M. le président. L’amendement n° 63, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 19
Après le mot :
Sénat
insérer les mots :
, ainsi qu’à la demande d’un président de groupe parlementaire,
La parole est à Mme Esther Benbassa.
Mme Esther Benbassa. Dans le même esprit que l’amendement de nos collègues socialistes, celui-ci a pour objet de permettre aux présidents de groupe parlementaire de l’Assemblée nationale et du Sénat de saisir la CNIL sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.
Je vous rappelle que cette disposition a été adoptée à l’Assemblée nationale, avec le soutien de la rapporteur comme de vous-même, madame la ministre.
L’opposition n’est pas à la mode ; on le constate à chaque annonce relative à la réforme des institutions, et la restriction du droit d’amendement en est un exemple flagrant. Mais l’opposition existe et doit pouvoir jouer son rôle. C’est un enjeu démocratique majeur.
Mes chers collègues, permettre aux présidents de groupe parlementaire de saisir la CNIL des propositions de loi relatives aux données personnelles serait une bien petite concession !
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La CNIL peut être consultée par toutes les autorités, dont les présidents de groupe, comme par tous les sénateurs et tous les députés, s’ils le souhaitent. Établir un formalisme de ce type pourrait exclure ce qui fonctionne aujourd’hui très bien dans un cadre informel.
L’avis est donc défavorable sur les deux amendements.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Je suis convaincue par les arguments de Mme la rapporteur… (Sourires.)
Avis défavorable !
M. le président. L’amendement n° 15 rectifié bis, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Alinéa 19
Après le mot :
Sénat
insérer les mots :
, par soixante députés ou soixante sénateurs
La parole est à M. Alain Marc.
M. Alain Marc. La discussion féconde de ce matin en commission des lois m’a convaincu de retirer cet amendement, dont l’adoption reviendrait à restreindre la possibilité de saisine de la CNIL, ouverte à tout député et tout sénateur.
M. le président. L’amendement n° 15 rectifié bis est retiré.
L’amendement n° 17 rectifié bis, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Alinéa 23
Rédiger ainsi cet alinéa :
7° L’avant-dernier alinéa est complété par une phrase ainsi rédigée : « Elle peut saisir pour avis toute autre autorité ou institution intéressée par l’accomplissement de ses missions. »
La parole est à M. Alain Marc.
M. Alain Marc. Cet amendement vise à modifier le 7° de l’article 11 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour permettre à la CNIL de saisir toute autre autorité ou institution intéressée par l’accomplissement de ses missions. Il s’agit de favoriser le dialogue entre les différentes autorités ou institutions compétentes sur les problèmes numériques.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La faculté de saisine d’une autorité indépendante par une autre est consacrée et généralisée par leur statut général, voté sur l’initiative de notre assemblée.
L’amendement étant sans objet, j’en demande le retrait.
M. Alain Marc. Je le retire !
M. le président. L’amendement n° 17 rectifié bis est retiré.
Je mets aux voix l’article 1er, modifié.
(L’article 1er est adopté.)
Article additionnel après l’article 1er
M. le président. L’amendement n° 122 rectifié, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Après l’article 1er
Insérer un article additionnel ainsi rédigé :
Après l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article ainsi rédigé :
« Art. … - Le délégué à la protection des données institué par l’article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE peut signaler à la Commission nationale de l’informatique et des libertés les difficultés qu’il rencontre dans l’exercice de ses missions.
« Lorsque le délégué à la protection des données révèle ou signale, de manière désintéressée et de bonne foi, une violation grave, manifeste et répétée des droits et libertés mentionnés à l’article 1er de la présente loi, les dispositions du chapitre II du titre Ier de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique s’appliquent. »
La parole est à Mme Sylvie Robert.
Mme Sylvie Robert. Cet amendement ouvre un débat et soulève un enjeu démocratique relatif au statut et au rôle que pourraient être amenés à jouer les futurs délégués à la protection des données.
En un sens, le délégué à la protection des données – ou DPO, pour Data Protection Officer – sera la clé de voûte de l’application du règlement : à la fois conseiller du responsable, mais aussi du sous-traitant mettant en œuvre le traitement, garant du respect des obligations leur incombant et point de contact de l’autorité de contrôle ainsi que des citoyens s’enquérant d’une information, il occupera une position stratégique et aura une vision synoptique.
Il sera donc en mesure de déceler d’éventuels manquements ou violations liés à la protection des données personnelles, sous réserve que lui soient garanties des conditions idoines à l’exercice de ses missions, notamment, bien sûr, en termes d’indépendance.
Dans les cas les plus graves – songeons aux faits qui ont fait l’actualité du week-end dernier et qui nous ont un peu interloqués –, où les atteintes aux droits sont à la fois massives par leur ampleur et considérables par leur nature, il s’avère essentiel de permettre au délégué de jouer pleinement son rôle de vigie, voire de révélateur de pratiques contraires aux droits fondamentaux.
C’est pourquoi les auteurs de cet amendement proposent que, lorsque le délégué à la protection des données signale, de manière désintéressée et de bonne foi, des violations graves, manifestes et répétées des droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978, il puisse bénéficier du statut de lanceur d’alerte créé par la loi Sapin II.
D’autres scandales, dysfonctionnements ou entorses à la réglementation seront peut-être révélés un jour ; nous verrons bien. Nous devons en tout cas nous en prémunir, autant que possible. Octroyer ce statut au délégué à la protection des données dans des cas bien précis pourrait être une manière très pertinente d’y parvenir.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement pose problème, car, si le délégué à la protection des données a, d’une certaine manière, une fonction de vigie, il a aussi une fonction de confiance vis-à-vis du responsable de traitement. Or le statut de lanceur d’alerte n’est pas compatible avec celui d’avocat.
Le DPO étant responsable, il veillera à remplir sa mission au mieux ; mais lui donner un statut de lanceur d’alerte me paraît difficile, compte tenu de la relation de confiance partagée qu’il doit entretenir avec le responsable de traitement.
Je demande donc le retrait de l’amendement, et j’y serai défavorable s’il est maintenu.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Je sollicite également le retrait de l’amendement ; s’il est maintenu, j’y serai défavorable.
Les auteurs de l’amendement proposent, d’une part, que le délégué à la protection des données puisse « signaler à la Commission nationale de l’informatique et des libertés les difficultés qu’il rencontre dans l’exercice de ses missions ». L’article 39.1 du RGPD prévoyant déjà la coopération du délégué avec la CNIL, le délégué pourra remplir, madame la sénatrice, la mission que vous souhaitez lui assigner.
D’autre part, l’amendement vise à octroyer au délégué à la protection des données le statut de lanceur d’alerte, en application de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. Or le RGPD établit déjà un régime complet en faveur de ce délégué.
En particulier, s’agissant de l’indépendance du délégué, il prévoit que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ». Le délégué ne peut être relevé de ses fonctions ni pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
Ce statut instauré par le règlement européen est déjà très protecteur pour le délégué à la protection des données.
M. le président. Madame Robert, l’amendement n° 122 rectifié est-il maintenu ?
Mme Sylvie Robert. Cet amendement était aussi destiné à souligner que, dans certains cas, le rôle du délégué à la protection des données ne sera pas facile. En cas de signalement d’un certain nombre de manquements, surtout lorsque ceux-ci constituent des violations graves et massives des droits fondamentaux, il faudra que le délégué soit protégé. Nous voulions attirer l’attention sur cet enjeu, pour que tout se passe dans les prochaines années de la meilleure façon possible.
Je retire l’amendement, monsieur le président.
M. le président. L’amendement n° 123 rectifié, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Rétablir cet article dans la rédaction suivante :
L’article 4 bis de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires est ainsi modifié :
1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
« Le président d’une assemblée parlementaire peut également saisir la Commission nationale de l’informatique et des libertés d’une proposition de loi ou d’une ou plusieurs dispositions d’une proposition de loi dans les mêmes conditions. » ;
2° Au deuxième alinéa, après les mots : « Conseil d’État », sont insérés les mots : « ou à la Commission nationale de l’informatique et des libertés » ;
3° Au troisième alinéa, après les mots : « Conseil d’État », sont insérés les mots : « ou de la Commission nationale de l’informatique et des libertés » ;
4° Au dernier alinéa, le mot : « trois » est remplacé par le mot : « quatre ».
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Le présent amendement vise à inscrire dans l’ordonnance du 17 novembre 1958, par coordination avec les dispositions prévues à l’article 1er, la possibilité pour le président d’une assemblée parlementaire de saisir la CNIL sur toute proposition de loi ou toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement vise, en fin de compte, à aligner la position de la CNIL sur celle du Conseil d’État. Pour les raisons que j’ai expliquées précédemment, relatives au formalisme, j’en sollicite le retrait.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Cet amendement reprend un amendement de la commission des lois de l’Assemblée nationale visant à créer l’article 1er bis. Il s’agit de modifier l’ordonnance du 17 novembre 1958 pour permettre au président d’une assemblée parlementaire de saisir la CNIL. Par ailleurs, l’amendement ajoute la possibilité de saisine sur une ou plusieurs dispositions d’une proposition de loi, ce qui permettrait une saisine plus ciblée. Le Gouvernement s’en remet à la sagesse de la Haute Assemblée.
M. le président. Je mets aux voix l’amendement n° 123 rectifié.
(Après une épreuve à main levée déclarée douteuse par le bureau, le Sénat, par assis et levé, n’adopte pas l’amendement.)
M. le président. En conséquence, l’article 1er bis demeure supprimé.
Article additionnel après l’article 1er bis
M. le président. L’amendement n° 124, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Après l’article 1er bis
Insérer un article additionnel ainsi rédigé :
Après l’article 5 ter de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, il est inséré un article 5 … ainsi rédigé :
« Art. 5 … – Les commissions permanentes compétentes de l’Assemblée nationale et du Sénat ainsi que les présidents des groupes politiques peuvent saisir la Commission nationale de l’informatique et des libertés sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données.
« Les règlements des assemblées fixent les conditions dans lesquelles cette saisine s’exerce. »
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Cet amendement a le même objet que l’amendement n° 120, précédemment examiné.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Je demande le retrait de l’amendement, pour les raisons déjà exposées.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Monsieur Durain, l’amendement n° 124 est-il maintenu ?
M. Jérôme Durain. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 124 est retiré.
Article 2
Au 7° du I de l’article 13 de la loi n° 78-17 du 6 janvier 1978 précitée, après le mot : « numérique », sont insérés les mots : « ou des questions touchant aux libertés individuelles ». – (Adopté.)
Article 2 bis
L’article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par deux alinéas ainsi rédigés :
« – aux a et h du 3 de l’article 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature. »
M. le président. L’amendement n° 155, présenté par Mme Joissains, au nom de la commission, est ainsi libellé :
Après l’alinéa 2
Insérer un alinéa ainsi rédigé :
« - au 4 de l’article 34 du même règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34.
La parole est à Mme le rapporteur.
Mme Sophie Joissains, rapporteur. Le présent amendement vise à introduire plus de souplesse dans l’organisation interne des travaux de la CNIL. Son adoption permettrait à la formation plénière de la commission de déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données.
Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications et examiner si la violation est susceptible d’engendrer un risque élevé, afin soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées, soit de décider que cette communication n’est pas nécessaire.
Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation de notification existe déjà en droit positif : 6 500 notifications par an, dans un pays bien plus petit que la France. Il convient d’aider la CNIL à ménager ses moyens en lui offrant cette agilité organisationnelle.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Avis favorable. L’exemple des Pays-Bas est particulièrement convaincant.
M. le président. Je mets aux voix l’article 2 bis, modifié.
(L’article 2 bis est adopté.)
Article 3
(Non modifié)
La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° Au premier alinéa de l’article 17, après le mot : « restreinte », sont insérés les mots : « prend les mesures et », après le mot : « traitements », sont insérés les mots : « ou des sous-traitants » et, après le mot : « découlant », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et » ;
2° Après le même premier alinéa, il est inséré un alinéa ainsi rédigé :
« Ses membres délibèrent hors de la présence des agents de la commission, à l’exception de ceux chargés de la tenue de la séance. » ;
3° Les deux derniers alinéas de l’article 18 sont ainsi rédigés :
« Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ainsi qu’à celles des réunions de son bureau qui ont pour objet l’exercice des attributions déléguées en application de l’article 16. Il peut assister aux séances de la formation restreinte, sans être présent au délibéré. Il est rendu destinataire de l’ensemble des avis et décisions de la commission et de la formation restreinte.
« Sauf en matière de mesures ou de sanctions relevant du chapitre VII, il peut provoquer une seconde délibération de la commission, qui doit intervenir dans les dix jours suivant la délibération initiale. »
M. le président. L’amendement n° 31, présenté par Mme M. Carrère, est ainsi libellé :
Alinéa 6, première phrase
Remplacer les mots :
commissaire du Gouvernement
par les mots :
rapporteur public
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Vous connaissez, madame la ministre, mes chers collègues, les travaux antérieurs du groupe du RDSE sur les autorités administratives indépendantes et leur fonctionnement.
Le projet de loi introduit de nouvelles dispositions visant à encadrer le rôle du commissaire du Gouvernement siégeant auprès de la CNIL et désigné par le Premier ministre.
Dans la même logique, nous considérons que, pour respecter la jurisprudence de la Cour européenne des droits de l’homme et la théorie des apparences, il serait utile de le renommer, comme on l’a fait au sein de la juridiction administrative. Les personnes visées par les sanctions prononcées par la CNIL doivent avoir la certitude que ces sanctions ont été prononcées en toute indépendance, sans que le commissaire du Gouvernement donne l’impression d’avoir pesé dans la décision de sanction.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission estime que cette mesure ne porterait pas au fond. Si la CNIL tient à se réorganiser – elle engagera peut-être une réflexion en ce sens dans quelque temps, parce qu’elle aura une surcharge de travail importante –, elle proposera d’elle-même ce changement de nom, si elle le juge souhaitable.
Je demande donc le retrait de l’amendement, dont je ne vois pas l’intérêt de fond.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Je demande également le retrait de cet amendement, qui me paraît source de confusion notamment par rapport à ce qui s’est passé pour les juridictions administratives. À défaut, j’y serai défavorable.
M. le président. Madame Carrère, l’amendement n° 31 est-il maintenu ?
Mme Maryse Carrère. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 31 est retiré.
Je mets aux voix l’article 3.
(L’article 3 est adopté.)
Article 4
L’article 44 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au premier alinéa du I, les mots : « et qui sont à usage professionnel » sont supprimés ;
2° Le II est ainsi modifié :
a) À la première phrase du premier alinéa, les mots : « de locaux professionnels privés » sont remplacés par les mots : « de ces lieux, locaux, enceintes, installations ou établissements » ;
b) La dernière phrase du dernier alinéa est complétée par les mots : « dont la finalité est l’exercice effectif des missions prévues au III » ;
3° Les trois premiers alinéas du III sont remplacés par deux alinéas ainsi rédigés :
« Pour l’exercice des missions relevant de la Commission nationale de l’informatique et des libertés en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.
« Le secret médical est opposable s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l’autorité et en présence d’un médecin. » ;
4° Avant le dernier alinéa du même III, il est inséré un alinéa ainsi rédigé :
« Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations. » ;
5° Il est ajouté un V ainsi rédigé :
« V. – Dans l’exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions. »
M. le président. L’amendement n° 126 rectifié, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéa 7
Compléter cet alinéa par les mots :
y compris lorsque ces informations sont stockées et gérées par une entreprise sous-traitante
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Le présent amendement a pour objet de se saisir de la faculté offerte aux États membres en matière de secret professionnel par l’article 90 du RGPD.
Cet article autorise l’adoption de règles spécifiques, afin de définir les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants, qui sont soumis à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné, et ce pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret.
Notre amendement vise à prendre en compte le cas des données couvertes par le secret professionnel, lorsque ces dernières sont stockées et traitées par un fournisseur de service dans le cadre d’un contrat de cloud computing, le problème étant que les données ne sont pas stockées dans les serveurs eux-mêmes objets du contrôle.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Je demande le retrait de cet amendement relatif aux pouvoirs de contrôle de la CNIL.
En effet, il vise à étendre de manière plus explicite l’applicabilité du régime des secrets protégés aux données stockées et gérées par un sous-traitant du responsable de traitement. Or il me semble entièrement satisfait par l’état du droit qui, d’une part, prévoit l’opposabilité de trois types de secrets protégés, le secret professionnel des avocats, les sources journalistiques et le secret médical et, d’autre part, ne module pas l’exercice des pouvoirs des agents de la CNIL en fonction du type de stockage choisi par le responsable de traitement.