet à leur intention.
Le Gouvernement ne propose pas de revenir sur des avancées de votre commission des lois, comme l'exonération des sanctions. C'est la vertu du débat parlementaire : le Sénat a marqué son attention aux collectivités territoriales, le Gouvernement y répond.
Je terminerai sur un désaccord : la suppression par la commission des lois de l'habilitation demandée par le Gouvernement, présentée comme le résultat d'une impréparation. Or notre démarche n'est ni improvisée, ni irrespectueuse des prérogatives du Parlement. Le Gouvernement veut être prêt en mai. Il a donc engagé dès l'été les travaux qui ne l'avaient pas été en raison des échéances électorales.
Il a fait le choix d'un texte resserré, sans remettre sur la table l'ensemble de la loi de 1978.
Le problème légistique tient à l'imbrication entre le règlement et la directive. Le Gouvernement proposera de rétablir cette habilitation pour offrir un cadre juridique lisible, sans rien changer aux décisions du Parlement. Il s'agira d'une simple codification. Je m'y engage.
L'accessibilité et l'intelligibilité requièrent une réécriture intégrale de la loi de 1978, qui est notre code de la protection des données personnelles. Mes services sont à votre disposition pour vous informer de l'avancement du projet d'ordonnance, qui devrait être prise au plus tard à l'automne. D'ici là, les outils pédagogiques et de communication seront mis en place par la CNIL et les professionnels.
Nos débats sauront calmer les inquiétudes les plus vives. L'exercice de transcription du droit européen est toujours contraint, mais ce nouveau cadre européen est une magnifique réussite pour l'Europe. (Applaudissements sur les bancs du groupe LaREM et sur certains bancs des groupes UC et RDSE)
Mme Sophie Joissains, rapporteur de la commission des lois . - Quarante ans après, la loi de 1978, grande loi, loi visionnaire, est toujours d'actualité, avec des principes cardinaux d'airain, malgré le changement d'échelle des traitements et l'émergence des géants américains et chinois.
Le législateur européen a adopté un règlement qui s'inspire de cette loi, ainsi que des travaux du Sénat sur l'extraterritorialité ; il entrera en vigueur le 25 mai 2018. Il s'agit de faire émerger un modèle européen harmonisé de protection des données tout en favorisant la compétitivité.
Le règlement poursuit trois objectifs : renforcer la protection avec le droit à l'oubli, la portabilité des données personnelles et les actions collectives ; responsabiliser les acteurs en graduant le risque, en privilégiant le droit souple, en passant du contrôle a priori au contrôle a posteriori et en mettant fin à l'essentiel des formalités préalables au bénéfice d'une obligation de conformité du traitement dès sa conception ; crédibiliser la régulation à la mesure des enjeux de souveraineté numérique en consacrant l'extra-territorialité et en prévoyant des sanctions réellement dissuasives.
La directive qui l'accompagne doit être transposée avant le 6 mai 2018. C'est le rôle de ce projet de loi, qui tire parti des marges de manoeuvre laissées aux États. Les missions de la CNIL sont élargies ; le traitement des données sensibles reste très encadré. L'Assemblée nationale a étendu l'action de groupe à la réparation des dommages et abaissé de 16 à 15 ans l'âge de consentement au traitement de ses données personnelles. Certaines décisions administratives fondées sur des algorithmes sont autorisées ; le fichier TAJ est sécurisé.
Les amendements de la commission des lois ne remettent pas en cause l'objectif global mais comblent des lacunes.
D'abord, nous avons voulu répondre aux inquiétudes des collectivités territoriales, qui sont les grandes absentes du projet de loi. Elles sont pourtant responsables de nombreux traitements : fichier d'état civil, des cantines scolaires, d'aide sociale, listes électorales, fiscalité locale, cadastre...
Elles vont devoir assumer des coûts importants : nomination d'un délégué à la protection des données, adaptation de certains fichiers, renforcement de la sécurité des données sensibles... Si les députés sont restés attentifs, à juste titre, au sort des TPE-PME, les collectivités territoriales ont été totalement négligées.
Notre commission a donc prévu : que la CNIL adapte normes et informations aux besoins et aux moyens des collectivités ; de dégager des moyens pour aider les collectivités à se conformer à leurs nouvelles obligations ; de faciliter la mutualisation entre collectivités ; de réduire l'aléa financier en supprimant les amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices subis. Nous avons entendu les inquiétudes des petits opérateurs qui ne seront pas prêts. L'ADF nous a alertés : 10 % des collectivités territoriales seront prêtes, 85 % ne sont pas même informées du règlement !
La commission des lois a maintenu l'âge minimal du consentement à 16 ans. La présidente Catherine Morin-Desailly travaille assidûment sur l'établissement de critères adaptés.
La commission des lois a renforcé les garanties de transparence en matière d'utilisation des algorithmes, notamment pour l'inscription à l'université. Elle a rétabli l'autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté et précisé les conditions d'extension de la liste des personnes autorisées à gérer certains fichiers.
Elle a souhaité que les utilisateurs de terminaux électroniques aient un vrai choix dans le moteur de recherche qu'ils utiliseront.
Enfin, la commission des lois a supprimé l'habilitation demandée par le Gouvernement, dont le manque d'anticipation témoigne d'une grande désinvolture vis-à-vis du Parlement (Mme la garde des sceaux le conteste.)
Le nouvel édifice repose sur la CNIL qui devra accompagner les acteurs ; or elle n'en aura pas les moyens matériels et humains. Quels engagements budgétaires prendrez-vous à cet égard ? Il en va de la réussite de cette ambitieuse réforme. (Applaudissements sur les bancs des groupes UC, Les Républicains et RDSE ; Mme Sylvie Robert applaudit également.)
M. Simon Sutour, au nom de la commission des affaires européennes . - Le règlement européen s'appliquera de plein droit à compter du 25 mai, or les collectivités territoriales et les petites entreprises ne sont pas prêtes. Cela illustre la nécessité d'une participation active du Parlement, et singulièrement du Sénat, à l'élaboration des textes européens.
La commission des affaires européennes a suivi attentivement ce dossier, déposant deux propositions de résolution européenne et un avis motivé. Nous demandions que les dispositions nationales les plus protectrices soient conservées. Le règlement reprend deux recommandations du Sénat : la CNIL fera droit à toute demande sur le territoire français, même si l'opérateur de traitement n'est pas en France.
L'âge du consentement est fixé à 16 ans par la directive, qui ouvre la possibilité de l'abaisser à 13. La commission, elle, est restée neutre.
L'extension par les députés de l'action de groupe à la réparation pécuniaire doit être assortie de règles d'enregistrement renforcées des associations.
Il convient de s'assurer de la protection effective des droits des personnes en cas de transfert des données vers un pays tiers. Il conviendra aussi de vérifier la conformité des entreprises qui se sont auto-certifiées.
Les conséquences du texte sur les petites communes peuvent être considérables, et leur responsabilité mise en cause. Il faut un accompagnement adapté par la CNIL, avec les moyens nécessaires.
Souhaitons que le Sénat soit écouté, et entendu. (Applaudissements sur les bancs du groupe SOCR ; Mme Sophie Joissains, rapporteur, applaudit aussi.)
M. Stéphane Ravier . - L'insécurité numérique explose, nous assistons impuissants au pillage des données personnelles des individus, des entreprises et même des États par les Vador du numérique, les GAFA. Notre vie est observée, orientée. Le Big Brother de George Orwell est devenu une réalité. Souriez, vous êtes scanné. Détendez-vous, on pense pour vous !
Dans l'oeil du cyclone, vous ne ferez plus un pas seul, et vous vous croirez libre. Le croisement des données par l'intelligence artificielle permet de nous connaître intimement, et les grosses firmes utilisent nos données sans notre accord pour générer toujours plus de milliards de profit.
Marine Le Pen l'a dit à l'Assemblée nationale : pourquoi n'existe-t-il pas de Google français ou européen ? Pourquoi dépendons-nous de logiciels américains ou chinois ?
Il faut mieux informer les utilisateurs, créer un code du numérique, obliger à stocker les données personnelles dans des serveurs en France, développer l'utilisation des logiciels libres dans les administrations et les universités. Nous avons besoin d'une agence européenne sur le modèle d'Airbus pour créer des champions européens du numérique, de la robotique, de l'intelligence artificielle.
Je salue ce texte, qui présente des avancées ; ce sera un levier pour mettre en place de bonnes pratiques. La commission des lois a porté un regard attentif au sort des petites entreprises et des collectivités territoriales. Dans le numérique, comme ailleurs, ce qui compte avant tout est notre souveraineté !
Mme Maryse Carrère . - (Applaudissements sur les bancs du groupe RDSE) L'adoption en 2016 du RGPD est un progrès indéniable en même temps qu'une victoire diplomatique française. Depuis 1978, nous avons joué un rôle précurseur.
Le règlement prend acte du développement des données personnelles en circulation et transforme la logique d'autorisation en logique de responsabilisation. Le principe du consentement des individus s'appliquera donc à tous, acteurs publics comme privés.
Mise en place d'un délégué à la protection des données, registre de traitement priorisé des données sensibles... Pour les collectivités territoriales, c'est un véritable défi, un changement de paradigme qui nécessite un accompagnement par l'État. Le conseil départemental des Hautes-Pyrénées l'a anticipé, au prix d'un bouleversement des habitudes : ciblage des hébergements sous-traités hors du réseau du département, priorisation sur les données sensibles, communication à destination des usagers...
Autre enjeu, la conservation de la donnée et le coût associé. Je salue les nombreuses modifications apportées par Mme Joissains en faveur des collectivités territoriales et des petites entreprises.
M. Philippe Bas, président de la commission. - Je m'y associe.
Mme Maryse Carrère. - La création d'une action de groupe, la possibilité pour la CNIL de saisir le Conseil d'État pour qu'il s'oppose à un transfert de données sont bienvenues.
Sur l'âge du consentement, le débat est ouvert. Il doit être abordé dans une réflexion globale sur l'accès à la majorité.
Ce projet de loi ne répond pas à toutes les préoccupations. On présente parfois l'exploitation des données personnelles comme la rançon de la gratuité. Ce modèle évoluera-t-il ?
Les Français attendent une plus grande traçabilité des informations les concernant. Sur les algorithmes utilisés par l'administration, la solution proposée par la rapporteure est plus satisfaisante que celle de l'Assemblée nationale mais peut être améliorée.
L'introduction d'un droit de rectification des archives posera d'importantes questions logistiques. Enfin, les marges de manoeuvre autorisées ne risquent-elles pas d'encourager la localisation de sous-traitants dans les États membres les moins protecteurs ? Notre groupe défendra plusieurs amendements alertant le Gouvernement sur la fragilisation de nos entreprises de traitement des données, dans un cadre réglementaire plus exigeant.
M. le président. - Veuillez conclure.
Mme Maryse Carrère. - Conscients de l'obligation de mise en conformité, nous abordons ce texte favorablement. (Applaudissements sur les bancs du groupe RDSE et de la commission)
M. Mathieu Darnaud . - (Applaudissements sur les bancs du groupe Les Républicains) Ce projet de loi était incontournable. Mais l'adaptation de notre législation aux défis posés par le big data était de toute façon urgente. Les pirates, les profiteurs n'attendent pas pour exploiter sans vergogne nos données personnelles !
L'Union européenne est l'échelon le plus pertinent pour organiser un dispositif de sécurité efficace et harmoniser les pratiques - en s'inspirant du modèle français.
Les données personnelles touchent à l'intime ; c'est se faire une certaine idée de l'homme de considérer que le citoyen ne peut en être dépossédé. Le Sénat remplit ici sa vocation de défenseur des libertés individuelles, car ce projet de loi relève aussi d'une certaine conception de la démocratie.
L'actualité témoigne l'acuité de la menace : la société Cambridge Analytica a capté sans autorisation les données de 30 à 50 millions d'utilisateurs de Facebook à des fins de profilage politique pour influencer l'élection présidentielle américaine...
Question cruciale pour la vie démocratique, question de souveraineté nationale, mais aussi opportunité économique et chance pour la recherche médicale...
La commission a apporté des améliorations sur un point crucial : les collectivités territoriales, parent pauvre du texte. En imposant à la CNIL d'adapter les normes à leurs besoins, vous les avez soulagées. Je salue en particulier l'exonération d'amende administrative en cas de sanction.
Le Sénat est bien l'assemblée des collectivités territoriales et des solutions pratiques ; il témoigne dans ce texte de la vertu du bicamérisme.
M. Loïc Hervé. - Très bien !
M. Mathieu Darnaud. - Je salue aussi le report de deux ans de la possibilité de lancer une action de groupe en responsabilité, indispensable pour laisser aux collectivités territoriales et aux TPE-PME le temps de s'organiser. Les nouvelles règles sont salutaires, mais lourdes à mettre en place ; peu de PME disposent de l'ingénierie nécessaire. Il serait inéquitable que l'administration soit plus prompte à sanctionner les PME que les GAFA !
Certes, on peut déplorer que les précédents gouvernements n'aient pas pris la mesure du travail législatif à accomplir mais l'on peut aussi regretter que l'actuel Gouvernement n'ait pas réalisé en amont le travail qui devait être mené auprès des PME et des collectivités locales. Il s'appuie à présent sur ses propres manquements pour justifier le recours aux ordonnances qui constitue nouvelle illustration de la mise à distance d'un Parlement amputé de ses prérogatives. Pourtant, la publication du règlement et de la directive en 2016 laissait largement au Gouvernement le temps d'agir. Espérons que ce texte sera une arme efficace contre les mastodontes de l'Internet, et non un nouveau monstre juridique qui pénalisera les collectivités territoriales et les PME. (Applaudissements sur les bancs des groupes Les Républicains et UC)
M. Michel Savin. - Très bien ! L'Ardèche est à la hauteur !
M. Arnaud de Belenet . - La protection des données personnelles est un sujet d'actualité avec l'affaire Facebook. Simon Sutour a qualifié les négociations autour du règlement européen de 2016 de malaisées. Cela est vrai et s'explique par la grande disparité des régimes de protection au sein de l'Union ; l'attention aiguisée de certains États, particulièrement la France, aux données dites « sensibles » ; les enjeux de souveraineté et les demandes de simplification des entreprises. Dès le mois d'août 2017, le Gouvernement a travaillé sur ce texte pour le soumettre à la CNIL et au Conseil d'État et le présenter à l'Assemblée nationale dès le mois de décembre dernier.
M. Philippe Bas, président de la commission. - Dès ?
M. Arnaud de Belenet. - La Chancellerie a déployé des efforts considérables pour mener à bien cette transposition extrêmement ardue dans des délais très courts. Des experts en légistique, dont je ne fais pas partie, mesurent toute l'ampleur de la tâche.
M. Simon Sutour. - Il ne faut jamais se sous-estimer !
Mme Esther Benbassa. - Certainement pas !
M. Arnaud de Belenet. - Les collectivités territoriales n'étaient pas explicitement mentionnées dans le texte. La commission des lois y a remédié et le groupe LaREM souscrit aux amendements qu'elle a proposés pour lever leurs inquiétudes. Le Gouvernement a entendu le Sénat, pleinement dans son rôle, en retenant, pour les collectivités territoriales, la suppression de l'amende administrative et de l'astreinte prévues à l'article 6 de ce texte.
La commission des lois a durci les conditions d'exercice d'une action de groupe. Or, en fait et en droit, très peu d'actions de groupe ont été lancées depuis 2014. Peut-être la commission des lois s'est-elle montrée trop précautionneuse ?
La France a été pionnière en se dotant de la loi de 1978 et de la CNIL. Le Gouvernement a choisi de maintenir cette loi. Il sollicite une habilitation pour offrir un cadre juridique lisible aux citoyens et aux acteurs économiques. Or la commission des lois reconnaît que les dispositions sont illisibles. Il est paradoxal que la commission des lois la lui refuse quand il relève une certaine illisibilité. Le temps parlementaire est précieux. Cette habilitation permet de le respecter. (Applaudissements sur les bancs du groupe LaREM)
Mme Esther Benbassa . - Ce projet de loi met la loi de 1978 en conformité avec le droit de l'Union européenne. Quelques remarques de forme : le règlement et la directive ont été adoptés en 2016, pour une entrée en vigueur prévue mi-2018. Pourquoi le Gouvernement a-t-il tant tardé, au point de décréter la procédure accélérée et de solliciter une habilitation à légiférer par ordonnance ?
Cela empêche, et cela devient une habitude, un travail parlementaire approfondi. C'est une illustration du profond mépris du Gouvernement pour le Parlement.
M. Philippe Bas, président de la commission. - Exactement !
Mme Esther Benbassa. - Mais revenons à ce texte dense et technique qui apporte des avancées fondamentales pour la protection des données personnelles. Les pouvoirs de la CNIL sont renforcés : elle est désignée autorité nationale de contrôle chargée de veiller à l'application du règlement et de la directive. On passe d'un contrôle a priori à un contrôle a posteriori, plus adapté à l'évolution des technologies. En contrepartie, la CNIL voit les sanctions qu'elle peut déclarer renforcées, avec des amendes allant jusqu'à 20 millions d'euros et 4 % du chiffre d'affaires mondial. Nous nous en félicitons mais partageons l'inquiétude de la CNIL qui alerte, depuis plusieurs mois, sur le défaut de moyens matériels et humains qui l'empêchera d'exercer efficacement ses nouvelles missions.
M. Loïc Hervé. - Très bien !
Mme Esther Benbassa. - Étonnant soutien... Il est si rare que je sois approuvée !
Le texte crée aussi un droit d'information et l'exercice direct du droit d'accès, de rectification et d'effacement des données. Le groupe CRCE se réjouit de ces mesures plus protectrices.
Au vrai, le texte pèche plutôt par ce qu'il ne contient pas. Il devrait être l'occasion de revenir sur la loi Renseignement de 2015 - elle a été prise par un autre gouvernement, il est vrai. Or rien pour faire cesser le bafouement de nos droits. La loi Renseignement a été censurée par trois fois et des questions prioritaires de constitutionnalité sont en cours d'examen.
Nous nous abstiendrons sur ce texte qui aurait pu être plus ambitieux. (Applaudissements sur les bancs du groupe CRCE ; M. Loïc Hervé applaudit également.)
M. Alain Marc . - (Applaudissements sur les bancs du groupe Les Indépendants) Les délais de transposition sont très courts. Le règlement européen doit devenir le nouveau cadre de protection des données personnelles tout en protégeant la compétitivité des entreprises européennes. Son application uniforme est atténuée par l'existence de 56 marges de manoeuvre, qui sont autant d'options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.
Le champ d'application du droit européen est considérablement élargi : il a vocation à s'appliquer hors de l'Union européenne, dès lors qu'un citoyen européen est concerné par un traitement de données. La coopération entre régulateurs est renforcée en cas de transfert transfrontalier. En cas de manquement, des amendes dissuasives sont prévues.
La commission des lois a apporté des améliorations : elle a rétabli l'autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté ; elle a précisé les conditions d'extension de la liste des personnes autorisées à mettre en oeuvre ces fichiers ainsi que le cadre juridique de la mise à disposition des décisions de justice. C'est une manière de prévenir tout risque d'atteinte à la vie privée des personnes et à l'indépendance de la justice
La commission des lois a également encadré strictement l'usage des algorithmes par l'administration pour prendre des décisions individuelles.
Merci à Mme le rapporteur, qui a répondu aux inquiétudes des collectivités territoriales. (M. Philippe Bas, président de la commission, le confirme) Pour elles, sont dégagés de nouveaux moyens financiers avec la création d'une dotation communale et intercommunale pour la protection des données. Elle a supprimé les amendes administratives et reporté de deux ans l'action de groupe contre les collectivités territoriales, afin de réduire l'aléa pour ces dernières. Le sort qui leur est réservé nous inquiétait ; je me réjouis que la commission des lois ait dégagé ces deux pistes. Aussi Les Indépendants voteront en faveur de ce projet de loi. (Applaudissements sur les bancs du groupe Les Indépendants et sur les bancs de la commission)
M. Loïc Hervé . - Contrairement aux apparences, ce texte n'est pas qu'un texte technique. Si complexe soit-il, il est éminemment politique. Merci, Madame le Rapporteur, pour vos auditions tous azimuts et votre pédagogie. Quarante ans après 1978, la France devait réinventer son modèle dans un cadre européen de protection des données personnelles. Les grands principes de la loi Informatique et libertés sont confortés. Je m'en réjouis pour représenter, avec Mme Sylvie Robert, le Sénat à la CNIL.
Les données personnelles sont le reflet de ce que nous sommes - de notre vie, de notre corps, de nos habitudes et de nos moeurs, y compris dans l'intimité. Massifiées, reliées, moulinées par un algorithme, elles intéressent les grands groupes. Elles méritent une protection législative tout à fait spécifique et la mise en place de garde-fous intangibles. Quelle meilleure illustration que l'affaire Cambridge Analytica, une société qui aurait aspiré les données de millions de citoyens américains sans leur consentement pour les cibler dans le cadre de la campagne électorale de Donald Trump ? N'en déplaise aux chantres de la dérégulation qu'Alex Türk, ancien président de la CNIL, appelait les tenants du « rien à cacher, rien à me reprocher », notre législation constitue un véritable bouclier protecteur.
Merci à Esther Benbassa d'avoir si directement abordé le problème des moyens de la CNIL. Ils doivent être au moins au même niveau que ceux de ses homologues dans les grandes nations européennes qui nous entourent.
Le monde qui vient n'est pas plus anxiogène que celui de 1978. C'est dans cet esprit constructif que le groupe centriste votera ce texte amélioré par la commission des lois.
Madame la Ministre, j'espère que vos annonces sur l'accompagnement des entreprises et des collectivités se traduiront concrètement. Il faut davantage qu'une campagne de sensibilisation générale - c'est trop tard. Il faut un accompagnement technique par des agents de l'État compétents. (Applaudissements sur les bancs du groupe UC et sur les bancs de la commission)
M. Jérôme Durain . - À l'heure de légiférer sur le numérique se pose la question suivante : l'évolution de la société dans ce domaine est-elle achevée ? Rappelez-vous les réactions lorsque certains ont voulu porter le fer contre Airbnb, ils ont été accusés de vouloir aller contre l'ordre des choses numérique... Puis le berceau même d'Airbnb, la ville de San Francisco, a initié un mouvement de régulation du site que Londres, Barcelone, San Francisco et Paris suivent avec le soutien de l'opinion.
Qu'en est-il aujourd'hui ? Ce texte est inspiré par une vision des données personnelles qui a quelques années, des débats qui ont eu lieu entre 2014 et 2016. La notion de données personnelles a peu évolué. En revanche, la perception que nous en avons, si. En 2014, je pouvais imaginer que mes données personnelles puissent m'échapper. Les GAFA étaient perçus comme des champions enviables. En 2010, Mark Zuckerberg était élu homme de l'année par le magazine Time...
Aujourd'hui, nous savons que des soldats français sont mis en danger à cause de leur géolocalisation ; que Donald Trump a payé une société pour voler les données de millions d'Américains ; que des puissances étrangères s'ingèrent dans les élections en créant de faux profils. Et le pays de naissance des GAFA commence à envisager de contrôler sérieusement ses licornes numériques, de peur qu'elles ne deviennent incontrôlables.
Le débat, riche à l'Assemblée nationale, l'a été en commission des lois, grâce à notre rapporteur Mme Joissains. Les aménagements qu'elle a prévus pour les collectivités territoriales déplairont peut-être aux bons élèves mais le peloton pourra mieux suivre le mouvement. Ils permettront aussi le déploiement d'une offre de services en direction des collectivités.
Le groupe socialiste vous invitera à réfléchir sur le secret médical ou encore sur les données relatives à la sûreté de l'État. Nous vous recommanderons de supprimer l'agrément autorisant une association à lancer une action de groupe. Nous vous proposerons de promouvoir le moteur de recherche Made in France, qui a fait l'objet d'un amendement de Claude Raynal, que la commission des lois a approuvé grâce à la bienveillance de son président.
Le Sénat discute, amende, prouve son utilité, y compris à l'exécutif. J'espère que le président de la République l'entendra alors qu'une réforme constitutionnelle s'annonce. (Applaudissements sur les bancs des groupes SOCR et UC ; M. Jean-Paul Émorine et Mme Catherine Di Folco applaudissent également.)
M. Loïc Hervé. - Nous l'espérons tous !
Mme Catherine Morin-Desailly . - (Applaudissements sur les bancs du groupe UC) Les révélations d'Edward Snowden ont précipité la fin du mythe originel d'Internet qui s'est révélé le support d'un monde d'hypersurveillance et de vulnérabilité. Les données, qu'elles soient personnelles, d'entreprise ou administratives, sont devenues l'or noir du numérique. Réjouissons-nous de la transposition du règlement européen en regrettant qu'il ait fallu attendre six ans. Le lobbying transatlantique a été particulièrement intense ; ce sont les mêmes qui contestent les mesures prises par la Commission européenne pour lutter contre les abus de position dominante et les pratiques déloyales des plateformes horizontales dont l'intermédiation est devenue quasi incontournable. Le traitement des masses de données, l'intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés, seule condition de la neutralité.
De même, nous faut-il garantir la liberté de choix des fournisseurs de logiciels ou de services nécessaires à leur fonctionnement. Nous exigeons plus de rigueur de la part du Gouvernement dans le choix de ses prestataires. Est-il raisonnable que l'Éducation nationale traite avec Google et Microsoft ? Que la DGFiP ait pu envisager de confier la gestion de nos données fiscales à un acteur privé dont les liens avec des agences de renseignement étrangères étaient connus ?
M. Loïc Hervé. - Quelle honte !
Mme Catherine Morin-Desailly. - Quelle stratégie pour l'Internet des objets à l'heure où les objets connectés se multiplient dans notre vie quotidienne ?
Pour conclure, préparant un rapport sur la formation au numérique, je veux me faire l'écho du désarroi des collectivités territoriales qui sont déjà en retard sur la digitalisation. (Applaudissements sur les bancs des groupes UC et Les Républicains)
Mme Sylvie Robert . - Ce projet de loi ne doit pas être considéré comme une simple transposition, il est très politique. Il recèle de nombreux enjeux : juridiques, avec la protection des données personnelles ; économiques, avec la stimulation de l'innovation ; scientifiques, avec la profusion de données à exploiter ; mais aussi sécuritaires, géopolitiques, philosophiques et culturels. Il interroge, en effet, notre rapporteur au numérique.
La profonde modification de la grande loi de 1978 doit garantir le respect des droits et libertés inscrits en son article premier. Le groupe socialiste du Sénat, s'inscrivant dans la tradition de défense des libertés publiques qui est celle de notre assemblée, vous appelle à ne pas affadir cette loi socle équilibrée, reconnue et rassurante, comme il vous demande de ne pas déprécier la CNIL, tout aussi reconnue et rassurante. Pour accompagner entreprises et collectivités, la CNIL a produit des instruments de droit souple, dont un code de bonne conduite. Pour autant, le règlement représente un vrai changement d'échelle, c'est pourquoi il faut renforcer ses moyens.
Défendons le modèle français de protection des données que la CNIL incarne ; c'est une affaire de crédibilité et de légitimité si nous voulons le diffuser hors des frontières de l'Hexagone. (MM. Simon Sutour, Loïc Hervé et Mme Catherine Di Folco applaudissent ; applaudissements sur les bancs de la commission.)
Mme Nicole Belloubet, garde des sceaux . - Merci à Mme le rapporteur, qui a souligné l'accompagnement nécessaire des collectivités territoriales. Nous reviendrons sur les moyens de la CNIL, je comprends vos préoccupations. En revanche, je rejette l'accusation de désinvolture du Gouvernement. Nous avons le plus grand respect pour le Parlement. (M. Philippe Bas, président de la commission, hausse le sourcil.)
Monsieur Sutour, vous qui mesurez les complexités de cette transposition, vous avez eu raison de souligner l'existence de marges de manoeuvre pour les États. L'accompagnement des collectivités territoriales pour lesquelles la CNIL a publié un guide, se fera en liaison avec les associations d'élus, l'ADF et l'AMF. Pour elles, nous avons la volonté de supprimer les sanctions et de reporter certaines obligations à 2020.
Monsieur Ravier, vous avez fait allusion à Big Brother et aux GAFA, des propos destinés à susciter l'effroi par l'entremise de l'atteinte qui serait portée à notre souveraineté numérique. Or l'Europe est la seule réponse. L'ambition de ce texte est de faire respecter nos valeurs, que la France a portées haut dans les négociations. Ne cédons ni au repli national ni au fantasme de l'isolationnisme numérique.
Madame Carrère, vous avez souligné les coûts de mise en conformité pour les collectivités territoriales ; nous répondons à votre préoccupation avec l'exemption des sanctions financières et la mobilisation des préfets. Nous ne voulons pas non plus d'un agrément préalable pour les associations lançant une action de groupe. Nous avons prévu des garanties pour l'encadrement des algorithmes - nous reviendrons en détail sur Parcoursup lors de l'examen de l'article 14. Nous ne sommes pas favorables, en revanche, à la patrimonialisation des données par la création d'un droit de propriété sur celles-ci.
Monsieur Darnaud, je partage votre point de vue : l'Union européenne est une chance pour la France. Le paquet européen relève d'une conception européenne de la donnée. En revanche, la mise à distance d'un Parlement amputé de ses prérogatives n'est pas une réalité. L'habilitation que nous sollicitons porte exclusivement sur la codification, sur la base exclusive du texte qui sera adopté par le Parlement.
M. de Belenet a rappelé à juste titre que la Chancellerie avait commencé à travailler dès le mois d'août. Vous avez cité Cambridge Analytica, qui illustre parfaitement l'intérêt d'un cadre européen et d'une collaboration entre les autorités de protection. Oui, nous avons choisi de maintenir la loi de 1978 parce qu'elle est un symbole mais aussi parce qu'elle constitue un cadre lisible.
Madame Benbassa, un mot sur les moyens de la CNIL. Un rapport de la Cour des comptes de 2016 a relevé que le plafond d'emploi de la CNIL avait été porté, entre 2010 et 2017, de 140 à 198. S'il survient des difficultés, nous en reparlerons lors de l'examen du projet de loi de finances. Vous avez aussi fait référence à la loi Renseignement de 2015. Si le Conseil constitutionnel en a censuré quelques points, il l'a validée dans le cadre de son contrôle a priori. Surtout, le règlement ne s'applique pas aux fichiers de renseignement.
Monsieur Marc, notre Gouvernement approuve la suppression des sanctions pour les collectivités territoriales.
Monsieur Hervé, ce texte, vous l'avez dit à juste titre, est éminemment politique. La France a voulu promouvoir auprès de ses partenaires européens ses valeurs spécifiques. La CNIL porte ces valeurs. Les données personnelles nous caractérisent ; elles nécessitent, avez-vous dit, des garde-fous intangibles. C'est tout à fait justifié. Créons de véritables centres de ressources pour les collectivités.
Monsieur Durain, vous avez bien montré l'ampleur du travail fait et de celui qui reste à faire. La réflexion ne sera jamais stabilisée sur ce sujet. Oui, le Sénat a prouvé son utilité dans la défense des libertés publiques. Vous espérez que le président de la République en sera convaincu. Soyez assuré que la révision constitutionnelle maintiendra le bicaméralisme tel qu'il a été installé par la Ve République.
M. Éric Bocquet. - Wait and See.
M. Loïc Hervé. - Tel que dans le discours de Bayeux ?
Mme Nicole Belloubet, garde des sceaux. - Tel que défini en 1958. Madame Morin-Desailly a balayé à raison un large spectre, depuis l'Internet des objets jusqu'au soutien aux entreprises innovantes. La question de la formation et de l'accompagnement est centrale. L'Éducation nationale s'est engagée dans la formation des élèves aux nouvelles stratégies du numérique.
Madame Robert, vous appelez à une vigilance aiguë ; là encore, nous avons cette préoccupation en partage.
La loi de 1978 a 40 ans ; elle méritait une révision. Romain Gary écrit dans L'angoisse du Roi Salomon : « Ce qu'il y a de bête avec la maturité, c'est qu'elle vient toujours trop tard ». Faisons ensemble le pari qu'elle n'arrive pas trop tard ! (Applaudissements)
La discussion générale est close.
M. Philippe Bas, président de la commission. - Après que la ministre a salué la grande élévation d'esprit et la hauteur de vues qui règnent dans cette assemblée, il me revient d'intervenir, tel un mécanicien du travail législatif, pour demander, en invoquant l'article 44, alinéa 6 du Règlement du Sénat, que l'on intervertisse les débats sur l'article 6 et sur l'article 5. Pourquoi, me direz-vous ? (Sourires) Parce que le paragraphe 3 de l'article 6 fait référence à l'article 5. Qu'adviendrait-il si l'article 5 n'était pas adopté ?
Mme Nicole Belloubet, garde des sceaux. - La démonstration était si belle que je ne puis donner qu'un avis favorable.
La réserve, acceptée par le Gouvernement, est de droit.
La séance est suspendue à 20 heures.
présidence de M. Jean-Marc Gabouty, vice-président
La séance reprend à 21 h 30.
Discussion des articles
ARTICLE PREMIER
M. le président. - Amendement n°119, présenté par M. Durain et les membres du groupe socialiste et républicain.
I. - Alinéa 4
Supprimer cet alinéa.
II. - Après l'alinéa 19
Insérer un alinéa ainsi rédigé :
...° Le b du 4° est complété par les mots : « et peut à cette fin, soumettre les mesures adaptées aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;
M. Jérôme Durain. - La commission des lois a proposé de façon opportune que la situation des collectivités territoriales soit prise en compte afin de mieux les accompagner dans la mise en oeuvre de leurs nouvelles obligations. Il est normal qu'elles bénéficient des mêmes dispositions que les entreprises.
À destination des PME et PMI qui forment le « maillon faible » en termes de population d'entreprises, car elles ne disposent pas nécessairement des conseils juridiques dont bénéficient les grands groupes, la présidente de la CNIL a annoncé la publication prochaine d'une interface clef en main coproduite avec la BPI sous forme d'un pack de conformité RGPD simplifié à destination de ces acteurs.
De manière générale, la mission d'information de la CNIL ne fait pas défaut. Le 37e rapport annuel en témoigne.
Il serait inapproprié de commencer à compartimenter la mission générale d'information de la CNIL à ce stade.
Il serait plus utile pour le Sénat qui détient une responsabilité particulière de représentation des collectivités territoriales de préconiser au Gouvernement les mesures législatives et règlementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques en prévoyant que cette mission particulière doit prendre en compte la situation des collectivités territoriales et celle des petites et moyennes entreprises.
Mme Sophie Joissains, rapporteur. - Cet amendement supprime l'un des rôles de la CNIL, auxquels nous sommes très attentifs, et le remplace par un dispositif plus faible. Restons-en au texte de la commission des lois. Avis défavorable.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
M. Jean-Pierre Sueur. - Pourquoi ?
L'amendement n°119 n'est pas adopté.
M. le président. - Amendement n°29, présenté par Mme M. Carrère.
Alinéa 9, seconde phrase
Après le mot :
mineurs
insérer les mots :
et des personnes dépourvues de compétences numériques
Mme Maryse Carrère. - L'illettrisme numérique concernerait 15 % de la population. Selon la Cour des comptes, cela double souvent l'illettrisme classique. Ces personnes devraient bénéficier d'une protection spécifique.
Mme Sophie Joissains, rapporteur. - Cet objectif spécifique est déjà pris en compte par le RGPD. Retrait ?
Mme Nicole Belloubet, garde des sceaux. - Sagesse.
M. Loïc Hervé. - Cet amendement aborde un vrai sujet : l'exclusion de quelque 5 millions d'adultes de l'univers numérique. C'est chez certains un choix, pour d'autres une situation imposée par l'âge, le handicap ou l'illettrisme, qui peut ne pas être que numérique.
Je serais tenté de voter cet amendement qui appelle l'attention du Gouvernement et du législateur sur cette question. Des personnes ne peuvent pas y avoir accès ; par humanisme, il faut en tenir compte, même si l'on ne peut pas trop en rajouter. La CNIL ne dispose que de peu de moyens - moins de 200 personnes. (M. Alain Marc le confirme.)
M. Jean-Pierre Sueur. - Je ne comprends pas pourquoi l'amendement de M. Durain a été exclu, alors que les collectivités territoriales doivent être aidées ; pourquoi pas par la CNIL ? Même choix pour celui de Mme Carrère. Beaucoup de nos concitoyens sont très loin du numérique (M. Loïc Hervé le confirme.) et ne pourront pas, par exemple, faire leur déclaration d'impôts qui sera bientôt entièrement dématérialisée. Je sais que la CNIL a un problème de moyens. Nous soutenons cet amendement bienvenu.
Mme Catherine Morin-Desailly - Je suis en train de rédiger un rapport sur la formation au numérique, quel que soit l'âge. Alors que nous sommes précurseurs pour la protection des données numériques, nous sommes en retard dans ce domaine. Des personnes isolées, d'un certain âge, se voient précipitées dans un univers numérique qu'elles ne maîtrisent pas.
« L'illectronisme » est un nouveau terme pour en parler. Il y a là un énorme effort de formation à fournir.
M. Bernard Delcros. - Je m'associe à ce qui vient d'être dit. Notre société est en train de basculer du papier et de la présence physique à une société du numérique.
Ne laissons pas ces personnes vulnérables sur le côté.
M. Jérôme Durain. - Tout cela s'inscrit dans nos débats ; par cohérence, nous soutiendrons cet amendement.
M. Marc Laménie. - L'illettrisme numérique est un fait. Moi-même, je reste attaché au papier... (Sourires) Je ne suis pas le seul. Nous parlons souvent de la fracture numérique ici : les zones blanches sont une réalité, il ne faut donc pas imposer un tout numérique. Restons prudents.
Je soutiendrai cet amendement.
Mme Nicole Belloubet, garde des sceaux. - C'est en effet un ajout qui s'inscrit dans une vision qui existe : la prise en compte par les codes de conduite des personnes vulnérables. Le Gouvernement s'en remet très positivement à la sagesse de cette assemblée. (M. Loïc Hervé applaudit.)
Mme Sophie Joissains, rapporteur. - Cela concerne les codes de conduite. Il convient d'aller au-delà. Je vous propose d'écrire plutôt « elle prend en compte la situation des personnes dépourvues de compétences numériques ».
Mme Maryse Carrère. - Soit !
M. le président. - L'amendement est donc ainsi rectifié :
Amendement n°29 rectifié, présenté par Mme M. Carrère.
Alinéa 9, après la première phrase
Insérer une phrase ainsi rédigée :
Elle prend en compte la situation des personnes dépourvues de compétences numériques.
L'amendement n°29 rectifié, accepté par la commission et le Gouvernement, est adopté.
M. le président. - Amendement n°14 rectifié bis, présenté par M. A. Marc et les membres du groupe Les Indépendants - République et Territoires.
Alinéa 11, première phrase
1° Après le mot :
types
insérer le mot :
notamment
2° Après le mot :
assurer
insérer les mots :
la protection des données, à savoir par exemple le respect des droits en matière d'accessibilité, de finalité et de minimisation des données,
M. Alain Marc. - Cet amendement élargit le cadre des règlements-types à la protection des données, par exemple au respect des droits en matière d'accessibilité, de finalité et de minimisation de la donnée.
Ainsi la CNIL pourra édicter des règlements de fond en matière de protection de la donnée et de respect de la vie privée. En novembre 2017, dans un avis sur la transposition de la directive européenne, elle avait fait la demande d'un élargissement au-delà de la sécurité des systèmes. Cela consacre son rôle de protecteur de la vie privée.
Cet amendement inscrit également dans le cadre des règlements-types la question de la minimisation des données collectées. Il semble en effet opportun que la CNIL s'exprime et mette en oeuvre une règle de fond pour que la collecte et le traitement des données ne concernent que les données essentielles. Il s'agit d'une avancée essentielle pour le respect de la vie privée et des données personnelles.
Mme Sophie Joissains, rapporteur. - Cet amendement se heurte à deux obstacles : le règlement européen ne permet pas aux États membres d'aller au-delà ; la CNIL est satisfaite et ne demande pas de nouvelles compétences. Retrait ?
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°14 rectifié bis est retiré.
M. le président. - Amendement n°62, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.
Alinéa 11, seconde phrase
Supprimer les mots :
sauf pour les traitements mis en oeuvre pour le compte de l'État, agissant dans l'exercice de ses prérogatives de puissance publique,
Mme Esther Benbassa. - La CNIL peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de sante? conformément a? l'article 9 du règlement européen et des données relatives aux infractions pénales, conformément à son article 10, et aux fichiers relatifs aux condamnations pénales. L'alinéa 11 exclut les traitements pour le compte de l'État dans l'exercice de ses prérogatives de puissance publique. Nous rejetons cette exception.
La CNIL s'est exprimée en ce sens dans son avis du 30 novembre 2017. Le besoin de cadrage n'y est pas moins important.
M. le président. - Amendement n°30, présenté par Mme M. Carrère.
Alinéa 11, seconde phrase
Après les mots :
de l'État
insérer les mots :
et des collectivités territoriales
et remplacer le mot :
ses
par le mot :
leurs
Mme Maryse Carrère. - Cet amendement exempte les collectivités territoriales, comme le projet de loi le prévoit déjà pour l'État, de mesures techniques et organisationnelles supplémentaires pour la protection de données biométriques, génétiques et de santé.
Il est incompréhensible que les obligations varient d'une personne publique à une autre.
Mme Sophie Joissains, rapporteur. - L'intention de l'amendement n°62 est louable, mais si ces fichiers sont hors cadre, ils ne peuvent être ouverts qu'après décret en Conseil d'État, après avis de la CNIL - régime donc plus strict.
L'amendement n°30 va beaucoup trop loin : l'action de la CNIL y est particulièrement bienvenue et a vocation à protéger les élus locaux, dont la responsabilité pénale serait en jeu. Avis défavorable aux deux amendements.
Mme Nicole Belloubet, garde des sceaux. - L'amendement n°62 est effectivement un garde-fou inutile car ces traitements sont soumis à un régime beaucoup plus contraignant.
Il ne serait pas pertinent d'étendre ce régime aux collectivités territoriales : un décret en Conseil d'État serait nécessaire à chaque ouverture de traitement par une commune...
L'amendement n°30 est retiré.
L'amendement n°62 n'est pas adopté.
M. le président. - Amendement n°82, présenté par le Gouvernement.
Alinéa 13
1° Troisième phrase
Après les mots :
l'article 43 du même règlement
insérer les mots :
ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément
2° Dernière phrase
Supprimer cette phrase.
Mme Nicole Belloubet, garde des sceaux. - Le règlement encourage la certification. Cela donne lieu à une marge de manoeuvre prévoyant trois options pour l'agrément des organismes certificateurs qui peut être délivré soit par la CNIL, soit par l'organisme national d'accréditation désigné conformément au règlement, en France, le Comité français d'accréditation, soit par les deux.
Cet amendement prévoit que cela sera possible soit par l'un, soit par l'autre, au choix de la CNIL.
Il est également proposé la suppression de la dernière phrase de l'alinéa 13 selon laquelle la CNIL « peut établir des exigences supplémentaires en matière de normes d'accréditation ». Cette mention n'apparaît pas nécessaire.
L'amendement n°82, accepté par la commission, est adopté.
M. le président. - Amendement n°79 rectifié, présenté par Mme Morin-Desailly et les membres du groupe Union Centriste.
Après l'alinéa 13
Insérer un alinéa ainsi rédigé :
« ...) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l'autorité nationale en matière de sécurité et de défense des systèmes d'information, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu'ils garantissent la possibilité de désactiver la collecte des données de l'utilisateur et qu'ils répondent à des exigences élevées en matière de sécurité ; »
Mme Catherine Morin-Desailly. - L'Internet des objets se développe de jour en jour, captant de plus en plus de données. Les innovations permettent de porter des vêtements connectés, par exemple. Or ces objets devraient être certifiés et le droit au silence des puces, c'est-à-dire la possibilité de se déconnecter, devrait être préservé.
Cet amendement, en attendant mieux, prévoit que les objets puissent être certifiés. C'est une problématique de l'avenir, à laquelle les plus grands spécialistes réfléchissent.
Ces objets concernent tous les sujets - données de santé, énergie, environnement - et seront bientôt notre environnement du quotidien.
Mme Sophie Joissains, rapporteur. - Avis favorable.
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable. Cet amendement est satisfait par l'alinéa 13 de l'article premier. Les objets connectés sont inclus dans la catégorie des produits.
L'Union européenne travaille d'ores et déjà à ce sujet.
Mme Catherine Morin-Desailly. - Le terme « produit » est beaucoup trop vague. Le travail de l'Union européenne est nécessaire, mais loin d'être achevé. On pourrait donc ajouter cette possibilité - j'insiste sur ce point. On couvrirait ainsi le sujet par anticipation, en donnant à la CNIL la possibilité de certifier.
Ces sujets sont stratégiques. On parle d'une interface « zéro » qui supprimerait les objets, ceux-ci étant inclus dans le corps humain. Ce n'est pas de la science-fiction !
M. Jérôme Durain. - On ne peut pas constater la massification des objets connectés et se contenter d'un « peut décider ». Nous soutenons cet amendement.
M. Alain Marc. - Mme Morin-Desailly traite un sujet important ; mais il faudrait également considérer l'utilisation de ces objets. Il faudrait aller au-delà de cet amendement, commission d'enquête ou autre...
M. Loïc Hervé. - Ce qu'on vise, c'est l'usager. Alex Türk, ancien sénateur et président de la CNIL, a publié en 2011 un ouvrage qui vise les « naïfs », conscients des possibilités des réseaux, mais qui croient n'avoir « rien à cacher, rien à se reprocher ». Sept ans après, on y est encore. La CNIL parle également des véhicules connectés. Nous sommes à la préhistoire d'un bouleversement total.
Par l'objet, cet amendement entre en dialogue avec l'usager. Cela sans préfigurer d'autres débats, sur les moteurs de recherche, par exemple. L'utilisation des données doit être claire et transparente. Cet amendement marque un pas de plus.
L'amendement n°79 rectifié est adopté.
M. le président. - Amendement n°121, présenté par Mme S. Robert et les membres du groupe socialiste et républicain.
Alinéa 17
Remplacer les mots :
peut établir
par le mot :
établit
Mme Sylvie Robert. - On pourrait dire que cet amendement est rédactionnel : en réalité, il rend obligatoire et non facultatif l'établissement de la liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable de la CNIL.
Mme Sophie Joissains, rapporteur. - Avis favorable.
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable. L'article 28 de la directive impose que la CNIL se prononce au préalable en cas de risques élevés de traitement pour les droits et libertés et qu'elle peut établir une liste.
Les dispositions transposent la directive sans modification. Une telle liste n'aurait de sens que si vous votiez aussi l'amendement du Gouvernement sur l'article 19, qui supprime l'autorisation préalable de la CNIL, votée par la commission, pour tout traitement de données par l'État en dehors du cadre de la directive.
L'amendement n°121 est adopté.
M. le président. - Amendement n°120, présenté par M. Durain et les membres du groupe socialiste et républicain.
Alinéa 19
Remplacer les mots :
ou par le Président du Sénat
par les mots :
par le Président du Sénat, par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire
M. Jérôme Durain. - Le présent amendement rétablit une possibilité de consultation de la CNIL sur tout projet de loi relatif à la protection des données personnelles, en l'étendant aux commissions parlementaires compétentes ainsi qu'au président d'un groupe parlementaire. Il est opportun de traduire une pratique déjà connue dans la loi.
M. le président. - Amendement n°63, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.
Alinéa 19
Après le mot :
Sénat
insérer les mots :
, ainsi qu'à la demande d'un président de groupe parlementaire,
Mme Esther Benbassa. - Le présent amendement permet aux présidents de groupes parlementaires de l'Assemblée nationale et du Sénat de saisir la CNIL sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel.
Cette possibilité a été adoptée à l'Assemblée nationale.
L'opposition n'est pas à la mode mais elle existe et doit pouvoir jouer son rôle. C'est une toute petite concession que je vous demande.
Mme Sophie Joissains, rapporteur. - La CNIL peut être consultée par tout député ou tout sénateur. Restons dans ce cadre informel. Avis défavorable.
Mme Nicole Belloubet, garde des sceaux. - Je suis convaincue par les arguments de Mme le rapporteur. Avis défavorable.
L'amendement n°120 n'est pas adopté, non plus que l'amendement n°63.
M. le président. - Amendement n°15 rectifié bis, présenté par M. A. Marc et les membres du groupe Les Indépendants - République et Territoires.
Alinéa 19
Après le mot :
Sénat
insérer les mots :
, par soixante députés ou soixante sénateurs
M. Alain Marc. - Cet amendement restreindrait le droit de saisine de la CNIL. Les discussions fécondes de la commission l'ont montré. Je le retire.
M. Philippe Bas, président de la commission. - Quelle classe !
L'amendement n°15 rectifié bis est retiré.
M. le président. - Amendement n°17 rectifié bis, présenté par M. A. Marc et les membres du groupe Les Indépendants - République et Territoires.
Alinéa 23
Rédiger ainsi cet alinéa :
7° L'avant-dernier alinéa est complété par une phrase ainsi rédigée : « Elle peut saisir pour avis toute autre autorité ou institution intéressée par l'accomplissement de ses missions. »
M. Alain Marc. - Cet amendement modifie le 7° de l'article 11 de la loi Informatique et libertés du 6 janvier 1978 pour permettre à la CNIL de saisir toute autre autorité ou institution intéressée par l'accomplissement de ses missions.
Il s'agit de favoriser le dialogue entre les différentes autorités ou institutions compétentes sur les problématiques numériques.
Mme Sophie Joissains, rapporteur. - La saisine ne relève pas de notre compétence. Retrait.
L'amendement n°17 rectifié bis est retiré.
L'article premier, modifié, est adopté.
ARTICLE ADDITIONNEL
M. le président. - Amendement n°122 rectifié, présenté par Mme S. Robert et les membres du groupe socialiste et républicain.
Après l'article 1er
Insérer un article additionnel ainsi rédigé :
Après l'article 34 de la loi n°78-17 du 6 janvier 1978 précitée, il est inséré un article ainsi rédigé :
« Art. ... - Le délégué à la protection des données institué par l'article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE peut signaler à la Commission nationale de l'informatique et des libertés les difficultés qu'il rencontre dans l'exercice de ses missions.
« Lorsque le délégué à la protection des données révèle ou signale, de manière désintéressée et de bonne foi, une violation grave, manifeste et répétée des droits et libertés mentionnés à l'article 1er de la présente loi, les dispositions du chapitre II du titre Ier de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique s'appliquent. »
Mme Sylvie Robert. - Le délégué à la protection des données sera la clé de voûte du futur système, ayant un rôle stratégique et une vision synoptique.
Alors que les atteintes au droit se multiplient, je pense aux actualités de ce week-end. Il faut que le Délégué à la protection des données (DPO) puisse bénéficier du statut de lanceur d'alerte.
Mme Sophie Joissains, rapporteur. - Cela poserait un problème. Le DPO a certes une fonction de vigie, mais aussi une relation de confiance avec le responsable du traitement. On ne peut pas être lanceur d'alerte et avocat en même temps. Retrait sinon avis défavorable.
Mme Nicole Belloubet, garde des sceaux. - Même avis. D'après cet amendement, le DPO peut signaler à la CNIL des difficultés. C'est déjà prévu par le RGPD, qui établit un régime complet. Le responsable de traitement doit aussi veiller à ce que le DPO ne reçoive aucune instruction du responsable dans l'exercice de ses missions ; il ne faut pas être démis ou subir des pressions...
Mme Sylvie Robert. - Je le retirerai. Je souhaitais rappeler que le rôle du DPO ne sera pas facile. En cas de violations graves et massives, il devra être protégé.
L'amendement n°122 rectifié est retiré.
ARTICLE PREMIER BIS (Supprimé)
M. le président. - Amendement n°123 rectifié, présenté par M. Durain et les membres du groupe socialiste et républicain.
Rétablir cet article dans la rédaction suivante :
L'article 4 bis de l'ordonnance n°58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires est ainsi modifié :
1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
« Le président d'une assemblée parlementaire peut également saisir la Commission nationale de l'informatique et des libertés d'une proposition de loi ou d'une ou plusieurs dispositions d'une proposition de loi dans les mêmes conditions. » ;
2° Au deuxième alinéa, après les mots : « Conseil d'État », sont insérés les mots : « ou à la Commission nationale de l'informatique et des libertés » ;
3° Au troisième alinéa, après les mots : « Conseil d'État », sont insérés les mots : « ou de la Commission nationale de l'informatique et des libertés » ;
4° Au dernier alinéa, le mot : « trois » est remplacé par le mot : « quatre ».
M. Jérôme Durain. - Cet amendement inscrit par coordination avec les dispositions prévues à l'article premier, la possibilité pour le président d'une assemblée parlementaire de saisir la CNIL sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel dans l'ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires.
Mme Sophie Joissains, rapporteur. - Retrait ? Ne soyons pas trop formalistes.
Mme Nicole Belloubet, garde des sceaux. - Sagesse pour cet amendement qui reprend un article premier bis créé par la commission des lois de l'Assemblée nationale en ajoutant d'autres personnalités.
À l'issue d'une épreuve à main levée déclarée douteuse, l'amendement n°123 rectifié, mis aux voix par assis et debout, n'est pas adopté.
L'article premier bis demeure supprimé.
ARTICLE ADDITIONNEL
M. le président. - Amendement n°124, présenté par M. Durain et les membres du groupe socialiste et républicain.
Après l'article 1er bis
Insérer un article additionnel ainsi rédigé :
Après l'article 5 ter de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, il est inséré un article 5 ... ainsi rédigé :
« Art. 5 ... - Les commissions permanentes compétentes de l'Assemblée nationale et du Sénat ainsi que les présidents des groupes politiques peuvent saisir la Commission nationale de l'informatique et des libertés sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection des données à caractères personnel ou au traitement de telles données.
« Les règlements des assemblées fixent les conditions dans lesquelles cette saisine s'exerce. »
M. Jérôme Durain. - C'est le même que l'amendement n°123 rectifié.
Mme Sophie Joissains, rapporteur. - Même avis : retrait.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°124 est retiré.
L'article 2 est adopté.
ARTICLE 2 BIS
M. le président. - Amendement n°155, présenté par Mme Joissains, au nom de la commission.
Après l'alinéa 2
Insérer un alinéa ainsi rédigé :
« - au 4 de l'article 34 du même règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34.
Mme Sophie Joissains, rapporteur. - Le présent amendement introduit plus de souplesses dans l'organisation interne des travaux de la CNIL.
La formation plénière de la commission pourrait déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données.
Conformément à l'article 34 du RGPD, la CNIL devra recevoir ces notifications, examiner si la violation est susceptible d'engendrer un risque élevé afin d'exiger du responsable de traitement de communiquer cette violation aux personnes concernées ou de décider que cette communication n'est pas nécessaire.
Aux Pays-Bas, cette obligation de notification existe déjà en droit positif - 6 500 notifications par an, pour un pays évidemment bien plus petit que la France. Il convient d'aider la CNIL à ménager ses moyens en lui offrant cette agilité organisationnelle.
Mme Nicole Belloubet, garde des sceaux. - Avis favorable. L'exemple des Pays-Bas est convaincant.
L'amendement n°155 est adopté.
L'article 2 bis, modifié, est adopté.
ARTICLE 3
M. le président. - Amendement n°31, présenté par Mme M. Carrère.
Alinéa 6, première phrase
Remplacer les mots :
commissaire du Gouvernement
par les mots :
rapporteur public
Mme Maryse Carrère. - Vous connaissez les travaux du RDSE sur les autorités administratives indépendantes. Cet amendement remplace la notion de « commissaire du gouvernement », susceptible de laisser penser à une partialité selon une jurisprudence de la CEDH relative à la juridiction administrative, par celle, plus neutre, de « rapporteur public ».
Il ne faut pas donner l'impression qu'il ait pu peser dans la discussion.
Mme Sophie Joissains, rapporteur. - La CNIL pourra proposer d'elle-même de changer de nom. Retrait, sinon avis défavorable.
Mme Nicole Belloubet, garde des sceaux. - Même avis, cet amendement est source de confusion.
L'amendement n°31 est retiré.
L'article 3 est adopté.
ARTICLE 4
M. le président. - Amendement n°126 rectifié, présenté par M. Durain et les membres du groupe socialiste et républicain.
Alinéa 7
Compléter cet alinéa par les mots :
y compris lorsque ces informations sont stockées et gérées par une entreprise sous-traitante
M. Jérôme Durain. - L'article 90 autorise l'adoption de règles spécifiques pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret professionnel.
Cet amendement prend en compte le cas des données couvertes par le secret professionnel lorsque ces dernières sont stockées et traitées dans le nuage et non dans les serveurs objets du contrôle.
Mme Sophie Joissains, rapporteur. - Retrait ? Cet amendement est satisfait par le droit en vigueur qui permet déjà d'opposer trois types de secret protégé.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°126 rectifié est retiré.
M. le président. - Amendement n°125, présenté par M. Durain et les membres du groupe socialiste et républicain.
Alinéa 8, seconde phrase
Rédiger ainsi cette phrase :
Seul un médecin peut requérir la communication de données médicales individuelles incluses dans cette catégorie de traitement.
M. Jérôme Durain. - L'article 4 prévoit que la communication des données médicales dans le cadre du contrôle ne sera plus requise obligatoirement par un médecin, mais sous son autorité et en sa présence. Cet assouplissement est un recul compte tenu de la sensibilité particulière des données médicales. Il convient de s'assurer de l'autonomie de jugement des médecins.
M. le président. - Amendement n°19 rectifié bis, présenté par M. A. Marc et les membres du groupe Les Indépendants - République et Territoires.
Alinéa 8, seconde phrase
Compléter cette phrase par les mots :
après information préalable du patient
M. Alain Marc. - Cet amendement précise que la communication de données médicales individuelles ne peut se faire qu'après information préalable du patient, dans le respect du principe de transparence qui régit le règlement.
Mme Sophie Joissains, rapporteur. - Retrait de l'amendement n°125. L'agent sera sous la responsabilité fonctionnelle du médecin, qui, même s'il ne réalise pas lui-même l'opération, garantira que le secret médical n'est pas violé. Les garanties apportées par la commission concilient secret médical et efficacité.
Concernant l'amendement n°19 rectifié bis, la commission a demandé le retrait ; à titre personnel, je penche pour la sagesse.
Mme Nicole Belloubet, garde des sceaux. - Retrait ou avis défavorable à l'amendement n°125 qui, loin d'être plus protecteur, ne lèverait pas les difficultés procédurales relevées par la CNIL.
La rédaction du Gouvernement est issue de l'examen du projet de loi par le Conseil d'État. Le médecin transmettra ses instructions à l'agent qui sera placé sous sa responsabilité fonctionnelle.
Avis défavorable à l'amendement n°19 rectifié bis qui serait trop lourd à mettre en oeuvre, par exemple lorsque le patient n'est pas en état de recevoir l'information. De plus, de nombreuses entreprises veulent que soit préservée la confidentialité des contrôles avant la sanction.
L'amendement n°125 n'est pas adopté, non plus que l'amendement n°19 rectifié bis.
M. le président. - Amendement n°83, présenté par le Gouvernement.
Après l'alinéa 10
Insérer un alinéa ainsi rédigé :
« Les membres et agents mentionnés au premier alinéa du I du présent article peuvent, à la demande du président de la commission, être assistés par des experts. » ;
Mme Nicole Belloubet, garde des sceaux. - Cet amendement réintroduit la possibilité pour les membres et agents de la CNIL de recourir à des experts dans le cadre de ses contrôles : c'est l'article 44 de la loi de 1978, supprimé par erreur. C'est utile, par exemple quand la CNIL mène des contrôles avec l'Autorité de régulation des jeux en ligne.
Cette rédaction permettra également l'assistance d'experts n'appartenant pas à une autorité, comme les experts inscrits sur une liste d'experts judiciaires, auxquels ont déjà recours l'Autorité des marchés financiers, l'Autorité de la concurrence ou l'Arcep. Le règlement intérieur de la CNIL détermine les règles déontologiques applicables aux experts.
L'amendement n°83, accepté par la commission, est adopté.
M. le président. - Amendement n°127 rectifié, présenté par M. Durain et les membres du groupe socialiste et républicain.
Après l'alinéa 10
Insérer deux alinéas ainsi rédigés :
...° Le IV est complété par un alinéa ainsi rédigé :
« Lorsque les traitements mentionnés au premier alinéa du présent IV ne sont pas soumis aux dispositions du présent article, la conformité de ces traitements est contrôlée, en coopération avec la Commission nationale de contrôle des techniques de renseignement, par un ou plusieurs membres de la Commission nationale de l'informatique et des libertés désignés par le président parmi les membres appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes. Le contrôle est effectué dans des conditions permettant d'en assurer la confidentialité. Les conclusions du contrôle sont remises au seul ministre compétent. Les conditions de mise en oeuvre de cette procédure sont précisées par décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés. » ;
M. Jérôme Durain. - Dans une démocratie, le contrôle de l'activité des services de renseignement répond à une exigence légitime. Or pour un certain nombre de fichiers intéressant la sûreté de l'État, considérés comme stratégiques, la possibilité pour la CNIL d'opérer un contrôle a posteriori sur pièces et sur place, plein et entier, est exclue à ce jour.
Ces données sensibles bénéficient déjà d'un régime dérogatoire et la loi Renseignement du 24 juillet 2015 a prévu des garde-fous. La Commission nationale de contrôle des techniques de renseignement (CNCTR) émet un avis préalablement à la mise en oeuvre d'une technique de renseignement susceptible d'alimenter ces fichiers et procède à des contrôles a posteriori. Mais elle ne peut juger du respect de la protection des données personnelles au regard de la loi de 1978. D'où un vide juridique.
Cet amendement renforcera la confiance des citoyens dans l'action des services de renseignement, confortera la culture du renseignement que nous souhaitons promouvoir et renforcera la sécurité de tous dans le respect des libertés publiques.
Mme Sophie Joissains, rapporteur. - Avis défavorable. Ces fichiers, en raison de leur sensibilité, ne sauraient être contrôlés par la CNIL. Cet amendement, présenté lors de l'examen de la loi Renseignement, avait d'ailleurs été repoussé par une Assemblée nationale alors à majorité socialiste. Cela affaiblirait les services de renseignement et dissuaderait nos partenaires de nous transmettre des informations.
Mme Nicole Belloubet, garde des sceaux. - Les fichiers de renseignement sont un sous-ensemble des fichiers dits de souveraineté. Toute personne peut cependant procéder à des vérifications indirectes via la CNIL. Les caractéristiques de ces fichiers sont définies par voie réglementaire ; pour des raisons de confidentialité, la plupart sont dispensés de publication.
Un décret du 15 mai 2015 liste les quatorze fichiers concernés. Pour huit d'entre eux, les plus sensibles, le contrôle a posteriori sur pièces et sur place de la CNIL est exclu car il remettrait gravement en cause les modalités d'action des services de renseignement. Ces fichiers relèvent de la Direction générale de la Sécurité extérieure (DGSE), de la Direction générale de la sécurité intérieure (DGSI), de la direction du renseignement militaire, de la direction du renseignement et de la sécurité de la défense, du renseignement de la préfecture de police et des douanes.
Ils sont néanmoins contrôlés à plusieurs titres car le recueil de renseignements est très encadré, au premier chef par la CNCTR, a priori et a posteriori, dans un dialogue régulier et très exigeant. La création d'un fichier est subordonnée à un examen de la CNIL puis du Conseil d'État. La CNIL se rend enfin trois à quatre fois par an auprès de chacun des services de renseignement pour contrôler l'usage des fichiers, et faire rectifier ou effacer les données non pertinentes.
Tout citoyen peut aussi, sur un simple soupçon, saisir le Conseil d'État pour obtenir, si c'est justifié, un effacement des données le concernant.
La CNCTR est compétente pour contrôler le recueil des données brutes ; la CNIL pour contrôler leur conservation et leur exploitation.
Le principe du cloisonnement du renseignement explique l'équilibre trouvé, qui concilie protection des libertés et préservation des intérêts fondamentaux de la nation. Avis défavorable.
L'amendement n°127 rectifié est retiré.
M. le président. - Amendement n°35, présenté par Mme M. Carrère.
Alinéa 12
Compléter cet alinéa par une phrase ainsi rédigée :
L'accès aux données utilisées lors d'opérations de traitement sans lien avec l'exercice de la fonction juridictionnelle ne peut alors se faire que sous l'autorité et en présence d'un magistrat.
Mme Maryse Carrère. - Sur le modèle de ce qui se fait pour le traitement des données médicales, l'amendement prévoit que les contrôles effectués par la CNIL au sein des juridictions se font sous l'autorité et en présence d'un magistrat, pour anticiper tout détournement.
Mme Sophie Joissains, rapporteur. - L'amendement est ambigu. Le magistrat appartient-il à la CNIL ou à la juridiction contrôlée ? Dans les deux cas, ce n'est pas pertinent. Retrait ou avis défavorable.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
M. Jean-Claude Requier. - Un bug informatique nous a empêché de cosigner les amendements présentés par Maryse Carrère, mais tout le groupe, dans sa diversité, les soutient. Nous sommes pour la protection des données et affichons nos convictions !
L'amendement n°35 est retiré.
L'amendement n°4, modifié, est adopté.
L'article 5 est réservé.
ARTICLE 6
M. le président. - Amendement n°151, présenté par Mme Joissains, au nom de la commission.
I. - Alinéas 5 à 22
Rédiger ainsi ces alinéas :
« II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :
« 1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
« 3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
« 4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.
« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
« III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I ou le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l'ordre ;
« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu'elle a fixée ;
« 3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
« 4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
« 6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
« 7° À l'exception des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement. » ;
II. - Alinéa 38, première phrase
Remplacer la référence :
II
par la référence :
III
Mme Sophie Joissains, rapporteur. - Cet amendement rend plus lisible l'enchaînement des mesures correctrices dont dispose la CNIL en rétablissant leur ordre logique : avertissement, mise en demeure, sanction.
La CNIL souhaitant conserver une marge d'appréciation et préserver les dispositifs de coopération avec ses homologues, nous avons trouvé une rédaction de compromis respectueuse de sa liberté d'action mais plus pédagogique que celle du Gouvernement.
M. le président. - Amendement n°52, présenté par M. L. Hervé.
I. - Alinéa 5
1° Remplacer la mention :
II. -
par la mention :
III. -
2° Remplacer les mots :
, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l'objet d'une mise en conformité,
par les mots :
également, le cas échéant en complément de la mise en demeure prévue au II du présent article
II. - Alinéa 14
1° Remplacer la mention :
III. -
par la mention :
II. -
2° Après le mot :
peut
insérer les mots :
, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité,
III. - Alinéa 38, première phrase
Remplacer la référence :
II
par la référence :
III
M. Loïc Hervé. - Cet amendement est satisfait par le précédent, qui rend la gradation des sanctions plus compréhensible. La CNIL doit conserver une capacité d'appréciation de la sanction.
L'amendement n°52 est retiré.
M. le président. - Amendement n°84, présenté par le Gouvernement.
I. - Alinéa 5
Supprimer les mots :
, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l'objet d'une mise en conformité,
II. - Alinéa 14
Après le mot :
peut
insérer le mot :
également
Mme Nicole Belloubet, garde des sceaux. - Je suis moi aussi prête à me rallier à l'amendement n°151. La mise en demeure doit être une possibilité, non une formalité préalable obligatoire.
L'amendement n°84 est retiré.
M. le président. - Amendement n°34, présenté par Mme M. Carrère.
Alinéa 12
Compléter cet alinéa par une phrase ainsi rédigée :
Compte-tenu des contraintes spécifiques des micro-entreprises et des petites et moyennes entreprises, une amende ne peut être prononcée que lorsque le caractère délibéré de la violation est démontré.
Mme Maryse Carrère. - Le coût financier de la mise en conformité pèsera lourdement sur les TPE dépourvues de service juridique interne.
L'article 83 du RGPD tient compte du caractère délibéré ou non de la violation. Nous souhaitons une présomption de négligence en faveur des TPE, justifiée au regard de leur situation particulière.
Mme Sophie Joissains, rapporteur. - La rupture d'égalité est manifeste. Retrait ?
Mme Nicole Belloubet, garde des sceaux. - Même avis. Cet amendement est contraire au RGPD.
L'amendement n°34 est retiré.
L'amendement n°151 est adopté.
Mme Nicole Belloubet, garde des sceaux. - Cet amendement supprime l'alinéa introduit par la commission des lois qui affecte le produit des amendes et des astreintes à l'assistance apportée par l'État aux responsables de traitements et à leurs sous-traitants, afin qu'ils se conforment à leurs obligations - ce qui est contraire au principe d'universalité budgétaire consacré par la LOLF.
De plus, la mission d'assistance aux responsables de traitements relève de la CNIL, et non de l'État. Il faudrait donc alimenter le budget de la CNIL ; mais celle-ci, qui n'est pas une personne morale, ne peut être affectataire d'un prélèvement fiscal, en vertu du même principe d'universalité. Ses recettes proviennent uniquement de crédits budgétaires des services du Premier ministre. Le produit des amendes prononcées par les autorités administratives indépendantes est inscrit sur une ligne dédiée en loi de finances.
Mme Sophie Joissains, rapporteur. - Évidemment, avis défavorable. Les collectivités territoriales sont étranglées; elles ont besoin d'être aidées. Des cabinets d'avocats leur demandent 50 000 euros par an pour assurer une prestation de DPO... Comment seront-elles accompagnées ?
M. Jean-Yves Leconte. - J'entends l'argumentation de la ministre. Mais le CSA est une autorité administrative indépendante, or il jouit d'une autonomie de gestion et peut percevoir des ressources propres.
Peut-être l'alinéa ne va-t-il pas assez loin, en ne donnant pas à la CNIL des prérogatives comparables, quitte à faire évoluer son statut.
M. Arnaud de Belenet. - On ne peut que partager les préoccupations de Mme Joissains. Mais il faut aussi entendre la problématique juridique. Nous n'avons pas encore trouvé de solution juridiquement sécurisée pour aider les collectivités territoriales à financer cette dépense. Il faut donc voter l'amendement.
M. Loïc Hervé. - Il faut aller plus vite et plus loin dans l'accompagnement des collectivités. Cela fait quarante ans que certaines d'entre elles ne respectent pas entièrement leurs obligations...
Au moment où on leur demande de se responsabiliser, il faut un accompagnement sur le terrain. Les prestataires privés qui se sont engouffrés dans la brèche proposent des services à des prix très élevés... Les associations départementales de maires, les syndicats en électronique et de fibre optique, les conseils départementaux, les centres de gestion de la fonction publique territoriale peuvent apporter collectivement un appui. Aidons-les en affectant des moyens pérennes et en encourageant une mutualisation, département par département ! Dans le contexte actuel, les collectivités locales ont du mal à digérer une dépense nouvelle. (Applaudissements sur les bancs des groupes UC et Les Républicains)
M. Jean-François Husson. - Bravo !
L'amendement n°85 n'est pas adopté.
M. le président. - Amendement n°56 rectifié, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin.
Après l'alinéa 46
Insérer deux alinéas ainsi rédigés :
...° Le premier alinéa de l'article 51 est ainsi rédigé :
« Art. 51 - À l'exception des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, est puni d'un an d'emprisonnement et d'une amende ne pouvant excéder 20 millions d'euros ou, s'agissant d'une entreprise, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés : ».
Mme Christine Lavarde. - L'article 6 harmonise les sanctions financières prévues à l'article 45 de la loi du 6 janvier 1978 avec celles prévues à l'article 83 du RGPD, soit une amende pouvant s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Or une autre amende est prévue à l'article 51 de la loi Informatique et libertés en cas d'entrave au contrôle. Bref, il faut actualiser les montants.
Mme Sophie Joissains, rapporteur. - Cette rédaction introduit une confusion entre amende pénale et administrative. Retrait ou avis défavorable.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°56 rectifié n'est pas adopté.
M. le président. - Amendement n°57 rectifié bis, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin.
Alinéa 47
Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :
II. - Le code pénal est ainsi modifié :
1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d'amende » sont remplacés par les mots : « 10 000 000 euros d'amende ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu » ;
2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d'amende » sont remplacés par les mots : « 20 000 000 euros d'amende ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu » ;
3° Au deuxième alinéa de l'article 226-22, les mots : « 100 000 euros d'amende » sont remplacés par les mots : « 5 000 000 euros d'amende ou, dans le cas d'une entreprise, jusqu'à 1 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu » ;
4° L'article 226-16 est ainsi modifié :
a) Au premier alinéa, après le mot : « loi », sont insérés les mots : « , ou, dans les cas où la loi l'exige, sans qu'un délégué à la protection des données ait été désigné, » ;
b) Au deuxième alinéa, la référence : « au 3° du I de l'article 45 » est remplacée par les références : « aux 3° , 4° , 5° ou 6° du II de l'article 45 ou aux 1° , 2° , 3° , 4° ou 5° du I de l'article 46 » ;
5° À l'article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots : « responsable de traitement » et la référence : « du II » est supprimée ;
6° L'article 226-19 est ainsi modifié :
a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;
b) Il est ajouté un alinéa ainsi rédigé :
« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l'exercice d'activités exclusivement personnelles. » ;
7° À l'article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «, par la déclaration préalable ou au-delà de la durée indiquée lors de l'inscription du traitement au registre du responsable du traitement » ;
8° À l'article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l'inscription du traitement au registre du responsable de traitement » ;
9° À l'article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l'Union européenne en violation des mesures prises par la Commission européenne » ;
10° L'article 226-23 est ainsi rédigé :
« Art 226-23. - Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d'information ou de droit d'accès des personnes concernées, conformément aux articles 12 à 15 du règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d'emprisonnement et de 20 000 000 euros d'amende ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. » ;
11° Après l'article 226-23, il est inséré un article 226-23-... ainsi rédigé :
« Art 226-23-... - Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d'effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d'emprisonnement et de 20 000 000 euros d'amende ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Mme Christine Lavarde. - C'est aussi un amendement d'harmonisation, entre le code pénal et la nouvelle rédaction de la loi Informatique et libertés. Les contraventions prévues par le code pénal, qui relèvent d'un décret en Conseil d'État, devraient être requalifiées en délits au même niveau que les autres infractions.
Enfin, le projet de loi ne sanctionne pas le non-respect de l'ensemble des nouveaux droits et obligations prévus par le RGPD.
Mme Sophie Joissains, rapporteur. - Retrait pour les mêmes raisons. Le RGPD renvoie au droit des États membres sur la sanction pénale ; le code pénal sanctionne déjà la méconnaissance de la loi Informatique et libertés.
Mme Nicole Belloubet, garde des sceaux. - Retrait ou avis défavorable. Le Gouvernement n'est pas opposé au durcissement des sanctions pénales, mais les peines proposées - jusqu'à 100 millions d'euros ! - sont excessives et disproportionnées.
M. Simon Sutour. - C'est le Monopoly !
Mme Christine Lavarde. - Les professionnels du secteur m'ont dit être perdus car les différents cadres réglementaires se superposent. Il faudra faire preuve de pédagogie. Cela dit, je retire l'amendement.
L'amendement n°57 rectifié bis est retiré.
L'article 6, modifié, est adopté.
ARTICLE 5 (Précédemment réservé)
M. le président. - Amendement n°33, présenté par Mme M. Carrère.
I. - Alinéas 4, 10 et 14
Après les mots :
des autres États membres de l'Union européenne
insérer les mots :
, sous réserve de leur application dudit règlement,
II. - Alinéa 23
Après le mot :
précité
insérer les mots :
, sous réserve de l'application dudit règlement par l'État membre de l'autorité de contrôle chef de file
Mme Maryse Carrère. - La coopération entre États membres risque dans un premier temps de connaître quelques flottements, surtout si certains États adoptent une stratégie non coopérative. La réciprocité est d'autant plus nécessaire que le niveau de protection est très élevé en France.
Mme Sophie Joissains, rapporteur. - Retrait. La coopération est rendue obligatoire par le RGPD qui est d'application directe.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°33 est retiré.
M. le président. - Amendement n°128, présenté par M. Durain et les membres du groupe socialiste et républicain.
Alinéa 12, seconde phrase
Après les mots :
sous son autorité
insérer les mots :
et son contrôle
M. Jérôme Durain. - Le RGPD renforce la coopération européenne à travers un système d'action cohérente et d'assistance mutuelle entre autorités compétentes. La CNIL pourra ainsi être amenée à réaliser des opérations conjointes avec les autorités des autres États membres.
Lors d'une opération de contrôle conjointe sur le territoire français, le droit national s'impose. Le règlement laisse aux États une marge de manoeuvre concernant les pouvoirs d'enquête confiés aux membres et agents associés aux opérations conjointes. Il convient de préciser que ces derniers exercent, sous l'autorité du président de la CNIL mais également sous son contrôle, tout ou partie des pouvoirs de vérification et d'enquête des agents de la CNIL.
Mme Sophie Joissains, rapporteur. - Avis favorable.
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable. La formulation n'est pas cohérente avec l'article 62-3 du règlement. De plus, la CNIL exerçant son activité par la présence de ses membres ou agents, il n'est pas nécessaire de préciser que les opérations conjointes ont lieu sous son contrôle.
L'amendement n°128 est adopté.
M. le président. - Amendement n°150, présenté par M. L. Hervé.
I. - Alinéa 24
Remplacer la référence :
III
par la référence :
II
II. - Alinéa 25, première phrase
Remplacer la référence :
II
par la référence :
III
M. Loïc Hervé. - Amendement de coordination qui justifie la réserve de l'article 5.
M. le président. - Amendement identique n°154, présenté par Mme Joissains, au nom de la commission.
Mme Sophie Joissains, rapporteur. - C'est le même.
Les amendements identiques nos150 et 154, acceptés par le Gouvernement, sont adoptés.
L'article 5, modifié, est adopté.
ARTICLE ADDITIONNEL
M. le président. - Amendement n°48 rectifié bis, présenté par M. A. Marc et les membres du groupe Les Indépendants - République et Territoires.
Après l'article 6
Insérer un article additionnel ainsi rédigé :
Le Président de la Commission nationale de l'informatique et des liberte?s e?tablit, apre?s avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres a? l'exercice des fonctions de délégué à la protection des données dans les administrations publiques.
M. Alain Marc. - Il semble cohérent que le mouvement déontologique à l'oeuvre dans la sphère publique s'applique également à la fonction de DPO, avec des dispositions que la CNIL serait la mieux à même d'identifier. Un tel document contribuerait à mieux définir les bonnes pratiques.
Mme Sophie Joissains, rapporteur. - Cet amendement introduit la notion de déontologie dès la création des DPO. La commission est dubitative, donc sagesse. Personnellement, je le voterai.
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable. Les obligations déontologiques et bonnes pratiques relèvent plus d'une circulaire que de la loi.
L'amendement n°48 rectifié bis est adopté et devient un article additionnel.
ARTICLE 7
M. le président. - Amendement n°137, présenté par Mme S. Robert et les membres du groupe socialiste et républicain.
Alinéa 3
Après le mot :
révèlent
Insérer les mots :
directement ou indirectement
Mme Sylvie Robert. - Cet amendement reprend la formulation qui figure à l'alinéa premier de l'article 8 de la loi Informatique et libertés.
Mme Sophie Joissains, rapporteur. - Retrait. La nuance proposée ne figure pas dans l'article 9 du RGPD.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
M. Jean-Pierre Sueur. - Même si l'on transpose, on a le droit de respecter l'esprit de la loi de 1978. Ce qui est en cause, c'est la révélation de la prétendue origine raciale, des convictions religieuses, philosophiques ou politiques, entre autres. C'est pourquoi la mention « directement ou indirectement » est nécessaire. Le dévoilement peut se faire par des indices indirects.
L'amendement n°137 n'est pas adopté.
M. le président. - Amendement n°20 rectifié bis, présenté par M. A. Marc et les membres du groupe Les Indépendants - République et Territoires.
Après l'alinéa 3
Insérer un alinéa ainsi rédigé :
« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l'utilisation de services numériques au sein de l'éducation nationale. » ;
M. Alain Marc. - Cet amendement interdit le traitement des données personnelles collectées dans le cadre de l'utilisation de services numériques au sein de l'Éducation nationale. Les élèves sont un public fragile, souvent imprudents dans le partage de leurs données personnelles sur supports numériques.
Mme Sophie Joissains, rapporteur. - L'interdiction est trop large et risque de paralyser la gestion des élèves et des notes. Retrait ? Toutefois, l'amendement attire l'attention sur l'impréparation de l'Éducation nationale. Le Gouvernement peut-il nous éclairer ?
Mme Nicole Belloubet, garde des sceaux. - Le Gouvernement partage l'objet : garantir aux élèves la protection des données personnelles collectées dans le cadre scolaire. Le ministère de l'Éducation nationale a mis en oeuvre un traitement de données personnelles pour rationaliser la communication de données aux fournisseurs de ressources et services.
Mais cet amendement toucherait tous les services numériques utilisés par les élèves et enseignants, y compris les espaces numériques de travail. Avis défavorable.
M. Loïc Hervé. - Je ne voterai pas cet amendement dont le champ est trop vaste. Si un cumul des mandats reste autorisé, c'est celui de sénateur et de père de famille. Nous parlions des petites communes, des petites entreprises et des petites associations mais l'Éducation nationale est, après l'armée chinoise le plus grand employeur du monde. La manière dont elle traite les données personnelles est hallucinante, la loi de 1978 ne s'y applique pas. Toutes sortes de données sont recueillies : l'identité des élèves, leur photographie, l'identité des parents et leurs revenus, leurs convictions religieuses par le biais des cantines scolaires. L'interdiction proposée est peut-être un peu forte. En revanche, mettre le doigt dans la gestion de ces données par l'Éducation nationale est une bonne chose. La formation aux questions des données personnelles et des droits d'auteur n'est pas dans les radars de la formation dispensée dans les ESPE. Il y a urgence : passons de l'Antiquité aux temps modernes.
Mme Catherine Morin-Desailly. - Il est en effet temps que les services de l'État sortent de l'ambiguïté. Le ministère de l'éducation nationale a contractualisé avec Google et Microsoft sans aucun appel d'offres sous le gouvernement précédent, ce qui est très problématique d'autant que ces entreprises sont extra-européennes. J'en discutais avec le directeur de cabinet de M. Blanquer ce matin même. Un travail de mise en conformité s'impose. Des modules de sensibilisation au respect des données personnelles et des droits d'auteur se mettent en place. (M. Loïc Hervé s'en réjouit.) La route est longue mais la volonté est là. Restent que ces données servent aussi à des projets pédagogiques dans les classes. Leur traitement doit faire l'objet d'un encadrement clarifié.
M. Alain Marc. - Mon amendement était d'appel. Les ESPE ne délivrent pas de formation suffisamment approfondie sur ces sujets. Le Sénat, protecteur des libertés publiques, devait ouvrir ce champ de réflexion comme il l'a fait pour les objets connectés.
L'amendement n°20 rectifié bis est retiré.
M. le président. - Amendement n°6 rectifié septies, présenté par Mme Bruguière, M. Bansard, Mme Goy-Chavent, M. A. Marc, Mme Deromedi, MM. D. Laurent, Henno et Sol, Mmes Garriaud-Maylam et Renaud-Garabedian, MM. Poniatowski, de Nicolaÿ, Bonhomme, Milon et B. Fournier, Mmes Lamure, Billon et Bonfanti-Dossat, M. Bonne, Mme Bories, MM. Brisson, Lefèvre et Guerriau, Mmes Morhet-Richaud, Eustache-Brinio et Mélot, MM. Lagourgue et Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.
I. - Après l'alinéa 4
Insérer un alinéa ainsi rédigé :
...) Le 4° est complété par les mots : « , dès lors que ces données révèlent à elles-seules les informations mentionnées au I » ;
II. - Alinéa 12
Compléter cet alinéa par les mots :
et dont le traitement poursuit l'une des finalités visées aux b, g et j du paragraphe 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
M. François Bonhomme. - L'article 9 du RGDP n'interdit pas explicitement les traitements qui, recoupant des données non-sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles qui, elles, n'ont jamais été publiées par la personne. Il faut réparer cet oubli.
Ce même article autorise le traitement de données sensibles pour certaines finalités seulement dont il fait la liste exhaustive. Or la loi de 1978 autoriserait les traitements de données sensibles pourvu qu'une mesure technique soit appliquée : l'anonymisation à bref délai. Cette contradiction doit être supprimée. Pour autant, l'anonymisation à bref délai n'est pas sans intérêt. Elle est l'une des « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ».
M. le président. - Amendement identique n°64, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.
Mme Esther Benbassa. - Cet amendement précise l'article 9 du règlement général sur la protection des données en interdisant explicitement les traitements qui visent à reconstituer des données sensibles qui n'ont jamais été publiées par la personne et supprime une contradiction avec l'article 8 de la loi de 1978.
Mme Sophie Joissains, rapporteur. - Ce sont des sujets très techniques. Quel est l'avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable. L'article 9 du RGDP est d'application immédiate, aucune marge de manoeuvre n'est prévue. La dérogation au traitement des données sensibles, prévue à l'article 8 de la loi de 1978, est compatible avec le règlement. Le procédé d'anonymisation à bref délai devra avoir été déclaré conforme par la CNIL, restreindre son champ n'est pas pertinent.
M. Simon Sutour. - En tant que rapporteur de la commission des affaires européennes, je me permets d'indiquer à nos collègues que nous n'avons pas à récrire le règlement, dont l'élaboration a pris de longues années. Le Sénat est intervenu dans sa rédaction en faisant voter une proposition de résolution en son temps, il a été entendu. Il ne s'agit pas de transposer, mais de mettre en conformité le droit français avec un règlement d'application immédiate. La rapporteure, par courtoisie, n'a pas voulu faire ce rappel ; j'assume ce mauvais rôle, habituellement laissé au Gouvernement ! (Sourires)
Les amendements identiques nos6 rectifié septies et 64 ne sont pas adoptés.
M. le président. - Amendement n°47 rectifié, présenté par Mme M. Jourda, M. Mandelli, Mme Gruny, M. Retailleau, Mmes Bories et Deroche et M. Leleux.
Après l'alinéa 10
Insérer un alinéa ainsi rédigé :
« ...° Les traitements mis en oeuvre par les personnes mentionnées à l'article L. 561-2 du code monétaire et financier qui portent sur des données biométriques strictement nécessaires aux mesures de vigilance définies à l'article L. 561-4-1 du même code. » ;
Mme Muriel Jourda. - Cet amendement autorise les établissements financiers à utiliser les données biométriques, dans la mesure où celles-ci sont strictement nécessaires aux mesures de vigilance imposées par le code monétaire et financier.
Mme Sophie Joissains, rapporteur. - En l'état du droit, rien n'est prévu pour accorder cette dérogation sans compter que cet amendement ne prévoit aucune garantie. La CNIL, consultée, recommande la prudence. Retrait ?
Mme Nicole Belloubet, garde des sceaux. - Effectivement, cet amendement est excessif : il accorde des droits aux établissements financiers qui ne sont pas donnés à l'État par le RGPD.
L'amendement n°47 rectifié est retiré.
M. le président. - Amendement n°65 rectifié, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.
Après l'alinéa 10
Insérer un alinéa ainsi rédigé :
« 11° Les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche, mis en oeuvre dans les conditions du 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l'informatique et des libertés délivré selon les modalités prévues à l'article 28. » ;
Mme Esther Benbassa. - Il faut rétablir la possibilité d'utilisation des traitements qui seraient nécessaires à la recherche publique, après autorisation de la CNIL, pour les établissements d'enseignement supérieur et de recherche et les organismes de recherche. Sans cet amendement, il faudra un décret en Conseil d'État après avis motivé de la CNIL. Cela représenterait une entrave à la recherche publique. À l'instar du Gouvernement, nous souhaitons une exception pour la recherche pour des motifs d'intérêt public.
M. le président. - Amendement identique n°86, présenté par le Gouvernement.
Mme Nicole Belloubet, garde des sceaux. - Aujourd'hui, seuls les traitements par l'Insee et les données dans le domaine de la santé sont couverts par les exceptions prévues à l'article 8. Les autres, par exemple, une enquête sur les migrants ou sur les violences faites aux femmes, seraient soumis à des formalités très lourdes. La CNIL sera de toute façon consultée.
Mme Sophie Joissains, rapporteur. - Avis favorable.
Les amendements identiques nos65 rectifié et 86 sont adoptés.
L'article 7, modifié, est adopté.
ARTICLES ADDITIONNELS
M. le président. - Amendement n°58 rectifié, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin.
Avant le chapitre Ier
Insérer un article additionnel ainsi rédigé :
L'article 2 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié :
1° Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;
2° Au quatrième alinéa, après les mots : « critères déterminés », sont insérés les mots : « que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».
Mme Christine Lavarde. - Cet amendement comme les précédents lève les incertitudes entre RGPD et loi Informatique et Libertés en précisant la nature des traitements automatisés.
Mme Sophie Joissains, rapporteur. - C'est un amendement d'appel : il faudra en effet harmoniser les termes. Il est très bien rédigé : avis favorable.
Mme Nicole Belloubet, garde des sceaux. - Sagesse.
L'amendement n°58 rectifié est adopté et devient un article additionnel.
M. le président. - Amendement n°59 rectifié, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin.
Avant l'article 8
Insérer un article additionnel ainsi rédigé :
Le I de l'article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié :
1° Le 1° est ainsi rédigé :
« 1° Effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non sur le territoire français ; »
2° Sont ajoutés trois alinéas ainsi rédigés :
« ...° Relatifs à des personnes concernées qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n'est pas établi sur le territoire français, lorsque les activités de traitement sont liées :
« a) À l'offre de biens ou de services à ces personnes concernées sur le territoire français, qu'un paiement soit exigé ou non desdites personnes ;
« b) Au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu sur le territoire français. »
Mme Christine Lavarde. - Cet amendement harmonise le champ d'application territorial de la loi tout en respectant le cas spécifique des traitements effectués sur le territoire français.
Mme Sophie Joissains, rapporteur. - Retrait ? Le RGPD est d'application directe, nous ne pouvons pas en modifier le champ d'application territorial.
Mme Nicole Belloubet, garde des sceaux. - Même avis. Votre amendement ne répond que partiellement à l'exigence de clarification. C'est tout l'objet de l'habilitation que je vous demande : l'ordonnance organisera la loi de 1978 en plusieurs titres, chaque titre aura son champ d'application propre.
Mme Christine Lavarde. - Le problème est compris, je retire cet amendement avec conviction.
L'amendement n°59 rectifié est retiré.
ARTICLE 8
M. le président. - Amendement n°13 rectifié septies, présenté par Mme Bruguière, MM. Sol, Henno et D. Laurent, Mme Deromedi, M. A. Marc, Mme Goy-Chavent, M. Bansard, Mme Garriaud-Maylam, M. Poniatowski, Mme Renaud-Garabedian, MM. de Nicolaÿ, Bonhomme et Milon, Mmes Billon et Bonfanti-Dossat, M. Bonne, Mme Bories, M. Brisson, Mme Eustache-Brinio, MM. B. Fournier, Guerriau, Lagourgue et Lefèvre, Mme Mélot, M. Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.
I. - Alinéa 2
Remplacer les mots :
la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France
par les mots :
le traitement est effectué :
II. - Alinéa 3
Remplacer cet alinéa par cinq alinéas ainsi rédigés :
« 1° Dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que ce traitement ait lieu ou non en France ;
« 2° Ou par un responsable du traitement qui n'est pas établi sur le territoire français mais dans un lieu où le droit français s'applique en vertu du droit international public ;
« 3° Ou par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union Européenne, dans la mesure où ce traitement est appliqué à des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français, lorsque ce traitement est lié :
« a) À l'offre de biens ou de services à ces personnes concernées en France, qu'un paiement soit exigé ou non desdites personnes ;
« b) Au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu sur le territoire français. »
M. François Bonhomme. - L'article 8 du projet de loi en sa rédaction actuelle est trop complexe. Il prévoit, dans sa version adoptée par l'Assemblée nationale, un champ d'application de la loi de 1978 centré sur la résidence de la personne dont les données sont traitées quand elle s'applique en complément du règlement. Or le règlement européen ainsi que la loi de 1978 elle-même lorsqu'elle est appliquée seule se réfèrent systématiquement au critère d'établissement, non pas de la personne concernée, mais du responsable du traitement. Par exception, le règlement européen sera par ailleurs applicable lorsque le responsable du traitement sera établi hors de l'Union Européenne, sous réserve que la personne concernée soit localisée en France, la notion de localisation se distinguant de celle de résidence.
Cet éclatement des critères risque de faire peser une charge trop importante sur les responsables de traitement et sous-traitants de données à caractère personnel mais également de porter une atteinte injustifiée à la vie privée des personnes concernées. On pourrait aussi voir émerger des situations de conflits de lois inextricables entre le droit français et celui d'un autre État membre qui aurait choisi de retenir un autre critère pour l'application de sa loi nationale en complément du règlement européen. La CNIL a expressément souligné ce risque dans son avis du 30 novembre 2017.
Mme Sophie Joissains, rapporteur. - La commission des lois a maintenu le critère de résidence. Certes, le critère de l'établissement diminuerait les charges pesant sur le responsable de traitement. Mais, concrètement, avec cet amendement, si l'Irlande fixe l'âge du consentement des mineurs à 13 ans ou interdit les actions de groupe, cela s'appliquerait à tous les utilisateurs de Facebook et de Google en France. Retrait ?
Mme Nicole Belloubet, garde des sceaux. - En effet. Le champ d'application territorial du règlement constitue une innovation par rapport à la directive de 1995. Est prévu un double champ d'application, le traitement dans le cadre d'activités s'exerçant sur le territoire de l'Union européenne - le critère organique - et le critère matériel, celui concernant les résidents européens. Et ce, dans un souci de cohérence globale par rapport aux responsables de traitement dans et hors de l'Union.
Dans l'amendement manque le plus important : ce qu'il se passe lorsqu'un responsable de traitement se trouve hors de France mais dans l'Union européenne et fournit des services à des résidents. À quoi serviraient nos débats si les réglementations étrangères venaient à s'appliquer ? Retrait ?
L'amendement n°13 rectifié septies est retiré.
L'article 8 est adopté.
ARTICLE 9
M. le président. - Amendement n°129, présenté par M. Durain et les membres du groupe socialiste et républicain.
Compléter cet article par un paragraphe ainsi rédigé :
... - Sauf changement survenu sur la portée, les finalités, les données à caractère personnel collectées, l'identité des responsables du traitement ou des destinataires des données, la durée de conservation des données, les mesures techniques et organisationnelles, les traitements autorisés antérieurs au 25 mai 2018 et toujours en cours bénéficient d'une présomption de conformité aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
M. Jérôme Durain. - Il faut tenir compte des traitements en cours dans une optique de sécurité juridique pour les acteurs économiques, dans l'esprit du considérant 171 qui prévoit des exceptions pour les traitements déclarés ou a fortiori autorisés avant l'entrée en application du RGPD.
Mme Sophie Joissains, rapporteur. - Avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. - Retrait, sinon avis défavorable. Cet amendement est contraire au règlement qui ne prévoit pas d'exceptions pour les traitements en cours - contre une demande de la France. Ces derniers bénéficieront toutefois d'une présomption de régularité jusqu'à leur modification.
Dans ces lignes directrices, le G29, le groupe de travail des CNIL européennes, a souhaité donner une portée plus importante au considérant 171. La question se réglera plutôt dans le cadre de la pratique de la CNIL qui n'exigera aucune analyse pour les traitements autorisés avant le 25 mai. Nous ne pouvons pas l'inscrire dans la loi.
L'amendement n°129 est retiré.
L'article 9 est adopté.
ARTICLES ADDITIONNELS
M. le président. - Amendement n°39, présenté par Mme M. Carrère.
Avant l'article 10
Insérer un article additionnel ainsi rédigé :
La loi n°78 - 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° L'article 3 est complété par un paragraphe ainsi rédigé :
« ... - Les personnes concernées par un traitement de données personnelles sont informées de l'identité et de la localisation de la personne responsable du traitement, et le cas échéant, de celles des sous-traitants opérant sous sa responsabilité préalablement au recueil de leur consentement à l'utilisation de données personnelles, mais également en cas de changement de l'identité du responsable ou d'un sous-traitant. » ;
2° Le quatrième alinéa de l'article 35 est complété par une phrase ainsi rédigée : « Lorsque le sous-traitant est établi dans un État différent de l'État du responsable du traitement, ce contrat est communiqué aux personnes concernées par le traitement. »
Mme Maryse Carrère. - L'existence de marges de manoeuvre risque de laisser perdurer d'importantes différences en matière de protection des données personnelles au sein de l'Union européenne. Cela pourrait induire le développement de pôles économiques dédiés à la sous-traitance des données personnelles dans les États aux législations les moins protectrices. Il faut donc renforcer les obligations d'information.
Mme Sophie Joissains, rapporteur. - Retrait de cet amendement ? ll est en partie satisfait par l'article 13 du RGPD. On ne peut prévoir d'obligations supplémentaires.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°39 est retiré.
L'article 10 est adopté.
M. le président. - Amendement n°7 rectifié septies, présenté par Mme Bruguière, MM. Sol, Henno et D. Laurent, Mme Deromedi, M. A. Marc, Mme Goy-Chavent, M. Bansard, Mme Renaud-Garabedian, M. Poniatowski, Mme Garriaud-Maylam, MM. de Nicolaÿ, Bonhomme et Milon, Mme Billon, M. Bonne, Mme Bories, M. Brisson, Mme Bonfanti-Dossat, M. Chasseing, Mme Eustache-Brinio, M. B. Fournier, Mme Lamure, MM. Lefèvre, Lagourgue et Guerriau, Mme Mélot, M. Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.
Après l'article 10
Insérer un article additionnel ainsi rédigé :
Le premier alinéa de l'article 34 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n'être accessibles qu'au moyen d'une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »
M. François Bonhomme. - Cet amendement rend explicite l'obligation de chiffrer de bout en bout chaque fois que cela est possible.
M. le président. - Amendement n°66, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.
Après l'article 10
Insérer un article additionnel ainsi rédigé :
Le premier alinéa de l'article 34 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment, chaque fois que cela est possible, que les données soient chiffrées de sorte a? n'être accessibles qu'au moyen d'une clef mise a? la seule disposition des personnes autorisées a? y accéder. »
Mme Esther Benbassa. - Le chiffrement des données de bout en bout est la seule technique pour lutter efficacement contre les intrusions.
Mme Sophie Joissains, rapporteur. - Avis favorable.
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable. L'obligation paraît excessive. L'article 32 du règlement prévoit que le responsable de traitement et le sous-traitant utilisent des mesures appropriées, dont la pseudonymisation ou le chiffrement des données à caractère personnel. C'est au responsable du traitement, sous le regard de la CNIL, de définir lesquelles le sont.
L'amendement n°7 rectifié septies est adopté et devient un article additionnel.
L'amendement n°66 n'a plus d'objet.
M. le président. - Amendement n°36, présenté par Mme M. Carrère.
Avant l'article 11
Insérer un article additionnel ainsi rédigé :
Le 4° du II de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi rédigé :
« 4° Les traitements portant sur des données à caractère personnel rendues explicitement publiques par la personne concernée, sauf dans le cas où la loi prévoit que l'interdiction mentionnée au I ne peut être levée par le consentement de la personne concernée ; »
Mme Maryse Carrère. - Les profilages à partir des commentaires ou des réactions laissés sur Internet sont le plus souvent de simples extrapolations algorithmiques. Il faut les sanctionner.
Mme Sophie Joissains, rapporteur. - Retrait. Le régime applicable aux données personnelles pour lesquelles la personne a consenti au traitement n'est pas celui applicable aux données personnelles qui sont « manifestement rendues publiques » par la personne concernée. En tout état de cause, votre amendement introduirait une restriction qui ne figure pas dans le règlement.
Mme Nicole Belloubet, garde des sceaux. - Même avis.
L'amendement n°36 est retiré.
ARTICLE 11
M. le président. - Amendement n°67, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.
Rédiger ainsi cet article :
L'article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié :
1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l'autorité publique ou » ;
2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;
3° Le 3° est ainsi rédigé :
« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée proportionnée à cette finalité ; la communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ; »
4° Il est ajouté un 5° ainsi rédigé :
« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en oeuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. »
Mme Esther Benbassa. - L'accès du citoyen à la jurisprudence renforce l'accès au droit et la confiance du justiciable dans la justice. Notre commission des lois a adopté un amendement anonymisant les noms des magistrats et des avocats contre l'avis des principaux intéressés et de la CNIL - et son avis est suivi dans toute l'Union européenne.
Le Premier président de la Cour de cassation, le Premier président de la cour d'appel s'y sont opposés, ainsi que le rapport Cadiet. Cela reviendrait à cacher l'un des acteurs du processus judiciaire. Cela va contre le sens de l'histoire.
Mme Sophie Joissains, rapporteur. - Avis défavorable à cet amendement qui supprime tous les ajouts de la commission. Cet article concerne aussi la liste des personnes, y compris morales de droit privé, autorisées à mettre en oeuvre des fichiers concernant les condamnations pénales ; tel que rédigé par nos soins, il maintient le régime d'autorisation préalable des fichiers en matière pénale. Contrairement à ce que vous avez laissé entendre, le rapport Cadiet pèse le pour et le contre. On peut y lire que la diffusion des noms, qui n'apporterait pas de plus-value, exposerait les magistrats à des risques, y compris pour leur sécurité. L'anonymisation ne nuit pas à la publicité des décisions de justice.
Mme Nicole Belloubet, garde des sceaux. - Cet amendement converge avec l'objectif de mon amendement n°87. Avis défavorable à son profit.
Mme Esther Benbassa. - Je le maintiens toutefois.
L'amendement n°67 n'est pas adopté.
M. le président. - Amendement n°87, présenté par le Gouvernement.
I. - Alinéa 2
Supprimer cet alinéa.
II. - Alinéa 3
Rétablir le 1° dans la rédaction suivante :
1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l'autorité publique ou » ;
III. - Alinéa 4
Remplacer les mots :
l'exercice des missions qui leur sont confiées par la loi
par les mots :
leur mission
IV - Alinéa 6, troisième et dernière phrases
Supprimer ces phrases.
V. - Alinéas 9 à 12
Supprimer ces alinéas.
Mme Nicole Belloubet, garde des sceaux. - Cet amendement rétablit pour l'essentiel la rédaction de l'Assemblée nationale. Premièrement, il reprend la définition des données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté effectuées sous le contrôle ou par l'autorité publique. Ensuite, il autorise les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la CNIL, de traiter des données d'infraction dans la mesure strictement nécessaire à leur mission. La commission des lois a estimé que ces missions doivent être confiées par la loi. Or cette précision apparaît trop restrictive : elle exclurait les associations de victimes, entre autres.
Cet amendement supprime également la référence à un décret en Conseil d'État qui n'est pas nécessaire puisque le projet de loi apporte les garanties appropriées et spécifiques ainsi que le Conseil constitutionnel l'a demandé dans sa décision du 29 juillet 2004.
Enfin, cet amendement supprime le régime d'autorisation préalable par la CNIL qui va à l'encontre de notre logique de non-surtransposition et de la philosophie du règlement européen, qui allège les formalités préalables tout en permettant à la CNIL d'utiliser du droit souple et de sanctionner, le cas échéant, les responsables de traitement.
Mme Sophie Joissains, rapporteur. - En supprimant l'ensemble des autorisations préalables, le projet de loi encadrera plus strictement les fichiers mis en oeuvre par l'État que les fichiers mis en oeuvre par des personnes physiques ou morales. C'est paradoxal, a fortiori en matière pénale. Il ne s'agit pas de surtransposer mais de maintenir des règles plus protectrices, ce qu'autorise le règlement.
Cet amendement supprime toutes les garanties prévues par la commission des lois, qui n'empêchait pas l'action des associations d'aide aux victimes, visées par l'article 10-2 du code de la procédure pénale. Ces garanties sont le strict minimum pour répondre aux exigences que le Conseil constitutionnel a posées dans sa décision de 2004. (M. Simon Sutour applaudit.)
L'amendement n°87 n'est pas adopté.
M. le président. - Amendement n°55, présenté par M. de Belenet et les membres du groupe La République En Marche.
Alinéas 13 à 16
Supprimer ces alinéas.
M. Arnaud de Belenet. - Pourquoi anonymiser les noms des avocats dans les décisions de justice ? Notre niveau de transparence tomberait à celui de la Russie et de la Roumanie. Surtout, le Conseil national des barreaux s'y est opposé à l'unanimité dans une résolution du 3 février 2017. La CNIL s'est prononcée contre la mesure dès 2001 et son avis est suivi dans toute l'Union européenne. Aller à son encontre serait problématique dans un texte d'harmonisation. Enfin, l'article L. 10 du code de justice administrative dispose aujourd'hui que « les jugements sont publics. ». C'est un des éléments à un droit à un procès équitable.
De plus, que faire du million de jugements en ligne sur Légifrance qui ne sont pas anonymisés ?
Mme Nicole Belloubet, garde des Sceaux. - Cet amendement rétablit la rédaction de l'Assemblée nationale. La commission a voté un amendement empêchant l'open data des décisions de justice. Cela reviendrait à enlever des parties entières de ces décisions, les rendant inapplicables. Le Professeur Cardiet rappelait dans son rapport que la prévention absolue de toute réidentification était impossible à réaliser tant les décisions de justice sont des documents construits et complexes. Et d'ajouter qu'en matière de prévention de la réidentification, il y a obligation de moyens et non obligation de résultat. Cette analyse est partagée par la Cour de cassation et par d'autres cours suprêmes. Il faut donc plutôt rendre cette réidentification plus difficile à réaliser. Un décret est en cours d'élaboration mais la réflexion n'est pas encore aboutie sur cette question délicate.
Mme Sophie Joissains, rapporteur. - Avis défavorable. Les magistrats ont demandé l'anonymisation des décisions. Nous avons le devoir de les protéger. L'USM, qui représente plus de 70 % des magistrats, a rappelé que l'anonymisation des magistrats devrait être la norme pour eux, une telle garantie doit être incluse dans la loi, et non dans un décret.
Quant à l'anonymisation des avocats, elle vise à éviter le scoring individuel sans considération pour la complexité de l'affaire.
M. Jean-Yves Leconte. - Je voterai contre ces amendements, car la transparence des années quatre-vingt-dix n'est pas celle d'aujourd'hui : avec l'open data, les algorithmes changent complètement la donne. La justice est par nature humaine et n'a pas vocation à laisser place à une évaluation des avocats et des magistrats par des procédés de ce type. Cela conduirait à une notation des acteurs de la justice et à une justice prédictive.
M. Loïc Hervé. - Après avoir pesé le pour et le contre, je voterai ces amendements. Le groupe UC avait présenté le même amendement au cours de l'examen de la proposition de loi de programmation et d'orientation pour le redressement de la justice. De plus, la décision de justice est publique par nature. Les débats et votes du Sénat, ce que je suis en train de dire, sont retranscrits par des fonctionnaires du Sénat, mis en ligne dans les quatre heures, et immédiatement exploitables par des organismes extérieurs, pouvant pratiquer des notations totalement étrangères à l'institution, de la même manière. Même chose pour les délibérations valant décisions individuelles des conseils municipaux, où figurent les noms des personnes concernées et les votes nominatifs des conseillers. Pourquoi des magistrats et des avocats verraient-ils leurs noms retirés de décisions qu'ils assument en tant que telles ?
M. Philippe Bas, président de la commission. - Ce débat doit avoir lieu. Les décisions de justice sont transparentes et accessibles à tous. Elles le demeureront. Y figurent les noms des magistrats, des avocats, des parties.
Il s'agit ici de l'extension à donner à la mise à disposition en masse de décisions de justice.
L'open data a été décidé ; le Premier président de la Cour de cassation y travaille beaucoup - hommage lui soit rendu pour cela.
Le problème, c'est la justice prédictive, qui remettrait en cause le service public de la justice. Tout cela mérite une très grande prudence.
C'est pourquoi ces amendements me semblent imprudents ; ils induisent un choc latéral sur un travail engagé dans l'intérêt de tous. Je vous appelle donc une fois de plus à une certaine prudence.
M. Jean-Pierre Sueur. - Oui, nous constatons les dégâts de l'affaire Facebook. L'exploitation massive de données à toutes sortes de fins, dont certaines sont sans doute très répréhensibles, invite à la réflexion.
La publicité des décisions de justice ne doit pas être remise en cause. Il y a des risques inhérents à la profession de magistrat : mises en cause, violences de toute nature. On ne peut sans doute guère les empêcher.
Mais ici, il s'agit d'autre chose : la justice prédictive par algorithmes introduit un biais considérable. Jean-Yves Leconte a raison : le monde a changé. La commission a pris une position prudente qui doit nous inspirer.
Mme Nicole Belloubet, garde des sceaux. - De quoi parlons-nous ? De l'open data des décisions de justice, qui est irréversible. Aucun doute non plus sur la nécessaire et complète anonymisation de ces décisions. C'est bien ce que l'Assemblée nationale a voulu, sans pour autant écrire noir sur blanc que toute réidentification sera absolument impossible. C'est cette rédaction que nous proposons de rétablir. Il ne s'agit pas pour autant d'ouvrir la voie aux croisements de données.
Les amendements identiques nos55 et 88 ne sont pas adoptés.
L'article 11, modifié, est adopté.
ARTICLE ADDITIONNEL
M. le président. - Amendement n°9 rectifié ter, présenté par Mme L. Darcos, MM. Dallier, Milon, Hugonet et Babary, Mme Boulay-Espéronnier, MM. Lefèvre et D. Laurent, Mme Deromedi, M. Schmitz, Mme Bonfanti-Dossat, MM. Brisson et Grosperrin, Mmes Dumas et Gruny, MM. H. Leroy et Chaize, Mmes Thomas, Garriaud-Maylam, Lopez et Lamure, MM. Bonhomme, Charon et Daubresse, Mme Imbert, M. Leleux, Mme Deroche, M. Husson et Mme Lanfranchi Dorgal.
Après l'article 11
Insérer un article additionnel ainsi rédigé :
I. - Après le deuxième alinéa de l'article L. 10 du code de justice administrative, il est inséré un alinéa ainsi rédigé :
« Toutefois, les personnes morales de droit privé dont l'activité principale consiste en l'étude et l'analyse, y compris statistique, du droit disposent de ces jugements sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en oeuvre n'aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. »
II. - Après le premier alinéa de l'article L. 111-13 du code de l'organisation judiciaire, il est inséré un alinéa ainsi rédigé :
« Toutefois, les personnes morales de droit privé dont l'activité principale consiste en l'étude et l'analyse, y compris statistique, du droit disposent de ces décisions sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en oeuvre n'aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. »
M. Alain Schmitz. - Cet amendement autorise les éditeurs juridiques à disposer des jugements et décisions judiciaires non anonymisés, condition nécessaire pour exercer utilement leur activité d'étude et d'analyse du droit. Ces acteurs, qui ne sauraient être assimilés aux ré-utilisateurs, doivent disposer d'un accès distinct aux informations publiques figurant dans les jugements mentionnés par le code de justice administrative et les décisions mentionnées par le code de l'organisation judiciaire.
Mme Sophie Joissains, rapporteur. - Le cadre juridique est déjà là. Retrait ?
Mme Nicole Belloubet, garde des sceaux. - Avis défavorable.
L'amendement n°9 rectifié ter est retiré.
ARTICLE 12
M. le président. - Amendement n°89, présenté par le Gouvernement.
Alinéa 3
Rédiger ainsi cet alinéa :
2° Les deuxième à dernier alinéas sont supprimés ;
Mme Nicole Belloubet, garde des sceaux. - Le texte issu de la commission n'est pas conforme au RGPD. Celui-ci n'interdit pas de procéder à des traitements de données archivées à d'autres fins que les fins archivistiques dans l'intérêt public, les fins de recherche scientifique ou historique ou les fins statistiques. Les traitements en question sont en revanche soumis au régime de droit commun du RGPD.
L'amendement n°89, accepté par la commission, est adopté.
M. le président. - Nous avons examiné 56 amendements au cours de cette séance ; il en reste 87.
Prochaine séance aujourd'hui, mercredi 21 mars 2018, à 14 h 30.
La séance est levée à minuit cinquante.
Jean-Luc Blouet
Direction des comptes rendus