Rapport n° 350 (2017-2018) de Mme Sophie JOISSAINS , fait au nom de la commission des lois, déposé le 14 mars 2018
Disponible au format PDF (3,6 Moctets)
Tableau comparatif au format PDF (1,5 Moctet)
Synthèse du rapport (294 Koctets)
-
LES CONCLUSIONS DE LA COMMISSION DES LOIS
-
EXPOSÉ GÉNÉRAL
-
I. UN NOUVEAU CADRE JURIDIQUE POUR LA PROTECTION
DES DONNÉES PERSONNELLES DES EUROPÉENS
-
A. LE « RÈGLEMENT
GÉNÉRAL » : UN INSTRUMENT AMBITIEUX DE PROTECTION
DES DONNÉES PERSONNELLES À LA MESURE DES ENJEUX DE
SOUVERAINETÉ NUMÉRIQUE
-
1. Un instrument juridique original et
complexe : un règlement européen avec « marges de
manoeuvre » nationales
-
2. Le renforcement des droits des personnes
physiques
-
3. La responsabilisation des opérateurs
traitant des données personnelles : une conformité
basée sur de nouveaux outils
-
4. Une régulation à la mesure des
enjeux de souveraineté numérique : un champ d'application
étendu et des sanctions désormais dissuasives
-
1. Un instrument juridique original et
complexe : un règlement européen avec « marges de
manoeuvre » nationales
-
B. LA DIRECTIVE RELATIVE AUX TRAITEMENTS MIS EN
oeUVRE EN MATIÈRE POLICIÈRE ET JUDICIAIRE
-
A. LE « RÈGLEMENT
GÉNÉRAL » : UN INSTRUMENT AMBITIEUX DE PROTECTION
DES DONNÉES PERSONNELLES À LA MESURE DES ENJEUX DE
SOUVERAINETÉ NUMÉRIQUE
-
II. LE PROJET DE LOI TRANSMIS : CONSERVER
LA LOI FONDATRICE DE 1978 EN L'ADAPTANT AU RÈGLEMENT, TIRER PARTI DES
MARGES DE MANoeUVRE ET TRANSPOSER LA DIRECTIVE
-
A. UNE MISE EN CONFORMITÉ DES DISPOSITIONS
NATIONALES AVEC LE DROIT DE L'UNION (TITRE I)
-
B. UNE UTILISATION MESURÉE DES MARGES DE
MANoeUVRE MÉNAGÉES PAR LE RGPD (TITRE II)
-
1. Le maintien de régimes spécifiques
et de formalités préalables pour certains traitements
-
2. La facilitation des actions en justice :
action de groupe et réparation des dommages
-
3. La protection spécifique des
données à caractère personnel des enfants
-
4. L'autorisation des décisions
administratives individuelles fondées sur des algorithmes
-
5. Un meilleur contrôle des transferts hors
Union européenne
-
6. Des renvois en miroir entre droit national et
droit européen
-
1. Le maintien de régimes spécifiques
et de formalités préalables pour certains traitements
-
C. LA TRANSPOSITION DE LA DIRECTIVE RELATIVE AUX
TRAITEMENTS MIS EN oeUVRE EN MATIÈRE POLICIÈRE ET JUDICIAIRE ET
LA RÉPONSE À UNE CENSURE DU CONSEIL CONSTITUTIONNEL
-
D. UN MANQUE DE LISIBILITÉ ET
D'INTELLIGIBILITÉ REGRETTABLE MAIS TEMPORAIRE DE LA LOI INFORMATIQUE ET
LIBERTÉS MODIFIÉE PAR LE PROJET DE LOI
-
A. UNE MISE EN CONFORMITÉ DES DISPOSITIONS
NATIONALES AVEC LE DROIT DE L'UNION (TITRE I)
-
III. LA POSITION DE VOTRE COMMISSION
-
A. RÉPONDRE AUX ATTENTES ET AUX
INQUIÉTUDES DES COLLECTIVITÉS TERRITORIALES, GRANDES ABSENTES DU
PROJET DE LOI
-
B. MAINTENIR À 16 ANS L'ÂGE DU
CONSENTEMENT NUMÉRIQUE AUTONOME POUR LES MINEURS, EN CE QUI CONCERNE LES
SERVICES DE LA SOCIÉTÉ DE L'INFORMATION
-
C. ENCADRER LE RECOURS AUX ALGORITHMES PAR
L'ADMINISTRATION
-
D. RÉÉQUILIBRER LA PROCÉDURE
D'ACTION DE GROUPE EN RÉPARATION DES DOMMAGES
-
E. APPORTER CERTAINES CLARIFICATIONS AUX NOUVEAUX
POUVOIRS ET MISSIONS DE LA CNIL
-
F. OBTENIR DES GARANTIES SUR L'ORIENTATION DE
L'ORDONNANCE DE « RECODIFICATION » DE LA LOI INFORMATIQUE ET
LIBERTÉS
-
G. ÉLARGIR LA LISTE DES PERSONNES
AUTORISÉES À METTRE EN oeUVRE DES FICHIERS EN MATIÈRE
PÉNALE TOUT EN MAINTENANT UN NIVEAU ÉLEVÉ DE
PROTECTION
-
H. AMÉLIORER LA TRANSPOSITION DE LA
DIRECTIVE (UE) 2016/680
-
I. GARANTIR LA CONSTITUTIONNALITÉ DES
FICHIERS DE TRAITEMENT DES ANTÉCÉDENTS JUDICIAIRES
-
A. RÉPONDRE AUX ATTENTES ET AUX
INQUIÉTUDES DES COLLECTIVITÉS TERRITORIALES, GRANDES ABSENTES DU
PROJET DE LOI
-
I. UN NOUVEAU CADRE JURIDIQUE POUR LA PROTECTION
DES DONNÉES PERSONNELLES DES EUROPÉENS
-
EXAMEN DES ARTICLES
-
CHAPITRE IER - DISPOSITIONS RELATIVES À LA
COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
-
Article 1er (art. 11 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Missions et outils de la Commission nationale de
l'informatique et des libertés
-
Article 1er bis (supprimé) (art. 4
bis de l'ordonnance n° 58-1100 du 17 novembre 1958 relative
au fonctionnement des assemblées parlementaires.) - Procédure de
saisine de la CNIL sur certaines propositions de loi
-
Article 2 (Art. 13 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Compétences des personnalités
qualifiées nommées par les présidents de
l'Assemblée nationale et du Sénat
-
Article 2 bis (art. 15 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Délégation de certaines
missions au secrétaire général et publicité de
l'ordre du jour des réunions plénières de la CNIL
-
Article 3 (art. 17 et 18 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Conditions de délibération de
la formation restreinte de la CNIL chargée des sanctions
-
Article 4 (art. 44 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Modalités d'exercice des pouvoirs de contrôle
de la CNIL
-
Article 5 (art. 49 et art. 49-1
à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés) -
Procédure de coopération entre la CNIL et d'autres
autorités de contrôle de l'Union européenne
-
Article 6 (art. 45, 46, 47 et 48 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés ; article 226-16 du code
pénal) - Mesures correctrices et sanctions
-
Article 1er (art. 11 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Missions et outils de la Commission nationale de
l'informatique et des libertés
-
CHAPITRE II - DISPOSITIONS RELATIVES À
CERTAINES CATÉGORIESDE DONNÉES
-
TITRE II - MARGES DE MANoeUVRE PERMISES PAR LE
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27
AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À
L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT
LA DIRECTIVE 95/46/CE
-
CHAPITRE IER - CHAMP D'APPLICATION TERRITORIAL
DES DISPOSITIONS COMPLÉTANT LE RÈGLEMENT (UE) 2016/679
-
CHAPITRE II - DISPOSITIONS RELATIVES À LA
SIMPLIFICATION DES FORMALITÉS PRÉALABLES À LA MISE EN
oeUVRE DES TRAITEMENTS
-
CHAPITRE III - OBLIGATIONS INCOMBANT AUX
RESPONSABLES DE TRAITEMENT ET À LEURS SOUS-TRAITANTS
-
CHAPITRE IV - DISPOSITIONS RELATIVES À
CERTAINES CATÉGORIES PARTICULIÈRES DE TRAITEMENT
-
Article 11 (art. 9 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Traitements de données relatives aux condamnations
pénales, aux infractions ou mesures de sûreté
-
Article 12 (art. 36 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Traitements à des fins archivistiques, scientifiques,
historiques et statistiques
-
Article 13 (art. 53 à 63 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés ; articles L. 1122-1, L. 1123-7,
L. 1124-1 et L. 1461-7 du code de la santé publique) -
Données de santé
-
Article 13 bis (art. L. 312-9 du code de
l'éducation) - Sensibilisation des élèves à la
protection des données personnelles par l'Éducation
nationale
-
Article 11 (art. 9 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Traitements de données relatives aux condamnations
pénales, aux infractions ou mesures de sûreté
-
CHAPITRE V - DISPOSITIONS PARTICULIÈRES
RELATIVES AUX DROITS DES PERSONNES CONCERNÉES
-
Article 14 AA (Art. 7 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Rappel des conditions de recueil du
consentement au traitement des données personnelles
-
Article 14 A (supprimé) (art. 7-1
[nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés) - Âge du
consentement autonome des mineurs au traitement de leurs données par
certains services en ligne
-
Article 14 (Art. 10 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, art. L. 311-3-1 du code des relations entre le public et
l'administration, art. L. 612-3 du code de l'éducation) -
Décisions prises sur le fondement d'algorithmes
-
Article 14 bis (art. 32 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Information des mineurs de moins de 15
ans
-
Article 15 (art. 40 de la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés) - Dérogations à l'obligation de divulgation de
certaines violations de données personnelles
-
Article 14 AA (Art. 7 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Rappel des conditions de recueil du
consentement au traitement des données personnelles
-
CHAPITRE VI - VOIES DE RECOURS
-
Article 16 A (art. 43 ter de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Action de groupe en réparation
-
Article 16 (art. 43 quater [nouveau] de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Recours par mandataire
-
Article 17 (art. 43 quinquies [nouveau] de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Voie de recours ouverte à la CNIL aux
fins d'apprécier la validité des décisions prises par la
Commission européenne relativement au transfert de données vers
des États tiers
-
Article 17 bis (nouveau) - Nullité de
certaines clauses contractuelles
-
Article 16 A (art. 43 ter de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Action de groupe en réparation
-
TITRE III - DISPOSITIONS PORTANT TRANSPOSITION DE
LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27
AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À
L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE
PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES,
D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE
SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES
DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2009/977/JAI DU
CONSEIL
-
Article 18 (art. 32, 41 et 42 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Droit à l'information en
matière pénale - Suppression de certains régimes
d'exercice indirect du droit d'accès
-
Article 19 (art. 70-1 à 70-27 [nouveaux]
de la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés) - Traitements de
données à caractère personnel en matière
pénale
-
Article 18 (art. 32, 41 et 42 de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés) - Droit à l'information en
matière pénale - Suppression de certains régimes
d'exercice indirect du droit d'accès
-
TITRE III BIS (NOUVEAU) - DISPOSITIONS VISANT
À FACILITER L'APPLICATION DES RÈGLES RELATIVES À LA
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES
COLLECTIVITÉS TERRITORIALES
-
Article 19 bis (nouveau) (art. L. 2335-17
[nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L.
5216-8 du code général des collectivités territoriales) -
Dotation communale et intercommunale pour la protection des données
à caractère personnel
-
Article 19 ter (nouveau) (art. L. 5111-1 et L.
5111-1-1 du code général des collectivités territoriales)
- Mutualisation des services fonctionnels des collectivités
territoriales et de leurs groupements
-
Article 19 bis (nouveau) (art. L. 2335-17
[nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L.
5216-8 du code général des collectivités territoriales) -
Dotation communale et intercommunale pour la protection des données
à caractère personnel
-
TITRE IV - HABILITATION À AMÉLIORER
L'INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA
PROTECTION DES DONNÉES
-
Article 20 (supprimé) - Habilitation
à réviser par ordonnance la législation relative à
la protection des données personnelles
-
Article 20 bis (supprimé) (Art. L.
242-20 et L. 224-42-1 à L. 224-42-4 du code de la
consommation ; article 48 de la loi n° 2016-1321 du 7 octobre
2016 pour une République numérique) - Droit à la
portabilité des données personnelles et des données non
personnelles
-
Article 20 (supprimé) - Habilitation
à réviser par ordonnance la législation relative à
la protection des données personnelles
-
TITRE V - DISPOSITIONS DIVERSES ET FINALES
-
Article 21 (art. 13, 15, 16, 17, 21, 29, 30, 31,
39, 42, 67, 70, 71 de la loi n° 78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés et art. 226-16-1-A
du code pénal) - Coordinations
-
Article 22 - Publication du « fichier
des fichiers » par la CNIL
-
Article 23 (art. 230-8, 230-9 et 804 du code de
procédure pénale) - Modification du cadre légal des
traitements d'antécédents judiciaires
-
Article 23 bis (supprimé) (Art. L. 1461-7
du code de la santé publique) - Coordination
-
Article 24 - Entrée en vigueur au 25 mai
2018
-
Article 21 (art. 13, 15, 16, 17, 21, 29, 30, 31,
39, 42, 67, 70, 71 de la loi n° 78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés et art. 226-16-1-A
du code pénal) - Coordinations
-
EXAMEN EN COMMISSION
-
LISTE DES PERSONNES ENTENDUES
ET DES CONTRIBUTIONS ÉCRITES
-
ANNEXE - LISTE DES « MARGES DE
MANoeUVRE »
-
AMENDEMENTS NON ADOPTÉS PAR LA
COMMISSION