compte rendu intégral
PRÉSIDENCE DE M. Daniel Hoeffel
vice-président
1
PROCÈS-VERBAL
M. le président. Le compte rendu analytique de la précédente séance a été distribué.
Il n'y a pas d'observation ?...
Le procès-verbal est adopté sous les réserves d'usage.
2
saisines du Conseil constitutionnel
M. le président. M. le président du Sénat a reçu de M. le président du Conseil constitutionnel deux lettres par lesquelles il informe le Sénat que le Conseil constitutionnel a été saisi, les 9 et 12 juillet 2004, en application de l'article 61, alinéa 2, de la Constitution, par plus de soixante députés et par plus de soixante sénateurs, de deux demandes d'examen de la conformité à la Constitution de la loi relative à la bioéthique.
Acte est donné de ces communications.
Le texte des saisines du Conseil constitutionnel est disponible au bureau de la distribution.
3
Protection des personnes physiques à l'égard des traitements de données
Discussion d'un projet de loi en deuxième lecture
M. le président. L'ordre du jour appelle la discussion en deuxième lecture du projet de loi (n° 285, 2003-2004), adopté avec modifications par l'Assemblée nationale en deuxième lecture, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. [Rapport n° 367 (2003-2004).]
Dans la discussion générale, la parole est à Mme la secrétaire d'Etat.
Mme Nicole Guedj, secrétaire d'Etat aux droits des victimes. Monsieur le président, mesdames, messieurs les sénateurs, c'est peu de dire que la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, dont il vous appartient aujourd'hui d'achever l'examen, est très attendue.
Elle l'est tout d'abord par la Commission européenne. Notre pays a pris des initiatives déterminantes en faveur de l'établissement de la directive du 24 octobre 1995. Il sera le dernier des quinze Etats qui l'ont négociée à en assurer la transposition.
Du même coup, la France s'acquittera également de son obligation de transposer les dispositions de la directive du 12 juillet 2002 concernant le traitement des données et la protection de la vie privée dans le domaine des communications électroniques au titre des témoins de connexion sur Internet, familièrement appelés cookies.
La modification de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est aussi très attendue par la Commission nationale de l'informatique et des libertés, la CNIL, qui a beaucoup contribué aux travaux préparatoires du texte, et par nombre de responsables de fichiers et d'utilisateurs d'Internet.
La réforme que vous examinez participe en effet à la définition du cadre juridique de la société de l'information, qui doit respecter les libertés fondamentales reconnues au public. Elle apporte un complément nécessaire à la loi pour la confiance dans l'économie numérique en protégeant les libertés individuelles vis-à-vis du traitement de données sensibles.
Avant votre ultime débat, je souhaite d'abord retracer brièvement les orientations d'un texte qui respecte les prescriptions européennes tout en répondant aux nouveaux défis auxquels la CNIL est confrontée.
Je me propose, ensuite, de mettre en lumière l'importance de l'apport des travaux parlementaires au cadre juridique de la société de l'information.
La loi actuelle propose d'utiles adaptations aux défis de la société de l'information, que plusieurs facteurs justifiaient.
Premièrement, l'essor du réseau Internet, le développement de nouveaux services de téléphonie mobile et le rôle accru des cartes à puce ont mis en évidence l'inadaptation des formalités préalables instituées par le législateur de 1978. Ces évolutions majeures ont rendu nécessaire la mise en place d'un contrôle approfondi du fonctionnement des traitements estimés dangereux ou objets de plaintes.
Deuxièmement, le changement d'échelle intervenu dans la taille des fichiers et dans le volume des échanges de données impose des garanties nouvelles et spécifiques pour prévenir le risque accru de détournement de finalités.
Vous savez bien que des bases très étendues de données, capables de retracer nos comportements de consommateurs, peuvent être constituées à des fins de prospection commerciale. C'est pourquoi il est indispensable de renforcer le droit à l'information et le droit d'opposition des personnes à l'exploitation de leurs coordonnées.
Dans le domaine de la santé, l'utilisation de traitements de données personnelles exige des garanties spécifiques. Elle a en effet connu une expansion sans précédent, avec des finalités licites diverses : le suivi thérapeutique, la recherche médicale, la sécurité sanitaire, la maîtrise des dépenses de soins, etc. A cette fin, la liste des données sensibles est adaptée.
Enfin, troisièmement, le projet de loi a trouvé dans la directive de 1995 le fondement d'une prise en compte du caractère nécessairement international de la protection des données.
Ce domaine n'est pas régi par les traités fondateurs de l'Union européenne, mais celle-ci est parvenue à se doter d'un cadre harmonisé. La France se devait, en conséquence, d'édicter les garanties nécessaires à la sécurité et à la continuité des flux transfrontières de données.
En conséquence, la loi introduit des adaptations très importantes au régime de protection des données personnelles défini en 1978.
Tout d'abord, la loi unifie le champ des contrôles opérés par la CNIL. Elle substitue, en effet, un principe de fond, à savoir la proportionnalité entre l'étendue des contrôles et les risques effectifs d'atteintes aux libertés, à la distinction de pure procédure entre traitements publics et privés propre à la loi de 1978.
Les formalités de contrôle a priori et de déclaration des traitements automatisés bénéficient donc, au total, d'allégements substantiels, et les catégories de traitements faisant l'objet d'une autorisation préalable sont limitativement énumérées par la loi.
En contrepartie de ce recentrage du périmètre du contrôle préalable, les pouvoirs de la CNIL sont considérablement accrus, afin de permettre à celle-ci d'assurer un contrôle a posteriori efficace de la mise en oeuvre des fichiers et des traitements automatisés. Ses pouvoirs d'investigation sont désormais contraignants ; ses pouvoirs d'intervention et de sanction sont étendus : ils associent la capacité à prendre des mesures provisoires, à saisir le juge judiciaire et à décider de mesures à caractère définitif.
Parallèlement, la loi renforce le respect de certains droits fondamentaux. Les personnes seront informées des cas de collecte indirecte de données les concernant et elles auront le droit discrétionnaire de s'opposer à toute utilisation des informations recueillies à des fins de prospection. Les données de santé appartiendront à la catégorie des données sensibles et leur traitement fera l'objet de garanties.
Je veux souligner, ensuite, que les travaux parlementaires ont contribué de façon majeure à la définition d'un cadre juridique rigoureux et équilibré pour la protection des données personnelles.
La qualité du débat parlementaire a résulté de la qualité des travaux de votre commission et de celle de l'Assemblée nationale. Je souhaite notamment rendre hommage à votre rapporteur, dont je salue l'élection récente à la présidence de la CNIL.
La finalisation du projet de loi doit beaucoup à votre engagement, monsieur le rapporteur. En votre qualité de président de la CNIL, c'est à vous que reviendra la charge lourde, mais passionnante, de mettre en oeuvre ses nouvelles dispositions.
Je relèverai quatre des améliorations apportées au projet de loi initial par les travaux parlementaires.
En premier lieu, le Sénat et l'Assemblée nationale ont su opérer une délicate conciliation entre le respect des droits fondamentaux des personnes et la sauvegarde de l'intérêt général.
Plusieurs amendements émanant des deux assemblées ont permis un allègement des contraintes qui pèsent sur les traitements nécessaires à certaines activités de recherche soit pour la conservation des données à titre d'archives, soit pour leur réutilisation à des fins statistiques.
Par ailleurs, la légitime protection des oeuvres musicales ou cinématographiques à laquelle ont droit les auteurs et les créateurs est aujourd'hui mise à mal par un nombre grandissant d'actes de piraterie, dont la réalisation via Internet rend la prévention et la poursuite très difficiles. Il est désormais prévu que les personnes morales agissant pour la défense des droits d'auteurs ou des droits voisins peuvent, sous réserve d'un contrôle au cas par cas par la CNIL, procéder à des traitements de données conservant la trace des atteintes à ces droits.
Enfin, ce souci d'équilibre s'est traduit par la définition de nouveaux pouvoirs de contrôle a posteriori de la CNIL.
Votre assemblée a ainsi estimé excessif le pouvoir conféré à la CNIL d'enjoindre au responsable d'un traitement de procéder à la destruction de celui-ci. La CNIL dispose, en effet, de mesures provisoires permettant de faire cesser une atteinte grave et elle peut désormais demander au juge judiciaire de prononcer la mesure définitive que constitue la destruction des supports informatiques.
L'Assemblée nationale a, quant à elle, considéré que des traitements qui mettent en jeu des missions essentielles de l'Etat, en particulier en matière de recensement de la population, de recouvrement d'impôt ou de délivrance des titres d'identité, ne devaient pas subir une mesure d'interruption pure et simple de leur mise en oeuvre. Des mesures ponctuelles de verrouillage de l'accès à certaines données sont, en droit, plus adaptées qu'une interruption du traitement dès lors que celui-ci a été soumis à un contrôle préalable de la CNIL.
En outre, les deux assemblées ont précisé les critères et les modalités des mesures de publicité que la CNIL peut donner aux sanctions qu'elle prononce.
S'inscrit également dans cette volonté d'équilibre un amendement voté par l'Assemblée nationale, sur l'initiative du Gouvernement, en vue de restreindre les pouvoirs d'investigation de la CNIL à l'égard de certaines informations classifiées propres aux fichiers de sûreté de l'Etat.
Comme cela a déjà été dit à l'Assemblée nationale, cette mesure, purement pragmatique, est circonscrite au petit nombre de fichiers de la Direction de la surveillance du territoire, la DST, ou de la Direction générale de la sécurité extérieure, la DGSE. Elle a pour seul objet de favoriser le recueil de renseignements auprès de services étrangers dans le cadre de la coopération internationale contre le terrorisme. Elle ne procède aucunement d'une défiance envers la CNIL ou ses agents. Elle est fondée sur le constat que certains services de renseignement étrangers estiment que la possibilité donnée à une autorité de protection d'exercer un contrôle sur le contenu des fichiers français fait obstacle à un partage des informations les plus sensibles.
En deuxième lieu, le Parlement a voulu se conformer à l'objectif du législateur communautaire de circonscrire au maximum les traitements rendant nécessaires un contrôle et une autorisation préalables.
S'agissant notamment du critère de contrôle préalable lié à des risques de discrimination, une rédaction plus précise a été retenue, afin d'éviter l'inclusion dans ce champ de l'ensemble des fichiers de prospection de clientèle. La loi fait ainsi référence à des risques d'exclusion, tels ceux qui peuvent découler, en matière contractuelle, de fichiers d'incidents de paiement ou encore de fichiers destinés à évaluer le degré de solvabilité des personnes.
Pour ce qui est du critère d'extension d'un fichier à la totalité ou à la quasi-totalité de la population, le Sénat a estimé, à juste raison, qu'un tel critère ne présentait pas une sécurité juridique suffisante et il l'a supprimé. En contrepartie, il a maintenu un contrôle préalable pour les traitements relatifs au recensement de la population.
L'Assemblée nationale a, lors de la deuxième lecture, complété cette démarche en prenant en compte deux nouvelles catégories de traitements dont l'extension prévisible rend souhaitable qu'ils soient expressément soumis à un examen préalable.
Il s'agit d'abord des traitements indispensables à la sécurité des nouveaux titres d'identité électroniques. Ceux-ci devront en effet inclure des données biométriques numérisées, telles celles qui sont relatives à la photographie d'identité et aux empreintes digitales.
Il s'agit ensuite des traitements rendus nécessaires par les téléservices, qui font l'objet d'un plan du Gouvernement pour faciliter la réalisation, par voie électronique, de certaines formalités administratives.
En raison des responsabilités essentielles de l'Etat dans ces importants dossiers, il a été prévu de soumettre les traitements concernés à la procédure de décision réglementaire après avis motivé et publié de la CNIL et non à une procédure de décision directe de celle-ci.
En troisième lieu, le Parlement s'est attaché à simplifier les formalités administratives dont font l'objet les traitements. Deux mesures d'inspiration sénatoriale témoignent plus particulièrement de cet effort.
D'une part, a été prévue la possibilité de faire une déclaration unique pour l'ensemble des traitements d'un même organisme, privé ou public, dont les finalités sont liées.
D'autre part - et il s'agit là d'un dispositif dont l'Assemblée nationale a amélioré la rédaction lors de la deuxième lecture -, une dispense de toute formalité déclarative a été introduite en faveur des responsables qui font le choix de désigner, pour les traitements placés sous leur contrôle, un « correspondant à la protection des données ».
Ce dernier est appelé à devenir le garant de la conformité à la loi des traitements mis en oeuvre, dont il devra établir et actualiser la liste. Cette disposition permettra à la CNIL de s'appuyer sur une nouvelle catégorie d'interlocuteurs techniques pour exercer ses missions de suivi et de contrôle.
En quatrième lieu, les amendements parlementaires ont visé à mieux garantir l'indépendance de la CNIL tout en assurant une meilleure visibilité du rôle de cette institution. Je pense notamment à l'obligation de coopération incombant à toute autorité à l'égard de l'action de la Commission.
Par ailleurs, les missions de la CNIL consistant à informer tant les responsables de traitements que les personnes concernées, ainsi qu'à assurer une fonction de veille face aux nouveaux risques d'atteintes aux droits liés à l'évolution technologique ont été expressément posées.
Les débats d'aujourd'hui forment le point d'orgue d'un long processus législatif. Rendu nécessaire par une directive communautaire, il a été éclairé par d'éminents rapports, notamment celui du président Guy Braibant.
Le Sénat, comme l'Assemblée nationale, a apporté beaucoup d'énergie et de conviction à l'élaboration de ce projet de loi afin que la CNIL soit juridiquement mieux armée et plus efficace
C'est pourquoi je vous demande, au nom du Gouvernement, d'approuver le texte qui vous est soumis. (
M. le président. La parole est à M. le rapporteur. (Applaudissements sur les travées de l'UMP.)
M. Alex Türk, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Monsieur le président, madame la secrétaire d'Etat, mes chers collègues, ce texte, qui en est à sa quatrième lecture, va enfin - en tout cas, je l'espère - être voté aujourd'hui ; nous l'attendions en effet depuis 1998.
Ce qui me surprend le plus dans cette affaire, c'est l'apparition soudaine - depuis quelques jours - de la contestation. Elle me paraît totalement décalée et même, oserai-je dire, réactionnaire. (Rires sur les travées de l'UMP.)
Les journaux et les radios se déchaînent, alors qu'en réalité, tout le monde le sait, il s'agit d'un texte de compromis. Il a été élaboré par M. Jospin et développé, dans un premier temps, par le rapporteur socialiste à l'Assemblée nationale. La CNIL, dans sa composition d'alors, l'avait globalement approuvé et les choses avaient suivi leur cours.
Or, tout à coup, à la quatrième lecture, je reçois des appels de journalistes dénonçant la mise en place d'une nouvelle loi liberticide. Je trouve cela extrêmement curieux.
Deuxième exemple de cette contestation : les correspondants à la protection des données à caractère personnel sont très vivement critiqués. Pourtant, ce système fonctionne très bien depuis 1972 en Allemagne, ainsi que me l'a confié il y a huit jours, à Paris, le président de l'équivalent allemand de la CNIL, comme il fonctionne très bien aux Pays-Bas et en Suède.
Par conséquent, attendons que ce système soit mis en place avant de porter un jugement ! La critique est définitive, alors que la question n'a pas encore été réellement posée.
Troisième exemple : la plupart des critiques formulées depuis quelques jours dans la presse portent sur les dispositions relatives à la sécurité alors que l'essentiel de ces dispositions figuraient déjà dans le texte initial. Je suis donc très surpris de voir les représentants de certains groupes de notre assemblée, notamment, découvrir que le texte qu'ils ont eux-mêmes élaboré et voté à l'époque était aussi liberticide.
En réalité, le texte rédigé par la gauche n'était pas si mauvais et il n'était pas liberticide. Il reposait sur un compromis acceptable entre la nécessité de protéger les libertés et celle de donner aux services de police et de sécurité un minimum de souplesse dans leur travail.
Mais, surtout, je voudrais que chacun comprenne - et c'est pourquoi je me suis autorisé à dire que cette contestation me paraissait réactionnaire - qu'en réalité la vraie révolution a lieu aujourd'hui au sein de la CNIL.
Car les vrais enjeux, qui sont également source d'inquiétudes, ne sont pas seulement ceux qui sont évoqués dans la presse aujourd'hui : ils sont liés aux nouvelles technologies. Il s'agit, par exemple, de la géolocalisation, de ce qu'on appelle les spam, de la sécurité dans les transferts, des différences de niveaux de protection entre les Etats-Unis et l'Europe, de la biométrie, etc.
Or, face à ces enjeux, il nous fallait de nouveaux instruments, que ce projet de loi va désormais nous donner.
Ainsi, il sera possible de mettre en place la politique de communication nécessaire. Je souligne que moins de 30 % des Français connaissent la CNIL, ne serait-ce que de nom. Cette politique de communication sera relayée à l'intérieur des collectivités locales, des entreprises, des associations, des syndicats, pour tous ceux qui le voudront, selon les termes qu'a rappelés Mme le secrétaire d'Etat, sous la forme des correspondants, dont le statut est encadré ; nous aurons sans doute l'occasion d'en reparler tout à l'heure.
Ensuite, si la pédagogie n'a pas été suffisante, la CNIL disposera de véritables pouvoirs de contrôle sur place, et si le pouvoir de contrôle révèle qu'il y a - veuillez me pardonner l'expression - de « mauvais coucheurs », la CNIL utilisera alors ses pouvoirs de coercition. Elle bénéficiera donc des outils nécessaires pour opérer cette révolution.
Je demande aujourd'hui à tous ceux qui manient cette contestation, que je crois très politicienne, de bien comprendre que la CNIL est en train de se tourner vers les nouveaux enjeux. Il ne faut donc pas la « titiller » sur des questions qui sont dépassées.
On évoque sans cesse le problème de la DST et de la DGSE. J'ai procédé à une vérification : en vingt-six ans, jamais la CNIL n'a effectué le moindre contrôle. Par conséquent, durant toute cette période, la CNIL, que je ne présidais pas, a elle-même considéré qu'elle n'était pas dans l'obligation de contrôler ces fichiers. Or, aujourd'hui, on nous explique que, puisque le contrôle n'est plus possible, il faut le mettre en place. Un minimum de cohérence s'impose !
J'en viens à ma conclusion, car je souhaite réserver du temps à l'échange qui interviendra sur les amendements déposés. Si j'ai commencé mon propos en me réjouissant que ce texte puisse enfin être voté, je le termine en disant que nous ne sommes qu'au commencement de l'action. (Applaudissements sur les travées de l'UMP et de l'Union centriste.)
M. le président. J'indique au Sénat que, compte tenu de l'organisation du débat décidée par la conférence des présidents, les temps de parole dont disposent les groupes pour cette discussion sont les suivants :
Groupe Union pour un mouvement populaire, 20 minutes ;
Groupe socialiste, 13 minutes ;
Groupe de l'Union centriste, 8 minutes ;
Groupe communiste républicain et citoyen, 7 minutes.
Dans la suite de la discussion générale, la parole est à M. Charles Gautier.
M. Charles Gautier. Monsieur le président, madame la secrétaire d'Etat, mes chers collègues, nous voici enfin parvenus au terme de l'examen de ce projet de loi visant à réformer la loi relative à l'informatique, aux fichiers et aux libertés.
A la lecture des conclusions de la commission, il semble que la majorité sénatoriale se satisfasse de ce texte, mais laissez moi vous faire part de ma perplexité.
L'importance du présent projet de loi est incontestable : il tend à concilier le renforcement de la protection de la vie privée avec l'impératif de libre circulation des données à caractère personnel.
Les bouleversements techniques survenus dans le domaine des nouvelles technologies de l'information nous obligeaient à intervenir afin de modifier la loi du 6 janvier 1978.
Je ne citerai que quelques exemples : l'usage de l'internet et son corollaire, le courrier électronique, se sont banalisés ; la téléphonie mobile a envahi notre quotidien ; des innovations telles que la biométrie passent du stade de l'expérimentation à celui de l'application dans le domaine de la sécurité.
Cette situation engendre toujours plus de questions sur la préservation de la vie privée et le traitement des données collectées au regard de leur utilisation, de leur sécurité, du respect de la liberté d'aller et venir anonymement, de l'absence de risque d'identification des personnes et des comportements.
L'exigence de protection de la vie privée doit s'accorder avec la promotion de la libre circulation et la commercialisation des informations nominatives.
Tel est l'un des objets principaux de la directive du 24 octobre 1995 dont le présent projet de loi assure la transposition.
Il est par ailleurs tout à fait essentiel que, sous l'effet conjugué de l'intégration européenne et de la mondialisation des échanges, la question du respect des droits et libertés des personnes physiques à l'égard des traitements personnels trouve une application homogène dans l'Union européenne.
Je rappelle que des critiques ont été formulées dans cet hémicycle et à l'Assemblée nationale dénonçant le retard pris, sous la précédente législature, dans la transposition de cette directive. Aujourd'hui, nous constatons que la France est le seul pays à ne pas avoir encore procédé à cette transposition.
Il a été rappelé par M. le garde des sceaux combien cette situation est dommageable, car elle nous expose au risque d'une action en manquement ; elle entretient une insécurité juridique en raison de l'effet direct d'une directive non transposée. Elle a suscité la confusion avec d'autres textes en cours d'examen : je pense à la transposition de la directive relative au droit d'auteur ou au projet de loi pour la confiance dans l'économie numérique.
Dans ces conditions, pour quelles raisons impérieuses le Gouvernement a-t-il délibérément fait le choix de laisser encore s'écouler plus d'une année entre la première et la deuxième lecture ? Il est paradoxal que vous dénonciez des maux dont vous êtes en partie responsables.
Au-delà de la forme, ma perplexité porte également sur le fond du projet de loi.
Le nouveau dispositif comporte indéniablement des points positifs. Mais il opère également des ajustements qui, sous couvert d'apparentes avancées, ont été en réalité revus à la baisse. Enfin, nous tenons à le dire, ce texte contient des dispositions hautement critiquables. Sans aucune intention d'exhaustivité, je souhaite vous en exposer certains points.
Nous approuvons toutes les dispositions qui vont dans le sens d'une protection accrue des libertés et d'un renforcement des pouvoirs de la CNIL.
En revanche, nous demeurons dubitatifs sur un certain nombre de mesures qui, dans l'ensemble, sont présentées comme réalisant des avancées par rapport au droit existant, mais qui se traduisent finalement par un recul, alors que la directive prévoit la nécessité de maintenir un niveau de protection équivalent.
Ainsi, le projet de loi pose un principe selon lequel le consentement des personnes concernées par un traitement de données à caractère personnel est nécessaire, mais les exceptions prévues en fragilisent substantiellement la portée. Sur ce point, ce sont les règles mêmes de la directive qui soulèvent un jugement défavorable de notre part.
Il nous semble par ailleurs indispensable de compléter la liste des données dites « sensibles ». Cette liste a déjà été étoffée par la directive. Cependant, il est nécessaire d'y ajouter les données génétiques, biométriques, sociales et psychologiques. Cela est d'autant plus important que l'Union européenne travaille sur un projet de règlement visant à l'intégration d'éléments biométriques dans les passeports des ressortissants des pays membres. S'il n'est pas question de s'y opposer, il est essentiel d'entourer ce projet de toutes les garanties nécessaires au regard de la protection de la vie privée.
Le droit de rectification est étendu à la notion de verrouillage, ce qui est une avancée. Mais, parallèlement, l'obligation qui pesait sur le responsable du traitement de notifier les opérations de rectification ou d'annulation, dans le cas où les informations sont transmises à un tiers, devient désormais une obligation de moyens, alors que l'article 38 de la loi du 6 janvier 1978 en vigueur prévoit une obligation de résultat.
Une innovation a été introduite concernant les sanctions pécuniaires pouvant être prononcées par la CNIL.
De même, le projet de loi prévoit qu'en cas d'atteinte grave et immédiate aux droits et libertés protégés par la loi du 6 janvier 1978 le président de la CNIL peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
Mais, dans le même temps, le Sénat a supprimé l'exigence de publicité des décisions du Premier ministre lorsque ce dernier est informé par la CNIL, ce qui nous semble tout à fait contestable, alors qu'il y a justement urgence et menaces graves pour les libertés. Nous avons donc déposé un amendement tendant à rétablir cette obligation de publicité.
Enfin, nous sommes farouchement opposés à plusieurs dispositions de ce texte. Trois d'entre elles suscitent même notre inquiétude.
La première mesure concerne les données sensibles, l'interdiction de leur collecte et leur enregistrement. Ce principe, pilier de la loi de 1978, sera désormais assorti de neuf dérogations. L'une d'elles concerne la constitution de fichiers par l'Etat, sous couvert de sécurité publique, de défense et de sûreté de l'Etat. Alors que celle-ci était auparavant précédée d'un avis conforme de la CNIL, on pourra dorénavant s'en passer. Cette disposition concerne l'ensemble de la population française et la collecte de données extrêmement sensibles. Nous prétendons que ces données doivent être des plus protégées et nous proposons donc de revenir sur cette disposition.
Par ailleurs, pour la première fois, une personne morale est autorisée à constituer des fichiers à caractère pénal. Cette disposition a été adoptée à la va-vite, dans un contexte de pression dû au débat sur le piratage et les droits d'auteur. Nous présenterons un amendement de suppression de ces deux dispositions, qui n'ont pas leur place dans ce texte.
De plus, la possibilité d'exonération de toute formalité des responsables de fichiers qui désigneraient en leur sein des « correspondants à la protection des données » nous semble dangereuse. Sous couvert d'une simplification de procédure, la CNIL se trouvera désormais dans l'ignorance d'une majeure partie des fichiers privés. Les plus grands groupes pourront alors échapper au contrôle de la CNIL, alors que les petites entreprises, pourtant moins dangereuses, n'auront pas toujours cette possibilité matérielle.
En outre, aucune garantie d'indépendance n'est prévue pour ces correspondants. Nous tenterons donc de remédier à cette situation.
Pour finir, nous tenons à noter que le fonctionnement de la CNIL, qui reposait sur le principe de la collégialité, est de plus en plus modifié. De trop nombreuses dérogations permettent des délégations, qui aboutissent à un renforcement du rôle du président. *
De plus, la CNIL participe désormais à la définition de la position française dans les négociations internationales, ce qui nous paraît constituer un pouvoir exorbitant. Mais nous ne nous permettrons pas de voir là l'oeuvre personnelle de notre rapporteur, qui est justement le président de la CNIL !
II faut préserver l'efficacité et le bon fonctionnement de la CNIL, notamment lors de l'examen des dossiers. Mais ce dernier objectif ne doit pas aboutir à une vision purement comptable ou gestionnaire. L'enjeu ne doit pas se borner à la simple réduction du volume de papier brassé par la CNIL.
Il faut tendre à toujours protéger la CNIL, ainsi que les droits pour la défense desquels elle a été créée. Ces dernières années ont vu naître de nombreux fichiers, toujours à des fins sécuritaires. Nous sommes pourtant ici au coeur de l'une des libertés fondamentales, celles qui s'attachent à la sauvegarde de la personne dans ce qu'elle a de plus intime : son essence, ses croyances, sa santé.
En guise de conclusion, je reprendrai la dernière phrase d'un article récent paru dans un grand quotidien du soir ...
M. Josselin de Rohan. Le Journal officiel ! (Sourires.)
M. Charles Gautier. ...et consacré à ce projet de loi et à l'analyse qu'en ont faite plusieurs anciens membres de la CNIL. Cette phrase est simple : le projet de loi reste à refaire.
M. Alex Türk, rapporteur. Ils n'avaient qu'à le refaire !
M. le président. La parole est à M. Jean Boyer.
M. Jean Boyer. Monsieur le président, madame la secrétaire d'Etat, mes chers collègues, même si ce projet de loi ne fera l'objet d'aucune modification lors de sa deuxième lecture au Sénat, je tiens néanmoins à insister sur l'importance qu'il revêt.
Malheureusement, nous accusons six années de retard par rapport à la date initialement prévue pour transposer la directive de 1995, ce que nous regrettons compte tenu de la constante évolution en la matière.
En effet, la multiplication des moyens informatiques permettant plus facilement la recherche, la collecte et le stockage des données à caractère personnel nécessite une prise de conscience rapide et une réactivité immédiate des autorités publiques, afin de protéger de la meilleure manière possible les droits fondamentaux des personnes.
Ce texte est essentiel parce qu'il concerne, nous l'avons déjà dit, une matière en perpétuelle évolution et qu'il constitue une préoccupation évidente de nos sociétés modernes.
Malgré la complexité de ce texte, je ne peux que me féliciter de la volonté du Gouvernement de préserver la très symbolique loi du 6 janvier 1978, tout en l'adaptant aux évolutions technologiques d'aujourd'hui.
Le présent projet de loi devrait permettre une meilleure anticipation des évolutions technologiques, établissant ainsi un cadre pérenne pour la protection des droits des personnes physiques.
En effet, loin de se limiter à une adaptation d'une législation antérieure à un cadre technologique modernisé, ce texte améliorera notablement le niveau global de protection des personnes par une réorganisation du cadre d'intervention de la CNIL, qui va de pair avec un renforcement de la protection du droit des personnes physiques.
Je souhaite souligner le travail remarquable accompli par la CNIL depuis 1978. En effet, celle-ci a su faire la preuve de son efficacité et de l'importance de son rôle.
Son dernier rapport annuel d'activité montre à quel point ses missions sont nécessaires et diverses.
Ainsi, la CNIL a conseillé à la RATP de brouiller certaines informations qu'elle pouvait collecter grâce à la nouvelle carte de transport Navigo. En effet, à chaque passage, la régie pouvait connaître la date, l'heure, le lieu et l'identification de chaque utilisateur.
Par ailleurs, l'émergence de la biométrie, c'est-à-dire l'identification des personnes par empreintes digitales, a conduit la CNIL à surveiller avec plus de vigilance cette pratique, qui tend à se banaliser. Par exemple, elle a refusé son utilisation à deux établissements scolaires et à un hôpital.
Le développement rapide de ces nouvelles technologies - la biométrie, la géolocalisation, la radio-identification, l'internet - contraint la CNIL à être en permanence attentive, à faire évoluer régulièrement ses méthodes d'investigation et à se tenir informée quotidiennement des nouvelles pratiques.
Le présent projet de loi va permettre à la CNIL de réorganiser ses interventions en rationalisant les déclarations, en privilégiant son pouvoir de contrôle a posteriori, en réorientant son action vers un rôle pédagogique et de veille technologique accru et en renforçant sa collaboration avec d'autres autorités indépendantes.
Avec une augmentation sensible du nombre de dossiers à traiter, il est capital de développer, parallèlement à la réorganisation de la CNIL, une culture de la protection des libertés. Même avec une augmentation significative des moyens matériels et humains, la CNIL ne parviendra pas seule à défendre les droits et libertés des citoyens. Il convient en effet d'agir sur les comportements.
C'est pourquoi des expériences telles que celle de la commission locale de l'informatique et des libertés du lycée Charles-de-Gaulle de Muret sont à développer en incitant d'autres établissements scolaires et des collectivités locales à expérimenter de telles pratiques.
La création des correspondants à la protection des données est également à saluer. Les bilans positifs de l'Allemagne, de la Suède et des Pays-Bas confortent l'idée qu'une telle institution est utile pour répondre aux besoins de modernité et d'adaptation de la CNIL aux évolutions de nos sociétés.
A cet égard, je me félicite du travail accompli par notre Haute Assemblée et particulièrement sa commission des lois, qui ont été à l'origine de cette innovation.
Enfin, toujours pour souligner l'importance de développer d'autres moyens permettant de garantir plus largement la protection des libertés individuelles, je tiens à saluer les dispositions qui encouragent la collaboration de la CNIL avec d'autres autorités administratives indépendantes.
Toutefois, il faut s'inquiéter de l'augmentation de ses pouvoirs, car elle ne s'accompagne ni d'une restructuration des services ni d'une hausse notable de son budget et de ses moyens humains.
Par ailleurs, à l'instar de mon collègue Philippe Nogrix lors de la première lecture du texte, je m'inquiète des nouveaux pouvoirs dont la CNIL sera investie en application de ce texte : outre des pouvoirs d'investigation accrus, des pouvoirs de sanction administrative lui seront désormais reconnus, notamment la possibilité de prendre des sanctions pécuniaires. Elle pourra donc prononcer à l'égard du responsable contrevenant aux dispositions de la loi des avertissements, des mises en demeure ou des injonctions de cesser le traitement.
L'exercice de tels pouvoirs me semble difficilement compatible avec le rôle de conseil aux entreprises que joue la CNIL et dont le présent projet de loi étend le champ.
De façon générale, l'expérience montre que les fonctions de conseil et de contrôle font rarement bon ménage avec les fonctions de sanction, ce qui me fait craindre que le développement de sanctions a posteriori ne se fasse au détriment des rôles de conseil, d'information et de contrôle, qui, pour l'instant, sont au coeur de l'activité de la CNIL.
Cette inquiétude est d'autant plus vive que le texte qui nous est proposé aujourd'hui renforce les pouvoirs effectifs de la CNIL. En effet, l'Assemblée nationale est revenue sur deux restrictions au pouvoir de sanction de la CNIL apportées par le Sénat, notamment s'agissant du pouvoir de sanction pécuniaire.
Enfin, je saluerai le rôle croissant de la CNIL lors des débats préparatoires à la détermination de la position française dans les négociations internationales ou européennes portant sur le traitement des données personnelles.
En effet, l'avis de la Commission peut s'avérer utile, notamment au regard de certaines affaires comme celle opposant, d'un côté, le Parlement européen et, de l'autre, la Commission européenne et le Conseil, s'agissant de la collecte par les autorités américaines des données personnelles des passagers aériens débarquant sur leur sol.
Malgré ces quelques réserves, le groupe de l'Union centriste votera ce texte essentiel, d'une part, pour être en conformité avec la législation européenne et, d'autre part, pour répondre aux besoins d'adapter notre législation aux évolutions de la société de l'information et des technologies.
Je conclurai en saluant le travail de notre collègue rapporteur, qui - nous avons pu le constater tout à l'heure -nous a fait une démonstration de ses compétences en la matière, et qui, grâce à ses connaissances sur ce sujet, a su donner au travail du Sénat toute la qualité qu'il mérite. (Applaudissements sur les travées de l'Union centriste et de l'UMP.)
M. Pierre Fauchon. Excellent !
M. le président. La parole est à M. Roger Karoutchi. (Applaudissements sur les travées de l'UMP.)
M. Roger Karoutchi. Monsieur le président, madame la secrétaire d'Etat, mes chers collègues, je me réjouis de voir que nous sommes enfin arrivés au terme de cette navette parlementaire, qui aura duré presque trois ans.
Nous sommes parvenus à un compromis équilibré permettant de transposer dans notre droit la directive européenne du 24 octobre 1995, tout en maintenant les principes fondamentaux contenus dans la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
II y avait urgence ! Compte tenu des évolutions majeures de nos sociétés au cours de ces dernières années, il s'agissait, en effet, d'une priorité : il était indispensable de procéder à des aménagements tenant compte des nouvelles réalités numériques et informatiques et de l'extension de leur utilisation dans le domaine privé.
En outre, la Commission européenne avait fixé le délai de transposition de la directive au 24 octobre 1998, délai qui n'a pas été respecté. Si ces six années de retard ne nous sont pas toujours imputables - pardon au groupe socialiste ! -, elles ont été préjudiciables à l'image de la France, fragilisée dans son rôle d'influence et de négociation au sein de l'Union européenne.
Les efforts accomplis par l'actuel gouvernement en matière de transposition des directives - et le présent projet de loi en est une illustration supplémentaire - va permettre à notre pays de retrouver toute sa place dans l'engagement européen.
Tout d'abord, et c'est un point essentiel, ce texte complète, mais ne remplace pas, la loi du 6 janvier 1978, dont la portée a largement dépassé les frontières nationales en inspirant, entre autres, la réflexion communautaire. D'ailleurs, plusieurs des dispositions adoptées par l'Union européenne figuraient déjà dans la loi de 1978.
Ce nouveau projet de loi constitue un progrès pour les libertés. Il a pour objet d'alléger les formalités préalables à la création d'un traitement de données, tout en instaurant un contrôle a posteriori plus efficace.
La directive consacre la libre circulation des données, une avancée nécessaire sous peine de condamner l'essor des entreprises dont le développement repose sur le support des nouvelles technologies de l'information et de la communication.
Ce principe sera toutefois assorti de règles qui encadreront sa mise en oeuvre et garantiront la protection des informations privées.
Ainsi, le transfert de fichiers vers un pays n'appartenant pas à la Communauté européenne ne pourra avoir lieu qu'à la condition que ce pays assure un niveau de protection adéquat de la vie privée et des libertés et droits fondamentaux des personnes.
En outre - et je parle sous le contrôle de notre rapporteur - les nouvelles orientations visant au renforcement du contrôle de la CNIL a posteriori apparaissent pertinentes. Un nombre considérable de traitements - plusieurs millions ! - ne sont pas déclarés actuellement, tandis que la répression reste à un faible niveau. Seuls 61 avertissements et 35 dénonciations au parquet ont ainsi été enregistrés depuis 1978, en raison notamment des moyens réduits de la CNIL. Si celle-ci dispose actuellement d'un pouvoir d'enquête, elle est en effet dépourvue de tout moyen contraignant pour le mettre en oeuvre.
Désormais, la CNIL disposera de pouvoirs d'investigation et elle pourra prononcer des sanctions administratives graduées.
Elle pourra accéder à tout local professionnel servant à l'exploitation d'un traitement de données sur autorisation judiciaire en cas d'opposition du propriétaire des lieux.
Elle aura en outre le pouvoir de mettre en demeure le responsable du traitement de se conformer aux dispositions de la loi et de prononcer des sanctions pécuniaires d'un montant maximal de 150 000 euros, ou 300 000 euros en cas de manquement réitéré.
Ces dispositions constituent pour nous de véritables avancées.
Je tiens à cet égard à saluer le travail remarquable accompli par nos collègues de l'Assemblée nationale ainsi que par notre Haute Assemblée, et à féliciter notre rapporteur, éminent spécialiste, s'il en est, de la protection des données et du droit des nouvelles technologies.
Tout au long de nos travaux, qui ont permis d'enrichir substantiellement ce texte, nous avons été guidés par le souci de conciliation entre la nécessaire protection des personnes, les intérêts des entreprises et la sauvegarde de l'intérêt général.
Le présent projet de loi reflète cette volonté. Il est équilibré, nécessaire, et apporte des réponses concrètes à la nouvelle configuration issue de l'explosion de la micro-informatique et du réseau Internet, notamment dans la sphère privée.
Au-delà des polémiques bien récentes par rapport à l'antériorité des débats qui ont eu lieu, mes chers collègues, et compte tenu de tous les éléments que je viens d'exposer, notre groupe suivra les recommandations de la commission et votera en faveur du projet de loi, dans les termes qui lui sont soumis. (Applaudissements sur les travées de l'UMP et de l'Union centriste.)
M. le président. La parole est à M. Robert Bret.
M. Robert Bret. Monsieur le rapporteur, permettez au néophyte que je suis d'intervenir une nouvelle fois dans un débat dont le caractère technique avancé - que vous maîtrisez parfaitement en tant que président de la CNIL - ne saurait faire oublier l'importance des enjeux qu'il recèle du point de vue des droits et libertés fondamentaux.
Avec le développement des nouvelles technologies, les occasions de fichage se sont multipliées, que les fichiers soient publics, liés à la sécurité et au développement de l'administration électronique, ou à vocation commerciale ; le spam en est la traduction concrète et directe.
I1 est ainsi aisé de mesurer le peu d'aspects de notre vie privée qui échappent, au quotidien, aux occasions de fichage : communications, via les SMS envoyés d'un téléphone portable, achats par Internet, santé avec la carte Vitale, transports - on pense à l'emploi du passe Navigo dans le métro, qui a été évoqué tout à l'heure - et conservation des données de passage.
C'est ainsi que les principes directeurs de la loi de 1978, née de la volonté d'accompagner le développement technologique d'un haut niveau de vigilance vis-à-vis de la protection du droit à la vie privée, apparaissent en réalité d'une singulière actualité face au développement de nombreuses pratiques intrusives.
L'heure est venue, nous dit-on, d'adapter la loi du 6 janvier 1978, dite « loi Informatique et libertés », aux données techniques nouvelles, adaptation rendue nécessaire par la directive européenne du 24 octobre 1995 sur les données personnelles, laquelle devait être transposée dans les trois ans. Cette exigence était d'ailleurs si impérative qu'entre le dépôt du projet de loi et cette ultime discussion il aura fallu deux ans !
On doit néanmoins regretter que cette adaptation soit ici synonyme d'abaissement du niveau d'exigence et de vigilance à l'égard des fichiers, au point de légitimer la rupture d'équilibre au profit des « ficheurs », née de la marchandisation croissante des données personnelles avec la société de l'information et l'internationalisation des échanges.
Qu'on en juge ! Face à la multiplication des fichiers et des interconnexions de fichiers qui permettent de mettre en circulation quantité de données personnelles touchant à la vie intime des personnes, le choix fait avec ce texte est l'allégement des contraintes en matière de déclaration, voire l'exemption pure et simple, sans que les moyens matériels permettant un réel contrôle a posteriori soient mis en place : c'est la banalisation du fichage avec la bénédiction du législateur.
M. Roger Karoutchi. Cela n'a rien à voir ! Vous mélangez tout !
M. Robert Bret. Parallèlement, on constate une certaine tendance à la « relégitimation » des fichiers publics, particulièrement lorsqu'ils touchent à la sécurité : alors que l'Assemblée nationale a choisi d'exclure officiellement les fichiers de la DGSE et de la DST du champ de contrôle de la CNIL, comment ne pas faire le lien entre cette loi et les multiplications de fichiers opérées depuis maintenant deux ans ?
Entre le système de traitement des infractions constatées, le fichier des délinquants sexuels ou le fichier national automatisé des empreintes génétiques, les fichiers d' « hébergeants » ou les fichiers d'empreintes digitales des demandeurs de visa, c'est tout un arsenal, vous le reconnaîtrez, de fichage policier de la population qui se met en place, dont les finalités apparaissent, en réalité, bien plus opaques qu'il n'y paraît.
L'inscription, en mai dernier, du militant syndical Charles Hoarau au fichier national automatisé des empreintes génétiques pour s'être opposé à l'expulsion d'un Tunisien sans papiers - ce qui lui a valu une condamnation à cinq mois de prison avec sursis - confirme, si besoin est, les dérives de ce type de fichage en vue de la criminalisation de l'action sociale et syndicale.
C'est ainsi que la sécurité devient un élément de justification commode des fichages en tous genres.
Ces exigences de sécurité justifient-elles le fichage des passagers, par exemple, par les compagnies aériennes, comme l'imposent désormais les Etats-Unis pour les vols à destination du continent nord-américain ?
Doivent-elles conduire à autoriser la constitution de casiers judiciaires privés au profit de personnes morales victimes d'infractions ? Les loueurs de voiture voient ainsi leurs fichiers recensant les clients « à risques » légitimés, alors que plusieurs plaintes avaient été déposées.
Imposent-elles de ficher ces « voleurs de musiques et d'images » que sont les internautes pratiquant le peer-to-peer, autrement dit le téléchargement de fichiers musicaux sur Internet de personne à personne, comme le suggère le présent projet de loi ?
Doivent-elles aller jusqu'à permettre le fichage des « délinquants de la sécurité sociale » qui auront eu l'outrecuidance de faire pratiquer le même examen médical à quelques semaines d'intervalle ?
Doivent-elles permettre la transmission de ces données à des assureurs très demandeurs de dossiers comportant des données exhaustives sur la santé de leurs assurés ?
Non, madame la secrétaire d'Etat, monsieur le rapporteur, mes chers collègues, les réserves que mes collègues communistes et moi-même, rejoints par bien d'autres voix, comme le montre la mobilisation des défenseurs des droits de l'homme, émettons à l'encontre du présent projet de loi ne sont pas le résultat des délires paranoïaques de quelques « ringards » qui auraient trop lu 1984, de George Orwell, cette oeuvre de fiction qui dépeint une société où chacun est surveillé, épié par Big Brother.
M. Jean Chérioux. Cela a existé !
M. Roger Karoutchi. Oui, en URSS !
Mme Nicole Borvo. Nous sommes en France, monsieur Karoutchi !
M. Robert Bret. Avec vos propositions, la réalité est aujourd'hui en train de dépasser la fiction !
Reconnaissez que nous n'avons pas attendu cette deuxième lecture pour exprimer nos inquiétudes et nos désaccords, qui sont tout sauf politiciens. Du reste, nous avions déjà déposé, lors de la première lecture, un certain nombre d'amendements, que nous reprenons en partie aujourd'hui.
En fait, mes propos traduisent tout simplement l'observation de la réalité, que cela vous plaise ou non ! Nous sommes nombreux à dresser le même constat, celui de la mise en oeuvre, depuis deux ans, d'une politique sécuritaire et liberticide.
Après l'adoption de la loi pour la confiance dans l'économie numérique, qui a supprimé la qualification de « correspondance privée » pour le courrier électronique, vous me permettrez de ne pas partager votre enthousiasme devant cette nouvelle baisse du niveau d'exigence en matière de protection des droits et libertés individuels, alors même que vous revendiquez votre attachement à l'article 1er de la loi du 6 janvier 1978, qui dispose que l'informatique « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
A l'occasion de la première lecture, nous avions choisi de nous abstenir, espérant que la navette parlementaire permettrait de progresser sur ces points. Cela n'a pas été le cas ; il y a même eu régression, notamment à la suite de la deuxième lecture à l'Assemblée nationale.
Nous avons décidé, à ce stade de la discussion, de faire porter nos amendements sur les points les plus fondamentaux du débat, sur le socle incompressible. Si ce dernier devait ne pas être respecté, nous ne pourrions qu'émettre un vote négatif sur ce texte. Cela étant, les préconisations de la majorité de la commission des lois en faveur d'un vote conforme laissent d'ores et déjà entrevoir le sort qui sera réservé à nos amendements. Nous ne pouvons que déplorer cette situation.
Monsieur le rapporteur, comme l'a rappelé mon collègue Charles Gautier, des ex-membres de la CNIL interpellent aujourd'hui le Parlement, indiquant clairement non seulement que le projet de loi est à refaire, mais aussi qu'il convient de sauver la CNIL. Qu'avez-vous à répondre à ces inquiétudes, vous qui êtes maintenant président de cette dernière ? (Applaudissements sur les travées du groupe CRC et du groupe socialiste.)
M. le président. Personne ne demande plus la parole dans la discussion générale ? ..
La discussion générale est close.
Nous passons à la discussion des articles.
Je rappelle que, aux termes de l'article 42, alinéa 10, du règlement, à partir de la deuxième lecture au Sénat des projets ou propositions de loi, la discussion des articles est limitée à ceux pour lesquels les deux chambres du Parlement n'ont pas encore adopté un texte identique.
TITRE Ier
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS
Article 1er
Les articles 2 à 5 de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont ainsi rédigés :
« Art. 2. - La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
« La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.
« Art. 3. - Non modifié.
« Art. 4. - Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.
« Art. 5. - Non modifié. »
M. le président. L'amendement n° 10, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Après le mot :
fichiers,
rédiger comme suit la fin du premier alinéa du texte proposé par cet article pour l'article 2 de la loi n° 7817 du 6 janvier 1978 :
lorsque leur responsable remplit les conditions prévues à l'article 5. Les dispositions de la présente loi ne sont pas applicables aux traitements mis en oeuvre par des personnes physiques et dont l'usage relève du strict exercice de la vie privée.
La parole est à M. Charles Gautier.
M. Charles Gautier. Il s'agit d'un amendement de précision, en référence à l'actuel article 45 de la loi du 6 janvier 1978, relatif aux fichiers manuels dont l'usage relève du strict exercice du droit à la vie privée.
Cet amendement n'appelle pas de longs développements, mais il est important, au moment où l'on aborde la détermination du champ d'application du texte, de définir avec précision les traitements auxquels s'appliquent les dispositions modifiées de la loi du 6 janvier 1978.
Rappelons que la directive énonce pas moins de huit définitions : c'est dire combien l'exercice est délicat et justifie finalement le choix opéré par les auteurs du projet de loi de ne reprendre que les définitions les plus importantes.
Le premier alinéa de l'article 2 modifié de la loi du 6 janvier 1978 dispose:que la loi s'applique aux traitements automatisés ou non de données à caractère personnel contenues ou appelées à figurer dans des fichiers dès lors que le responsable du traitement est établi en France ou utilise des moyens situés en France.
Une exception est toutefois prévue s'agissant des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles. Cette rédaction est cependant ambiguë, dans la mesure où aucune précision n'est donnée sur le responsable du traitement susceptible de bénéficier d'une telle dérogation.
Pourtant, les dispositions qui servent de référence ou de fondement à cet article sont au moins au nombre de deux : il s'agit tout d'abord de l'actuel article 45 de la loi du 6 janvier 1978, qui exclut de certaines prescriptions de la loi les fichiers manuels dont l'usage relève du strict exercice du droit à la vie privée, et surtout de l'article 3 de la directive, qui vise les traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.
Bien que l'article 2 modifié vise spécifiquement les traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, nous estimons que les deux dernières formulations sont plus rigoureuses quant à la définition de cette exception. La directive évoque, en plus des activités personnelles, les activités domestiques, et la loi de 1978 en vigueur fait référence au « strict exercice du droit à la vie privée ».
Au travers de cet amendement, nous prenons soin de nous référer explicitement aux personnes physiques, car seules ces dernières devraient être visées. Nous vous proposons, mes chers collègues, de reprendre une formulation identique à celle qui figure dans la rédaction actuelle de l'article 45 de la loi du 6 janvier 1978 et qui évoque les fichiers dont l'usage relève du « strict exercice du droit à la vie privée ».
Je rappelle enfin qu'il s'agit là d'une proposition que la CNIL avait elle-même formulée en son temps.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. La commission est défavorable à cet amendement, car, dans la pratique, il n'y a aucune difficulté. En outre, la doctrine de la CNIL a toujours été très claire sur le point soulevé.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 11, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
A la fin de la première phrase du deuxième alinéa du texte proposé par cet article pour l'article 2 de la loi n° 7817 du 6 janvier 1978, remplacer les mots :
qui lui sont propres
par les mots :
spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale
La parole est à M. Charles Gautier.
M. Charles Gautier. Il s'agit là aussi d'un amendement de précision.
La définition de ce que doit être une donnée à caractère personnel a été substantiellement améliorée au cours des lectures précédentes.
Comme je viens de le dire, conformément aux dispositions de la directive, on parlera non plus d'informations nominatives, mais bien de données à caractère personnel. Ainsi que l'avait fait observer M. le rapporteur lors de la première lecture, c'est là une notion qui s'articule mieux avec le développement des mesures d'identification indirecte.
Il s'agit là de la seconde amélioration apportée à cette définition par l'Assemblée nationale en première lecture, car il a été en outre précisé, en référence à la définition actuelle, que la personne peut être identifiée « directement ou indirectement ».
Nous souhaitons poursuivre dans cette voie, toujours conformément aux dispositions de la directive, mais aussi par souci de cohérence avec les amendements que nous avons déposés, en particulier avec nos propositions relatives à la définition des données sensibles, qui, comme l'indique le qualificatif employé, méritent une attention particulière et bénéficient à ce titre d'un régime spécifique.
La définition de la directive concernant les données à caractère personnel nous semble plus précise, puisqu'elle détaille les différentes composantes susceptibles de déterminer le caractère personnel d'une donnée.
Si l'on considère que les éléments permettant d'identifier une personne et énoncés par la directive ne sont détaillés qu'à titre d'exemples, nous aimerions alors savoir les raisons pour lesquelles le projet de loi ne retient que la référence au numéro d'identification.
Cette question n'est pas anodine, car la délimitation du champ des données concernant une personne identifiable permet de distinguer, par contrecoup, les données qui sont rendues anonymes et qui se trouvent exclues du champ de la protection. Notre assemblée a d'ailleurs bien fait de renforcer la portée de ce texte pour tout ce qui se rapporte aux traitements d'anonymisation.
Dans ces conditions, nous proposons de reprendre la liste des éléments permettant d'identifier une personne visée par la directive et de rédiger ainsi la définition d'une donnée à caractère personnel : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cet amendement pose deux problèmes.
Le premier problème, c'est qu'il n'a pas de contenu juridique précis au regard de la conception française du droit.
Le second problème, c'est que, de manière paradoxale, cet amendement ne correspond pas, me semble-t-il, aux préoccupations de ses auteurs.
En effet, en procédant par énumération, on ne précise pas les choses, dans la mesure où, par définition, on crée ainsi des lacunes. Je préfère donc une formulation plus large, celle qui figure dans la rédaction actuelle du projet de loi et qui me paraît plus adaptée à la réalité que nous connaissons, à l'énumération d'une série de qualificatifs, laquelle sera toujours incomplète.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. La formulation actuelle ayant une portée équivalente à l'énumération présentée, le Gouvernement émet, lui aussi, un avis défavorable sur l'amendement.
M. le président. L'amendement n° 12, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le troisième alinéa du texte proposé par cet article pour l'article 2 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après les mots :
l'enregistrement,
insérer les mots :
l'élaboration,
La parole est à M. Charles Gautier.
M. Charles Gautier. II est paradoxal de rejeter tous les ajouts permettant de mieux définir ce qu'est une donnée à caractère personnel et d'accepter, dans le même temps, une définition très détaillée de ce qui constitue un traitement de données.
A cet instant, il ne me semble pas inutile de rappeler cette définition, qui est assez significative :
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation,... » Et dire que M. le rapporteur m'a fait reproche de procéder par énumération !
Si la loi doit définir des principes généraux, il s'agit ici de son champ d'application, et il nous semble important, à ce stade, de délimiter les matières auxquelles elle est destinée à être appliquée. C'est là un principe de bonne législation, qu'il convient donc de suivre. Il ne nous semble pas excessif d'entrer dans le détail, cette méthode présentant des garanties et assurant une meilleure protection.
La présente définition reprend celle qui figure à l'actuel article 5 de la loi du 6 janvier 1978 ; elle a été complétée, puisqu'elle vise non seulement les traitements de fichiers manuels, mais aussi toutes les formes de traitements automatisés.
Cependant, nous constatons que la reprise de l'article 5 actuellement en vigueur est imparfaite, car elle omet la référence à l'élaboration du traitement. Or cette dernière phase, qui se situe au stade de la préparation du traitement, est différente de celle de l'organisation, qui se rapporte à la détermination du mode de fonctionnement du traitement.
Vous l'aurez compris, mes chers collègues, il ne s'agit pas d'ergoter sur des vétilles, encore moins de se perdre dans des subtilités. Cet amendement a simplement pour objet de conserver l'existant : c'est une démarche que nous avons choisi d'adopter chaque fois qu'elle est compatible avec les règles posées par la directive.
Notre objectif est non pas de sanctuariser une loi « monument », mais de maintenir dans cette loi de référence ce qui doit être conservé et, le cas échéant, de l'améliorer.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Mon cher collègue, il existe une différence entre l'énumération qui était présentée au travers de votre amendement n° 11 et celle qui figure dans la rédaction proposée pour l'article 2 de la loi du 6 janvier 1978.
Dans le premier cas, il s'agissait de l'énumération de qualificatifs présentant un certain caractère de subjectivité.
Dans le second cas, en revanche, c'est une énumération en chaîne, tendant à dégager et à expliciter un processus. Or il s'avère que, dans cette optique, le mot : « élaboration » n'a guère de contenu, tandis que les mots : « collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, communication, etc. » correspondent, sur les plans juridique et technique, à des opérations parfaitement déterminées et dont on pourrait difficilement modifier l'ordre.
Le terme « élaboration » est donc creux au regard de cette énumération. Son ajout n'apporterait rien, le champ de l'élaboration étant couvert par les vocables que j'ai énumérés.
Par conséquent, j'émets un avis défavorable sur l'amendement n° 12.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 13, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Supprimer le texte proposé par cet article pour l'article 4 de la loi n° 7817 du 6 janvier 1978.
La parole est à M. Charles Gautier.
M. Charles Gautier. La dérogation visée, qui concerne le recours par les fournisseurs d'accès aux serveurs « proxys », n'est pas prévue par la directive. Il serait donc sage de ne pas prendre une position aussi définitive dans un domaine où l'évolution technologique est rapide.
Il s'agit ici de la question des copies temporaires et de l'intérêt d'exclure celles-ci du champ d'application de la loi, comme le prévoit la rédaction actuelle du projet de loi. Nous proposons, pour notre part, de supprimer cette disposition.
Nous avons déjà eu, lors de la première lecture, un débat sur ce sujet, et un amendement similaire avait alors été présenté par nos collègues du groupe CRC. Nous avions nous-mêmes, à l'époque, proposé d'entourer la disposition en question de certaines garanties, car la notion de copie temporaire n'est pas suffisamment précise dans sa définition et son application.
Les explications données alors par M. le rapporteur ne nous avaient pas convaincus, et je n'évoquerai pas ce qui a été dit à l'Assemblée nationale en deuxième lecture, puisque le texte proposé pour l'article 4 de la loi du 6 janvier 1978 a été adopté sans modification.
Soit de telles copies ne sont pas matériellement contrôlables parce qu'il s'agit de véritables copies temporaires et que la CNIL ne dispose pas des moyens d'exercer un tel contrôle ; soit ces copies ne sont pas réellement temporaires et, dès lors, la loi n'est pas respectée.
Nous ne pouvons pas faire de paris sur les progrès techniques à venir, mais nous considérons, comme la CNIL l'avait jugé en son temps, qu'une telle disposition n'a pas sa place dans une loi de portée générale qui s'abstient de faire référence à quelque technologie particulière que ce soit. En ce sens, le projet de loi a intégré certaines notions, afin d'éviter, justement, l'obsolescence rapide de ses dispositions.
Il convient donc de respecter le principe de neutralité technologique et de ne pas prendre une position aussi définitive dans un domaine à évolution technologique rapide.
Enfin, existe-t-il vraiment des difficultés sur ce point entre la CNIL et les fournisseurs d'accès pour exclure par précaution ce type de copies du champ d'application de la loi ?
C'est la raison pour laquelle nous vous proposons de supprimer cette disposition, comme l'avait préconisé la CNIL en son temps.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Tout d'abord, il faut noter que les mesures proposées dans cet amendement ont déjà fait l'objet d'un examen attentif lors des lectures précédentes.
Par ailleurs, s'agissant de la position de la CNIL, entre temps, ce mécanisme a été rendu nécessaire par l'application de la directive du 12 juillet 2002 dite « vie privée et communications électroniques ».
Dans ces conditions, nous émettons un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. Je mets aux voix l'article 1er.
(L'article 1er est adopté.)
Article 2
Le chapitre II de la loi no 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE II
« Conditions de licéité des traitements de données à caractère personnel
« Section 1
« Dispositions générales
« Art. 6. - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
« 1° Les données sont collectées et traitées de manière loyale et licite ;
« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;
« 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
« 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
« 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
« Art. 7. - Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :
« 1° Le respect d'une obligation légale incombant au responsable du traitement ;
« 2° La sauvegarde de la vie de la personne concernée ;
« 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
« 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
« 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.
« Section 2
« Dispositions propres à certaines catégories de données
« Art. 8. - I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
« II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :
« 1° A Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;
« 1° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;
« 2° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :
« - pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;
« - sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
« - et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;
« 3° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
« 4° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;
« 5° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;
« 5° bis Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi no 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;
« 6° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.
« II bis. - Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions des chapitres IX et X ne sont pas applicables.
« III. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26.
« Art. 9. - Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :
« 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
« 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
« 3° Les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ;
« 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits.
« Art. 10. - Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
« Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité
« Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée. »
M. le président. L'amendement n° 14, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Remplacer la seconde phrase du troisième alinéa (2°) du texte proposé par cet article pour l'article 6 de la loi n° 7817 du 6 janvier 1978 par deux phrases ainsi rédigées :
Toutefois, seul un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ,ainsi qu'aux chapitres IX et X, s'il recourt à des techniques garantissant l'impossibilité d'identifier directement ou indirectement les personnes auprès desquelles les données ont été initialement collectées et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées. Dans le cas où un tel traitement nécessite de disposer d'éléments d'identification directe ou indirecte des personnes concernées, ces éléments d'identification doivent être détruits après la réalisation dudit traitement.
La parole est à M. Charles Gautier.
M. Charles Gautier. Cet amendement a pour objet de mieux encadrer l'application du principe de finalité des traitements de données à caractère personnel avec l'exigence de compatibilité dans le cas de l'utilisation future des données collectées.
Le 2° du texte proposé pour l'article 6 de la loi du 6 janvier 1978 consacre un nouveau principe de finalité en précisant que les données doivent être collectées « pour des finalités déterminées, explicites et légitimes » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».
Il s'agit d'une disposition importante par rapport au droit en vigueur puisque la loi du 6 janvier 1978 ne se réfère à la finalité des traitements que de manière incidente dans les dispositions relatives aux obligations de déclaration.
Le projet de loi prévoit cependant une exception au profit de certains traitements réalisés à des fins statistiques, scientifiques ou historiques.
Cette question a déjà été traitée en première lecture, mais elle mérite que l'on y revienne et que l'on s'y attarde.
Cet amendement n'a pas pour objet de tuer ou de stériliser la recherche. Nous admettons tous dans cet hémicycle l'intérêt que recèlent ces traitements de recherche. Il n'est pas besoin d'insister sur ce point.
Il convient seulement de mieux encadrer la réutilisation des données, car, dans le cas présent, elles seront réutilisées pour une finalité autre que celle qui avait été initialement retenue.
Je rappelle que le principe de finalité est le principe fondamental autour duquel s'organisent les autres principes : la pertinence, l'adéquation, le caractère non excessif, l'exactitude des données, la loyauté de la collecte, les destinataires et la durée de conservation.
Toute réutilisation des données ne doit pas ruiner ce principe fondamental. C'est la raison pour laquelle nous précisons que seul un traitement ultérieur à des fins historiques, scientifiques ou statistiques peut être admis comme non incompatible avec les finalités initiales s'il offre des garanties suffisantes.
En plus de ces garanties, un traitement ultérieur à des fins historiques, scientifiques ou statistiques doit être mis en oeuvre avec des méthodes garantissant l'impossibilité d'identifier, directement ou indirectement, les personnes auprès desquelles les données ont été initialement collectées. Nous partageons comme vous, monsieur le rapporteur, le souhait de développer les traitements d'anonymisation.
Enfin, si le traitement nécessite de disposer de données directement ou indirectement identifiantes, le principe doit être retenu de détruire les éléments d'identification des personnes dès que l'étude a été réalisée. Cela n'empêche en aucun cas de procéder à certaines recherches, contrairement à ce qui a été dit en première lecture.
Des études sur l'effet de l'éducation sur l'emploi pourront, bien entendu, être menées avec des données identifiantes. Nous précisons simplement que ces dernières devront être détruites une fois l'étude réalisée.
Nous envisageons donc l'ensemble des situations possibles en respectant un certain équilibre et sans que ces précisions soient excessives au regard de l'enjeu.
Le principe de finalité est un complément majeur apporté au projet de loi. Nous devons en garantir l'effectivité car il y va de la protection des personnes.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cet amendement prévoit des dispositions qui ont une portée trop générale.
L'anonymisation systématique poserait un problème, car la CNIL est toujours en mesure de demander l'anonymisation de traitements ; il lui appartient d'étudier les dossiers au cas par cas.
Il faut donc s'en remettre à la jurisprudence de la CNIL et non pas procéder par une mesure d'ordre général.
C'est pourquoi la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Un tel amendement, par trop contraignant, peut être un facteur de blocage.
Je citerai un exemple : les fichiers destinés à réparer les spoliations des biens réalisées sous l'occupation n'auraient pas pu être mis en oeuvre si une telle disposition avait existé.
C'est la raison pour laquelle le Gouvernement émet un avis défavorable.
M. le président. L'amendement n° 15, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le quatrième alinéa (3°) du texte proposé par cet article pour l'article 6 de la loi n° 7817 du 6 janvier 1978, remplacer les mots :
de leurs traitements ultérieurs
par le mot :
traitées
La parole est à M. Charles Gautier.
M. Charles Gautier. Avec cet amendement, nous revenons sur la question de l'utilisation future des données collectées.
Le 3° de l'article 6 modifié de la loi du 6 janvier 1978 prévoit que le traitement ne doit porter que sur des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
La référence aux traitements ultérieurs présente une certaine ambiguïté et risque de créer des difficultés au regard du respect du principe de proportionnalité.
Ainsi pourra-t-on autoriser la collecte de données qui seraient dépourvues de pertinence ou excessives au regard de la finalité du traitement au motif que de telles données deviendraient pertinentes ou non excessives au regard d'un traitement ultérieur.
Sans s'éloigner de la directive et en s'inspirant à la fois de la convention 108 du Conseil de l'Europe et de la rédaction du présent article dans ses 1°, 4° et 5°, le 3° devrait se limiter à préciser que les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées.
En fait, nous reprenons une proposition qu'avait émise en son temps la CNIL et qu'il nous semble sage de suivre.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Il s'agit, là encore, d'un amendement concernant une disposition qui avait fait l'objet d'un accord des deux assemblées sur le fond.
En réalité, cet amendement aboutirait à réduire les garanties, car la CNIL examine bien les traitements ultérieurs.
C'est la raison pour laquelle nous émettons un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. Mes chers collègues, nous allons maintenant interrompre nos travaux ; nous les reprendrons à quinze heures.
La séance est suspendue.
(La séance, suspendue à douze heures cinquante-cinq, est reprise à quinze heures, sous la présidence de M. Adrien Gouteyron.)