Projet de loi relatif à la protection des données personnelles

Rapport n° 350 (2017-2018) de Mme Sophie JOISSAINS , fait au nom de la commission des lois, déposé le 14 mars 2018

Disponible au format PDF (3,6 Moctets)

Tableau comparatif au format PDF (1,5 Moctet)

Synthèse du rapport (294 Koctets)

N° 350

SÉNAT

SESSION ORDINAIRE DE 2017-2018

RAPPORT

FAIT

au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur le projet de loi , ADOPTÉ PAR L'ASSEMBLÉE NATIONALE APRÈS ENGAGEMENT DE LA PROCÉDURE ACCÉLÉRÉE , relatif à la protection des données personnelles ,

Par Mme Sophie JOISSAINS,

Sénateur

Voir les numéros :

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

S'exprimant en janvier 1988, à l'occasion d'un colloque organisé au Sénat pour marquer le dixième anniversaire de la loi « Informatique et Libertés » ^{1 ( * )} , Georges Vedel, doyen honoraire de la faculté de droit, pouvait déjà se féliciter que « cette loi ait résisté à l'usure du temps. Elle a même devancé son temps ».

Alors que cette loi fondatrice qui fit de la France une pionnière de la protection des données personnelles vient de franchir, il y a quelques mois à peine, le cap des quarante années d'existence, force est de constater qu'elle demeure encore à ce jour un instrument vivant au service de la protection des données personnelles et de la vie privée de nos compatriotes.

Si elle a souvent été révisée pour mieux s'adapter aux évolutions incroyablement rapides des technologies numériques, ses principes cardinaux (consentement éclairé, loyauté de la collecte des données, adéquation aux finalités du traitement) sont restés les mêmes, qu'il s'agisse, autrefois, de régir les premiers fichiers publics à cartes perforées ou sur bandes magnétiques ou, aujourd'hui, de contrôler les flux de données transfrontaliers de millions d'internautes inscrits sur un réseau social prospérant grâce aux algorithmes de ciblage publicitaire de ses utilisateurs.

Dans cette course constante que se livrent le droit et la technique, le législateur a été particulièrement sollicité ces dernières années. Le Sénat s'est distingué en étant particulièrement actif sur ces questions :

- d'abord, bien en amont, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, a permis au Sénat d'adopter en séance publique dès mars 2012 une résolution européenne sur l'orientation et les principes directeurs du règlement européen ^{2 ( * )} . Ont aussi été adoptées, sur son rapport, une deuxième résolution portant avis motivé sur la méconnaissance du principe de subsidiarité ^{3 ( * )} et une troisième résolution portant spécifiquement sur la proposition de directive ^{4 ( * )} .

- dans le cadre de ses travaux de contrôle, le Sénat a également entrepris ces dernières années une réflexion plus large sur les enjeux de souveraineté numérique. En témoignent la mission commune d'information sur la gouvernance d'Internet ^{5 ( * )} dont le rapporteur était notre collègue Catherine Morin-Desailly et, encore récemment son rapport d'information « L'Union européenne, colonie du monde numérique » ^{6 ( * )} ;

- enfin, au sein même de notre commission, lors de la discussion de la loi pour une République numérique, plusieurs dispositions approuvées à l'initiative de son rapporteur, notre collègue Christophe-André Frassa, avaient justement comme ambition d'anticiper l'entrée en vigueur des nouvelles règles européennes de protection des données alors en cours de négociation ^{7 ( * )} .

Aujourd'hui adoptées, ces normes européennes doivent être intégrées dans notre ordre juridique, et ce sont elles qui ont motivé le dépôt du projet de loi relatif à la protection des données personnelles adopté le 13 février 2018 en première lecture par l'Assemblée nationale après engagement de la procédure accélérée.

Ce texte vise à adapter la loi Informatique et libertés au « paquet européen de protection des données personnelles » qui se compose :

- du règlement général sur la protection des données (le « RGPD ») ^{8 ( * )} ,

- et d'une directive relative aux traitements mis en oeuvre en matière policière et judiciaire ^{9 ( * )} .

Le règlement, en particulier, qui sera directement applicable à partir du 25 mai 2018, entend favoriser l'émergence d'un modèle européen harmonisé et ambitieux de protection des données à caractère personnel, tout en favorisant la compétitivité des entreprises européennes sur la scène internationale. Votre commission, particulièrement engagé sur les questions de souveraineté numérique, mesure l'importance des enjeux de ce texte et en partage pleinement l'ambition.

I. UN NOUVEAU CADRE JURIDIQUE POUR LA PROTECTION DES DONNÉES PERSONNELLES DES EUROPÉENS

A. LE « RÈGLEMENT GÉNÉRAL » : UN INSTRUMENT AMBITIEUX DE PROTECTION DES DONNÉES PERSONNELLES À LA MESURE DES ENJEUX DE SOUVERAINETÉ NUMÉRIQUE

Le nouveau règlement européen sur la protection des données personnelles remplace une directive de 1995 ^{10 ( * )} . La Commission européenne a ainsi fait le choix de proposer un règlement, d'application directe, souhaitant éviter les divergences dues à des transpositions variables entre les États membres.

Ce règlement poursuit trois objectifs principaux :

- réaffirmer et renforcer les droits des personnes physiques dont les données sont utilisées ;

- responsabiliser tous les acteurs traitant des données en privilégiant le recours à des outils de « droit souple » en contrepartie de l'allègement des formalités administratives préalables, dans une approche centrée sur l'étude des risques pour la vie privée, et en vue de réduire les coûts administratifs à la charge des opérateurs ;

- crédibiliser la régulation à la mesure des enjeux de souveraineté numérique grâce un champ d'application étendu et des sanctions désormais réellement dissuasives.

1. Un instrument juridique original et complexe : un règlement européen avec « marges de manoeuvre » nationales

L'Union européenne s'est dotée, pour la première fois en 1995, d'un cadre juridique destiné à assurer, d'une part, la protection des données à caractère personnel et, d'autre part, la libre circulation de ces données entre les États membre et même le transfert de ces données vers des États tiers ^{11 ( * )} .

Ces outils, adaptés aux premiers fichiers informatiques, se sont révélés incomplets et progressivement obsolètes au vu de l'évolution rapide des technologies (apparition et essor d'Internet, du commerce en ligne et des réseaux sociaux) et du développement de nouveaux modes de traitement des données personnelles (« big data », algorithmes...).

La directive de 1995 avait en outre été transposée de façon disparate par les différents États membres, entraînant des divergences regrettables et faisant obstacle à une régulation efficace dans un contexte de multiplication des échanges transfrontaliers de données par des responsables de traitement ayant la nationalité de pays tiers et un établissement limité sur le territoire des États membres (comme les géants américains des réseaux sociaux).

Le 25 janvier 2012, la Commission européenne a présenté un « paquet législatif sur la protection des données personnelles » pour réviser complètement ce cadre juridique, proposant un règlement (général) et une directive (spécifique à la matière « police/pénal »).

D'application directe et uniforme sur le territoire des États de l'Union, le règlement devait ainsi éviter les divergences de transposition, renforcer la cohérence de la protection des personnes et la sécurité juridique, favoriser la libre circulation des données à caractère personnel au sein du marché intérieur.

Le résultat concret de la négociation est cependant le fruit d'un difficile compromis (certains États membres auraient notamment souhaité que soit conservée la souplesse d'une directive), mêlant des dispositions entièrement harmonisées et d'application directe à de multiples renvois au droit national, obligatoires (modalités d'application particulières) ou le plus souvent facultatifs (« marges de manoeuvre » des États membres).

Le Secrétariat général des affaires européennes (SGAE), responsable du suivi des négociations de cette norme européenne hybride et dont votre rapporteur a reçu en audition la secrétaire générale, a comptabilisé au total 56 marges de manoeuvre renvoyant au droit national, les États membres étant autorisés à déroger à certaines dispositions du règlement ou au contraire à les compléter ^{12 ( * )} .

Ainsi que l'ont souligné plusieurs organisations entendues par votre rapporteur, si certains renvois aux droits nationaux peuvent être utiles en apportant des souplesses bienvenues, leur nombre considérable fait peser un double risque :

- d'une part, sur la lisibilité et l'accessibilité du droit, tant pour les citoyens que pour les acteurs économiques, les normes de protection des données étant dispersées à travers plusieurs corpus ;

- d'autre part, sur l'application uniforme de ce droit, les marges de manoeuvre risquant d'entraîner une nouvelle fragmentation du régime de la protection des données personnelles dans l'Union européenne, voire la mise en concurrence des systèmes juridiques par une recherche des territoires aux normes les plus favorables, ce que le règlement visait pourtant justement à éviter.

2. Le renforcement des droits des personnes physiques

Le règlement européen réaffirme les droits des personnes, en crée de nouveaux, mieux adaptés aux évolutions des usages numérique, et facilite leur exercice afin que les particuliers puissent s'en saisir et les faire respecter.

a) La réaffirmation des principes de base : transparence et consentement

Le règlement impose la mise à disposition d'une information transparente (claire, intelligible et aisément accessible) aux personnes dont les données font l'objet d'un traitement et il en renforce le contenu. Les conditions d'expression et de recueil du consentement sont désormais mieux encadrées : la charge de la preuve incombe au responsable de traitement et la matérialisation de ce consentement ne doit pas être ambiguë ; droits d'accès, d'opposition et de rectification restent naturellement toujours garantis.

b) L'introduction de nouveaux droits

La portabilité des données permet désormais la récupération sous une forme aisément réutilisable des données personnelles fournies et, le cas échéant, leur transfert à un tiers. Le droit à l'oubli consacre, à côté du droit à l'effacement des données à caractère personnel, un nouveau droit au « déréférencement » (reconnu par la Cour de justice de l'Union européenne au sujet des moteurs de recherche). Le profilage (traitements visant à évaluer certains aspects personnels) est encadré, et un nouveau droit à la « limitation » de certains traitements irréguliers est introduit.

Pour la première fois, la législation européenne impose des conditions spécifiques au traitement des données des enfants : clarté et simplicité de l'information, recueil du consentement auprès du titulaire de l'autorité parentale pour les mineurs de moins de 16 ans, les États membres pouvant abaisser cet âge par la loi, sans aller en dessous de 13 ans.

c) La facilitation de l'exercice de ces droits

Les associations oeuvrant dans le domaine de la protection des données se voient reconnaître la possibilité d'être mandatées pour introduire réclamations administratives et recours juridictionnels, le règlement entendant ainsi faciliter les actions collectives. Il prévoit également, en cas de violation, que toute personne ayant subi un dommage matériel ou moral ait droit à réparation du préjudice subi.

3. La responsabilisation des opérateurs traitant des données personnelles : une conformité basée sur de nouveaux outils

a) Un allègement des formalités administratives préalables en contrepartie de nouvelles obligations

Le règlement met fin à la plupart des formalités préalables obligatoires auprès des autorités nationales (en France il existe actuellement une gradation de formalités : obligations déclaratives, régimes d'autorisation par la Commission nationale de l'informatique et des libertés - CNIL -, voire par décret en Conseil d'État après avis de la CNIL).

La responsabilité des opérateurs et de leurs sous-traitants est en contrepartie renforcée : ils ont l'obligation de mettre en place des mesures de protection des données appropriées (en fonction du risque pour la vie privée des personnes) et d'être en mesure de démontrer à tout moment leur conformité au règlement ; ils doivent privilégier des techniques respectueuses de la protection des données personnelles dès l'élaboration du produit ou du service (« privacy by design »), et réduire l'usage des données au strict nécessaire en fonction de la finalité du traitement (« privacy by default »).

b) De nouveaux outils de conformité inspirés du « droit souple »

Les responsables de traitement ont l'obligation (sauf lorsqu'ils comptent moins de 250 salariés) de tenir un registre des activités de traitement pour prouver leur conformité au règlement.

Le règlement conserve des formalités seulement pour certains types de traitements ; il privilégie des mécanismes de « droit souple » : en fonction de la gravité du risque pour la protection des données, une analyse d'impact sur la vie privée devra être réalisée avec, à l'issue, le cas échéant, une consultation préalable de l'autorité de contrôle qui pourra s'opposer au traitement en tenant compte de ses caractéristiques et de ses conséquences sur la vie privée des personnes. Le règlement conserve cependant aux États la possibilité d'instaurer certains régimes d'autorisation préalable dans le cas limité de traitements de données réalisés dans le cadre d'une mission d'intérêt public.

Les codes de conduite (spécifiques à certains secteurs) et la certification sont encouragés, leur utilisation participant à démontrer le bon respect du règlement (et permettant de moduler à la baisse une sanction).

c) La généralisation du délégué à la protection des données

La désignation d'une personne de référence spécialement formée dans le domaine de la protection des données devient obligatoire dans le secteur public et dans certains cas pour le secteur privé (traitements à grande échelle, données sensibles). Le « délégué à la protection des données » peut être mutualisé et son rôle est de conseiller le responsable de traitement et ses employés, de contrôler le respect du droit en matière de protection des données et de coopérer avec l'autorité de contrôle. Il doit présenter certaines garanties (qualités professionnelles, ressources, indépendance). En France, il se substituera au « correspondant informatique et libertés (CIL) ».

d) La notification de failles de sécurité

Lorsqu'il constate une violation de données à caractère personnel, le responsable de traitement devra désormais notifier cette faille à l'autorité de contrôle dans les 72 heures. L'information des personnes concernées est même requise si cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

4. Une régulation à la mesure des enjeux de souveraineté numérique : un champ d'application étendu et des sanctions désormais dissuasives

a) Un champ d'application territorial et matériel élargi

Le règlement doit être appliqué dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne (« critère de résidence »). Mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données (par une offre de biens et de services, ou le suivi du comportement), y compris donc par Internet (« critère du ciblage »).

Les entreprises seront en contact avec un « guichet unique », l'autorité de contrôle de l'État membre où se trouve leur établissement principal. Cette autorité chef de file aura la responsabilité d'organiser des contrôles, voire d'infliger des sanctions en cas de traitements transfrontaliers. La coopération est d'ailleurs renforcée entre autorités et un Comité européen de la protection des données - CEPD - les rassemble pour veiller à l'application uniforme du droit.

Le règlement étend par ailleurs explicitement aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

b) Un cadre mis à jour pour les transferts de données hors de l'Union européenne

Les transferts de données hors de l'Union européenne ne sont en principe autorisés que vers un pays couvert par une décision d'adéquation de la Commission européenne ou moyennant des outils garantissant un niveau de protection suffisant (règles d'entreprises contraignantes, clauses contractuelles types).

Les données transférées hors de l'Union européenne restent soumises au droit européen non seulement pour leur transfert, mais aussi pour tout traitement et autre transfert ultérieur.

c) Des sanctions graduées et considérablement renforcées

Le règlement prévoit des sanctions administratives désormais dissuasives en cas de méconnaissance de ses dispositions. Outre les mesures correctives classiques (avertissement, rappel à l'ordre, mise en demeure, limitation d'un traitement, suspension des flux de données, injonction de satisfaire aux demandes d'exercice des droits d'une personne ou de procéder à la rectification, la limitation ou l'effacement des données, retrait de certification), les autorités nationales ont également le pouvoir de prononcer des amendes atteignant selon la catégorie de l'infraction, 10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).

B. LA DIRECTIVE RELATIVE AUX TRAITEMENTS MIS EN oeUVRE EN MATIÈRE POLICIÈRE ET JUDICIAIRE

Comme le règlement (UE) 2016/679, la directive (UE) 2016/680 tend à harmoniser les règles nationales afin d'assurer dans tous les États membres un niveau élevé de protection des données à caractère personnel. Ce cadre européen permettrait de renforcer l'efficacité de la coopération policière et judiciaire.

La directive est applicable à tout traitement de données à caractère personnel qui dépend d'une autorité « compétente » à des finalités de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Elle vise à appliquer aux services dits de « police/justice » les mêmes exigences de protection des données personnelles que celles prévues par le règlement, avec les adaptations nécessaires aux spécificités du secteur (traitement licite et loyal ; finalités déterminées, adéquates et pertinentes ; données exactes et, si nécessaire, mises à jour, conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités ; analyse d'impact du traitement en cas de risque élevé pour les droits et libertés, notification des failles, etc .).

Abrogeant une décision-cadre de 2008, elle doit être transposée avant le 6 mai 2018. Ses principales innovations consistent en :

- un champ d'application matériel étendu. Alors que la décision-cadre de 2008 ne visait que les échanges de données entre États, la directive s'applique désormais également aux traitements de données effectués par les autorités compétentes au sein des États membres ;

- la création d'un droit à l'information de la personne concernée par les données personnelles traitées (identité et coordonnées du responsable du traitement, finalités, existence du droit d'accès et d'un droit de réclamation auprès de l'autorité de contrôle) ;

- l'instauration du principe d'un droit direct d'accès aux données, et d'un droit de rectification et d'effacement, que les États pourront limiter par la loi.

La directive précise également les conditions applicables aux transferts de données à caractère personnel (vers les autres États membres, vers les États tiers et vers des entités privées au sein d'États tiers) en instaurant un mécanisme à plusieurs niveaux en fonction du degré d'« adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords internationaux incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

II. LE PROJET DE LOI TRANSMIS : CONSERVER LA LOI FONDATRICE DE 1978 EN L'ADAPTANT AU RÈGLEMENT, TIRER PARTI DES MARGES DE MANoeUVRE ET TRANSPOSER LA DIRECTIVE

Le Gouvernement a fait le « choix symbolique » de conserver la loi Informatique et libertés en n'opérant que les modifications strictement indispensables à la mise en oeuvre du règlement et de la directive.

La réécriture d'ensemble de la loi du 6 janvier 1978 est renvoyée à une ordonnance ultérieure de « recodification » prise sur le fondement d'une habilitation (titre IV, article 20).

A. UNE MISE EN CONFORMITÉ DES DISPOSITIONS NATIONALES AVEC LE DROIT DE L'UNION (TITRE I)

1. L'adaptation et l'élargissement des missions de la CNIL et le renforcement de ses pouvoirs

Les dispositions relatives à la Commission nationale de l'informatique et des libertés (CNIL) sont mises en conformité avec le règlement par l'ajout de nouvelles missions et la mention de nouveaux outils de « droit souple » (agrément, certification) dont elle dispose dans une logique d'accompagnement des acteurs . À cet égard, à l'initiative de l'Assemblée nationale, l'accent a été mis sur les besoins spécifiques des TPE/PME et sur le rôle que peuvent jouer les médiateurs de la consommation dans la résolution des conflits liés aux problématiques de protection des données (article 1 ^er ). Conseil des pouvoirs publics, la CNIL pourrait, dans son domaine, être consultée sur certaines propositions de loi et présenter des observations devant toute juridiction (article 1 ^er bis ).

Les compétences des personnalités qualifiées désignées au sein de la CNIL par les présidents des deux assemblées parlementaires sont étendues (article 2) et son organisation administrative interne facilitée (article 2 bis ).

Les garanties d'impartialité des conditions de ses délibérations sont renforcées (article 3), ses pouvoirs de contrôle sont considérablement accrus (nature des locaux contrôlés, pouvoir de communication, opposition du secret professionnel, utilisation d'une identité d'emprunt) et pourraient s'exercer en coopération avec d'autres autorités de contrôle européennes, y compris en collaboration avec leurs agents sur le territoire national (article 4).

L'architecture des pouvoirs de sanction est revue pour permettre à l'autorité de prendre les mesures correctrices à l'encontre de responsables de traitement ne respectant pas leurs obligations, y compris en urgence, et en coopération avec d'autres autorités européennes. Le montant des amendes devient réellement dissuasif (10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial - le montant le plus élevé étant retenu) et des astreintes pourraient être prononcées (articles 5 et 6).

2. La réaffirmation d'une interdiction relative de traitement des données dites « sensibles »

Le principe d'interdiction de tout traitement de données « sensibles » est réaffirmé et élargi : il est rendu applicable à tous les traitements portant sur ces données, qu'ils relèvent du droit de l'Union européenne ou du droit national, et étendu aux données génétiques et biométriques ainsi qu'aux données concernant l'orientation sexuelle d'une personne. Le champ des exceptions est lui aussi précisé (article 7).

B. UNE UTILISATION MESURÉE DES MARGES DE MANoeUVRE MÉNAGÉES PAR LE RGPD (TITRE II)

Le champ d'application territorial des règles françaises adaptant ou complétant le règlement est précisé et repose essentiellement sur un critère de résidence - sauf dans le cas de certains traitements mettant en jeu la liberté d'expression et d'information - (article 8) et les sous-traitants sont soumis à des obligations identiques à celles des responsables de traitement (article 10).

1. Le maintien de régimes spécifiques et de formalités préalables pour certains traitements

La plupart des régimes de déclaration préalable ou d'autorisation sont supprimés (article 9), sauf dans certains cas particulièrement sensibles, notamment pour l'utilisation du numéro de sécurité sociale (« NIR ») ou de données biométriques ou génétiques par l'État. Des dispositions spécifiques sont en outre prévues pour encadrer certaines catégories particulières de traitement - condamnations pénales (article 11), archives (article 12), données de santé (article 13) - ou certains droits : décisions administratives prises sur le fondement d'algorithmes (article 14), dérogation à l'obligation de divulgation des failles en cas de risque pour la sécurité nationale, la défense nationale ou la sécurité publique (article 15).

2. La facilitation des actions en justice : action de groupe et réparation des dommages

S'agissant des voies de recours devant la CNIL ou devant les juridictions en cas de violation des obligations incombant aux responsables de traitement, le texte ouvre la possibilité de les exercer par l'intermédiaire d'un mandataire (article 16).

L'Assemblée nationale a également étendu l'objet de l'action de groupe en matière de données personnelles créée par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXI ^e siècle . Elle permettrait dorénavant non plus seulement d'obtenir la cessation d'un manquement, mais aussi d'engager la responsabilité du responsable de traitement ou de son sous-traitant, en vue d'obtenir la réparation des préjudices matériels et moraux subis (article 16 A).

3. La protection spécifique des données à caractère personnel des enfants

Fixé à 16 ans dans le projet initial, comme le prévoyait par défaut le règlement européen, l'âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l'offre directe de services de la société de l'information a été abaissé à 15 ans par les députés (article 14 A). Sont prévues également la nécessité d'un double consentement (des parents et du mineur) en dessous de cet âge, l'obligation pour les responsables de traitement d'une information des mineurs dans des termes adaptés à leur âge (article 14 bis ), et une sensibilisation à la protection des données personnelles dans le cadre de l'Éducation nationale (article 13 bis ).

4. L'autorisation des décisions administratives individuelles fondées sur des algorithmes

Réaffirmant, conformément à l'article 22 du règlement, l'interdiction de principe des décisions produisant des effets juridiques et fondées exclusivement sur des traitements automatisés de données personnelles, le projet de loi tend à instituer une dérogation pour les décisions administratives individuelles, à condition qu'elles ne se fondent pas sur le traitement de données dites « sensibles » et sous réserve des garanties prévues par le code des relations entre le public et l'administration (article 14).

5. Un meilleur contrôle des transferts hors Union européenne

Faisant suite à une décision de la Cour de justice de l'Union européenne, le projet de loi ouvre à la CNIL une voie de recours pour s'opposer au transfert de données vers un État tiers qu'elle estimerait insuffisamment protecteur des données personnelles. La CNIL pourrait ainsi saisir le Conseil d'État aux fins d'ordonner la suspension du transfert, et demander à celui-ci d'adresser à la Cour de justice de l'Union européenne une question préjudicielle en vue d'apprécier la validité d'une décision dite « d'adéquation » prise par la Commission européenne - décision par laquelle la Commission aurait estimé que l'État en question offrait un niveau de protection suffisant - et des autres actes pris par la Commission relativement aux « garanties appropriées » offertes par le responsable de traitement pour justifier le transfert (article 17).

6. Des renvois en miroir entre droit national et droit européen

L'importance des conditions de recueil du consentement est réaffirmée par un renvoi de la loi vers l'article du règlement qui les fixe (article 14 AA), tandis que sont supprimées les dispositions du code de la consommation relatives à la portabilité des données jugées satisfaites par celles, d'application directe, prévues dans le règlement (article 20 bis ).

C. LA TRANSPOSITION DE LA DIRECTIVE RELATIVE AUX TRAITEMENTS MIS EN oeUVRE EN MATIÈRE POLICIÈRE ET JUDICIAIRE ET LA RÉPONSE À UNE CENSURE DU CONSEIL CONSTITUTIONNEL

Le texte transmis transpose les règles applicables au traitement de données à caractère personnel prévues par la directive (UE) 2016/680, qui auront vocation à s'appliquer par dérogation aux autres dispositions de la loi Informatique et libertés (article 19), et assure les coordinations nécessaires concernant l'exercice de certains droits (droit d'information, droit d'accès, de rectification, d'effacement et de limitation) pour les fichiers de police et de justice.

Enfin, le projet de loi répond à une décision QPC ^{13 ( * )} du Conseil constitutionnel pour sécuriser le fichier de traitement d'antécédents judiciaires « TAJ » (article 23). Il procède par ailleurs à diverses coordinations (article 21) et aménage les règles d'entrée en vigueur de certaines dispositions (articles 22 et 24).

D. UN MANQUE DE LISIBILITÉ ET D'INTELLIGIBILITÉ REGRETTABLE MAIS TEMPORAIRE DE LA LOI INFORMATIQUE ET LIBERTÉS MODIFIÉE PAR LE PROJET DE LOI

1. Un constat partagé

De nombreuses organisations reçues par votre rapporteur ont déploré illisible, voire trompeur, du texte de la loi Informatique et Libertés qui résultera des modifications apportées par le projet de loi.

En amont même de l'élaboration du texte, les avis préalables obligatoires sollicités par le Gouvernement étaient déjà parvenus à un tel constat :

- la CNIL a ainsi tenu à : « dénonce[r] le défaut de lisibilité de l'état du droit résultant du projet de loi » ^{14 ( * )} ;

- pour le Conseil d'État : « [le] résultat [est] très insatisfaisant en termes de lisibilité du droit positif » ^{15 ( * )} .

2. Un mal nécessaire ?

a) L'enchevêtrement de trois niveaux de normes (RGPD, directive et droit national)

Votre rapporteur reconnaît volontiers que cette complexité est d'abord pour partie inévitable : elle résulte du choix fait par le législateur européen lui-même d'adopter un règlement (général) et une directive (« police et pénal »).

Comprendre le nouvel état du droit de la protection des données personnelles nécessite ainsi de combiner la lecture du règlement (qui ne nécessite formellement aucune mesure de transposition en droit interne et ne peut d'ailleurs pas être recopié par des textes nationaux) et des dispositions nationales prises soit au titre des marges de manoeuvre du règlement, soit pour la transposition de la Directive, soit purement internes pour les traitements hors du champ d'application du droit de l'Union européenne.

C'est bien cette combinaison d'un règlement et de textes nationaux d'application (marges de manoeuvre, transposition de la directive, normes internes) qui remplacera le corpus unique que constituait jusqu'alors la loi Informatique et libertés. Ce premier problème de lisibilité est inévitable.

b) Des problèmes de lisibilité liés à la volonté politique de préservation du symbole de la loi Informatique et libertés

Ce degré de complexité se trouve cependant aggravé par les orientations légistiques retenues par le Gouvernement. Celui-ci a fait le « choix symbolique » de conserver la loi Informatique et libertés.

Vu les délais contraints (application directe du RGPD le 25 mai 2018, transposition exigée de la directive normalement pour le 6 mai 2018), le Gouvernement ne procède donc, pour l'instant, à travers le projet de loi relatif à la protection des données personnelles, qu'aux modifications strictement indispensables à la mise en oeuvre du RGPD et de la directive (élimination des dispositions nationales manifestement contraires au règlement, introduction des nouvelles missions nécessaires à la CNIL, etc .).

Ce choix politique, propre à la France, induit des problèmes de lisibilité du droit :

- d'abord, des dispositions formellement inchangées et apparemment toujours inscrites dans la loi de 1978 ne seront en réalité plus applicables aux traitements couverts par le règlement, car remplacées par les dispositions d'application directe de ce dernier (par exemple : définition du consentement, base légale des traitements, portée des droits reconnus aux personnes) ^{16 ( * )} ;

- ensuite, la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obligations pourtant bien présents dans le règlement (par exemple : rôle du délégué à la protection des données, portabilité, etc .) ;

- en outre, la loi Informatique et libertés résultant du projet de loi ne donnera pas de grille de lecture simple permettant de comprendre les droits et obligations différenciés qui existeront demain en fonction des trois grands types de traitements ^{17 ( * )} de données (certains pouvant d'ailleurs même avoir des finalités « mixtes »).

3. Une insatisfaction provisoire

Face à ces importantes difficultés, la réécriture d'ensemble de la loi Informatique et libertés et des règles nationales est renvoyée à une ordonnance ultérieure de « recodification », prise sur le fondement d'une habilitation.

Il s'agira ainsi, selon le Conseil d'État, de procéder à une remise en forme et en cohérence non seulement de la loi Informatique et libertés, mais aussi de textes voisins et liés, sans remettre en cause les choix fondamentaux faits dans le projet de loi, de façon à garantir une meilleure accessibilité de l'ensemble du droit applicable au traitement des données personnelles.

III. LA POSITION DE VOTRE COMMISSION

A. RÉPONDRE AUX ATTENTES ET AUX INQUIÉTUDES DES COLLECTIVITÉS TERRITORIALES, GRANDES ABSENTES DU PROJET DE LOI

Les collectivités territoriales sont les grandes absentes de ce projet de loi : elles n'y sont même pas mentionnées, non plus que dans le RGPD. Elles auront pourtant fort à faire pour se conformer aux nouvelles règles issues de ce règlement, et notamment :

- aux procédures encadrant l'usage des traitements de données personnelles (registre des activités de traitement pour les collectivités employant plus de 250 agents ou en cas de risque pour les droits et libertés, analyse d'impact éventuelle) ;

- à l'obligation de se doter d'un délégué à la protection des données, qui s'imposera même aux plus petites collectivités ;

- aux nouveaux droits reconnus aux personnes concernées (principalement le droit à l'effacement), qu'il leur faudra être en mesure de satisfaire.

Tout cela aura un coût, qui risque d'être élevé. Les collectivités sont d'ores et déjà assaillies d'offres de cabinets de conseil plus ou moins improvisés, qui promettent de leur éviter les lourdes sanctions liées au non-respect du règlement. Car outre le coût immédiat de la mise en conformité, l'aléa financier lié au RGPD est considérable, pour les collectivités comme pour les autres responsables de traitement - l'État mis à part... Elles pourront se voir infliger jusqu'à 20 millions d'euros d'amende par la CNIL, sans compter les dommages-intérêts qu'elles se verraient réclamer en justice, y compris dans le cadre d'une action de groupe.

On comprend d'autant mieux l'inquiétude des élus locaux qu'ils ont à traiter un grand nombre de données à caractère personnel. C'est notamment le cas des communes, dépositaires des fichiers de l'état civil, des listes électorales, des fichiers relatifs à la fiscalité locale, des fichiers cadastraux, des fichiers sociaux, du fichier de recensement de la population, du fichier des logements vacants, du fichier des associations subventionnées, du fichier des cantines scolaires, des fichiers issus des dispositifs de vidéosurveillance... La liste n'est pas exhaustive.

Face à cette situation, votre commission s'est attachée :

- à dégager de nouveaux moyens financiers pour aider les collectivités à se conformer à leurs nouvelles obligations, par le biais d'une dotation pour la protection des données personnelles prenant la forme d'un prélèvement sur les recettes de l'État et destinée aux communes et aux intercommunalités à fiscalité propre (article 19 bis ), et grâce à l'affectation du produit des amendes et astreintes prononcées par la CNIL au financement d'aides à la mise en conformité, destinées à l'ensemble des responsables de traitement (article 6) ;

- à faciliter la mutualisation des services numériques entre collectivités, qui pourront en particulier se doter d'un délégué à la protection des données commun (article 19 ter ) ;

- à réduire l'aléa financier pesant sur les collectivités, en supprimant la faculté pour la CNIL de leur imposer des amendes administratives (article 6) et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles (article 16 A) ;

- à encourager la diffusion d'informations et l'édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités, notamment des plus petites (article 1 ^er ).

B. MAINTENIR À 16 ANS L'ÂGE DU CONSENTEMENT NUMÉRIQUE AUTONOME POUR LES MINEURS, EN CE QUI CONCERNE LES SERVICES DE LA SOCIÉTÉ DE L'INFORMATION

Contre les tenants d'un alignement pragmatique du droit sur les usages, votre rapporteur estime que la loi peut utilement fixer des termes symboliques, des âges charnières, nécessairement imparfaits, mais qui contribueront à guider la société en lui donnant des points de repères et dont les familles et les institutions éducatives pourront utilement se saisir dans leur oeuvre pédagogique.

Bien consciente du caractère extrêmement délicat du choix à opérer ici, votre commission a suivi la proposition de votre rapporteur et décidé de maintenir à 16 ans l'âge à partir duquel le responsable d'un traitement de données peut se fonder sur le consentement autonome d'un mineur dans le cadre d'une une offre directe de services de la société de l'information (article 14 A).

C. ENCADRER LE RECOURS AUX ALGORITHMES PAR L'ADMINISTRATION

À l'initiative de son rapporteur, votre commission a souhaité encadrer beaucoup plus strictement la faculté pour l'administration de prendre des décisions individuelles sur le seul fondement de traitements automatisés de données (article 14). Sans méconnaître les bénéfices que peut entraîner l'usage d'algorithmes par l'administration, il convient de se prémunir contre trois risques : le risque d'aveuglement à des circonstances particulières qui exigeraient l'exercice d'un pouvoir d'appréciation ; le risque que des décisions ne soient prises sur la base d'automatismes dont personne ne comprendrait exactement le fonctionnement (« boîtes noires ») ; et le risque de divergence entre le programme informatique et les normes légales ou réglementaires qui encadrent toute décision administrative (le « code » informatique et le « code » juridique).

D. RÉÉQUILIBRER LA PROCÉDURE D'ACTION DE GROUPE EN RÉPARATION DES DOMMAGES

L'extension de l'action de groupe en matière de données personnelles à la réparation des dommages a paru justifiée à votre commission : c'est le moyen de rendre plus effectifs les droits des citoyens à l'égard de leurs données, face aux géants de l'Internet.

Toutefois, votre rapporteur a également entendu l'inquiétude des petits opérateurs, dont chacun s'accorde à dire qu'ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018, et qui pourraient être gravement menacés par une condamnation pécuniaire trop lourde - sans compter les risques d'abus de droit, de quérulence ou d'extorsion. Les petites collectivités territoriales sont également concernées.

Pour apaiser ces craintes, votre commission a estimé préférable de différer de deux ans l'entrée en vigueur de l'action de groupe en réparation des dommages , ce qui laissera le temps aux responsables de traitement de s'adapter.

Elle a également imposé l' agrément préalable des associations de protection de la vie privée pour que celles-ci puissent introduire une action de groupe : il s'agit de s'assurer du sérieux et de la gestion désintéressée de ces associations, sans nuire à leur indépendance.

Enfin, votre commission a souhaité prévoir une information systématique de la CNIL lors de l'introduction d'une action de groupe , afin qu'elle soit en mesure de présenter ses observations devant la juridiction et d'éclairer, le cas échéant, le contexte dans lequel des manquements se sont produits (articles 16 A et 24).

E. APPORTER CERTAINES CLARIFICATIONS AUX NOUVEAUX POUVOIRS ET MISSIONS DE LA CNIL

Exprimant sa vive inquiétude face aux moyens manifestement insuffisants dont la CNIL est dotée par le Gouvernement pour pouvoir prétendre, dès mai 2018, exercer ses nouvelles missions (répondre à l'exercice de nouveaux droits, coopérer avec ses homologues européennes et accompagner les acteurs économiques et les élus locaux sur le terrain dans leurs nouvelles responsabilités), votre rapporteur a proposé de favoriser au maximum les modalités d'organisation et de fonctionnement internes plus souples et « agiles » pour lui permettre d'être réactive en restant économe de ses ressources (articles 2 bis et 5).

Dans le contexte juridique nouveau qui fait désormais de la CNIL un conseil privilégié des pouvoirs publics, votre rapporteur a jugé concevable que le Gouvernement souhaite que la loi Informatique et libertés mentionne désormais explicitement la possibilité pour le Parlement de consulter l'autorité (article 1 ^er ). Il lui a semblé néanmoins qu'une saisine directe de la CNIL par d'autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (article 1 ^er bis). Un trop grand élargissement des autorités habilitées à saisir la CNIL risquerait d'encombrer la CNIL. L'autorité elle-même s'en est inquiétée au regard de ses capacités de réponse.

F. OBTENIR DES GARANTIES SUR L'ORIENTATION DE L'ORDONNANCE DE « RECODIFICATION » DE LA LOI INFORMATIQUE ET LIBERTÉS

Le texte proposé prévoit une habilitation permettant au Gouvernement de prendre, dans un délai de six mois , une ordonnance pour procéder à une réécriture de l'ensemble de la loi Informatique et Libertés afin de la rendre plus lisible.

Le problème d'illisibilité et d'inintelligibilité du corpus des nouvelles normes relatives à la protection des données est un enjeu démocratique d'accessibilité du droit pour les citoyens et de sécurité juridique pour les acteurs économiques .

Si elle reconnaît volontiers que cette complexité est d'abord pour une petite partie inévitable, résultant du choix fait par le législateur européen lui-même d'adopter un règlement (général) et une directive (dans le domaine « police et pénal »), votre rapporteur souhaite aussi mettre le Gouvernement devant ses responsabilités.

Elle regrette un manque d'anticipation flagrant (s'agissant d'un projet de loi nécessaire à l'adaptation en France d'un règlement et d'une directive dont le contenu était pourtant connu dès avril 2016, il y a désormais près de deux ans), un état du droit à venir très insatisfaisant (sans cohérence d'ensemble, où manqueront encore dans le détail de multiples coordinations) et une grave incertitude sur l'applicabilité outre-mer (préjudiciable à la sécurité juridique et qui révèle un certain manque de considération pour nos compatriotes hors de l'hexagone).

Votre rapporteur a proposé à votre commission de signifier au Gouvernement sa vive désapprobation du procédé en supprimant purement et simplement cette habilitation, laissant au Gouvernement le soin, s'il le souhaite, de venir en séance expliquer les raisons de cette impréparation, rétablir l'habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance (article 20).

G. ÉLARGIR LA LISTE DES PERSONNES AUTORISÉES À METTRE EN oeUVRE DES FICHIERS EN MATIÈRE PÉNALE TOUT EN MAINTENANT UN NIVEAU ÉLEVÉ DE PROTECTION

Concernant l'élargissement de la liste des personnes autorisées à traiter de données en matière pénale, votre rapporteur a considéré de manière générale que le dispositif proposé par le Gouvernement était insuffisamment protecteur des droits et libertés des personnes concernées .

En conséquence, votre commission a maintenu l'application du régime actuellement en vigueur en soumettant à l'autorisation préalable de la CNIL les traitements de données à caractère personnel portant sur les infractions, les condamnations et les mesures de sûreté, qui ne relèvent pas des fichiers restant soumis à des formalités préalables.

Elle a également précisé, d'une part, les conditions nécessaires à l'extension de la liste des personnes autorisées à mettre en oeuvre ces fichiers, d'autre part, le cadre juridique de la mise à disposition des décisions de justice afin de prévenir tout risque d'atteinte à la vie privée des personnes et à l'indépendance de la justice (articles 11).

H. AMÉLIORER LA TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680

Concernant la transposition de la directive applicable aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquête et de poursuites ou d'exécution des sanctions pénales (articles 18 et 19), votre rapporteur a regretté les choix légistiques du Gouvernement qui semblent illustrer une volonté de sous-transposer la directive et de renvoyer, de manière excessive, l'essentiel des dispositions au pouvoir réglementaire.

Autant que possible, votre rapporteur a essayé d'améliorer la rédaction de la transposition de la directive : un important travail de mise en cohérence du droit existant reste néanmoins nécessaire. En effet, le projet de loi ne tire aucune conséquence de la transposition de la directive sur les dispositions législatives prévoyant des traitements répondant aux finalités entrant dans le champ d'application de la directive, par exemple, le fichier des personnes recherchées (FPR) ou le fichier judiciaire automatisé des auteurs d'infractions sexuelles ou violentes (FIJASV).

I. GARANTIR LA CONSTITUTIONNALITÉ DES FICHIERS DE TRAITEMENT DES ANTÉCÉDENTS JUDICIAIRES

Tout en approuvant l'économie générale des modifications proposées par le projet de loi s'agissant des modalités d'effacement anticipé des données des fichiers de traitement des antécédents judiciaires (TAJ), votre rapporteur a souhaité renforcer les garanties des personnes concernées par ce fichier (article 23), rappelant que plus de 45 millions de personnes sont inscrites actuellement en tant que mises en causes dans le fichier TAJ.

*

* *

Votre commission a adopté le projet de loi ainsi modifié.

EXAMEN DES ARTICLES
TITRE IER - DISPOSITIONS D'ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016

Le titre I ^er du projet de loi procède à la modification de certains articles de la loi Informatique et libertés pour les rendre compatibles avec le droit de l'Union européenne tel qu'il résulte de l'adoption du « paquet européen sur la protection des données personnelles ».

À cet égard, si le règlement est, certes, par nature, une norme directement applicable dans tous les États membres, qui entre en vigueur indépendamment de toute disposition du droit national, et qui peut être invoquée directement par les sujets de droit, les États membres doivent cependant, comme l'a rappelé récemment la Commission européenne, « prendre les mesures requises pour adapter leur législation en abrogeant et en modifiant les lois existantes [et] en instituant des autorités nationales de protection des données » ^{18 ( * )} .

La Commission rappelle en outre que selon une jurisprudence constante de la Cour de justice de l'Union européenne, il n'est pas seulement inutile mais interdit de reproduire le contenu d'un règlement européen dans le droit national, (répéter des définitions ou les droits des individus, par exemple) « sauf si ces répétitions sont absolument nécessaires à des fins de cohérence et afin de rendre la législation nationale compréhensible ».

CHAPITRE IER - DISPOSITIONS RELATIVES À LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS

Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Missions et outils de la Commission nationale de l'informatique et des libertés

L'article 1 ^er du projet de loi vise à adapter les missions et les outils de la Commission nationale de l'informatique et des libertés (CNIL) aux évolutions du cadre juridique européen . Il remplace son rôle de contrôle administratif préalable par une logique d'accompagnement de la conformité (« compliance ») tout au long du cycle de vie des données et privilégie le recours aux outils du « droit souple ».

1. Les missions et outils juridiques de la CNIL : un enrichissement continu pour faire face aux évolutions du numérique

En l'état du droit, les quatre grandes missions dévolues à la CNIL et les principaux moyens d'actions et outils juridiques dont elle dispose à ces fins sont récapitulés à l'article 11 de la loi Informatique et libertés :

- au titre de sa mission générale d'information , la CNIL répond aux demandes de renseignements du public (155 000 appels téléphoniques en 2017) et met à disposition fiches, guides et documents sur son site Internet (4,4 millions de visiteurs, soit + 70 % par rapport à 2016) ;

- pour veiller au respect de la loi , elle est destinataire des formalités préalables obligatoires (déclarations, demandes d'avis ou d'autorisation) avant la mise en oeuvre des traitements de données personnelles (150 autorisations et 200 avis émis en 2017), elle est dotée d'un pouvoir normatif (autorisations uniques, méthodologies de référence, normes simplifiées, actes réglementaires uniques), elle traite les plaintes des particuliers (6 766 reçues), dispose de pouvoirs de contrôle (341 contrôles réalisés, dont 256 sur place, 65 en ligne, 16 sur pièces et 4 auditions) et de pouvoirs de sanction (79 mises en demeure et 14 sanctions prononcées : 9 pécuniaires, dont 6 publiques, et 5 avertissements, dont 2 publics) ;

- sa mission de conseil et d'accompagnement des responsables de traitements la conduit à participer à l'établissement des règles professionnelles relatives à la protection des données personnelles, notamment par la délivrance d'avis, de conseils généraux, et l'élaboration de normes de « droit souple » (recommandations, labels , « packs de conformité » co-construits avec les secteurs d'activité concernés - assurance, véhicule connecté, compteurs communicants, logement social, accompagnement des seniors...) ;

- au titre de sa mission de veille et de suivi de l'évolution des technologies de l'information et de leurs conséquences sur la protection des données, sa consultation obligatoire est prévue notamment sur les projets de loi ou de décret intervenant en la matière.

Les missions confiées à la CNIL ont été régulièrement enrichies depuis 1978 pour adapter le cadre de la régulation des données personnelles à l'évolution rapide des technologies numériques. Ces dernières années encore, le législateur a complété ces missions, chargeant notamment l'autorité :

- de contrôler, via une personnalité qualifiée désignée en son sein, le bien-fondé des décisions de blocage administratif prises par le ministère de l'intérieur à l'encontre de sites internet en lien avec le terrorisme et la pédopornographie (loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme) ;

- et, par anticipation de plusieurs des enjeux traités par le RGPD alors en cours de négociation, de mener des réflexions sur les enjeux éthiques du numérique, de promouvoir l'utilisation des technologies protectrices de la vie privée (notamment le chiffrement des données) et de certifier certains processus d' anonymisation (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique).

2. Les changements induits par le RGPD dans les missions des régulateurs nationaux

Le nouveau cadre juridique européen abandonne, pour l'essentiel, la logique actuelle qui reposait sur un contrôle préalable des traitements de données personnelles via un régime de formalités préalables (obligations déclaratives ou nécessité d'autorisation). Il privilégie, à la place, une logique de « responsabilisation » des acteurs tout au long du cycle de vie des données personnelles, dont la protection devra désormais :

- être d'abord assurée dès la conception du service ou du produit (« privacy by design ») et en minimisant l'usage des données au strict nécessaire en fonction de la finalité du traitement (« privacy by default ») ;

- faire ensuite l'objet d'un suivi continu par les responsables et leurs sous-traitants qui devront être en mesure de démontrer à tout moment leur conformité au règlement (en se dotant de procédures appropriées - registre des traitements pour les grandes structures, analyses d'impact sur la vie privée en cas de risque - voire de moyens humains dédiés - délégués à la protection des données désormais obligatoires dans certains cas ^{19 ( * )} ).

Les autorités nationales, dont les outils de coopération à l'échelle européenne et les pouvoirs de sanction sont particulièrement renforcés, se voient dotées d'une véritable fonction de régulation, mettant l'accent sur leur rôle d'accompagnement des responsables de traitement, en privilégiant les outils de droit souple , et leurs fonctions de conseil auprès des autorités publiques (exécutif, Parlement, juridictions) sont réaffirmées.

3. Le texte proposé

L'article 1 ^er du projet de loi transmis procède à une large réécriture de l'article 11 de la loi Informatique et libertés pour tirer les conséquences de ces changements. Il adapte les missions et la panoplie d'outils juridiques de la CNIL, explicitement désignée comme autorité nationale au sens et pour l'application du RGPD (et plus largement chargée de veiller en France au respect de l'ensemble des normes nationales, européennes et internationales relatives à la protection des données). Pour ce faire, le texte proposé conserve certes l'articulation entre les quatre grandes missions de l'autorité, mais :

- il supprime d'abord certaines références au rôle de la CNIL dans le contrôle des formalités administratives préalables obligatoires ;

- il la dote, en échange, de moyens nouveaux pour mener à bien sa mission de régulation. Il attribue ainsi à la CNIL le pouvoir d'adopter des lignes directrices , recommandations et référentiels (instruments de droit souple destinés à faciliter la mise en conformité et l'évaluation préalable des risques inhérents à certains traitements) ^{20 ( * )} , d'homologuer et publier les méthodologies de référence (dans le domaine des données de santé) et d'encourager la production de codes de conduite (par les représentants de certaines catégories de responsables du traitement) ;

- il complète aussi son pouvoir normatif de droit « dur » et lui donne compétence pour établir des « règlements types » (afin d'assurer la sécurité des systèmes de traitement de données et de régir les traitements des données biométriques, génétiques et de santé) ;

- il élargit le périmètre des mécanismes de certification ^{21 ( * )} dont elle a la charge (labels et marques appliqués à des personnes, des produits, des systèmes de données ou des procédures) ;

- il charge la CNIL d'actions de sensibilisation sur la protection des données auprès des médiateurs (médiateurs de la consommation et médiateurs publics) ^{22 ( * )} ;

- il étend la possibilité de consulter la CNIL sur une proposition de loi relative à la protection des données personnelles non seulement aux présidents des assemblées parlementaires (texte du projet de loi initial) mais encore au président d'une commission permanente (ajout de l'Assemblée nationale en commission) ou d'un groupe parlementaire (ajout de l'Assemblée nationale en séance) ;

- il prévoit, enfin, que l'autorité puisse présenter des observations devant toute juridiction à l'occasion de certains litiges en matière de protection des données.

Les nouveaux outils juridiques de la CNIL

4. La position de votre commission

Des moyens sous-dimensionnés qui risquent de fragiliser la mise en oeuvre du RGPD et l'indépendance matérielle de l'autorité

Alors que l'application du nouveau cadre juridique européen dépend désormais largement des capacités d'accompagnement dont dispose le régulateur auprès des citoyens, des acteurs économiques et des pouvoirs publics, la CNIL avertit depuis plusieurs mois les pouvoirs publics qu'elle ne dispose pas, en l'état, des capacités matérielles d'exercer efficacement ses nouvelles missions.

Votre rapporteur constate que, ces dernières années, l'autorité a déjà dû assurer à moyens constants des missions pourtant déjà constamment enrichies. Elle se doit dès lors d'exprimer a fortiori sa vive inquiétude face aux moyens manifestement insuffisants dont l'autorité dispose pour pouvoir prétendre, dès mai 2018 :

- assumer les nouvelles missions créées par le règlement et gérer les flux considérables de nouvelles demandes à traiter (gestion des notifications de failles de sécurité ^{23 ( * )} ; pilotage et homologation des nouveaux outils de conformité - analyses d'impact, mécanismes de certification et d'agrément des tiers certificateurs, codes de conduite, « binding corporate rules », instruments de transferts de données, etc . -  suivi d'un vivier démultiplié de délégués à la protection des données ^{24 ( * )} , traitement des plaintes et réclamations relatives aux nouveaux droits - droit à la portabilité, droit à la limitation du traitement) ;

- coopérer avec ses homologues européennes (participation à des opérations de contrôle conjointes, assistance mutuelle, dialogue entre autorités sur certains projets de décision, etc .) et participer aux travaux du comité européen de la protection des données) ; à cet égard, votre rapporteur a bien conscience qu'une participation active de la CNIL n'est pas qu'une obligation du RGPD, mais aussi le vecteur de rayonnement, au niveau européen, de le conception française de la protection des données longtemps pionnière en la matière et fortement concurrencée par des logiques inspirées du droit anglo-saxon ;

- accompagner les acteurs économiques et les personnes publiques sur le terrain (en développant sa fonction de conseil et les outils de droit souple comme les « packs de conformité » négociés et co-construits avec les secteurs d'activité concernés).

Interrogé par votre rapporteur, le Gouvernement n'a pas apporté de réponse réellement satisfaisante à ce problème budgétaire qu'il songe, éventuellement, à aborder lors de la discussion du projet de loi de finances pour 2019.

Si ce problème ne peut donc pas, certes, être résolu à ce stade par une réponse législative, votre rapporteur rappelle toutefois solennellement que le droit européen consacre des développements particuliers à la dimension matérielle de l'indépendance des régulateurs nationaux ^{25 ( * )} , et que la Commission européenne a d'ores et déjà annoncé qu'elle serait attentive à ce problème, soulignant dans une récente communication relative à la bonne application du RGPD au 25 mai 2018 que « le relatif déséquilibre existant entre les ressources humaines et financières qui [sont allouées aux autorités] dans les différents États membres peut nuire à leur efficacité et, en définitive, à la complète indépendance requise en vertu du règlement ».

Mieux reconnaître les besoins spécifiques d'accompagnement des collectivités territoriales par la CNIL

Votre rapporteur déplore que le projet de loi ait laissé totalement de côté le cas des collectivités territoriales, qui ne sont pas mentionnées dans le texte transmis, alors même :

- qu'elles sont concernées au premier chef par les nouvelles règles du RGPD, étant responsables de nombreux traitements sur lesquels elles n'ont souvent pas prise, car découlant d'obligations légales et réglementaires (par exemple, et comme l'a rappelé à votre rapporteur l'Assemblée des départements de France, un département moyen assume environ 300 traitements différents ^{26 ( * )} , certains pouvant concerner des données sensibles) ;

- et qu'elles devront assumer seules des coûts importants et spécifiques de mise en conformité (nomination d'un délégué à la protection des données et affectation des ressources correspondantes, adaptation de certaines applications existantes, renforcement de la sécurité en cas de données sensibles, réponse à l'exercice des nouveaux droits des particuliers, etc .)

Les discussions à l'Assemblée nationale n'ont hélas pas permis de corriger les lacunes initiales du texte, car si les députés sont restés attentifs, à juste titre, au sort des TPE/PME, les collectivités territoriales ont été, là encore, totalement négligées dans les débats.

Face aux inquiétudes légitimes des élus locaux que le Sénat a la mission de représenter, votre commission a adopté un amendement COM-28 de son rapporteur pour s'assurer que l'action de la CNIL sera adaptée aux spécificités, aux besoins et aux moyens des collectivités, notamment des plus petites, tant dans sa mission d'accompagnement et d'information que dans son rôle normatif (notamment lors de l'édiction de règles de droit souple).

Revenir à une consultation de la CNIL sur les propositions de loi par les présidents des assemblées parlementaires

Le RGPD donne à l'autorité nationale de régulation une mission générale de conseil auprès des parlements nationaux ^{27 ( * )} ; il garantit en outre le droit de l'autorité d'émettre des avis à l'attention du Parlement (sur demande, voire spontanés) ^{28 ( * )} ; enfin, il prévoit même, dans certains cas, une consultation préalable obligatoire de l'autorité de régulation par l'État dans le cadre de l'élaboration de certaines propositions de mesures législatives ^{29 ( * )} .

Dans ce contexte juridique nouveau, et alors même que l'inscription dans la loi d'une procédure de consultation de la CNIL sur les propositions de loi avait été à juste titre écartée par le Conseil d'État puis à l'initiative du Sénat lors des débats sur le projet de loi « République numérique », votre rapporteur a jugé compréhensible que le Gouvernement souhaite que la loi Informatique et libertés mentionne désormais explicitement la possibilité pour le Parlement de consulter l'autorité.

Il lui a semblé néanmoins qu'une saisine directe de la CNIL par d'autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (à cet égard, la CNIL elle-même s'est montrée inquiète du risque que poserait à ses capacités de réponses un trop grand élargissement des autorités habilitées à la saisir).

Votre rapporteur a, en revanche, jugé souhaitable de mentionner, par souplesse et par parallélisme avec les dispositions régissant la consultation de la CNIL sur les projets de loi, la possibilité d'une consultation sur certaines dispositions seulement d'une proposition de loi

À ces fins, votre commission a adopté l' amendement COM-30 de son rapporteur prévoyant une possibilité de consultation de la CNIL, par les seuls présidents des assemblées parlementaires, sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

En tout état de cause, votre rapporteur rappelle que la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux sollicitations ou solliciter directement le Parlement sans qu'il soit besoin pour cela d'en formaliser la procédure, et qu'à ce titre elle est d'ailleurs régulièrement entendue par les commissions permanentes pour éclairer tant leurs travaux législatifs que leurs travaux de contrôle.

Votre commission a également adopté, à l'initiative de son rapporteur, un amendement rédactionnel COM-29, un amendement COM-32 supprimant une disposition obsolète relative à la consultation de l'ARCEP par la CNIL et un amendement COM-31 harmonisant le champ des interventions de la CNIL devant certaines juridictions.

Elle a adopté l'article 1 ^er ainsi modifié.

Article 1er bis (supprimé) (art. 4 bis de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires.) - Procédure de saisine de la CNIL sur certaines propositions de loi

Introduit par l'Assemblée nationale, l'article 1 ^er bis tend à créer un mécanisme de consultation facultative de la CNIL sur toute proposition de loi relative à la protection ou au traitement des données personnelles, aligné sur la procédure prévue lors de la saisine du Conseil d'État sur une proposition de loi : saisine par le président d'une assemblée parlementaire, pour une proposition de loi déposée par un membre de son assemblée, avant l'examen de cette proposition en commission, l'auteur disposant d'un délai de cinq jours francs pour s'y opposer.

Sur le principe, d'abord, votre rapporteur rappelle que l'inscription dans la loi d'une procédure formelle encadrant la consultation de la CNIL sur les propositions de loi avait été envisagée lors des débats sur le projet de loi « République numérique » et écartée par le Conseil d'État (au stade de l'avant-projet), puis par le Sénat (lorsque la mesure avait été réintroduite par amendement à l'Assemblée nationale) aux motifs que :

- la CNIL est une autorité administrative indépendante qui peut déjà répondre aux sollicitations ou solliciter directement le Parlement sans qu'il soit besoin d'en formaliser la procédure, et qu'à ce titre elle est d'ailleurs régulièrement entendue par les commissions permanentes tant pour leurs travaux législatifs que de contrôle ;

- reconnaître un droit d'opposition de l'auteur de la proposition de loi semble faire obstacle au rôle constitutionnel de la commission, et de son rapporteur, dans l'examen d'un texte (par comparaison, la possibilité pour l'auteur d'une proposition de loi de s'opposer à une demande d'avis au Conseil d'État n'est possible que parce qu'elle est expressément prévue par la Constitution).

En outre, votre rapporteur relève l'incohérence du dispositif envisagé à la suite des ajouts de l'Assemblée nationale à l'article 1 ^er . Le présent article ménage une possibilité d'opposition pour l'auteur d'une proposition de loi quand le président d'une assemblée parlementaire envisage de soumettre son texte pour avis à la CNIL. Or l'article 1 ^er modifié par l'Assemblée nationale a étendu la possibilité de saisine de la CNIL aux présidents des commissions et des groupes politiques. Dès lors, prendre uniquement comme référence, pour faire partir un délai d'opposition, l'intention du « président de l'assemblée concernée » de soumettre ce texte pour avis omet de prendre en compte ces autres cas de saisine.

Estimant qu'une telle procédure était mal conçue et rigidifierait inutilement la consultation d'une autorité indépendante par le Parlement, votre commission a adopté l'amendement COM-33 de votre rapporteur et supprimé l'article 1 ^er bis .

Article 2 (Art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Compétences des personnalités qualifiées nommées par les présidents de l'Assemblée nationale et du Sénat

L'article 2 du projet de loi vise à uniformiser les compétences requises de certaines personnalités qualifiées nommées au sein de la CNIL.

Il prévoit que les deux personnes désignées respectivement par le Président de l'Assemblée nationale et le Président du Sénat soient désormais, comme les trois personnalités nommées par décret, nommées en raison de leur qualification « pour leur connaissance du numérique ou des questions touchant aux libertés individuelles ».

Au bénéfice d'un amendement rédactionnel COM-34 , votre commission a adopté l'article 2 ainsi modifié.

Article 2 bis (art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Délégation de certaines missions au secrétaire général et publicité de l'ordre du jour des réunions plénières de la CNIL

Introduit en commission par l'Assemblée nationale à l'initiative de la rapporteure de la commission des lois, l'article 2 bis du projet de loi a pour objet de permettre au Président de la CNIL, lorsqu'il en a lui-même reçu délégation de la formation plénière du collège, de subdéléguer au secrétaire général l'exercice de la mission d'information des auteurs de plaintes ou réclamations des suites données à celles-ci.

Votre commission a adopté un amendement COM-35 de son rapporteur visant à :

- supprimer la mention, ajoutée en séance par l'Assemblée nationale à l'initiative de la rapporteure de la commission des lois, qui prévoyait que l'ordre du jour des réunions plénières soit rendu public. Certes louable, cette exigence de transparence est manifestement de nature réglementaire. Elle aurait dès lors mieux sa place soit dans le décret relatif au fonctionnement de la CNIL, soit dans le règlement intérieur de l'autorité, et pourrait d'ailleurs être aisément satisfaite par un simple changement des pratiques ;

- ajouter à la liste des attributions pouvant être déléguées par la formation plénière de la CNIL au président ou au vice-président délégué celles relatives aux conseils du régulateur sur les études d'impact et aux autorisations de clauses contractuelles aux fins de transferts prévues par le RGPD ; ces décisions sont en effet, comme s'en sont ouverts les services de la CNIL à votre rapporteur, susceptibles de donner lieu à des volumes très élevés de sollicitations ;

- encadrer la possibilité pour le président et pour le vice-président délégué de la commission de déléguer leur signature (dans des conditions fixées par décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés), pour répondre aux nécessaires souplesses organisationnelles.

Votre commission a adopté l'article 2 bis ainsi modifié.

Article 3 (art. 17 et 18 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Conditions de délibération de la formation restreinte de la CNIL chargée des sanctions

Introduit à la demande du Conseil d'État, l'article 3 du projet de loi a pour objet de rehausser au niveau législatif certaines des garanties d'impartialité exigées par la jurisprudence constitutionnelle lors de l'exercice du pouvoir de sanction des autorités administratives indépendantes.

L'article 3 du projet de loi prévoit, d'une part, que le commissaire du Gouvernement , s'il peut être présent aux séances de la formation restreinte compétente pour prononcer des injonctions ou imposer des sanctions, ne puisse plus assister au délibéré qui les suit et, d'autre part, que soient également exclus de ce délibéré les agents de la commission (à la seule exception de ceux chargés du secrétariat de la séance).

Il inscrit ainsi au niveau législatif, en les clarifiant, certains éléments de procédure applicables devant la formation des sanctions qui figuraient jusqu'ici au niveau réglementaire ^{33 ( * )} .

Alors que le projet de loi, dans la logique du RGPD, renforce les pouvoirs de sanction de la CNIL (et élève considérablement le montant des amendes administratives qu'elle peut prononcer) et face au risque de voir, dès lors, se renforcer la contestation de la validité juridique de ses décisions, il semble particulièrement pertinent à votre rapporteur d'affermir les garanties procédurales des délibérations de la formation restreinte de la CNIL.

Votre commission a adopté l'article 3 sans modification.

Article 4 (art. 44 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Modalités d'exercice des pouvoirs de contrôle de la CNIL

L'article 4 du projet de loi précise et complète certaines modalités d'exercice des pouvoirs de contrôle dont dispose la CNIL.

En l'état du droit, ces pouvoirs de contrôle sont énoncés dans leur généralité à l'article 11 de la loi Informatique et libertés. L'autorité peut ainsi « procéder ou faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ».

À ce titre, l'article 44 de la même loi, au sein de son chapitre VI (« le contrôle de la mise en oeuvre des traitements »), détaille les modalités d'exercice des différents types de contrôles que peuvent réaliser les membres et agents de la CNIL pour vérifier le respect des obligations qui incombent aux responsables de traitement : sur place, sur pièces, par audition ou en ligne .

L'article 58 du RGPD dote désormais chaque autorité de contrôle de pouvoirs d'enquête précisément listés, qui comprennent notamment un droit de communication ^{35 ( * )} et un droit d'accès aux locaux ^{36 ( * )} . En outre, au titre des marges de manoeuvre laissées à chaque État membre, la loi peut prévoir que l'autorité de contrôle dispose de pouvoirs supplémentaires à ceux prévus par le règlement (mais dont l'exercice ne doit pas entraver le bon fonctionnement de la coopération entre autorités européennes). Enfin, l'article 90 du règlement prévoit une marge de manoeuvre permettant aux États membres de définir comment s'opère la conciliation des obligations de secret professionnel avec ces pouvoirs de contrôle.

Le droit européen permet dès lors de maintenir inchangées la plupart des dispositions nationales actuelles relatives aux pouvoirs de contrôle.

Des modifications dans certaines modalités d'exercice de ces pouvoirs sont cependant proposées et justifiées, selon le Gouvernement, par la nécessité de renforcer l'effectivité des contrôles de la CNIL dans un contexte juridique marqué par la suppression des formalités préalables obligatoires.

À ce titre, le projet de loi transmis par l'Assemblée nationale :

- précise le type de locaux dans lesquels la CNIL peut procéder à des contrôles sur place en étendant cette possibilité à l'ensemble de ceux qui ne sont pas affectés, en tout ou en partie, au domicile privé. La limitation actuelle des contrôles aux seuls locaux « à usage professionnel » se prêtait en effet, selon le Conseil d'État, à des difficultés d'interprétation (lorsque les matériels servant aux traitements de données à contrôler étaient installés, par exemple, dans un couloir, dans un espace mixte ou partagé avec d'autres utilisateurs) ;

- précise les conditions dans lesquelles le secret peut être opposé aux contrôles de la CNIL ; seul peut désormais être opposé aux membres et agents de la CNIL le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des journalistes ou le secret médical. Dans ce dernier cas, la communication de données médicales relevant de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé ne pourra être requise que sous l'autorité et en la présence d'un médecin ;

- autorise, afin de les prémunir du risque de contestations fondées sur la violation du principe de loyauté dans la collecte des preuves, le recours à une identité d'emprunt dans le cadre des contrôles par la CNIL des services de communication au public en ligne. À cet égard, votre commission a adopté un amendement COM-17 de M. Raynal, sous amendé pour des raisons rédactionnelles par votre rapporteur ( COM-91 ), proscrivant à peine de nullité, les actes des agents ayant recours à une identité d'emprunt puissent constituer une incitation à commettre une infraction.

Adoptant en outre l' amendement de clarification rédactionnelle COM-36 de votre rapporteur, votre commission a adopté l'article 4 ainsi modifié .

Article 5 (art. 49 et art. 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Procédure de coopération entre la CNIL et d'autres autorités de contrôle de l'Union européenne

L'article 5 du projet de loi précise les modalités de coopération entre la CNIL et les autres autorités de l'Union européenne lors de procédures de contrôle, soit lorsque la CNIL est « chef de file » d'un contrôle associant d'autres autorités, soit en tant qu'« autorité concernée » associée aux contrôles menés par une autre autorité.

1. Des possibilités de coopération entre autorités nationales restées limitées et mal adaptées aux traitements transfrontaliers

En l'état du droit, l'article 28 de l'ancienne directive de 1995 prévoit que « chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre ».

À ce titre, l'article 49 de la loi Informatique et libertés ^{37 ( * )} , qui transpose ces dispositions, permet déjà à la CNIL d'exercer certains de ses pouvoirs, sur sollicitation d'un de ses homologues européens : elle peut communiquer à ses homologues les informations qu'elle détient, procéder à des vérifications voire, si les conditions en droit interne sont réunies et en respectant toutes les garanties des parties, prononcer des sanctions à la demande d'une autorité exerçant des compétences analogues dans un autre État membre de l'Union européenne (sauf si le traitement de données relève de la souveraineté de l'État).

La directive de 1995 ne réservait aucune disposition spécifique au cas d'un responsable de traitement présent sur le territoire de plusieurs États membres, précisant seulement qu'il lui appartenait alors de « prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable » ^{38 ( * )} .

2. L'« européanisation » des procédures par le RGPD : vers un exercice coordonné et cohérent des pouvoirs des autorités nationales

Le RGPD approfondit et généralise la coordination entre autorités nationales et entend désormais instaurer une véritable gouvernance européenne de la protection des données . Il prévoit ainsi une procédure de coopération entre les différentes autorités nationales compétentes et des mécanismes pour assurer la cohérence de leurs actions et décisions.

Le législateur européen a, ce faisant, entendu répondre à plusieurs objectifs :

- doter les régulateurs de pouvoirs de contrôle et de sanction à la mesure du champ d'application matériel et territorial désormais très étendu du règlement (application extraterritoriale) et répondre au défi que posait jusqu'ici aux autorités nationales la multiplication de vastes traitements transfrontaliers de données personnelles opérés par des géants du numérique implantés souvent hors du territoire de l'Union ;

- garantir une mise en application plus cohérente et uniforme des règles, favoriser une concertation entre autorités à l'échelon européen et harmoniser leurs pratiques ;

- réduire les coûts de la mise en conformité pour les grands opérateurs privés en privilégiant une logique de « guichet unique » (un seul régulateur national désigné comme interlocuteur, à charge pour lui de se coordonner avec ses homologues concernés), pour contrôler certains traitements transfrontaliers.

3. L'intégration de la CNIL à ces futurs mécanismes de coopération européens

L'article 5 du présent projet de loi précise les règles procédurales relatives à l'exercice des pouvoirs de contrôle et de sanction de la CNIL lorsqu'elle coopère avec ses homologues européens :

- il préserve d'abord les rôles respectifs des différents organes de la commission (formation plénière, bureau, formation restreinte, président) dans les procédures de coopération (article 49 de la loi Informatique et libertés) ;

- il précise certains éléments de la procédure de coopération lors d'opérations conjointes menées dans le cadre du champ d'application du règlement ; en particulier, utilisant la marge de manoeuvre dont bénéficie chaque État pour définir les pouvoirs d'enquête qui peuvent être confiés aux agents étrangers associés aux opérations conjointes, et suivant les recommandations du Conseil d'État, il permet au président de la CNIL de les habiliter à exercer directement les pouvoirs de vérification et d'enquête, comme les agents de la CNIL ^{39 ( * )} (article 49-1 [nouveau] de la loi Informatique et libertés) ;

- il précise certains éléments de la procédure pour des traitements relevant des dispositions de la loi Informatique et libertés transposant la directive dans les domaines « police et pénal » (art. 49-2 [nouveau] de la loi Informatique et libertés) ;

- il détaille, enfin, les rôles des différents organes de la CNIL, soit lorsque la CNIL agit en tant qu'autorité « chef de file » (art. 49-3 [nouveau] de la loi Informatique et libertés), soit lorsqu'elle agit comme « autorité concernée » par un contrôle mené par un « chef de file » dans un autre État membre de l'Union européenne (art. 49-4 [nouveau] de la loi Informatique et libertés).

4. La position de la commission

Votre rapporteur rappelle que pour donner une application concrète à ces nouvelles possibilités théoriques de coopération entre autorités (contrôle conjoint, assistance mutuelle, dialogue entre autorités sur certains projets de décision) et pour participer dans de bonnes conditions aux travaux du comité européen de la protection des données), la CNIL devra impérativement être dotée de moyens humains suffisants.

Comme elle a déjà eu l'occasion de le souligner ^{40 ( * )} , il en va non seulement de la crédibilité de l'action du régulateur, mais aussi du rayonnement, au niveau européen, des conceptions françaises de la protection des données de plus en plus concurrencées par des logiques juridiques inspirées du droit anglo-saxon.

Afin de permettre une meilleure « agilité » dans les modalités concrètes de fonctionnement de la CNIL, votre commission a adopté (outre un amendement de précision rédactionnelle COM-38 ) un amendement COM-37 de son rapporteur visant à donner à la CNIL certaines souplesses d'organisation (faculté de délégation de la plénière au bureau) pour participer avec la réactivité requise aux nouveaux mécanismes complexes de coopération entre autorités européennes.

Votre commission a adopté l'article 5 ainsi modifié.

Article 6 (art. 45, 46, 47 et 48 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; article 226-16 du code pénal) - Mesures correctrices et sanctions

L'article 6 du projet de loi réécrit les principaux articles de la loi Informatique et libertés relatifs aux pouvoirs de sanction de la CNIL afin de permettre à l'autorité de prendre l'ensemble des mesures correctrices prévues par le règlement (UE) 2016/679 ou par la directive (UE) 2016/680, et de compléter ainsi les sanctions déjà existantes.

1. Un régime de sanctions récemment clarifié mais qui restait encore peu dissuasif

Les pouvoirs prévus au chapitre VII de la loi Informatique et libertés donnent à la CNIL les moyens de contraindre elle-même, par l'infliction de sanctions administratives , les responsables de traitement à mettre fin aux violations des règles de protection des données personnelles.

Ces mesures sont distinctes des sanctions pénales prononcées par les juridictions judiciaires auxquelles s'exposent également les responsables de traitement qui se rendent coupables d'infraction aux règles spécifiques régissant le traitement des données personnelles. En cas de manquement, leurs auteurs peuvent en outre s'exposer à l'engagement de leur responsabilité civile (et à certaines sanctions propres : nullité de certains actes et caractère illicite de la preuve obtenue en méconnaissance des obligations du responsable du traitement).

La procédure de sanction administrative distingue les pouvoirs d'instruction et de mise en demeure préalable reconnus au président de la CNIL, d'une part, et le prononcé des sanctions qui relève, lui, de la formation restreinte (art. 45, I), d'autre part ^{41 ( * )} . Une procédure d'urgence est également prévue, qui permet à la formation restreinte de prendre des mesures provisoires adaptées (art. 45, II). Enfin, la CNIL peut, dans certains cas, saisir le juge des référés. La loi pour une République numérique du 7 octobre 2016 a clarifié le régime des sanctions pour établir une gradation des mesures susceptibles d'être édictées (en fonction de la nature du manquement et de l'urgence) et pour privilégier une logique pédagogique avec le prononcé de mises en demeure préalables ; leur articulation est retracée dans le tableau suivant.

Régime actuel des sanctions

La formation restreinte peut notamment infliger une sanction pécuniaire dont le montant doit être proportionné à la gravité du manquement commis et aux avantages tirés de celui-ci. La formation restreinte prend alors notamment en compte « le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission » (art. 47).

Le montant maximal de la sanction pécuniaire pouvant être infligée a été porté à 3 millions d'euros (depuis la loi pour une République numérique du 7 octobre 2016), contre 150 000 € seulement auparavant.

La décision de sanction peut être rendue publique à l'initiative de la formation restreinte et faire l'objet d'un recours de pleine juridiction devant le Conseil d'État (article 46 de la loi Informatique et libertés).

En 2017 , selon les chiffres transmis à votre rapporteur, la CNIL a procédé à 79 mises en demeure et prononcé 14 sanctions : 9 pécuniaires, dont 6 publiques, et 5 avertissements, dont 2 publics.

2. Des sanctions renforcées et des mesures correctrices adaptées à la nouvelle logique européenne de « responsabilisation » des acteurs

Le nouveau cadre juridique européen conduit à remplacer l'essentiel du contrôle opéré par les autorités de contrôle, via le régime des formalités préalables, par un système d'accompagnement et de contrôle continu des responsables de traitement de données personnelles. Par rapport à l'ancienne directive de 1995, le nouveau règlement adapte en conséquence la panoplie des moyens de régulation dont les autorités nationales disposent afin de les doter :

- de mesures correctrices plus variées et efficaces, en lien avec les nouveaux outils de droit souple dont le développement est encouragé par ailleurs ;

- et de sanctions financières réellement dissuasives en cas de violation des règles, dans un contexte marqué par le développement de traitements transnationaux opérés par des entreprises géantes aux moyens considérables .

Désormais, à ce titre, les autorités de contrôle peuvent notamment imposer des amendes administratives s'élevant jusqu'à 10 millions euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, chiffres doublés en cas de non-respect d'une injonction (article 83 du RGPD).

L'article 84 du règlement accorde en outre une marge de manoeuvre aux États membres, qui peuvent compléter le régime des sanctions applicables en cas de violation du règlement et garantir leur mise en oeuvre.

3. L'adaptation des mesures correctrices et des sanctions pouvant être prises par la CNIL

L'article 6 du projet de loi fait application de ces principes et détaille les mesures correctrices et les sanctions que la CNIL pourra désormais prendre. Conformément au nouveau cadre européen :

- il englobe indifféremment les responsables de traitement et leurs sous-traitants , désormais redevables des mêmes obligations et exposés aux mêmes mesures correctives ou de sanction ;

- il élargit les procédures de sanction pour prendre en compte les nouveaux outils de droit souple au développement desquels la CNIL est associée (retraits ou suspensions de certifications, d'agréments, « binding corporate rules », transferts, etc .) ainsi que les procédures de coopération en cas de traitements transfrontaliers ;

- il fixe désormais le maximum des sanctions pécuniaires pouvant être prononcées à 10 millions d'euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial (le plus élevé des deux étant retenu), montant pouvant même être doublé dans certains cas.

La nouvelle architecture des mesures correctrices et des sanctions que la CNIL peut adopter est retracée dans le tableau suivant.

Régime à venir des mesures correctrices et des sanctions

Votre rapporteur relève que, ce faisant, le Gouvernement a fait plusieurs choix, qui n'ont pas été remis en cause par l'Assemblée nationale, à savoir :

- conserver intactes, pour l'essentiel, les prérogatives dont disposaient précédemment chacun des organes de la CNIL (président, bureau, formation restreinte) en fonction de la gravité du manquement (manquement simple ou violation des droits et libertés mentionnés à l'article 1 ^er de la loi Informatique et libertés) ;

- prévoir des mesures correctives et des sanctions s'appliquant de façon transversale à tous les traitements contrôlés par la CNIL, mais en ménageant de multiples exceptions en fonction du champ auquel les traitements sont soumis (ceux régis par le règlement, ceux relevant de la directive et ceux hors du champ d'application du droit de l'Union européenne) ou en excluant les traitements opérés pour le compte l'État ;

- utiliser la marge de manoeuvre reconnue aux États membres (article 84 du RGPD) pour compléter le régime des sanctions applicables en dotant la formation restreinte d'un nouveau pouvoir d' injonction assorti d'une astreinte de 100 000 € maximum par jour de retard.

4. La position de votre commission : privilégier la pédagogie dans l'enchaînement des procédures et préserver les collectivités territoriales

Tout en reconnaissant le caractère complet et efficace de l'éventail de nouvelles sanctions dont disposera la CNIL, votre rapporteur regrette néanmoins la complexité parfois inutile de la procédure , que beaucoup des entreprises et des collectivités auditionnées ont soulignée. Elle constate ainsi certaines redondances (le président de la CNIL a, par exemple, un pouvoir d'« avertissement » et de « mise en demeure », quand la formation restreinte peut prononcer symétriquement, elle aussi, un « rappel à l'ordre » et des « injonctions »), et note un manque de clarté dans l'enchaînement de ces procédures concurrentes .

Le projet de loi ouvre la possibilité en cas de manquement de faire l'objet soit d'un simple avertissement par le président de la CNIL, soit d'une mise en demeure (éventuellement publique) par le président de la CNIL, soit directement d'une procédure contradictoire de sanction devant la formation restreinte. Ce faisant, la rédaction du projet de loi :

- rompt avec la logique pédagogique, opportunément privilégiée lors de l'adoption de la loi République numérique, d'une gradation des outils de sanctions ;

- et pose un problème juridique d'égalité devant la loi et de proportionnalité des sanctions, en instaurant simultanément trois procédures dont il n'est pas précisé si elles sont alternatives ou cumulatives, aucun critère n'explicitant les raisons qui présideront au choix de l'une ou de l'autre procédure.

L'article 58 du RGPD, relatif aux sanctions, prévoyant que « l'exercice des pouvoirs conférés à l'autorité de contrôle (...) est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte », ces observations ont conduit votre rapporteur à proposer à la commission un amendement COM-39, qu'elle a adopté, préservant intégralement les pouvoirs de l'autorité mais garantissant le respect des principes élémentaires du droit processuel national en rétablissant une gradation pédagogique dans l'enchaînement des mesures susceptibles d'aboutir à une sanction de la CNIL.

En outre, pour mieux répondre aux attentes et aux inquiétudes des collectivités territoriales et tenter de « dédramatiser » chez les petits acteurs locaux les efforts de mise en conformité avec le RGPD, votre commission a également adopté, sur proposition de son rapporteur, un amendement COM-40 exonérant les collectivités territoriales, au même titre que l'État , en raison des prérogatives de puissance publique et des missions de service public dont elles sont comme lui investies, tant de l' amende administrative (en application de l'article 83, paragraphe 7, du RGPD) que de l' astreinte (en modulant la marge de manoeuvre utilisée par le Gouvernement au titre de l'article 84 du RGPD).

Votre rapporteur rappelle l'extrême rareté des sanctions prononcées par la CNIL à l'encontre des collectivités territoriales : depuis près de 15 années que la CNIL dispose d'un pouvoir de sanction, elle a adopté en tout et pour tout seulement trois sanctions contre des collectivités : trois avertissements, dont un seul a été rendu public ; l'exemption proposée entend simplement traduire en droit cet état de fait, les collectivités restant soumises au prononcé de toutes les autres mesures correctives plus pédagogiques de la CNIL (et, bien sûr, dans les cas extrêmement graves, au prononcé de sanction pénales).

Également adoptés par votre commission, un amendement COM-42 de cohérence rédactionnelle est venu préciser les modalités de recouvrement et de liquidation des astreintes, et un amendement COM-45 harmoniser le champ des pouvoirs d'injonction entre la procédure normale et la procédure d'urgence.

En outre, devant le constat unanime qu'un grand nombre de responsables de traitement ne seront pas prêts le 25 mai 2018 pour assumer leurs nouvelles obligations issues du RGPD, que ces nouvelles obligations auront un coût élevé, difficilement supportable pour de petites structures, entreprises ou collectivités territoriales, et que l'aide actuellement apportée par la CNIL et par le secrétariat d'État à l'économie numérique est très loin de suffire, votre commission adopté un amendement COM-47 de son rapporteur proposant que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL serve à financer des actions destinées aux responsables de traitement publics et privés, afin de les aider à se conformer à la nouvelle réglementation. Il s'agit ainsi de poser un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ».

Adoptant enfin les amendements COM-41, COM-43, COM-44 de clarification rédactionnelle et COM-48 rectifié de coordination de votre rapporteur, votre commission a adopté l'article 6 ainsi modifié .

CHAPITRE II - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIESDE DONNÉES

Article 7 (art. 8 de la loi n° 78-17 du 6 janvier 1978relative à l'informatique, aux fichiers et aux libertés) - Traitement des données personnelles dites « sensibles »

L'article 7 du projet de loi harmonise les dispositions nationales encadrant le traitement des données dites « sensibles » avec celles du RGPD et de la directive : il élargit le champ de ces données et complète par ailleurs les cas dans lesquels de telles données peuvent être exceptionnellement traitées.

En l'état du droit , la loi Informatique et libertés instaure une interdiction relative de collecte et de traitement des données sensibles. Elle s'inspire, ce faisant, de l'ancienne directive de 1995 qu'elle transpose ^{42 ( * )} .

Elle exclut d'abord par principe collecte et traitement pour toute une série de données personnelles (celles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci »).

Elle ménage cependant une série d' exceptions autorisées :

- lorsque la personne concernée a donné son consentement exprès (sauf si la loi exclut de lever l'interdiction) ;

- pour certains types ou finalités de traitements (sauvegarde de la vie humaine ; organismes à but non lucratif pour les seules données correspondant à leur objet et ne concernant que leurs membres ; constatation, exercice ou défense d'un droit en justice ; données rendues publiques par la personne concernée ; médecine préventive, diagnostics médicaux, administration de soins ou de traitements ou gestion de services de santé mis en oeuvre par un professionnel de santé ; statistiques réalisées par l'Insee ou l'un des services statistiques ministériels, après autorisation de la CNIL et avis du Conseil national de l'information statistique ; recherche dans le domaine de la santé) ;

- si les données sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation (approuvé par la CNIL) ;

- et pour les traitements, autorisés ou déclarés, justifiés par l'intérêt public.

À ces exceptions s'ajoute une dérogation générale ^{43 ( * )} concernant les traitements de ce type de données à des fins de journalisme et d'expression littéraire et artistique.

L'article 7 du projet de loi modifie la rédaction de l'article 8 de la loi du 6 janvier 1978 précité de manière à assurer sa compatibilité avec l'article 9 du règlement et l'article 10 de la directive. Il harmonise le champ des données dites « sensibles » grâce à une définition s'appliquant à tous les traitements portant sur ces données, qu'ils relèvent du droit de l'Union européenne ou du droit national.

La liste existante des données sensibles est conservée à quelques précisions sémantiques près, notamment l'ajout explicite des données concernant l'« orientation sexuelle » (distinguées de celles déjà prévues concernant la « vie sexuelle »), des données génétiques et des données biométriques ^{44 ( * )} .

Concernant les dérogations à l'interdiction de traitement , outre celles déjà autorisées par l'article 9 du RGPD, d'application directe, et qui recoupent celles prévues par le droit national, le projet de loi ajoute explicitement :

- une dérogation pour les traitements mis en oeuvre par les employeurs ou les administrations qui portent sur des données biométriques nécessaires aux contrôles de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux agents, conformément aux recommandations de la CNIL ; à cet égard, votre commission a adopté un amendement COM-49 de son rapporteur complétant ces dispositions afin de prendre en compte le cas des prestataires et des stagiaires pouvant aussi être amenés à utiliser ces systèmes pour accéder aux locaux ;

- une dérogation pour les traitements mis en oeuvre par l'État qui sont autorisés ^{45 ( * )} et justifiés par l'intérêt public ;

- et une dérogation en faveur de la réutilisation des informations figurant dans les jugements et décisions de justice rendus publics en open data , conformément à la loi du 7 octobre 2016 pour une République numérique, à la condition que cette réutilisation n'ait ni pour objet ni pour effet de permettre la ré-identification des personnes concernées.

Votre commission a adopté l'article 7 ainsi modifié.

TITRE II - MARGES DE MANoeUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

Le titre II du projet de loi concerne les marges de manoeuvre permises par le RGPD.

Le choix d'un règlement, d'application directe et uniforme sur le territoire des États membres de l'Union, pour remplacer l'ancienne directive de 1995 devait, selon la Commission européenne, éviter les divergences de transposition, renforcer la cohérence de la protection des personnes ainsi que la sécurité juridique et favoriser la libre circulation des données à caractère personnel au sein du marché intérieur.

Pourtant, le RGPD prévoit plus d'une cinquantaine de marges de manoeuvre qui permettent à chaque État membre de préciser certaines dispositions, de ménager des dérogations ou au contraire d'accorder plus de garanties que ce que prévoit le droit européen.

Le SGAE ^{46 ( * )} , responsable du suivi de la négociation et dont votre rapporteur a reçu en audition la secrétaire générale, rapporte que le nombre élevé de ces « marges de manoeuvre » renvoyant aux législations nationales a permis d'emporter le soutien des États membres qui n'étaient pas favorables à un règlement d'application uniforme (et auraient préféré une directive).

Fruit d'un difficile compromis, le RGPD a ainsi un caractère hybride , mêlant des dispositions entièrement harmonisées et d'application directe à de multiples renvois au droit national, obligatoires (modalités d'application particulières) ou le plus souvent facultatifs (« marges de manoeuvres » des États membres) ^{47 ( * )} .

Ainsi que l'ont souligné plusieurs organisations entendues par votre rapporteur, si certains renvois aux droits nationaux peuvent être utiles en apportant des souplesses bienvenues, leur nombre considérable fait peser un double risque :

- d'une part, sur la lisibilité et l'accessibilité du droit, tant pour les particuliers que pour les acteurs économiques, les normes de protection des données étant dispersées à travers plusieurs corpus ;

- d'autre part, sur l'application uniforme du droit, les marges de manoeuvre risquant d'entraîner une nouvelle fragmentation du régime de la protection des données personnelles dans l'Union européenne, voire la mise en concurrence des systèmes juridiques par une recherche des territoires aux normes les plus favorables, ce que le règlement visait pourtant justement à éviter.

En l'espèce, votre rapporteur partage les précieuses observations du rapporteur de la commission des affaires européennes ^{48 ( * )} , notre collègue Simon Sutour, selon lesquelles : « le projet de loi maintient des régimes spéciaux et des règles nationales pour les données les plus sensibles, sans excéder les marges de manoeuvre ouvertes par le règlement, dans le sens du maintien du haut niveau de protection nationale en la matière souhaité par le Sénat ».

CHAPITRE IER - CHAMP D'APPLICATION TERRITORIAL DES DISPOSITIONS COMPLÉTANT LE RÈGLEMENT (UE) 2016/679

Article 8 (art. 5-1 [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Champ d'application des règles françaises adaptant ou complétant le règlement

L'article 8 du projet de loi fixe le champ d'application des règles françaises adaptant ou complétant le RGPD au titre des « marges de manoeuvre » laissées aux États membres.

L'extension du champ d'application territorial des règles européennes de protection des données à caractère personnel est l'une des principales innovations du nouveau cadre juridique européen. L'article 3 du règlement prévoit ainsi :

- que, comme l'ancienne directive de 1995 qu'il remplace, le règlement s'applique dès que le responsable de traitement possède un établissement sur le territoire de l'Union européenne, que le traitement ait lieu ou non dans l'Union européenne (« critère de résidence ») ;

- mais qu'il s'applique également hors de l'Union européenne, dès lors qu'un résident européen est « ciblé » par un traitement de données (offre de biens et de services ou suivi du comportement), y compris donc par Internet et depuis un pays tiers (« critère du ciblage »).

Par cohérence, le règlement exige que soit déterminé avec précision le champ d'application matériel et territorial de la loi nationale lorsque les États se prévalent de certaines des marges de manoeuvre que le règlement autorise.

Le texte transmis fixe donc ce champ et prévoit, en cas de divergences de législations entre États membres de l'Union européenne liées à ces marges de manoeuvre :

- par principe , de recourir à un critère de résidence , la loi nationale s'appliquant dès lors que la personne concernée par le traitement réside en France, y compris lorsque le responsable de ce traitement n'est pas établi en France ;

- par dérogation , toutefois, lorsque seront concernés des traitements de données personnelles réalisés à des fins journalistiques ou d'expression universitaire, artistique ou littéraire mettant en cause le droit à la liberté d'expression et d'information , d'appliquer le droit dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne.

Votre commission a adopté l'article 8 sans modification.

CHAPITRE II - DISPOSITIONS RELATIVES À LA SIMPLIFICATION DES FORMALITÉS PRÉALABLES À LA MISE EN oeUVRE DES TRAITEMENTS

Article 9 (art. 22, 23, 24, 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16-1-A du code pénal) - Suppression des régimes de formalités administratives préalables, sauf exceptions

L'article 9 du projet de loi supprime les principaux régimes de formalités préalables obligatoires (déclaration du traitement, autorisation par la CNIL ou autorisation par décret en Conseil d'État après avis de la CNIL), remplacés par le mécanisme directement prévu par le RGPD en cas de risque pour la vie privée (analyse d'impact, consultation de l'autorité de régulation, possibilité d'objections et de sanctions).

Par exception toutefois, il maintient certaines formalités spécifiques pour certains traitements utilisant le numéro de sécurité sociale (« NIR ») et pour certains traitements de données biométriques ou génétiques opérés par l'État.

1. Le contrôle des traitements de données personnelles jusqu'ici : un régime administratif régulé par la CNIL et centré sur le respect de formalités préalables

En l'état du droit, la loi Informatique et libertés soumet la mise en oeuvre, par une personne publique ou privée, de traitements de données personnelles à des formalités préalables obligatoires (chapitre IV, articles 22 à 31), sous le contrôle de la CNIL, et selon une gradation de procédures qui tient compte à la fois de la finalité du traitement, de sa sensibilité en termes de type de données traitées et de l'identité de son responsable .

Ces formalités doivent être respectées sous peine de sanctions pénales ^{49 ( * )} , administratives ^{50 ( * )} ou civiles ^{51 ( * )} .

En fonction de critères multiples, et selon une grille considérablement enrichie et complexifiée au fil des années pour suivre l'évolution des technologies, les traitements sont alternativement :

- soit dispensés de déclaration (la dispense est prévue dans certains cas par la loi elle-même et peut aussi être prononcée par la CNIL ^{52 ( * )} ) ;

- soit préalablement déclarés à la CNIL , (articles 22 à 24) ; pour les traitements de données courants les moins sensibles ;

- soit autorisés par la CNIL (article 25) ;

- soit encore autorisés par arrêté ou par décret en Conseil d'État après avis de la CNIL (article 26 et 27).

En 2016, la CNIL avait reçu 102 629 dossiers de formalités, dont 54 000 dossiers de formalités simplifiées, accordé 190 autorisations et reçu 316 demandes d'autorisation en matière de biométrie.

2. Un régime particulièrement protecteur mais extrêmement complexe : l'accès au « NIR » (numéro d'inscription au répertoire des personnes physiques de l'Insee, dit « numéro de sécurité sociale »)

Le numéro d'inscription au répertoire des personnes physiques de l'Insee (« NIR », plus communément dénommé « numéro de sécurité sociale »), est une donnée particulièrement sensible.

Il s'agit d'une donnée très identifiante : d'une part, chaque personne en France est associée à un NIR unique , d'autre part, le procédé de construction de ce numéro renforce cette qualité identifiante (puisqu'il est formé à partir de plusieurs autres numéros qui, chacun, donnent une information sur la personne désignée - son sexe, l'année et le mois de sa naissance, ainsi que sa commune de naissance).

Le législateur a soumis les fichiers susceptibles d'utiliser le NIR à un régime plus contraignant que le droit commun, en fonction de la qualité de la personne pour laquelle il est mis en oeuvre (publique ou privée) et du type d'utilisation (utilisation de ce numéro au nombre des données traitées par le fichier ou consultation par ledit fichier du répertoire national des personnes physique) ^{53 ( * )} .

D'autres procédures juridiques ont été progressivement ajoutées à ce dispositif déjà complexe :

- par la loi de modernisation de notre système de santé, pour faciliter le recours au NIR dans la gestion des services sanitaires et médico-sociaux, la recherche médicale et la gestion des alertes sanitaires ;

- puis par la loi pour une République numérique, en faveur de la statistique publique conduite par l'Insee et des recherches scientifiques ou historiques.

En l'état du droit, le régime foisonnant applicable en la matière est résumé par le tableau suivant :

Comme le souligne la CNIL dans son avis sur le projet de loi : « le régime juridique [de l'utilisation du NIR] était devenu, au fil des ans, largement incompréhensible par les responsables de traitement concernés ».

3. La « responsabilisation » des acteurs par le RGPD : une démarche d'auto-évaluation accompagnée par le régulateur qui ne permet aux États membres de conserver que quelques formalités résiduelles

À la différence de l'ancienne directive de 1995 qu'il remplace, le RGPD n'autorise plus un recours systématique par les États aux régimes de formalités préalables, mais introduit à la place en droit de la protection des données une logique de « responsabilisation » des acteurs tout au long du cycle de vie des données largement inspirée du droit anglo-saxon (« accountability » en anglais).

Aux termes de son article 5, il fait ainsi figurer au titre des « principes relatifs au traitement des données à caractère personnel » celui selon lequel « le responsable du traitement est responsable du respect [des principes relatifs au traitement des données à caractère personnel] et est en mesure de démontrer que celui-ci est respecté (responsabilité) » ^{54 ( * )} .

Le règlement privilégie une approche fondée sur le risque et ne maintient des formalités que pour certains types de traitements , dans une démarche d'auto-évaluation accompagnée par le régulateur (et, bien sûr, sous la menace de sanctions dissuasives) :

- en cas de traitement « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes », les responsables devront mener une analyse d'impact afin de mesurer le risque en matière de protection des données ; cette évaluation préalable est expressément obligatoire dans certains cas déterminés, tels que le profilage ou le traitement à grande échelle de données sensibles (article 35 du RGPD) ;

- lorsqu'une analyse d'impact révèle un risque élevé si le responsable du traitement ne prenait pas de mesures pour l'atténuer, la consultation préalable de l'autorité de contrôle est de droit (article 36 du RGPD) ;

- l'autorité pourra émettre un avis négatif au traitement et faire usage de ses pouvoirs de sanction si elle estime que celui-ci « constituerait une violation du règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque ».

En outre, pour certains types de traitements ou dans certaines matières, en raison de la sensibilité particulière des données traitées, des articles spécifiques du RGPD autorisent des régimes dérogatoires nationaux pouvant inclure des formalités, au titre de garanties ou de conditions supplémentaires . Il en va ainsi notamment pour le traitement :

- « des données génétiques , des données biométriques ou des données concernant la santé » (article 9, § 4, du RGPD) ;

- « des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes » (article 10 du RGPD) ;

- « effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique » (article 36, § 5, du RGPD) ;

- « d'un numéro d'identification national ou de tout autre identifiant d'application générale » (article 87 du RGPD) ;

- et celui « des données à caractère personnel des employés dans le cadre des relations de travail , aux fins, notamment, du recrutement, de l'exécution du contrat de travail » (article 88 du RGPD).

4. Le projet transmis

L'article 9 du projet de loi tire les conséquences de la nouvelle logique de conformité et de responsabilité mise en place par le règlement.

Il supprime tant les régimes de déclaration préalable que les régimes d'autorisation figurant aux articles 22 à 25 de la loi Informatique et libertés (remplacés par les obligations découlant directement du RGPD, dont celle d'effectuer une analyse d'impact en cas de traitement à risque et, en cas de risque élevé, de consulter la CNIL, qui peut alors s'y opposer).

Utilisant les marges de manoeuvre reconnues aux États membres par le règlement, il conserve cependant un régime d'autorisation préalable pour certains traitements d'une sensibilité particulière :

- pour les traitements mis en oeuvre pour le compte de l' État agissant dans l'exercice de ses prérogatives de puissance publique qui portent sur des données génétiques ou biométriques , mis en oeuvre aux fins d' authentification ou de contrôle de l'identité des personnes (réécriture de l' article 27 de la loi, utilisant la marge de manoeuvre de l'article 9, § 4, du RGPD). Ces traitements nécessiteront une autorisation par décret en Conseil d'État après avis motivé et publié de la CNIL ;

- et pour les traitements mis en oeuvre pour le compte de personnes publiques ou privées traitant des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ( NIR ) (réécriture de l' article 22 utilisant la marge de manoeuvre de l'article 87 du RGPD).

Par principe, un décret-cadre pris après avis motivé et publié de la CNIL définira les catégories de responsables de traitement et les finalités pour lesquelles les traitements pourront être mis en oeuvre.

Des exceptions seront en outre prévues pour certains traitements identifiés (traitements à finalités de statistique publique, de recherche scientifique ou historique, de téléservices) dès lors que le NIR a fait l'objet préalablement d'une opération cryptographique lui substituant un code statistique non signifiant.

Enfin, les données de santé utilisant le NIR sont soumises au régime spécifique prévu au chapitre IX de la loi, à l'exception des traitements portant sur les alertes sanitaires qui seront, quant à elles, soumises au droit commun de l'analyse d'impact ou, lorsqu'elles utilisent le NIR, au régime d'autorisation prévu par le décret-cadre précité.

Votre commission a adopté un amendement de coordination COM-50 rectifié de son rapporteur puis l'article 9 ainsi modifié.

CHAPITRE III - OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENT ET À LEURS SOUS-TRAITANTS

Article 10 (art. 35 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Obligations des sous-traitants des responsables de traitement

Par souci de lisibilité, l'article 10 du projet de loi rappelle que, dans le champ d'application du règlement, le sous-traitant d'un responsable de traitement est soumis aux conditions prévues par ledit règlement.

Est ainsi prévue une articulation complète des dispositions fixant les obligations des sous-traitants selon que les traitements entrent dans le champ du RGPD, de la directive ou ne ressortent ni de l'un ni de l'autre puisque pour mémoire :

- un article spécifique (le nouvel article 70-10 de la loi Informatique et libertés, introduit par l'article 19 du projet de loi) précise le régime applicable aux sous-traitants dans le cadre des traitements relevant de la directive ;

- et, pour les traitements ne relevant ni du règlement, ni de la directive, les dispositions actuelles du I article 35 de la loi n° 78-17 trouveront à s'appliquer.

Votre commission a adopté l'article 10 sans modification.

CHAPITRE IV - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIES PARTICULIÈRES DE TRAITEMENT

Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données relatives aux condamnations pénales, aux infractions ou mesures de sûreté

L'article 11 du projet de loi tend à élargir, dans le respect de l'article 10 du règlement (UE) 2016/679, la liste des personnes autorisées à mettre en oeuvre des traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes qui ne relèvent pas du champ d'application de la directive (UE) 2016/680 ^{55 ( * )} .

1. Le droit en vigueur : un régime d'autorisation préalable et un nombre limité de responsables de traitements

Les données relatives aux infractions, aux condamnations ou aux mesures de sûreté sont particulièrement sensibles. Comme le souligne l'étude d'impact du projet de loi, ces données peuvent « emporter de graves conséquences si elles sont révélées à autrui » . En conséquence, le législateur a prévu un encadrement strict de leur traitement.

• Un régime d'autorisation préalable

Actuellement, en application du 3° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978, les traitements , automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté , sauf ceux mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, ne sont mis en oeuvre qu'après autorisation préalable de la Commission nationale de l'informatique et des libertés (CNIL).

Ce régime d'autorisation préalable s'applique sans préjudice de garanties supplémentaires exigées pour certains traitements mis en oeuvre par l'État, en application des articles 26 et 27 de la loi n° 78-17 du 6 janvier 1978.

Mis en oeuvre directement ou indirectement pour le compte de l'État, ces fichiers qui intéressent la sûreté de l'État, la défense ou la sécurité publique ou qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » doivent faire l'objet d'une autorisation par un arrêté ministériel, pris après avis motivé et publié de la CNIL. Lorsque ces traitements concernent des données dites « sensibles ^{56 ( * )} », le fichier doit être autorisé par décret en Conseil d'État, pris après avis motivé et publié de la CNIL.

Par dérogation, pour les fichiers les plus sensibles, s'ils demeurent autorisés par un acte réglementaire (arrêté ministériel ou décret en Conseil d'État), ce dernier peut ne pas être publié. Reste publié le décret autorisant la dispense de publication de l'acte et la nature de l'avis émis par la CNIL (à savoir « favorable », « favorable avec réserve » ou « défavorable »).

• Un nombre limité de responsables de traitements

En application de l'article 9 de la loi n° 78-17 du 6 janvier 1978, tel qu'il résulte de la loi n° 2004-801 du 6 aout 2004 ^{57 ( * )} , le nombre de personnes pouvant mettre en oeuvre de tels traitements est également limité. Cette possibilité est ouverte :

- aux juridictions, aux autorités publiques et aux personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

- aux auxiliaires de justice pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

- aux sociétés de perception et de gestion des droits d'auteur et de droits voisins et aux organismes de défense professionnelle (soit les personnes morales mentionnées aux articles L. 321-1 et L. 331 du code de la propriété intellectuelle), par exemple la SACEM, dans le cadre de la lutte contre les atteintes à la propriété littéraire et artistique.

Si ce régime a été jugé conforme à la Constitution en 2004 ^{58 ( * )} par le Conseil constitutionnel, dans le cadre de son contrôle a priori de constitutionnalité, ce dernier a, à cette occasion, censuré l'élargissement de cette autorisation aux personnes morales « victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ».

Le Conseil avait considéré « qu'en raison de l'ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en oeuvre et de la nature des informations traitées », une telle disposition « pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». La rédaction de cette disposition était imprécise, laissant « indéterminée la question de savoir dans quelle mesure les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu'elles soient capables de commettre une infraction » et muette « sur les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations ».

Le Conseil constitutionnel avait considéré que ces précisions « ne sauraient être apportées par les seules autorisations délivrées par la Commission nationale de l'informatique et des libertés » ou par de futures dispositions législatives : considérée « entaché[e] d'incompétence négative » , cette disposition avait été déclarée contraire à la Constitution .

2. Le cadre conventionnel des fichiers concernant les condamnations pénales et les infractions

Comme précédemment la directive 95-46/CE du 24 octobre 1995 transposée en droit français par la loi n° 2004-801 du 6 aout 2004 ^{59 ( * )} , l'article 10 du règlement (UE) 2016/679 dispose que les traitements « des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes » ne peuvent être effectués « que sous le contrôle de l'autorité publique » ou en cas d'autorisation par le droit de l'Union ou le droit national, possible sous réserve de garanties appropriées pour les droits et libertés des personnes concernées. Le règlement général de protection des données à caractère personnel (RGPD) renvoie donc aux législations nationales le soin de définir les modalités de contrôles de l'autorité publique ou les critères d'une autorisation législative spécifique .

Le considérant 19 précise qu'en matière pénale, en ce qui concerne les traitements relevant du champ d'application du règlement, « les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. »

Enfin, l'article 10 du RGPD prohibe tout registre complet des condamnations pénales en dehors du contrôle de l'autorité publique.

3. L'article 11 du projet de loi : une extension déraisonnable de la liste des personnes autorisées à mettre en oeuvre des fichiers en matière pénale

Si le règlement (UE) 2016/679 est directement applicable en droit national, l'article 11 du projet de loi vise à adapter l'article 9 de la loi n° 78-17 du 6 janvier 1978 pour éviter toute contrariété du droit national au droit européen, tout en utilisant les marges de manoeuvre autorisées par l'article 10 du règlement pour étendre la liste des personnes autorisées à mettre en oeuvre des fichiers en matière pénale.

Sur ce point, votre rapporteur a jugé insuffisantes la plupart des garanties proposées par le projet de loi et a souhaité proposer un régime plus équilibré.

Régime applicable aux traitements de données de nature pénale

• Le 1° de l'article 11 : la mise en cohérence de l'article 9 de la loi n° 78-17 du 6 janvier 1978 avec l'article 10 du règlement (UE) 2016/679

En premier lieu, le 1° de l'article 11 du projet de loi vise à « mettre en cohérence » les termes retenus à l'article 9 de la loi n° 78-17 du 6 janvier 1978 (« infractions, condamnations et mesures de sûreté ») avec les termes du règlement qui font référence « aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ».

Votre rapporteur s'est interrogée sur la portée normative d'une telle modification : révèle-t-elle une réduction du champ d'application de l'article 9 qui exclurait désormais les condamnations en matière civile, voire les infractions administratives ^{60 ( * )} ? La mention du caractère connexe des mesures de sûreté a-t-elle pour effet de réduire le champ d'application de l'article 9 ?

En l'absence de précisions, votre rapporteur a considéré qu'une telle modification n'apparaissait ni nécessaire ni souhaitable pour adapter la loi française au RGPD.

En second lieu, le 1° a pour objet d'étendre considérablement la liste des personnes pouvant mettre en oeuvre des fichiers portant sur des condamnations pénales, des infractions ou des mesures de sûreté connexes : il a pour conséquence de permettre à toute personne de mettre en oeuvre de tels fichiers dès lors qu'ils sont mis en oeuvre « sous le contrôle de l'autorité publique » et non par les autorités publiques.

Alors que l'article 9 du projet de loi tend à supprimer le régime d'autorisation préalable de ces fichiers, cet ajout aurait pour effet de permettre, sans autorisation préalable, à toute personne morale de droit privé de mettre en oeuvre des fichiers concernant des condamnations pénales sans aucune condition tenant à la finalité dès lors que le traitement serait placé « sous le contrôle de l'autorité publique », sans aucune précision législative sur la nature de ce contrôle ou sur les finalités autorisées pour ces traitements. Cette disposition, présentée comme une « harmonisation rédactionnelle » avec le règlement, serait en contradiction flagrante avec les autres dispositions de l'article 11 du projet de loi qui tendent à identifier clairement la nature des personnes autorisées à mettre en oeuvre de tels traitements et pour des missions également identifiées.

Une telle modification de notre droit interne relève, selon votre rapporteur, d'une interprétation erronée de la portée de l'article 10 du RGPD qui, par la mention d'un contrôle de l'autorité publique, fait nécessairement référence à l'organisation d'un contrôle étroit de l'autorité publique, tel que défini actuellement au 1° de l'article 9 et au 3° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978.

En conséquence, votre commission a adopté l' amendement COM-51 de votre rapporteur visant à supprimer le 1° de l'article 11 du projet de loi.

De manière générale, si votre rapporteur est favorable à l'élargissement de la liste des personnes autorisées à traiter des données en matière pénale, elle considère que le dispositif proposé par le Gouvernement est insuffisamment protecteur des droits et libertés des personnes concernées . Avec la suppression de l'ensemble du régime d'autorisation préalable des fichiers prévu actuellement par l'article 25 de la loi n° 78-17 du 6 janvier 1978, le projet de loi tend désormais à encadrer les fichiers mis en oeuvre de l'État plus strictement que les fichiers mis en oeuvre par des personnes physiques ou morales. Votre rapporteur s'étonne de ce paradoxe : a fortiori en matière pénale, les risques pour les personnes, notamment d'atteintes à la vie privée et de négation du droit à l'oubli, peuvent provenir de l'utilisation à des fins privées de telles données.

En application du 5° de l'article 36 du règlement, il est possible d'exiger la consultation préalable de la CNIL pour certains traitements effectués dans le cadre d'une mission d'intérêt public. Votre rapporteur relève que l'ensemble des traitements pour lesquels les personnes seraient autorisées à les mettre en oeuvre doivent répondent à des finalités d'intérêt public. De plus, le considérant 19 du règlement précise que « les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques ». En conséquence, par l'adoption du même amendement COM-51 de votre rapporteur, votre commission a rétabli un régime d'autorisation préalable par la CNIL pour les seuls traitements de données à caractère personnel portant sur les infractions, les condamnations et les mesures de sûreté, qui ne relèvent pas des fichiers restant soumis à des formalités préalables ^{61 ( * )} . Pour ces fichiers, les exigences prévues par le droit actuel seraient donc maintenues, conformément aux possibilités offertes par le règlement.

• Le 2° de l'article 11 : l'autorisation des personnes morales de droit privé collaborant au service public de la justice à traiter de tels fichiers

Le 2° de l'article 11 vise à permettre aux personnes morales de droit privé collaborant au service public de la justice, en particulier les associations d'aide aux victimes ou de réinsertion des personnes condamnées, de mettre en oeuvre de tels fichiers.

La liste des catégories de personnes morales de droit privé qui bénéficieraient de cette possibilité serait fixée par décret en Conseil d'État, après avis de la CNIL. À l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a précisé que cet avis serait motivé et publié.

Contrairement aux exigences de l'article 10 du règlement, aucune garantie particulière n'est prévue quant à la finalité de ces fichiers si ce n'est que cette faculté ne s'exercerait que « dans la mesure strictement nécessaire à leur mission ». À l'initiative de son rapporteur et par le même amendement COM-51 , votre commission a précisé qu'à l'instar des juridictions ou des personnes morales gérant un service public, ces traitements ne pourraient être mis en oeuvre que dans le cadre des missions définies par la loi confiées à ces personnes morales de droit privé.

• Le 3° de l'article 11 : l'autorisation de toute personne à traiter de tels fichiers pour certaines finalités

Le 3° de l'article 11 vise à permettre à toute personne de mettre en oeuvre des fichiers portant sur des condamnations pénales, des infractions ou des mesures de sûreté aux fins de préparer, « d'exercer et de suivre une action en justice » , et de « faire exécuter la décision rendue ».

Cette disposition vise ainsi à permettre, par exemple à des sociétés, de gérer des fichiers de suivis de contentieux mais également, potentiellement, aux victimes de rassembler dans un fichier des éléments concernant de potentielles infractions en vue d'une action en justice.

Alors que le Conseil constitutionnel avait censuré en 2004 une disposition similaire en raison de l'absence de précision sur « les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations », l'article 11 du projet de loi prévoit que la durée est « proportionnée à cette finalité ».

Votre rapporteur s'est interrogée sur la conformité de cet ajout aux exigences constitutionnelles, en particulier la disposition autorisant une communication de ces fichiers à des tiers. Il lui a semblé nécessaire de préciser que ce régime dérogatoire devait être précisé par un décret en Conseil d'État, pris après avis motivé et publié de la CNIL, qui aurait pour objet de déterminer les catégories de personnes tiers qui seraient autorisées à bénéficier d'une telle transmission et qui devrait également préciser les durées maximales autorisées de conservation des informations enregistrées. Afin d'assurer la constitutionnalité d'un tel régime, votre rapporteur a souhaité préciser dans la loi que la durée de conservation des données pour ces traitements devait être « strictement proportionnée » à la finalité poursuivie. Par l'adoption du même amendement COM-51 de son rapporteur, votre commission a précisé ce régime d'autorisation à ces fins.

• Le 4° de l'article 11 : l' open data des décisions de justice

En sus du régime historique de publicité et de diffusion au public des décisions de justice, les articles 20 et 21 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique organisent un nouveau régime de mise à disposition gratuite des décisions de justice : il est prévu que les jugements et les décisions rendus par les juridictions administratives et judiciaires sont mis à la disposition du public à titre gratuit « dans le respect de la vie privée des personnes concernées » à condition de faire précéder cette mise à disposition « d'une analyse du risque de ré-identification des personnes ». Ces dispositions, conditionnées à la publication prochaine d'un décret en Conseil d'État, ne sont pas encore applicables.

L'application future de ce cadre juridique de la mise à disposition du public des décisions de justice entre cependant en contrariété avec l'article 10 du règlement (UE) 2016/679, d'application directe. Ce dernier interdit, en principe, tout traitement de données relatives aux infractions, aux condamnations et aux mesures de sûreté en dehors du contrôle de l'autorité publique. Ce même article autorise cependant les États membres à prévoir des autorisations spécifiques avec des garanties appropriées.

Dans le cadre de cette marge de manoeuvre offerte par le cadre européen, le rapport de M. Loïc Cadiet sur l'ouverture au public des décisions de justice ^{62 ( * )} recommandait de modifier l'article 9 de la loi n° 78-17 du 6 janvier 1978, mais également l'article 8 concernant les données sensibles susceptibles d'être concernées ^{63 ( * )} , afin d'étendre la liste des personnes autorisées à traiter de telles données aux réutilisateurs des informations fournies par les décisions de justice mise à disposition du public. Cette réutilisation ne serait autorisée que dans la mesure où elle n'aurait ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Votre rapporteur approuve cette extension. Néanmoins, comme le relevait le rapport de M. Cadiet, « il n'est pas exclu que des garanties supplémentaires soient en effet nécessaires pour assurer la conformité au droit de l'Union et au droit interne de dispositions autorisant un tel traitement de données « sensibles », au sens de l'article 8 de la loi « Informatique et libertés », et de données d'infractions au sens de l'article 9 de la même loi. »

De même, comme votre commission l'avait déjà souligné, le dispositif d' open data des décisions de justice continue de susciter de nombreuses inquiétudes au regard des risques qu'il présente.

Comme l'ont relevé nos collègues François-Noel Buffet et Jacques Bigot ^{64 ( * )} , de nombreuses interrogations portent sur l'anonymisation des noms des magistrats et des avocats : « Sur ce point, la rédaction en vigueur des deux articles L. 111-13 du code de l'organisation judiciaire et L. 10 du code de justice administrative n'apporte pas de garanties suffisantes, car elle se borne à prévoir que « les décisions rendues par les juridictions (...) sont mises à la disposition du public à titre gratuit dans le respect de la vie privée des personnes concernées » et que « cette mise à disposition du public est précédée d'une analyse du risque de réidentification des personnes » : la notion de personnes concernées n'englobe pas les magistrats, greffiers et avocats qui concourent à la décision de justice. L'enjeu de protection des données personnelles et de la vie privée dépasse les seuls justiciables. »

Sur leur rapport, le Sénat a adopté le 24 octobre dernier la proposition de loi n° 641 (2016-2017) d'orientation et de programmation pour le redressement de la justice, présentée par notre collègue Philippe Bas, président de la commission des lois : l'article 6 de cette proposition de loi vise à renforcer le cadre juridique de la mise à disposition du public des décisions de justice afin d'éviter tout risque d'atteinte à la liberté d'appréciation du magistrat et à l'impartialité des juridictions. Par l'adoption de l' amendement COM-52 de votre rapporteur, votre commission a inséré ses dispositions à l'article 11 du projet de loi.

Votre commission a adopté l'article 11 du projet de loi ainsi modifié .

Article 12 (art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements à des fins archivistiques, scientifiques, historiques et statistiques

L'article 12 du projet de loi prévoit, en ce qui concerne les traitements de données personnelles à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques , des dérogations à la durée maximale de droit commun de conservation des données ainsi qu'aux droits des personnes concernées, sous réserve de certaines garanties.

1. Le droit en vigueur

Les traitements de données personnelles opérés par les services publics d'archives, ainsi que ceux qui répondent à des fins historiques, statistiques ou scientifiques sont soumis, en l'état du droit, à un régime dérogatoire .

Ainsi, l'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée dispose que les données à caractère personnel peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont initialement collectées et traitées, « en vue d'être traitées à des fins historiques, statistiques ou scientifiques ». Il est précisé que le choix des données ainsi conservées est opéré dans les conditions prévues à l'article L. 212-3 du code du patrimoine ; or celui-ci ne concerne que les archives publiques , et prévoit que les données à conserver sont sélectionnées par accord entre l'autorité qui les a produites ou reçues et l'administration des archives. Dans le silence de la loi, la CNIL a cependant estimé que des entreprises, organismes ou établissements privés pouvaient également conserver définitivement des données à caractère personnel « présentant un intérêt historique, scientifique ou statistique justifiant qu'elles ne fassent l'objet d'aucune destruction », tout en recommandant des mesures propres à garantir leur intégrité et leur confidentialité ^{65 ( * )} .

Les finalités archivistiques, historiques, scientifiques ou statistiques des traitements justifient aussi des dérogations aux droits reconnus aux personnes concernées.

S'agissant du droit à l'information défini à l'article 39 de la loi n° 78-17 du 6 janvier 1978 précitée, dit « droit d'accès » ^{66 ( * )} , le même article précise qu'il ne s'applique pas « lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique ». Cette exception n'a donc pas une portée absolue, et elle ne concerne pas expressément les traitements à finalité exclusivement archivistique, au sujet desquels une incertitude demeure.

Le droit à l'effacement des données personnelles collectées lorsque la personne concernée était mineure, prévu à l'article 40 de la loi n° 78-17 du 6 janvier 1978, ne s'applique pas lorsque le traitement de données est nécessaire « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où [ce droit] est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ».

Enfin, le droit reconnu à une personne de s'opposer au traitement de données qui la concernent ( droit d'opposition ), défini à l'article 38 de la même loi, ne peut être exercé « lorsque le traitement répond à une obligation légale », ce qui est le cas des archives publiques.

2. Les dérogations et garanties prévues par le règlement européen

Le règlement (UE) 2016/679 du 27 avril 2016 prévoit des dérogations du même ordre aux règles qu'il institue, en faveur des traitements de données à caractère personnel « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ».

L'article 5 du règlement prévoit que des données personnelles, lorsqu'elles sont traitées exclusivement à ces fins, peuvent être conservées au-delà de la durée nécessaire au regard des finalités pour lesquelles elles ont initialement été traitées, moyennant des garanties appropriées pour les droits et libertés des personnes concernées. L'article 89 précise que doivent être mises en place des « mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données », qui peuvent comprendre leur pseudonymisation. Chaque fois que les mêmes finalités peuvent être atteintes par un traitement ne permettant pas ou plus l'identification des personnes concernées, le règlement impose de procéder de cette manière.

Le même article 89 comporte également des « marges de manoeuvre » permettant de restreindre les droits reconnus aux personnes sur leurs données :

- lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits d'accès, de rectification, de limitation du traitement ou d'opposition au traitement, définis aux articles 15, 16, 18 et 21 du règlement ;

- lorsqu'elles sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut, en outre, prévoir des dérogations à l'obligation de notification de la rectification ou de l'effacement de données, mentionné à l'article 19, ainsi qu'au droit à la portabilité des données, mentionné à l'article 20.

Le règlement lui-même comporte des dispositions d'application directe en ce sens :

- ainsi, le droit à l'effacement ou « droit à l'oubli » ne s'applique pas lorsque le traitement est nécessaire « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques [...] dans la mesure où [ce droit] est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement » (article 17) ;

- le droit à la portabilité des données défini à l'article 20 ne s'applique pas aux traitements « nécessaire[s] à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique », ce qui comprend les traitements des services publics d'archives ;

- en ce qui concerne le droit d'opposition (qui ne concerne pas les traitements nécessaires au respect d'une obligation légale, comme ceux des archives publiques), l'article 21 prévoit qu'une personne peut l'exercer « pour des raisons tenant à sa situation particulière » lorsque ses données sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, « à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public ».

3. Le projet de loi : de larges dérogations pour les seules archives publiques

L'article 12 du projet de loi, qui n'a pas été modifié par l'Assemblée nationale, comprend des dispositions de plusieurs ordres.

Il comprend d'abord des dispositions rédactionnelles ou de coordination , puisqu'il vise à harmoniser la terminologie de l'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée avec celle du règlement (UE) 2016/679 du 27 avril 2016, et à supprimer des règles qui n'ont plus lieu d'être dès lors que l'on passe, sauf exceptions, d'un régime d'autorisation ou de déclaration préalable des traitements de données à caractère personnel à un régime de contrôle a posteriori ^{68 ( * )} .

Surtout, l'article 12 prévoit d' appliquer aux traitements de données à caractère personnel mis en oeuvre par les services publics d'archives, mais à eux seuls, les dérogations prévues par le règlement aux droits d'accès, de rectification, de limitation du traitement, de notification, d'opposition, ainsi qu'au droit à la portabilité des données, « dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités ». S'agissant des archives publiques, le projet de loi va donc sensiblement plus loin que le droit en vigueur , qui ne prévoit pas de dérogation aussi large et explicite au droit d'accès aux données, et qui n'impose aucune restriction au droit de rectification de données inexactes. L'étude d'impact justifie la dérogation au droit d'accès par le fait que ce droit « implique de pouvoir identifier les personnes mentionnées dans l'ensemble des documents et données, ce qui est impossible pour les milliers de kilomètres de dossiers papier archivés et pour les données versées dans les services d'archives dans des formats et selon des modalités qui ne permettent pas de les interroger dans les mêmes conditions que celles qui prévalent lorsque ces données sont exploitées dans la finalité initiale ». Quant à la dérogation au droit de rectification, elle serait destinée à préserver « le caractère intègre et authentique des données ».

L'article précise que les garanties appropriées pour les droits et libertés des personnes, prévues à l'article 89 du règlement, sont celles qui sont déterminées par le code du patrimoine et les autres dispositions législatives et règlementaires applicables aux archives publiques. Elles seraient également assurées par le respect des normes conformes à l'état de l'art en matière d'archivage électronique.

En revanche, contrairement à ce qu'indique l'étude d'impact, le Gouvernement a renoncé à prévoir qu'un décret en Conseil d'État puisse étendre ces dérogations, en totalité ou partiellement, aux traitements mis en oeuvre à des fins de recherche scientifique ou historique ou à des fins statistiques .

Applicabilité du régime de droit commun de protection des données personnelles
aux traitements à finalités archivistiques, historiques, scientifiques ou statistiques

: régime de droit commun),  : dérogation, - : sans objet Source : commission des lois du Sénat

4. La position de votre commission : la recherche d'un meilleur équilibre entre les droits des personnes et les objectifs poursuivis par ces traitements

Le dispositif proposé par le Gouvernement n'a pas paru pleinement satisfaisant à votre rapporteur.

Sur la forme, on constate une nouvelle fois le défaut d'articulation entre le règlement européen, les nouvelles dispositions insérées dans la loi nationale et d'anciennes dispositions qui subsistent. Un travail de toilettage s'imposera rapidement, afin d'harmoniser la terminologie et de supprimer les redondances.

Sur le fond, il est légitime que les services publics d'archives , chargés de transmettre aux générations futures la mémoire de notre société
- à des fins de recherche historique ou scientifique, mais aussi pour permettre l'établissement de droits - bénéficient d'un régime dérogatoire au droit commun de la protection des données personnelles. Ces dérogations ne trouveront à s'appliquer que dans la mesure nécessaire à l'exercice de leurs missions de service public. Votre commission a toutefois jugé opportun, suivant une recommandation de la CNIL, qu'un décret en Conseil d'État, pris après avis de cette dernière, précise la portée de ces dérogations et les modalités d'exercice des droits des personnes concernées, ainsi que les limitations à apporter à la diffusion des données traitées , par exemple en ce qui concerne l'indexation sur des moteurs de recherche externes ( amendement COM-54 du rapporteur).

Votre commission a également supprimé la dérogation prévue au droit de rectification de données inexactes, qui lui a paru dépourvue de justification ( amendement COM-55 du rapporteur).

S'agissant des autres traitements opérés à des fins de recherche scientifique ou historique ou à des fins statistiques , il lui a semblé utile qu'un décret en Conseil d'État, pris après avis de la CNIL, détermine dans quelles conditions et moyennant quelles garanties ils pourraient se voir étendre partiellement ou totalement les dérogations aux droits prévus par le règlement ( amendement COM-53 du rapporteur). Parmi les responsables de tels traitements, l'étude d'impact du projet de loi mentionne le Mémorial de la Shoah, la Fondation Jean-Jaurès, les services d'archives des églises, de partis politiques ou d'associations, etc .

Enfin, un amendement COM-87 du rapporteur a été adopté afin de corriger une erreur légistique.

Votre commission a adopté l'article 12 ainsi modifié .

Article 13 (art. 53 à 63 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; articles L. 1122-1, L. 1123-7, L. 1124-1 et L. 1461-7 du code de la santé publique) - Données de santé

L'article 13 du projet de loi maintient, comme l'autorise le RGPD, un régime protecteur assorti de formalités préalables spécifiques pour certains traitements de données à caractère personnel dans le domaine de la santé, en distinguant le cas des finalités de recherche.

1. Un cadre récemment rénové pour créer les conditions d'un accès ouvert aux données de santé tout en protégeant les données personnelles

Le régime actuel d'accès aux données de santé est encore relativement récent . Il résulte de la loi du 26 janvier 2016 de modernisation de notre système de santé qui en a profondément réorganisé les modalités pour répondre à trois objectifs :

- pallier les limites du régime antérieur de gestion des données de santé marqué par un éparpillement, l'absence de pilotage unifié et de nombreuses limitations d'accès entraînant une sous-exploitation et une sous-valorisation ;

- faciliter, dans le cadre d'un accès plus ouvert et mieux contrôlé aux données de santé, l'exploitation des vastes jeux de données disponibles en France pour permettre notamment des avancées de l'offre de soins et de la recherche médicale ;

- garantir un niveau de protection suffisant de la vie privée (protection des données personnelles et du secret médical, lutte contre le risque de ré-identification des patients, au besoin via le recours aux techniques d'anonymisation, de pseudonymisation, de tiers de confiance).

a) Les données de santé en France : un ensemble d'une exceptionnelle richesse

Parmi les qualités particulières des bases françaises, l'étude d'impact du projet de loi de modernisation de notre système de santé mettait en avant « l'exhaustivité de la population (effectif et absence de biais), qui lui confère sa grande puissance statistique ; les données détaillées sur les consommations de soins en ville et à l'hôpital, notamment tous les traitements médicamenteux prescrits au long cours et toutes les hospitalisations ; le chainage (suivi longitudinal des données par personne) ; la chronologie précise ; la qualité d'ensemble des données ».

Selon des chiffres avancés par l'assurance-maladie et repris par l'étude d'impact précitée, le système national d'information inter-régimes de l'assurance maladie (SNIIRAM), combiné avec le programme de médicalisation des systèmes d'information (PMSI), constituerait « la plus grande base de données médico-administratives au monde [regroupant] par an 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions de séjours hospitaliers (en médecine, chirurgie et obstétrique), avec potentiellement (au terme de la montée en charge) une profondeur historique de 14 ans (et même de 20 ans pour l'échantillon généraliste de bénéficiaires et le PMSI). »

b) La gouvernance des institutions chargées d'organiser la mise à disposition des données de santé

La loi du 26 janvier 2016 a consolidé les bases de données de santé dites « médico-administratives » et créé un système national des données de santé (SNDS) qui rassemble les données des bases existantes, ou en cours de constitution, sous la responsabilité de la Caisse nationale de l'assurance maladie des travailleurs salariés.

Le décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé « Système National des Données de Santé » complète ces dispositions. Les articles R. 1461-1 à R. 1461-19 du code de la santé publique viennent, notamment, définir les organismes chargés de gérer la mise à disposition effective des données et leurs responsabilités respectives, la liste des catégories de données réunies et des modalités d'alimentation, y compris par les organismes d'assurance maladie complémentaire, la liste des services, des établissements ou des organismes bénéficiant d'un accès permanent aux données, les conditions de désignation et d'habilitation des personnes autorisées à y accéder et les modalités d'application des droits d'accès et d'opposition.

L' Institut national des données de santé (INDS), groupement d'intérêt public créé par l'article L. 1462-1 du code de la santé publique, est désormais chargé en pratique d'assurer le pilotage de l'ensemble du système, notamment :

- en veillant à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi informatique et libertés ;

- en jouant le rôle de « guichet unique » dans la réception des dossiers de demande de recherche ;

- et en se prononçant à ce titre, le cas échéant, sur la finalité d'intérêt public que présente ou non une recherche, une étude ou une évaluation (condition pour faire autoriser le traitement par la CNIL) ^{71 ( * )} .

c) Les procédures d'accès et de mise à disposition des données de santé : des mécanismes distincts pour les données personnelles et pour les données anonymes

La loi du 26 janvier 2016 a entendu adapter les garanties et les procédures d'accès aux données de santé en fonction de la capacité des utilisateurs de ces données d'identifier ou de ré-identifier les personnes concernées. Différentes voies d'accès sont dès lors distinguées, selon que les données peuvent soit être associées à une personne identifiée ou identifiable (et donc être qualifiées de données à caractère personnel), soit être agrégées ou traitées de telle manière qu'aucune identification n'est possible (données anonymisées) ^{72 ( * )} .

- L'accès aux données de santé à caractère personnel : des finalités limitées et des garanties spécifiques

Concernant les données qui ne sont pas anonymisées, leur accès est une opération régie en premier lieu par la loi Informatique et libertés et ses garanties générales (loyauté et licéité du traitement ; finalités déterminées, explicites et légitimes ; durée de conservation ; recueil du consentement sauf exceptions limitatives ; etc .). En outre, pour les données personnelles contenues dans le SNDS, des conditions et garanties supplémentaires spécifiques s'appliquent et portent sur les finalités autorisées : aux termes de l'article L. 1461-3 code la santé publique, en effet, « un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :

« 1° Soit à des fins de recherche, d'étude ou d'évaluation contribuant à une finalité [du SNDS] et répondant à un motif d'intérêt public ;

« 2° Soit nécessaires à l'accomplissement des missions des services de l'État, des établissements publics ou des organismes chargés d'une mission de service public compétents ^{73 ( * )} (...) »,

Le premier de ces régimes, celui spécifique aux demandes d'accès aux données personnelles de santé à des fins de recherche, d'étude ou d'évaluation, a été profondément révisé par la loi du 26 janvier 2016 et isolé au sein de l'actuel chapitre IX de la loi Informatique et libertés (« Traitements de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé »).

En substance, les demandes d'accès doivent être déposées devant l'INDS qui sert de guichet unique et passer, en fonction de la nature du traitement, par la consultation d'un comité, soit le comité de protection des personnes pour les recherches biomédicales (article L. 1123-6 du code de la santé publique) soit le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la Santé (CEREES) pour celles n'impliquant pas la personne humaine, dont le rôle est de donner à la CNIL un avis sur la cohérence entre la finalité de l'étude proposée, la méthodologie présentée et le périmètre des données auxquelles il est demandé accès.

Source : Système national des données de santé

L'article 54 de la loi Informatique et libertés prévoit en outre des procédures simplifiées dans trois cas de figure :

- pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, un demandeur qui s'engage à se conformer à une méthodologie de référence (homologuée par la CNIL et publiée sur son site internet) peut être ainsi dispensé de demander une autorisation ;

- la CNIL peut en outre délivrer des autorisations uniques à des organismes réalisant plusieurs traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques ;

- l'INDS peut enfin mettre à disposition des jeux de données agrégées ou des échantillons, issus des traitements des données de santé à caractère personnel pour des finalités et dans des conditions reconnues conformes à la loi Informatique et libertés par la CNIL.

Source : Système national des données de santé

- L'accès aux données anonymisées de santé : un principe d'ouverture et un contrôle de la CNIL limité aux processus d'anonymisation

Aux termes de l'article L. 1461-2 du code de la santé publique, les données de santé « traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l'identification directe ou indirecte des personnes concernées y est impossible » font par principe l'objet d'une mise à disposition gratuite.

Le contrôle exercé par la CNIL se limite, conformément à l'article 8 de la loi Informatique et libertés, aux procédés d'anonymisation qui doivent au préalable être reconnus conformes par elle.

2. Le texte transmis : une adaptation du dispositif au RGPD généralisant à tous les traitements de données personnelles de santé certains principes protecteurs régissant actuellement les traitements à finalité de recherche

L'article 13 du projet de loi propose une réécriture intégrale du chapitre IX de la loi Informatique et libertés pour y faire figurer l'ensemble des dispositions relatives aux traitements de données à caractère personnel dans le domaine de la santé.

La section 1, relative aux dispositions générales, établit les règles s'appliquant à l'ensemble des traitements de données de santé .

L'article 53 en fixe le champ d'application , qui est sensiblement le même que celui en vigueur dans l'actuel chapitre IX (encadrant le traitement de données de santé en matière particulière de recherche, d'étude et d'évaluation). Ne seraient ainsi concernés par ce régime :

- ni certains traitements portant sur des données sensibles (autorisés par exception en application de l'article 8 de la loi Informatique et libertés) ;

- ni les traitements permettant d'effectuer des études à partir des données recueillies aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

- ni les traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ^{74 ( * )} ;

- ni les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale ;

- ni les traitements effectués dans le cadre de certaines activités des agences régionales de santé.

Les traitements ainsi hors du champ du nouveau chapitre IX en vertu de l'article 53 demeurent régis, le cas échéant, par d'autres textes spécifiques (figurant notamment dans le code de la santé publique et imposant des garanties supplémentaires sur le mode de traitement des données ou sa finalité) et, en tout état de cause, par les principes classiques et les garanties de base de la loi Informatique et libertés et du RGPD .

L'article 54 fixe les conditions de licéité particulières des traitements de données personnelles de santé, reprenant également, en grande partie, celles prévues par le droit actuellement en vigueur pour les traitements à des fins de recherche, d'étude et d'évaluation : les traitements ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. Ils restent soumis à des formalités préalables : déclaration (pour ceux conformes à des référentiels ^{75 ( * )} établis par la CNIL (qui peut également édicter des règlements types ), autorisation , voire autorisation unique ^{76 ( * )} .

L'article 55 reprend les dispositions dérogatoires prévues par le droit en vigueur pour les dispositifs de réponse aux alertes sanitaires.

L'article 56 reprend aussi celles régissant les transferts de données par les professionnels de santé.

L'article 57 reprend également les dispositions existantes fixant les conditions dans lesquelles une personne peut s'opposer à ce que des données la concernant fassent l'objet de la levée du secret professionnel.

L'article 58 rappelle le principe, consacré par le RGPD, d'obligation d'information individuelle des personnes auprès desquelles sont recueillies les données personnelles (sous réserve du droit des personnes d'être tenues dans l'ignorance d'un diagnostic ou d'un pronostic).

L'article 59, reproduisant également pour l'essentiel le droit en vigueur, concerne les conditions d'information et d'exercice des droits des personnes mineures et des majeurs protégés . Comme en l'état actuel du droit, est notamment maintenu à 15 ans l'âge auquel un mineur peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. À cet égard, comme le relève le Conseil d'État : « il [serait] en effet particulièrement dommageable pour les intérêts des mineurs qu'à raison de [leur] simple inclusion dans un traitement informatique, des éléments relatifs à la santé susceptibles d'entraîner des conséquences très négatives dans la relation avec le mineur puissent être portés à la connaissance des parents (informations relatives à des traitements en lien avec les addictions, ou les relations et l'orientation sexuelle, notamment) ».

L'article 60 instaure une obligation d'information relative aux dispositions de ce chapitre devant être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données personnelles en vue d'un traitement.

La section 2 établit des règles particulières s'appliquant aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé.

Les articles 61 à 63 visent à pérenniser l'organisation de l'accès aux données de santé telle qu'elle résulte des dispositions actuellement en vigueur au sein du chapitre IX et des textes spécifiques organisant le régime de mise à disposition des données de santé (décrit supra). Afin d'éclairer la CNIL qui est chargée d'autoriser ces traitements, sont notamment repris dans ce dispositif tant le rôle du comité compétent de protection des personnes (pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine) que celui du CEREES (pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine).

3. La position de la commission

Votre rapporteur note avec satisfaction la volonté du Gouvernement de tirer parti des marges de manoeuvre reconnues par le RGPD aux États membres pour assurer un encadrement spécifique et protecteur des traitements de données personnelles de santé.

Elle relève que le régime proposé respecte les orientations et les équilibres issus de la récente réforme du pilotage et de l'accès aux données de santé initiée par la loi du 26 janvier 2016 de modernisation de notre système de santé . Il assure ainsi une conciliation équilibrée entre le respect de la protection des données des personnes concernées et la vie privée des patients et l'objectif de ne pas constituer un frein à l'innovation dans un domaine où la France peut être particulièrement compétitive.

Si elle se félicite, par exemple, que des mesures soient prévues pour réduire encore les délais souvent trop longs d'instruction des demandes, notamment dans le domaine de la recherche, votre rapporteur s'inquiète de ce que le système envisagé reporte in fine sur la CNIL le poids de procédures nouvelles et complexes, qui risquent d'être nombreuses, et dont il n'est pas sûr que l'autorité puisse assurer le traitement dans des conditions satisfaisantes en raison de son manque de moyens.

Elle regrette enfin l'articulation encore peu lisible et incertaine de certaines dispositions proposées avec le code de la santé publique , qui mériterait une meilleure harmonisation, alors même que certains textes réglementaires d'application de la loi du 26 janvier 2016 de modernisation de notre système de santé viennent d'être adoptés et devront déjà être modifiés par cohérence avec le présent texte.

Votre commission a adopté les amendements de clarification rédactionnelle (COM-56 et COM-57) et de coordination (COM-58) , de votre rapporteur puis adopté l'article 13 ainsi modifié.

Article 13 bis (art. L. 312-9 du code de l'éducation) - Sensibilisation des élèves à la protection des données personnelles par l'Éducation nationale

Issu de l'adoption de plusieurs amendements identiques en séance à l'Assemblée nationale, dont un de la rapporteure, l'article 13 bis prévoit une sensibilisation à la protection des données personnelles dans le cadre de l'Éducation nationale

Il complète l'article L. 312-9 du code de l'éducation pour prévoir que la formation à l'utilisation des outils et des ressources numériques dispensée dans les établissements scolaires doit comporter, outre une sensibilisation aux droits et aux devoirs liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle, une sensibilisation spécifique « aux règles applicables aux traitements de données à caractère personnel ».

Votre rapporteur, qui approuve l'objectif de ces dispositions, appelle au développement et à la promotion d'une véritable éducation citoyenne au numérique .

À ce titre, elle salue les initiatives comme celles entreprises depuis 2013 au sein d'« Educnum » ^{77 ( * )} , collectif d'éducation au numérique piloté par la CNIL pour porter et soutenir des actions visant à promouvoir une véritable culture citoyenne du numérique, et dont plusieurs associations qu'elle a reçues ont approuvé les actions.

Plus spécifiquement, elle note la conclusion en 2016 par le ministère de l'éducation nationale et de l'enseignement supérieur, d'une part, et la CNIL, d'autre part, d'une convention « portant sur les usages responsables et citoyens du numérique à l'école » ^{78 ( * )} , et appelle le Gouvernement à dresser et à publier un premier bilan de cette initiative.

Enfin, comme l'association de protection E-enfance l'a justement souligné lors de son audition, elle note que l'effort de pédagogie auprès des élèves ne pourra être poursuivi au sein de l'Éducation nationale qu'avec une formation adéquate du corps enseignant lui-même, pour le familiariser aux problématiques liées à la protection des données personnelles.

Votre commission a adopté l'article 13 bis sans modification.

CHAPITRE V - DISPOSITIONS PARTICULIÈRES RELATIVES AUX DROITS DES PERSONNES CONCERNÉES

Article 14 AA (Art. 7 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Rappel des conditions de recueil du consentement au traitement des données personnelles

Introduit en séance à l'Assemblée nationale à l'initiative de la rapporteure de la commission des lois, l'article 14 AA insère dans la loi Informatique et libertés un renvoi explicite aux conditions de recueil du consentement figurant désormais de façon explicite dans le RGPD.

En l'état du droit, l'article 7 de la loi du 6 janvier 1978 prévoit que, sous réserve de certaines exceptions, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée pour être licite. Si la directive de 1995 définit le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement » ^{79 ( * )} , la loi Informatique et libertés, qui la transpose, autorise les traitements fondés sur le consentement de la personne concernée sans apporter de définition au consentement ni préciser les conditions de son recueil.

Le nouveau règlement européen apporte désormais une définition très précise du consentement (« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » ^{80 ( * )} ) et détaille en outre, au sein d'un article spécifique, les conditions applicables à la validité de son recueil (démonstrabilité, intelligibilité, revocabilité, nécessité) ^{81 ( * )} .

Malgré l'importance de la notion de consentement, « clé de voûte » de la protection des données à caractère personnel, votre rapporteur nourrit des doutes sur la portée juridique d'un tel renvoi dans la loi Informatique et libertés : le règlement étant d'application directe, les définitions et notions qui s'y trouvent comme les conditions qu'il établit s'appliquent de plein droit le 25 mai 2018 sans qu'une référence y change quoi que ce soit...

Reconnaissant cependant le caractère symbolique d'une telle mention et la lisibilité accrue de la loi grâce à ce renvoi, votre commission a adopté l'article 14 AA sans modification.

Article 14 A (supprimé) (art. 7-1 [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Âge du consentement autonome des mineurs au traitement de leurs données par certains services en ligne

Introduit par l'assemblée nationale à l'initiative de la rapporteure de sa commission des lois, l'article 14 A du projet de loi abaisse de 16 à 15 ans l'âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l'offre directe de services de la société de l'information . Il prévoit également un double consentement (des parents et du mineur) en-dessous de cet âge et soumet les responsables de traitement à une obligation d' information des mineurs dans des termes adaptés à leur âge.

1. L'état du droit : une prise en compte récente et limitée des problématiques propres aux données personnelles des enfants

Ni l'ancienne directive de 1995 ni la loi Informatique et libertés ne contiennent, en l'état du droit, de disposition encadrant spécifiquement les traitements de données concernant les mineurs, et en particulier les conditions de recueil de leur consentement.

Certaines dispositions de la loi pour une République numérique ont cependant introduit de nouveaux droits visant à protéger spécifiquement la vie privée des mineurs et leurs données personnelles :

- un « droit à l'oubli » a été reconnu spécifiquement aux mineurs , assorti d'une procédure accélérée pour l'exercice de ce droit à l'effacement de données problématiques auprès des plateformes en ligne ;

- et un droit d'opposition spécial, dans le domaine des données de santé , autorise les mineurs âgés de 15 ans ou plus à refuser que les titulaires de l'exercice de l'autorité parentale aient accès à certaines données les concernant (information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité parentale).

2. Le RGPD : une protection spécifique des données à caractère personnel relatives aux enfants

Le RGPD promeut l'idée que les données à caractère personnel relatives aux enfants nécessitent une protection spécifique « parce qu'ils peuvent être moins conscients des risques, des conséquences[, des garanties] et de leurs droits ». Est en particulier visée l'utilisation abusive des données « à des fins de marketing ou de création de profils de personnalité [et] lors de l'utilisation de services proposés directement à un enfant » (considérant 38).

L'article 8 du règlement prévoit que le traitement de données relatives à un enfant, lorsqu'il est fondé sur le consentement et lorsqu'il est effectué dans le cadre de l' offre directe de services de la société de l'information , est licite lorsque le mineur est âgé d'au moins 16 ans.

Entre dans le champ de cette disposition « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire » ^{82 ( * )} , soit par exemple : les réseaux sociaux ( Facebook , Twitter , Snapchat ...), les plateformes d'échanges, de services ou de commerce en ligne ( E-bay, Amazon... ), les moteurs de recherche ( Google , Yahoo , Qwant ...).

Il en résulte que, pour ce type de traitement, le mineur âgé de plus de 16 ans peut donner seul son consentement au traitement de ses données. En revanche, en dessous de 16 ans, le responsable du traitement doit obtenir le consentement du titulaire de l'autorité parentale .

Votre rapporteur tient ici à insister sur la portée limitée de l' obligation de moyens qui repose concrètement sur le responsable de traitement : aux termes mêmes du règlement, il lui incombe seulement en effet de « s'efforce[r] raisonnablement de vérifier , en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles ».

3. Le texte transmis : un abaissement à 15 ans à l'initiative des députés

Le RGPD fixe un seuil par défaut à 16 ans et laisse la possibilité aux États de l'abaisser jusqu'à un plancher de 13 ans, par une disposition expresse de leur droit national. Comme la secrétaire générale du SGAE l'a confirmé à votre rapporteur en audition, cette flexibilité a été incluse à la demande pressante de plusieurs États membres, dont la France ne faisait pas partie.

Lors de l'élaboration du projet de loi, le Gouvernement, suivant l'avis de la CNIL, a fait le choix de ne pas utiliser, pour la France, cette marge de manoeuvre, position conforme à celle défendue par la France lors des négociations européennes. C'est donc bien l'âge de 16 ans qui avait vocation à s'appliquer.

L'Assemblée nationale a décidé d'abaisser ce seuil à 15 ans en utilisant cette marge de manoeuvre. Selon l'exposé des motifs de l'amendement de la rapporteure de la commission des lois à l'initiative de cet abaissement, « [fixer l'âge à 16 ans] traite de manière homogène et indiscriminée un enfant pré-adolescent et un adolescent . » Il conviendrait également de prendre en compte les seuils établis dans d'autres domaines « comme en matière d'opposition à l'accès des parents aux données de santé (15 ans) ou dans le domaine encore plus sensible de la « majorité sexuelle » (fixée, en droit français, à 15 ans) ».

4. La position de votre commission : maintenir à 16 ans l'âge du « consentement autonome » pour les services en ligne

Bien consciente du caractère extrêmement délicat du choix à opérer ici, votre rapporteur a proposé à votre commission, qui l'a suivie, de maintenir à 16 ans l'âge à partir duquel le responsable d'un traitement de données peut se fonder sur le consentement autonome d'un mineur dans le cadre d'une offre directe de services de la société de l'information.

Lors des nombreux entretiens qu'elle a menés, votre rapporteur a pu recueillir en audition des positions très contrastées sur ce sujet particulièrement sensible.

Certains, surtout parmi les grands opérateurs économiques, ont incité le législateur à faire preuve de plus de pragmatisme, insistant sur la nécessité que le droit « colle » au plus près à la réalité des pratiques numériques des mineurs et que les normes juridiques ne soient pas dépassées par les pratiques sociales (voire les devancent).

Votre rapporteur n'a pas été convaincue, en définitive, par ces arguments, estimant que la loi peut utilement fixer des termes symboliques, des âges charnières, nécessairement imparfaits, mais qui contribuent à guider la société en lui donnant des points de repères et dont les familles et les institutions éducatives peuvent utilement se saisir dans leur oeuvre pédagogique.

Votre rapporteur se rallie ainsi à l'avis mesuré et prudent de la CNIL pour qui « le recueil du consentement parental prévu par le Règlement, s'agissant des enfants de moins de 16 ans, peut être considéré, en dépit des limites rencontrées dans la pratique, comme un moyen d'instaurer une occasion de dialoguer entre les parents et leurs enfants sur la façon dont ces derniers entendent protéger leurs données personnelles sur internet et sur les précautions à faire valoir auprès d'eux ». Elle rappelle aussi les observations ^{83 ( * )} de la commission des affaires européennes du Sénat , qui « considère qu'il convient d'avoir une approche mesurée en la matière, qui tienne compte de la forte appétence des adolescents pour les échanges sur internet et de la nécessité qu'ils aient une conscience suffisante des risques associés à la communication et au traitement incontrôlés de leurs données personnelles ».

Elle estime que ces interrogations révèlent avant tout un problème de société qui doit être réglé par le développement d'une véritable éducation au numérique dotée de moyens à la hauteur des enjeux, alliant modules pédagogiques et programmes adaptés, mais aussi formations des enseignants.

Enfin, elle souligne qu'elle a trouvé particulièrement intéressante la proposition de certaines associations de protection de l'enfance d'abaisser ce seuil de consentement autonome à 13 ans, mais uniquement à la condition que soit instauré sur les plate-formes un régime spécifique et protecteur à destination de tous les utilisateurs mineurs de la tranche d'âge 13-17 ans . Elle partage l'idée que ces mineurs ne doivent pas être considérés par les entreprises comme des consommateurs comme les autres, mais bénéficier de services adaptés (paramétrage spécifique empêchant d'avoir accès à certains contenus, interdisant d'être la cible de techniques de marketing ou de profilage par les annonceurs, autorisant des signalements de contenus ou de comportements préjudiciables plus rapides et plus efficaces).

Votre commission a par conséquent adopté les amendements identiques de suppression COM-59 de votre rapporteur et COM-11 présenté par M. Henri Leroy, et elle a supprimé l'article 14 A .

Article 14 (Art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. L. 311-3-1 du code des relations entre le public et l'administration, art. L. 612-3 du code de l'éducation) - Décisions prises sur le fondement d'algorithmes

L'article 14 du projet de loi traite des décisions prises sur le fondement d'algorithmes par des personnes publiques ou privées, produisant des effets juridiques sur d'autres personnes ou les affectant de manière significative. Il vise à adapter le droit interne à l'article 22 du règlement (UE) 2016/679 du 27 avril 2016 - qui prohibe par principe de telles décisions - tout en tirant parti d'une marge de manoeuvre laissée aux États membres, afin d'autoriser sous certaines conditions les décisions administratives individuelles automatisées.

1. Définitions

On entend par « algorithme » une suite finie d'étapes ou d'instructions produisant un résultat à partir d'éléments fournis en entrée. Une recette de cuisine est, par exemple, un algorithme, de même que les règles de fonctionnement d'un moteur de recherche sur Internet. Peuvent également être formulés sous forme d'algorithmes le barème de l'impôt sur le revenu (avec comme entrée les revenus déclarés d'un contribuable), ou encore l'ensemble des règles qui, le cas échéant, déterminent nécessairement l'acceptation ou le refus d'une demande par l'administration.

Pour qu'un algorithme puisse être mis en oeuvre par un ordinateur, il faut qu'il soit transcrit en un programme informatique (également appelé « code source » ), dans un certain langage de programmation. Ce programme est ensuite exécuté dans un logiciel .

L'expression « traitement algorithmique » , en droit français, est synonyme d'« algorithme ». Par ce choix lexical, il est fait référence à la notion de « traitement de données », employée dans la législation applicable aux données personnelles et dont la portée est beaucoup plus vaste (un traitement peut être automatisé ou non, et la simple collecte de données ou leur enregistrement constituent des traitements).

Par « système algorithmique » , on désigne quelquefois l'ensemble constitué d'un algorithme, du programme informatique dans lequel il est transcrit, des données dont il est alimenté, et de l'interface avec l'utilisateur (application, éventuellement sous forme de service en ligne).

Le « profilage » consiste, à partir de faits passés relatifs à une personne, à évaluer la probabilité de faits passés, présents ou futurs la concernant : qu'elle ait commis telle infraction, qu'elle soit porteuse de telle pathologie, qu'elle rembourse un emprunt... Le règlement (UE) 2016/679 du 27 avril 2016 le définit comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ^{84 ( * )} ». Le profilage peut ou non être automatisé ; il est grandement facilité par les technologies actuelles de machine learning (voir ci-dessous).

2. Le droit en vigueur, non exempt d'ambiguïtés

Les décisions prises par des personnes publiques ou privées sur le fondement d'algorithmes sont, en l'état du droit, soumises à des conditions de fond et de forme fixées par la loi n° 78-17 du 6 janvier 1978 précitée et par le code des relations entre le public et l'administration. Dans l'ensemble, cet encadrement juridique n'est pas exempt de toute ambiguïté .

L'article 10 de la loi n° 78-17 du 6 janvier 1978, dont la rédaction en vigueur est issue de la loi n° 2004-801 du 6 août 2004 ^{86 ( * )} , prohibe certaines catégories de décisions automatisées dont il n'est pas aisé de définir exactement les contours. Les travaux préparatoires montrent qu'il s'agissait pour le législateur d'encadrer l'usage des techniques de profilage :

- les décisions de justice prises sur un tel fondement sont prohibées ;

- sont également interdites les décisions « produisant des effets juridiques à l'égard d'une personne » prises sur ce seul fondement.

Ne sont pas soumises à cette interdiction les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat « et pour lesquelles la personne concernée a été mise à même de présenter ses observations », non plus que les décisions « satisfaisant les demandes de la personne concernée ».

Toutefois, la rédaction de cet article 10 soulève plusieurs difficultés .

Tout d'abord, le législateur semble avoir en partie manqué sa cible . Il entendait notamment encadrer, sans les interdire, les décisions d'embauche, d'octroi de crédit ou de conclusion de contrats d'assurance au moyen de méthodes automatisées d'évaluation ou scoring de cocontractants potentiels. Cependant, un refus de contracter ne peut pas être considéré comme une décision « produisant des effets juridiques » à l'égard de quelqu'un. La directive 95/46/CE du 24 octobre 1995 mentionnait, plus largement, les décisions « produisant des effets juridiques » à l'égard d'une personne « ou l'affectant de manière significative » ^{87 ( * )} .

Ensuite, la distinction entre les décisions prises sur le fondement ou sur le seul fondement d'un traitement automatisé n'est pas parfaitement claire. Faut-il, pour qu'une décision produisant des effets juridiques à l'égard de quelqu'un soit permise, bien qu'il ait été fait usage d'une technique automatisée de profilage, qu'une personne physique reprenne intégralement l'instruction du dossier ? Dans quelle mesure peut-elle tenir compte des résultats fournis par la machine ?

Enfin et surtout, la relative imprécision des termes employés et leur variation d'un alinéa à l'autre ont donné lieu à une interprétation extensive des règles instituées à cet article. La CNIL semble en effet considérer que l'article 10 interdit toute décision prise sur le fondement d'un traitement automatisé de données et produisant des effets juridiques à l'égard d'une personne ^{88 ( * )} . Autrement dit, faute de pouvoir donner un sens précis aux mots : « destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité », le régulateur - et quelquefois le juge - font comme s'ils n'existaient pas...

Le droit en vigueur offre, par ailleurs, certaines garanties de transparence sur les traitements algorithmes qui servent de fondement à des décisions produisant des effets juridiques à l'égard d'une personne.

L'article 39 de la loi n° 78-17 du 6 janvier 1978 prévoit, en effet, que toute personne physique peut obtenir du responsable de traitement « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques » à son égard.

La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a, en outre, introduit plusieurs garanties au bénéfice des administrés dans leurs relations avec l'administration :

- il a été confirmé que les codes sources des algorithmes utilisés par l'administration font partie des documents communicables au sens du code des relations entre le public et l'administration (article L. 300-2 dudit code) ;

- une décision individuelle prise sur le fondement d'un traitement algorithmique doit désormais comporter une mention explicite en ce sens, et les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en oeuvre sont communiquées à l'intéressé à sa demande (article L. 311-3-1 du même code) ;

- les administrations employant plus de cinquante agents doivent publier en ligne les règles définissant les principaux traitements algorithmiques qu'elles utilisent, lorsque ces traitements fondent des décisions individuelles (article L. 312-1-3 du même code).

3. Le règlement (UE) 2016/679 du 27 avril 2016 et les marges de manoeuvre laissées aux États

L'article 22 du règlement (UE) 2016/679 du 27 avril 2016 reprend, pour une large part, les dispositions de l'article 15 de la directive 95/46/CE du 24 octobre 1995 précitée, en les rendant directement applicables.

Il prévoit qu' une personne physique « a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire » , tout en prévoyant des dérogations lorsque la décision :

a) est nécessaire à la conclusion ou l'exécution d'un contrat entre la personne concernée et un responsable de traitement ;

b) est autorisée par le droit de l'Union ou le droit d'un État membre ;

c) est fondée sur le consentement explicite de la personne concernée.

Dans tous les cas, doivent être prises « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Dans les cas mentionnés aux a et c , ces mesures doivent garantir « le droit de la personne concernée d'obtenir une intervention humaine de la part du responsable de traitement, d'exprimer son point de vue et de contester la décision ».

Aucune décision ne peut être prise sur le fondement d'un traitement automatisé de données « sensibles », au sens du paragraphe 1 de l'article 9 du règlement ^{89 ( * )} , sauf si la personne concernée a donné son consentement explicite (à moins que le droit de l'Union ou le droit d'un État membre ne prévoie que cette interdiction ne puisse être levée par la personne concernée) ou si le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre (auquel cas des mesures appropriées doivent être prises pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée).

Cet article 22 du règlement (UE) 2016/679 du 27 avril 2016 laisse donc une grande latitude aux États membres pour autoriser certaines décisions fondées sur un traitement algorithmique et produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative, sous réserve d'apporter des garanties appropriées.

4. Le projet de loi initial : une adaptation partielle de la loi française et l'autorisation sous conditions des décisions administratives individuelles automatisées

L'article 14 du projet de loi tend à apporter à l'article 10 de la loi n° 78-17 du 6 janvier 1978 plusieurs modifications d'inégale importance.

Il prévoit, en premier lieu, quelques modifications rédactionnelles dont la pertinence échappe à votre rapporteur. Le mot « profil » disparaîtrait, et le deuxième alinéa, relatif aux décisions produisant des effets juridiques autres que les décisions de justice, serait ainsi rédigé : « Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée. » Votre rapporteur relève, d'une part, que le règlement (UE) 2016/679 du 27 avril 2016 offre du profilage une définition beaucoup plus claire et précise, d'autre part, que l'interdiction de principe énoncée à l'article 15 du même règlement est plus large et concerne les décisions prises sur le fondement de tout traitement automatisé (même sans profilage), qu'elles produisent des effets juridiques ou qu'elles « affectent » seulement une personne « de manière significative ».

En deuxième lieu, l'article 14 du projet de loi mentionne les dérogations prévues aux a et c de l'article 22 du règlement (UE) 2016/679 du 27 avril 2016, en faveur des décisions nécessaires à la conclusion ou à l'exécution d'un contrat, ou fondées sur le consentement explicite de la personne concernée.

En troisième lieu, et c'est là le plus important, l'article 14 du projet de loi fait usage des marges de manoeuvre laissées par le règlement aux États membres pour instituer une troisième dérogation à l'interdiction de principe des décisions prises sur le seul fondement d'un traitement automatisé, en faveur des décisions administratives individuelles, à condition que le traitement ne porte pas sur des données « sensibles ». Répondant au souhait exprimé par le Conseil d'État, le Gouvernement a ajouté une disposition selon laquelle le responsable de traitement devra alors s'assurer de la maîtrise du traitement algorithmique et de ses évolutions : il s'agit d'éviter qu'un algorithme « auto-apprenant » ne se transforme en « boîte noire » dont personne, pas même l'administration qui l'utilise, ne comprendrait les règles de fonctionnement.

Malgré ces quelques garanties, l'autorisation des décisions administratives individuelles automatisées, y compris fondées sur le profilage, constitue une innovation juridique considérable , dont la portée n'a peut-être pas été pleinement mesurée. Un tel sujet, dont le lien avec la protection des données personnelles est ténu, aurait mérité une réflexion beaucoup plus approfondie , comme l'a souligné la CNIL dans son avis :

- sur le plan des principes , d'abord : dans quelle mesure sommes-nous prêts à déléguer à des automates le soin de prendre des décisions ayant une incidence significative sur nos vies ? Si ce débat n'a pas lieu publiquement et de manière éclairée, il est illusoire de penser que l'automatisation de la décision publique puisse être acceptée de nos concitoyens ;

- sur la nature des décisions administratives individuelles dont nous pourrions admettre l'automatisation : faut-il mettre sur le même plan la liquidation d'une taxe, l'admission d'un étudiant à l'université et l'expulsion d'un étranger ?

- sur la nature des algorithmes auxquels nous pouvons nous fier pour prendre seuls des décisions : une feuille de calcul qui détermine l'impôt sur le revenu dû par un contribuable, à partir de ses revenus déclarés et du barème de l'impôt, ne soulève pas les mêmes problèmes qu'un algorithme « auto-apprenant » auquel on demande d'évaluer la solvabilité d'un demandeur de logement social en fonction de paramètres qu'il détermine lui-même, sans qu'un humain puisse toujours les reconstituer intégralement ;

- sur les garanties à apporter aux administrés.

Le Conseil d'État a, lui aussi, appelé à la définition d'un régime plus complet du contrôle des algorithmes, y compris au-delà du champ des décisions administratives individuelles.

5. Les améliorations apportées par l'Assemblée nationale

Nos collègues députés, sans remettre en cause les dispositions proposées par le Gouvernement, y ont apporté plusieurs améliorations.

À l'initiative de sa rapporteure, la commission des lois de l'Assemblée nationale a tout d'abord revu l'architecture globale de l'article 10 de la loi n° 78-17 du 6 janvier 1978, dans la rédaction qui sera issue de ce projet de loi, afin de mieux distinguer l'interdiction de principe des décisions prises sur le seul fondement d'un traitement automatisé et les dérogations prévues par le règlement (UE) 2016/679 du 27 avril 2016 ou par la loi française.

S'agissant des décisions administratives individuelles automatisées, la commission des lois a également précisé que le responsable de traitement devra être en mesure d'« expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en oeuvre à son égard ».

Enfin, nos collègues députés ont ajouté - par un amendement de la rapporteure en commission, complété à son initiative en séance publique - que les dérogations prévues par le règlement en faveur des décisions nécessaires à la conclusion ou à l'exécution d'un contrat, ou fondées sur le consentement explicite de la personne concernée, ne s'appliqueront que « sous les réserves » mentionnées à l'article 22 du règlement (c'est-à-dire moyennant les « mesures appropriées » mentionnées ci-dessus), et « à condition que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en oeuvre soient communiquées, à l'exception des secrets protégés par la loi, par le responsable de traitement à l'intéressé s'il en fait la demande ». Il s'agit donc d'étendre à ces décisions, susceptibles d'émaner de personnes publiques ou privées, l'une des garanties de transparence prévues par le droit en vigueur en ce qui concerne les décisions administratives individuelles.

6. La position de votre commission : clarifier le droit, soumettre les décisions produisant des effets juridiques sur autrui à des garanties de transparence, et n'admettre qu'avec précaution l'automatisation de la décision publique

Clarifier l'articulation entre droit européen et droit national

Votre rapporteur a déjà attiré l'attention sur les nombreux problèmes d'articulation entre le règlement européen et le droit national modifié par le projet de loi, qui inquiètent tous les praticiens. Cette articulation est particulièrement confuse en ce qui concerne les décisions automatisées, comme il ressort du tableau ci-après.

Source : commission des lois du Sénat

Compte tenu du fait que le règlement européen est d'application directe, il eût été envisageable d'abroger purement et simplement l'article 10 de la loi n° 78-17 du 6 janvier 1978. Votre commission ne l'a pas jugé souhaitable, néanmoins, car cet article peut apporter certaines garanties supplémentaires par rapport au droit européen, notamment en ce qui concerne les décisions de justice. En revanche, elle s'est attachée à harmoniser la rédaction de la loi nationale et du règlement, tant en ce qui concerne la nature des décisions dont l'automatisation est interdite par principe qu'au sujet des traitements automatisés ainsi prohibés, et cela afin d'éviter toute difficulté d'interprétation.

Soumettre les décisions produisant des effets juridiques sur autrui à des garanties de transparence

En ce qui concerne les décisions nécessaires à la conclusion ou à l'exécution d'un contrat ou fondées sur le consentement explicite de la personne concernée, votre rapporteur a noté que l'Assemblée nationale avait imposé aux responsables de traitement une obligation de transparence non prévue par le règlement, qui - en dehors de certaines garanties minimales - s'en remet à ces responsables pour définir et mettre en oeuvre les « mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée », sous le contrôle du juge. Les États membres disposent-ils ici d'une marge de manoeuvre pour préciser en droit interne quelles doivent être ces « mesures appropriées » ? Ce n'est pas assuré.

La portée pratique de cette disposition a d'ailleurs paru assez incertaine à votre commission. Nos collègues députés, rappelons-le, ont prévu que les personnes faisant l'objet de telles décisions, y compris dans la sphère privée, pourraient se voir communiquer les règles définissant le traitement et les principales caractéristiques de sa mise en oeuvre, en exceptant les « secrets protégés par la loi ». Or les responsables de traitement pourront facilement se retrancher derrière le secret industriel et commercial pour refuser de transmettre ces informations ^{91 ( * )} . En outre, il n'existe pas dans la sphère privée d'instance équivalente à la Commission d'accès aux documents administratifs : en cas de refus injustifié de la part du responsable de traitement, le demandeur n'aurait d'autre choix que d'engager un recours juridictionnel long et coûteux. Par ailleurs, sauf à ce que ce nouveau droit à communication demeure lettre morte, il aurait fallu prévoir que l'intéressé soit systématiquement informé de ce qu'une décision prise à son égard, pour la conclusion ou l'exécution d'un contrat ou avec son consentement préalable, a été fondée sur un traitement automatisé.

L'intention de nos collègues députés est néanmoins louable. Votre rapporteur a cru nécessaire, sur ce point, d'opérer une distinction entre :

- d'une part, les décisions produisant des effets juridiques sur autrui, rares dans la sphère privée - puisque les relations entre les particuliers sont avant tout régies par le contrat - mais qui, lorsqu'elles existent, sont généralement soumises à des règles procédurales visant à garantir l'information des personnes à qui la décision s'impose (préavis, notification, signification par exploit d'huissier) ainsi qu'à une exigence de motivation ^{92 ( * )} ; dans ce cas, il est effectivement opportun que les personnes concernées soient informées que la décision prise à leur égard a été prise sur le fondement d'un traitement automatisé (ce que votre commission a explicitement prévu) et qu'elles puissent en connaître les règles et les principales caractéristiques de mise en oeuvre ;

- d'autre part, les décisions « affectant » une personne sans produire à son égard aucun effet juridique, pour lesquelles de telles obligations sont à la fois peu praticables (puisque ces décisions ne sont pas systématiquement portées à la connaissance de l'intéressé) et peu pertinentes (puisque de telles décisions relèvent de la liberté des personnes, qui peuvent recourir à toute procédure, automatisée ou non, pour y parvenir).

Mieux encadrer l'automatisation des décisions administratives individuelles

Le recours par l'administration à des procédés automatisés, y compris pour prendre sur leur seul fondement des décisions produisant des effets juridiques, peut se justifier dans certains cas. Il n'est effectivement pas indispensable qu'un agent vérifie le montant de l'impôt dû par un contribuable, tel qu'il a été calculé par un tableur informatique, en fonction de ses revenus déclarés et du barème. De même, dans le cas où la réglementation d'un concours interdit de s'y présenter à plus de trois reprises, l'autorité organisatrice du concours ayant compétence liée pour rejeter une demande d'admission à concourir formulée par une personne déjà trois fois candidate ^{93 ( * )} , cette décision peut être automatisée sans inconvénient. Plus généralement, on peut mentionner tous les cas où l'administration a compétence liée, c'est-à-dire où, les faits et leur qualification juridique étant donnés, le sens de la décision est déterminé par

les règles de droit ^{94 ( * )} . L'automatisation est susceptible de libérer des ressources humaines qui seraient mieux employées à traiter les dossiers complexes ou appelant l'exercice d'un pouvoir d'appréciation.

L'usage d'algorithmes apporte également la garantie d'une application uniforme de la loi, et prémunit ainsi les administrés contre les erreurs des agents, contre leurs divergences d'interprétation, voire contre l'arbitraire. Le professeur Roger-François Gauthier, spécialiste des politiques éducatives, affirme ainsi que la plateforme Admission post-bac a eu le mérite de mettre fin à un système « mafieux » où le passe-droit avait sa place ^{95 ( * )} .

Toutefois, aux yeux de votre rapporteur, il convient de se prémunir contre trois risques.

En premier lieu, une décision automatisée risque d'être aveugle à des circonstances de l'espèce qui mériteraient d'être prises en compte, parce que l'algorithme n'a pas été programmé pour le faire - et, à un certain niveau de spécificité, ne peut pas l'être. Le recours aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation.

Le deuxième risque, lié à l'essor de l'intelligence artificielle et des algorithmes « auto-apprenants », est que des décisions administratives individuelles soient prises sans que personne ne sache suivant quels critères, l'algorithme ayant déterminé lui-même les critères à appliquer et leur pondération, sur le fondement de corrélations statistiques observées dans la masse des données qui lui auront été fournies et en fonction de l'objectif qui lui aura été assigné. Ce risque, lié à l'usage d'algorithmes « boîtes noires », a été bien identifié par le Conseil  d'État et par nos collègues députés.

Le troisième risque est que la programmation des algorithmes destinés à prendre des décisions individuelles n'aboutisse à contourner les règles de fond et de forme qui encadrent l'exercice du pouvoir réglementaire. Il en va ainsi lorsque les opérations effectuées par un algorithme (tel que programmé par les services informatiques d'une administration) ne correspondent qu'approximativement, voire pas du tout, aux règles édictées par l'autorité compétente, dans les formes requises, dans le respect de la hiérarchie des normes et sous le contrôle du juge. L'exemple qui vient immédiatement en tête est celui de la procédure d'« Admission post-bac », où les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n'avaient jamais été explicités dans un texte réglementaire et qui n'étaient même pas rendus publics ^{96 ( * )} . On ne saurait admettre que l'administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d'infaillibilité des automates pour masquer ses propres choix.

Pour parer à ces différents risques, les garde-fous prévus par le droit en vigueur et par le projet de loi n'ont pas paru suffisants à votre rapporteur. À son initiative, votre commission a choisi de n'autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces traitements ont pour seul objet d'appliquer strictement des dispositions légales ou réglementaires à des situations individuelles caractérisées par des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement. Ainsi :

- les opérations effectuées par les algorithmes servant à des décisions administratives individuelles devront reposer sur une base juridique explicite et exhaustive ;

- par là-même, il sera interdit de prendre une décision sur le seul fondement d'un algorithme « boîte noire » ;

- à l'inverse, dans tous les cas où il apparaît nécessaire de laisser à l'autorité administrative une latitude d'appréciation, en ne déterminant pas précisément dans la loi ou le règlement les critères de sa décision, l'autorité administrative devra exercer réellement ce pouvoir d'appréciation et ne disposera d'aucune base légale pour déléguer sa décision à un automate.

Votre commission a fait une exception pour les actes pris par l'administration dans l'exercice de ses pouvoirs de contrôle ou d'enquête, parce qu'il lui paraît légitime, par exemple, que l'administration fiscale décide d'engager un contrôle sur le fondement d'un algorithme (déterministe ou « auto-apprenant ») faisant apparaître une probabilité de fraude de la part d'un contribuable - elle le fait d'ailleurs déjà ^{99 ( * )} . Plus généralement, un contrôle ou une enquête peut être l'occasion de vérifier, par une intervention humaine, des faits dont un traitement automatisé aurait seulement établi la probabilité.

Il a paru indispensable à votre commission de préciser qu'aucune décision prise dans le cadre d'un recours administratif gracieux ou hiérarchique - éventuellement à l'encontre d'une décision automatisée - ne pourra être prise sur le seul fondement d'un traitement automatisé de données. L'intéressé aura ainsi, par le biais du droit au recours gracieux ou hiérarchique, la faculté d'obtenir une intervention humaine dans l'examen de son dossier. C'est assurément une garantie nécessaire pour les droits et libertés de la personne concernée, telle qu'exigée par le règlement.

Afin de renforcer les garanties de transparence offertes aux administrés, votre commission a prévu de frapper de nullité toute décision individuelle fondée sur un traitement algorithmique et qui ne comporterait pas la mention en ce sens prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration. Selon les informations recueillies par votre rapporteur, il semble en effet que de nombreuses administrations rechignent à appliquer cette disposition légale. Compte tenu de la jurisprudence Danthony du Conseil d'État ^{100 ( * )} , il est vraisemblable que l'omission de cette formalité, en ce qu'elle prive les intéressés d'une garantie, serait jugée entacher l'acte d'illégalité ; toutefois, votre commission a estimé préférable de lever le doute sur ce point.

Revenir sur l'exception aux règles de publicité des algorithmes prévue dans le cadre de la nouvelle procédure d'accès à l'enseignement supérieur

À l'initiative de votre rapporteur, votre commission a également souhaité corriger une première entorse qui vient d'être faite aux règles de publicité des algorithmes employés par l'administration pour fonder des décisions individuelles, introduites par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique . Il semble, en effet, que toutes les leçons des dysfonctionnements d'« Admission post-bac » n'aient pas été tirées par le Gouvernement.

Dans le cadre de la nouvelle procédure d'affectation des bacheliers dans l'enseignement supérieur, dite « Parcoursup », il ne sera plus fait usage d'un algorithme d'appariement du même type que dans « Admission post-bac », puisque les candidats ne seront plus appelés à classer leurs voeux. Ces derniers devront faire un choix au fur et à mesure que leur parviendront les réponses des établissements auxquels ils auront postulé - ce qui est regrettable, car cela ralentira considérablement la procédure. En revanche, tous les établissements devront désormais classer l'ensemble des candidatures qu'ils auront reçues, dont le nombre pourrait s'élever dans certaines filières attractives à plusieurs centaines, voire plusieurs milliers ^{102 ( * )} . Dans ces conditions, il est vraisemblable et presque inévitable que les équipes pédagogiques fassent appel à des algorithmes pour accepter ou écarter automatiquement une partie des demandes ^{103 ( * )} , sur la base de critères qu'il faudra élaborer à partir des principes fixés par la nouvelle législation ^{104 ( * )} .

Au cours de l'examen du projet de loi relatif à l'orientation et à la réussite des étudiants , en décembre et janvier derniers, l'Assemblée nationale a d'abord adopté, à l'initiative de notre collègue député Cédric Villani, un amendement renforçant les exigences de transparence de la procédure, puisqu'il prévoyait que « la communication, en application des dispositions du code des relations entre le public et l'administration, du code source des traitements automatisés utilisés pour le fonctionnement de la plateforme (...) s'accompagne de la communication du cahier des charges présenté de manière synthétique et de l'algorithme du traitement » Mais ces garanties ont été vidées de leur substance par un amendement de dernière minute du Gouvernement, présenté en séance publique au Sénat, sans que notre commission de la culture ait pu l'examiner. Il a ainsi été inséré au I de l'article L. 612-3 du code de l'éducation une disposition selon laquelle, « afin de garantir la nécessaire protection du secret des délibérations des équipes pédagogiques chargées de l'examen des candidatures présentées dans le cadre de la procédure nationale de préinscription prévue au même deuxième alinéa, les obligations résultant des articles L. 311-3-1 et L. 312-1-3 du code des relations entre le public et l'administration sont réputées satisfaites dès lors que les candidats sont informés de la possibilité d'obtenir, s'ils en font la demande, la communication des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise ». Autrement dit, seuls les algorithmes parfaitement anodins utilisés pour le fonctionnement de la plateforme en ligne seront communiqués, sur demande, avec leur cahier des charges. En revanche, si des décisions d'acceptation ou de refus de candidats sont prises par les établissements sur le fondement de traitements automatisés, ces établissements ne seront ni dans l'obligation de faire figurer une mention explicite en ce sens sur le texte de la décision et de communiquer à l'intéressé, à sa demande, les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en oeuvre (article L. 311-3-1 du code des relations entre le public et l'administration), ni contraints de publier en ligne ces règles définissant les traitements, s'ils emploient plus de cinquante agents (article L. 312-1-3 du même code) ^{105 ( * )} .

Cette exception n'a pas lieu d'être. On peut certes admettre d'appliquer aux équipes pédagogiques chargées de se prononcer sur l'inscription des candidats le principe de secret des délibérations des jurys d'examen et de concours, reconnu de longue date par la jurisprudence administrative - encore que votre rapporteur appelle à ne pas étendre outre mesure la portée de ce principe, qui va à l'encontre des exigences croissantes de notre société et de notre droit en matière de motivation des décisions administratives, juridictionnelles ou même privées. Mais il n'y a aucune raison de protéger le secret de délibérations inexistantes... Si la décision d'accepter ou non un candidat est prise sur le fondement de règles générales transcrites en un programme informatique, l'intéressé a le droit de savoir lesquelles. À l'initiative de son rapporteur, votre commission a donc décidé de supprimer le dernier alinéa du I de l'article L. 612-3 du code de l'éducation.

Compte tenu de l'ampleur des modifications à apporter à l'article 10 de la loi n° 78-17 du 6 janvier 1978, votre commission a estimé préférable d'en proposer une nouvelle rédaction intégrale, ainsi que de l'article 14 du projet de loi ( amendement COM-60 du rapporteur).

Votre commission a adopté l'article 14 ainsi modifié .

Article 14 bis (art. 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Information des mineurs de moins de 15 ans

Introduit en commission à l'initiative du député Philippe Gosselin, article renforce les obligations d'information à la charge des responsables de traitement, leur imposant, lorsque des données à caractère personnel sont collectées auprès d'un mineur de moins de 15 ans, que les éléments transmis dans le cadre du droit à l'information le soient « dans un langage clair et facilement accessible ».

Votre rapporteur approuve l'intention de cette précision, qui répond aux objectifs promus par le RGPD, aux termes duquel : « Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre » (considérant 58).

Son article 12, relatif notamment au principe de transparence, prévoit d'ailleurs déjà explicitement que : « Le responsable du traitement prend des mesures appropriées pour fournir toute information [...] ainsi que pour procéder à toute communication [...] en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».

Au bénéfice de l'adoption de deux amendements identiques COM-61 et COM-12 de coordination avec l'article 14 A, relevant à 16 ans l'âge en dessous duquel la clarté de l'information est ainsi renforcée, votre commission a adopté l'article 14 bis ainsi modifié .

Article 15 (art. 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Dérogations à l'obligation de divulgation de certaines violations de données personnelles

L'article 15 du projet de loi autorise un décret en Conseil d'État à fixer la liste des traitements et des catégories de traitements autorisés à déroger à l'obligation de notifier certaines violations de leurs données personnelles aux personnes concernées, dans le cas où cette divulgation serait susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

1. Une obligation de notification des violations de données personnelles actuellement appliquée au seul secteur des communications électroniques et désormais généralisée par le RGPD

Si, dans le cadre général de la protection des données personnelles, l'ancienne directive de 1995 ne prévoyait pas d'obligation de notification en cas de violation de données à caractère personnel (« data breach »), un tel mécanisme est prévu par un texte sectoriel, la directive dite « vie privée et

communications électroniques » ^{106 ( * )} révisée en 2009 à cet effet. La notification à l'abonné ou au particulier n'est obligatoire que dans certaines circonstances, et le règlement d'application de la Commission européenne ménage certaines exceptions à cette obligation : « Dans certains cas exceptionnels, s'il y a un risque que la notification à l'abonné ou au particulier nuise à l'efficacité de l'enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l'accord de l'autorité nationale compétente, à retarder la notification jusqu'au moment où ladite autorité juge possible de notifier la violation conformément au présent article. » ^{107 ( * )}

Ce mécanisme sectoriel de notification en cas de violation des données personnelles en matière de communication électronique a été transposé en droit français à l'article 34 bis de la loi Informatique et libertés, seules les violations susceptibles de porter atteinte aux données ou à la vie privée d'un abonné devant, en principe, faire l'objet d'une communication à la personne concernée, sous le contrôle de la CNIL (elle doit être systématiquement informée).

Le RGPD étend ce dispositif et instaure désormais, de façon générale et assortie de multiples conditions et dérogations, une double obligation de divulgation en cas de violation de données personnelles :

- la notification à l'autorité de contrôle (art. 33 du RGPD) ;

- et la communication à la personne concernée (art. 34 du RGPD).

2. Une dérogation nationale limitée et encadrée

Utilisant la faculté d'apporter des limitations nationales à certains droits ouverts par le règlement, l'article 15 du projet de loi autorise un décret en Conseil d'État à fixer une liste des traitements et des catégories de traitements autorisés à déroger à l'obligation de notifier certaines violations de leurs données personnelles aux personnes concernées. Le champ de cette dérogation est triplement limité :

- à certains types de violations de données, celles liées à des manoeuvres frauduleuses, à savoir uniquement la divulgation de données et l'accès non autorisé à celles-ci (et non leur destruction, leur perte, ou leur altération, défaillances dont les administrations seraient responsables et qui ne seront pas couvertes par cette exception à l'obligation de divulgation) ;

- à certaines circonstances et pour certains motifs (« lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique ») ;

- et à certains traitements (« traitements ou catégories de traitement nécessaires au respect d'une obligation légale ou à l'exercice d'une mission d'intérêt public »).

Votre rapporteur estime que ces dispositions, largement réécrites par le Conseil d'État, poursuivent un objectif légitime et présentent des garanties appropriées qui justifient cette limitation à la marge apportée au nouveau droit de se voir notifier une violation de données personnelles.

Votre commission a adopté l'article 15 sans modification.

CHAPITRE VI - VOIES DE RECOURS

Article 16 A (art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Action de groupe en réparation

Introduit par l'Assemblée nationale en première lecture, par l'adoption en commission d'un amendement de sa rapporteure, l'article 16 A du projet de loi vise à étendre l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis en raison d'un manquement aux obligations incombant à un responsable de traitement ou à son sous-traitant.

1. Le droit en vigueur : une action de groupe limitée à la cessation d'un manquement

L'action de groupe est une action en justice engagée par un demandeur (généralement une personne morale), en raison du dommage causé à plusieurs personnes par le manquement d'une autre personne à ses obligations légales ou contractuelles. L'action de groupe peut avoir pour objet, soit la cessation du manquement , soit la réparation des préjudices subis, soit les deux. L'originalité de cette procédure tient au fait que le demandeur n'est pas celui qui est prétendu avoir subi le préjudice (et qui seul a intérêt à agir à ce titre), et qu'il n'a pas non plus reçu mandat pour agir au nom et pour le compte de ce dernier. L'action de groupe se distingue donc :

- de l'action en défense d'intérêts collectifs exercée par une personne morale (association, syndicat ou ordre professionnel, syndicat de copropriétaires...), qui n'est admise par le juge ou prévue par la loi que parce que les intérêts défendus par le demandeur peuvent se rattacher à ses intérêts propres (ceux de ses membres ou, plus largement, ceux qui entrent dans son objet social), le demandeur seul pouvant d'ailleurs se voir allouer des dommages-intérêts ^{109 ( * )} ;

- de l'action en représentation conjointe , où une seule action est engagée par un demandeur (une association) au nom et pour le compte de plusieurs autres personnes ayant subi des préjudices individuels d'origine commune, sur le fondement d'un mandat donné par ces dernières ^{110 ( * )} .

Il existe, en droit français, deux catégories d'actions de groupe :

1°  l'action de groupe en matière de consommation, créée par la loi n° 2014-344 du 17 mars 2014 relative à la consommation ;

2°  les actions de groupe rattachées au « socle commun » , défini par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXI ^e siècle et codifié, pour ce qui concerne la procédure administrative contentieuse, au chapitre X du titre VII du livre VII du code de justice administrative, à savoir :

- l'action de groupe en matière de discriminations, hors relations du travail ;

- l'action de groupe en matière de discriminations au travail ;

- l'action de groupe en matière d'environnement ;

- l'action de groupe en matière de santé ;

- l'action de groupe en matière de données personnelles.

Les règles procédurales diffèrent entre ces deux catégories, mais également entre les actions rattachées au « socle commun », auquel plusieurs d'entre elles dérogent à un titre ou à un autre. On peut néanmoins rappeler leurs principales caractéristiques communes et leurs principales divergences :

- l'action de groupe est exercée, au vu des cas individuels présentés par le demandeur, en vue de la cessation d'un manquement ou de la réparation des préjudices qu'il a causés (l'une ou l'autre de ces finalités étant parfois exclue) ;

- elle ne peut être exercée que par les personnes (associations ou syndicats) qui y sont habilitées par la loi ;

- elle doit, dans la plupart des cas, être précédée d'une mise en demeure : d'après le « socle commun », la personne mise en demeure dispose alors de quatre mois pour cesser ou faire cesser le manquement ou pour réparer les préjudices subis, selon le cas ;

- lorsque l'action de groupe tend à la réparation des préjudices subis, le juge statue sur la responsabilité du défendeur, définit le groupe de personnes à l'égard desquelles sa responsabilité est engagée en fixant les critères de rattachement au groupe, et détermine les préjudices susceptibles d'être réparés. Il fixe également le délai dans lequel les personnes souhaitant se prévaloir du jugement peuvent adhérer au groupe en vue d'obtenir réparation de leur préjudice (c'est le régime de l' opt-in ) ;

- en règle générale, la procédure de réparation est individuelle : la personne déclarée responsable procède à l'indemnisation individuelle des préjudices résultant du fait générateur de responsabilité reconnu par le jugement et subis par les personnes ayant adhéré au groupe, un recours étant possible devant le même juge ;

- toutefois, lorsque le demandeur à l'action le demande, le juge peut décider la mise en oeuvre d'une procédure collective de liquidation des préjudices . Dans ce cas, il détermine le montant ou tous les éléments permettant d'évaluer ces derniers, et habilite le demandeur à négocier avec le défendeur l'indemnisation des préjudices subis par chacune des personnes constituant le groupe.

L'action de groupe en matière de données personnelles , qui peut être exercée lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la loi n° 78-17 du 6 janvier 1978 de la part d'un responsable de traitement de données à caractère personnel ou d'un sous-traitant, se distingue en ceci qu'elle ne peut avoir pour objet que la cessation d'un manquement . Ont qualité à agir :

- les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;

- les associations de consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

- les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Comme l'avait souligné notre collègue Yves Détraigne, rapporteur de la commission des lois du Sénat, lors de l'examen de la loi n° 2016-1547 du 18 novembre 2016 précitée, une action de groupe dont l'objet est limité à la cessation d'un manquement n'a guère de sens . Plutôt que d'imposer aux associations et syndicats habilités l'obligation de réunir préalablement plusieurs cas individuels, et de leur imposer une mise en demeure préalable avec un délai de quatre mois (qui peut être inadapté en cas de divulgation massive de données), il aurait été beaucoup plus simple de leur reconnaître le droit d'agir en justice en défense d'intérêts collectifs en vue de faire cesser un manquement de ce type. Qui plus est, il est paradoxal qu'une action dont l'objet se borne à la cessation d'un manquement ne puisse être engagée que si ce manquement a déjà causé un dommage...

Les associations et syndicats, comme toute personne, peuvent d'ailleurs adresser des réclamations, pétitions et plaintes à la CNIL, dont la formation restreinte a elle-même le pouvoir d'enjoindre à un responsable de traitement de mettre fin à un manquement et de prononcer des sanctions à son encontre, ce qui limite d'autant l'intérêt de l'action de groupe existante.

De fait, selon les informations recueillies par votre rapporteur, aucune action de groupe en matière de données personnelles n'a été engagée depuis l'entrée en vigueur de la loi n° 2016-1547 du 18 novembre 2016.

2. L'extension proposée de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux

Le paragraphe 2 de l'article 80 du règlement (UE) 2016/679 du 27 avril 2016 laisse toute latitude aux États membres pour autoriser un organisme, une organisation ou une association à but non lucratif, dont les objectifs statutaires sont d'intérêt public et qui est actif dans le domaine de la protection des données, soit à introduire sans mandat une réclamation auprès de la CNIL s'il considère que les droits d'une personne ont été violés (ce qui est déjà possible en droit français), soit à ester en justice sans mandat contre une décision de la CNIL ou contre un responsable de traitement ou un sous-traitant (ce qui correspond à la définition de l'action de groupe).

L'article 16 A du projet de loi, introduit par l'Assemblée nationale en en commission, prévoit que l'action de groupe en matière de données personnelles pourrait désormais être exercée, soit en vue de la cessation d'un manquement aux obligations résultant de la loi n° 78-17 du 6 janvier 1978 de la part d'un responsable de traitement ou d'un sous-traitant, soit en vue de la réparation des préjudices matériels et moraux subis de ce fait, soit de ces deux fins.

Lorsque l'action tendrait à la réparation des préjudices subis, elle s'exercerait dans le cadre de la procédure individuelle de réparation prévue par le « socle commun ».

Nos collègues députés ont adopté en séance publique trois amendements de précision rédactionnelle

3. La position de votre commission : accepter une évolution qui renforcera la protection des données personnelle, tout en l'assortissant de garde-fous

Aux yeux de votre rapporteur, l'évolution proposée par l'Assemblée nationale donnera enfin sens à l'action de groupe en matière de données personnelles créée en 2016. Elle facilitera l'exercice de leurs droits par les personnes subissant des dommages en raison de manquements par les responsables de traitement à leurs obligations de protection des données, et elle aura un puissant effet dissuasif sur les responsables de traitement peu scrupuleux.

À l'initiative de son rapporteur, votre commission a précisé que l'action de groupe pourrait être exercée en cas de manquement aux dispositions de la loi française, mais aussi du règlement européen ( amendement COM-62 ).

Il a néanmoins paru souhaitable à votre commission, afin d'éviter la multiplication de recours abusifs, de soumettre à un agrément de l'autorité administrative la faculté pour une association d'exercer une action de groupe en matière de données personnelles, comme c'est le cas dans le domaine de la consommation, de l'environnement ou de la santé ( amendement COM-65 du rapporteur). Nos collectivités territoriales, en particulier, sont déjà trop exposées, dans le domaine de l'urbanisme comme ailleurs, aux recours intentés par des plaideurs quérulents ou animés par des visées politiciennes... L'agrément serait subordonné à l'activité effective et publique de l'association en vue de la protection des données personnelles, à la transparence de sa gestion, à sa représentativité et à son indépendance.

Afin que la CNIL puisse effectivement exercer son nouveau droit de présenter des observations devant toute juridiction, et d'apporter ainsi son éclairage sur le contexte dans lequel d'éventuels manquements se seraient produits, votre commission a souhaité qu'elle soit informée par le demandeur de l'introduction d'une action de groupe ( amendement COM-63 du rapporteur).

En outre, il a semblé opportun de différer de deux ans , jusqu'au 25 mai 2020, l'institution de l'action de groupe aux fins de réparation en matière de données personnelles ( amendement COM-86 à l'article 24 ). Les auditions menées par votre rapporteur l'ont confirmé : ni les communes faiblement peuplées, ni les petites et moyennes entreprises, ni même des organismes de plus grande taille ne seront prêts à temps pour se conformer aux nouvelles règles issues du règlement européen et du projet de loi. La CNIL le reconnaît volontiers, et elle a annoncé qu'elle ferait preuve de mansuétude dans les premiers temps, à condition que les responsables de traitement défaillants s'engagent dans une démarche de mise en conformité. Ils n'en seront pas moins tenus dès le 25 mai 2018 au respect de ces nouvelles règles, et ils pourront voir leur responsabilité engagée devant les juridictions pénales, civiles ou administratives. Il convient de leur laisser un peu de temps avant de les confronter au risque de devoir indemniser des centaines, voire des milliers de personnes dans le cadre d'une action de groupe.

Pour les mêmes raisons, votre commission a adopté l' amendement COM-64 de son rapporteur, qui prévoit que la responsabilité d'un responsable de traitement ou d'un sous-traitant ne peut être engagée aux fins d'indemnisation, dans le cadre d'une action de groupe, que lorsque le fait générateur de la responsabilité est postérieur au 25 mai 2020 .

Votre commission a adopté l'article 16 A ainsi modifié .

Article 16 (art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Recours par mandataire

L'article 16 du projet de loi vise à permettre à toute personne de mandater une association ou une organisation syndicale aux fins d'exercer en son nom ses droits de recours devant la CNIL et les juridictions.

1. Les droits de recours existants et leurs modalités d'exercice

Toute personne qui s'estime victime d'un manquement à la loi n° 78-17 du 6 janvier 1978 précitée dispose, en l'état du droit, d'une pluralité de voies de recours pour faire cesser ce manquement et obtenir réparation des préjudices subis :

- elle peut adresser une réclamation à la CNIL, qui dispose de divers pouvoirs pour faire cesser le manquement et sanctionner le responsable défaillant (mise en demeure, injonction, sanctions pécuniaires...), la décision de la CNIL étant elle-même susceptible de recours devant le Conseil d'État ;

- elle peut déposer un recours individuel devant les juridictions compétentes (pénale, civile ou administrative), dans les conditions de droit commun. Dans le cadre d'une procédure civile, il lui est loisible de mandater toute autre personne physique ou morale pour agir en son nom (mandat ad agendum) .

Il existe en outre une action de groupe en cessation d'un manquement, dont disposent certaines catégories d'associations et d'organisations syndicales ^{111 ( * )} .

2. L'extension du recours par mandataire prévue par le « paquet européen de protection des données »

Le règlement (UE) 2016/679 du 27 avril 2016, ainsi que la directive (UE) n° 2016/680 du même jour relative aux traitements de données personnelles en matière pénale, consolident les voies de recours existantes en droit interne.

Ainsi, le règlement (UE) 2016/679 garantit aux personnes physiques faisant l'objet d'un traitement de données personnelles :

- le droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77) ;

- le droit à un recours juridictionnel contre les décisions d'une autorité de contrôle (article 78) ;

- le droit à un recours juridictionnel contre un responsable de traitement ou un sous-traitant (article 79) ;

- le droit d'obtenir réparation des préjudices subis (article 82).

En outre, le paragraphe 1 de l'article 80 du règlement (UE) 2016/679 du 27 avril 2016 garantit à toute personne physique le droit de mandater « un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et [qui] est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant », pour qu'il exerce en son nom les droits au recours prévus aux articles 77 à 79. Les États membres sont libres de décider si le recours par mandataire peut avoir pour objet la réparation des préjudices subis (mentionnée à l'article 82).

La directive relative aux traitements en matière pénale impose aux États membres d'offrir aux personnes concernées des garanties similaires en ce qui concerne cette catégorie de traitements (articles 52 à 56). L'article 55 de la directive ne prévoit pas que le recours par mandataire puisse, dans ce cas, s'étendre à la réparation des préjudices, mais il ne l'exclut pas non plus.

Dans le système français, l'introduction de ce mécanisme de mandatement est de faible portée, dès lors que toute association (éventuellement alertée par une ou plusieurs personnes extérieures à l'association) peut adresser une réclamation à la CNIL en son nom propre, sans avoir besoin d'être mandatée à cette fin, et puisque les recours devant les juridictions civiles (de même que l'action civile devant le juge pénal) peuvent d'ores et déjà être intentés par l'intermédiaire d'un représentant, titulaire d'un mandat de représentation pour agir. En outre, il existe en droit français une action de groupe en cessation d'un manquement dans le domaine de la protection des données personnelles, qui peut être exercée, devant le juge civil comme devant le juge administratif, par les associations oeuvrant dans ce domaine ainsi que les associations de consommateurs et les organisations syndicales de salariés, de fonctionnaires et de magistrats. L'extension de l'objet de cette action de groupe à la réparation des préjudices subis, prévue à l'article 16 A du projet de loi, devrait achever de faire perdre son intérêt au mécanisme de mandatement prévu à l'article 80 du règlement (UE) 2016/679 et à l'article 55 de la directive (UE) n° 2016/680 précités.

3. Une transposition satisfaisante

L'article 16 du projet de loi transpose ces dispositions en droit interne - ce qui est nécessaire pour la directive, mais aussi pour le règlement dès lors que l'on entend faire usage de la marge de manoeuvre laissée aux États membres en ce qui concerne l'action en réparation.

Deux points méritent d'être relevés.

S'agissant des mandataires éventuels, le projet de loi prévoit, par renvoi au IV de l'article 43 ter de la loi n° 78-17 du 6 janvier 1978, que seules les associations et organisations habilitées à exercer l'action de groupe (sans mandat) en matière de données personnelles pourraient également recevoir mandat pour agir au nom d'une autre personne. Pour mémoire, ces associations et organisations sont, en l'état du droit :

- les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;

- les associations de consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

- les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

On peut s'interroger sur la conformité de ces dispositions au droit européen, dès lors que le champ des mandataires ainsi défini est à la fois plus large (ce qui ne soulève pas de difficultés) et plus restreint que ce que prévoient le règlement et la directive : des associations et syndicats non spécialisés dans la protection des données personnelles pourraient ainsi recevoir mandat, mais parmi les associations actives dans ce domaine, seules celles qui ont été déclarées depuis au moins cinq ans le pourraient. Votre commission a néanmoins choisi de conserver la rédaction proposée, par souci d'harmonisation entre les différentes procédures. L'agrément des associations de protection des données personnelles, auquel votre commission a entendu subordonner leur qualité à introduire une action de groupe, ne serait ici pas requis ( amendement COM-66 du rapporteur).

Par ailleurs, contrairement au choix initial du Gouvernement, nos collègues députés ont étendu le mécanisme de mandatement prévu à cet article aux actions en réparation des préjudices subis, par l'adoption en séance publique d'un amendement de la rapporteure. Cela a paru cohérent à votre commission, dès lors que l'action de groupe est également étendue par le projet de loi à la réparation des préjudices.

Votre commission a adopté l'article 16 ainsi modifié .

Article 17 (art. 43 quinquies [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Voie de recours ouverte à la CNIL aux fins d'apprécier la validité des décisions prises par la Commission européenne relativement au transfert de données vers des États tiers

L'article 17 du projet de loi tend à ouvrir à la CNIL, lorsqu'elle est saisie d'une réclamation contre un responsable de traitement ou un sous-traitant, une voie de recours juridictionnel aux fins de faire ordonner par le Conseil d'État la suspension du transfert de données à caractère personnel vers un pays tiers à l'Union européenne, dans l'attente que la Cour de justice de l'Union européenne, saisie d'une question préjudicielle, se prononce sur la conformité au droit de l'Union des décisions prises par la Commission européenne qui conditionnent la licéité de tels transferts.

1. Le droit en vigueur

Le transfert de données personnelles vers un pays tiers à l'Union européenne est actuellement encadré par le chapitre IV de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, transposé au chapitre XII de la loi n° 78-17 du 6 janvier 1978. Un tel transfert n'est autorisé, en principe, que si ce pays tiers assure un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes relativement au traitement de leurs données ^{112 ( * )} . La Commission peut constater qu'un pays assure ou n'assure pas un tel niveau de protection, et ses décisions s'imposent aux autorités nationales.

L'article 70 de la loi n° 78-17 du 6 janvier 1978 prévoit que, si la Commission européenne a constaté qu'un État n'assure pas un niveau de protection suffisant, la CNIL, lorsqu'elle reçoit une déclaration préalable à la constitution d'un traitement faisant apparaître que des données sont susceptibles d'être transférées dans cet État, mentionne dans son récépissé l'interdiction d'un tel transfert. Dans le cas où la Commission européenne ne s'est pas prononcée, la CNIL, si elle estime que le pays en question n'assure pas un niveau de protection suffisant, en informe sans délai la Commission européenne et peut enjoindre au responsable de traitement de suspendre le transfert des données. Par la suite, si la Commission européenne confirme l'appréciation de la CNIL, celle-ci notifie au responsable de traitement l'interdiction de procéder au transfert ; si la Commission européenne estime au contraire que le pays en question assure un niveau de protection suffisant, la CNIL notifie au responsable de traitement la cessation de la suspension du transfert.

Il semblait donc que, lorsqu'elle était saisie d'une réclamation par une personne dont les données étaient susceptibles d'être transférées vers un pays tiers ayant fait l'objet d'une décision d'« adéquation » de la part de la Commission européenne, la CNIL n'eût d'autre choix que de rejeter le recours en se pliant à la décision de la Commission. Toutefois, dans un arrêt du 6 octobre 2015, la Cour de justice de l'Union européenne a jugé qu'il appartenait au législateur national de ménager des voies de recours à la personne ayant introduit la réclamation comme à l'autorité de contrôle elle-même :

- si l'autorité de contrôle (en France, la CNIL) rejette la réclamation, la personne doit pouvoir contester cette décision devant les juridictions nationales, et celles-ci doivent surseoir à statuer jusqu'à ce que la Cour de justice de l'Union européenne se prononce sur la validité de la décision d'« adéquation » de la Commission européenne ;

- si, en revanche, l'autorité de contrôle estime fondés les griefs avancés par la personne ayant introduit la réclamation, elle doit pouvoir faire valoir ces griefs devant les juridictions nationales afin que celles-ci adressent à la Cour de justice une question préjudicielle sur la validité de la décision d'« adéquation ».

2. La nouvelle réglementation applicable au transfert de données

Le chapitre V du règlement (UE) 2016/679 du 27 avril 2016 reprend, pour l'essentiel, les règles définies par la directive 95/46/CE en ce qui concerne le transfert de données personnelles vers des pays tiers - auxquels sont désormais ajoutées les organisations internationales. Les pouvoirs de la Commission européenne sont cependant renforcés et à certains égards mieux définis.

Sous l'empire de ce nouveau régime, le transfert de données personnelles vers un pays tiers ou à une organisation internationale ne sera autorisé que si l'une des conditions suivantes est remplie :

1° la Commission européenne a constaté que le pays ou l'organisation internationale en question assure un niveau de protection adéquat (article 45 du règlement) ;

2° le responsable de traitement ou le sous-traitant a prévu des garanties appropriées et les personnes concernées disposent de droits opposables et de voies de recours effectives ; ces garanties appropriées, définies à l'article 46 du même règlement, peuvent notamment comprendre des règles d'entreprise contraignantes dont la définition est précisée à l'article 47 du même règlement ;

3° l'une des dérogations prévues à l'article 49 du même règlement s'applique (la personne concernée a donné son consentement explicite, le transfert est nécessaire pour des motifs importants d'intérêt public, etc .).

L'évaluation des « garanties » apportées par le responsable de traitement ou le sous-traitant implique parfois l'intervention de la Commission européenne :

- les clauses types de protection des données mentionnées à l'article 46 en tant que garanties appropriées sont adoptées par la Commission européenne, ou par une autorité de contrôle avec l'approbation de celle-ci ;

- de même, les codes de conduite élaborés par des catégories de responsables de traitement ou de sous-traitants en application de l'article 40 du même règlement peuvent être rendus d'application générale au sein de l'Union par la Commission européenne ;

- enfin, s'agissant des règles d'entreprise contraignantes, la Commission peut, par la voie d'actes d'exécution, préciser la forme de l'échange d'informations entre les responsables de traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.

Le chapitre V de la directive (UE) n° 2016/680 du 27 avril 2016 comporte des dispositions similaires en ce qui concerne les traitements de données en matière pénale, si ce n'est que la Commission européenne n'est, cette fois, pas appelée à se prononcer sur les « garanties appropriées » qui peuvent être apportées par un responsable de traitement en l'absence de décision d'adéquation.

Le règlement et la directive imposent l'un et l'autre au législateur national de donner à l'autorité de contrôle nationale le pouvoir de porter toute violation des règles qu'ils instituent à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice « d'une manière ou d'une autre » en vue de faire appliquer ces règles ^{113 ( * )} .

3. L'ouverture d'une voie de recours à la CNIL contre les décisions de la Commission européenne relatives au transfert de données

La procédure prévue à l'article 70 de la loi n° 78-17 du 6 janvier 1978 sera bientôt caduque, puisque le règlement (UE) 2016/679 du 27 avril 2016 met fin, pour la plupart des traitements de données, au régime d'autorisation ou de déclaration préalable qui prévalait jusqu'ici. L'article 21 du projet de loi prévoit donc d'adapter cette procédure au nouveau régime de consultation préalable de la CNIL en cas de risque élevé indiqué par l'analyse d'impact du traitement. Toutefois, les nouvelles dispositions proposées lui paraissant soit redondantes avec le règlement, soit contraires à celui-ci, votre commission a préféré proposer l'abrogation pure et simple de l'article 70 de la loi n° 78-17 du 6 janvier 1978 ^{114 ( * )} .

Redondances et disparités entre l'article 70 (modifié) de la loi n° 78-17 du 6 janvier 1978 et le règlement (UE) 2016/679 du 27 avril 2016

Source : commission des lois du Sénat

L'article 17 du projet de loi, quant à lui, définit la voie de recours ouverte à la CNIL lorsqu'elle souhaite contester la validité d'une décision prise par la Commission européenne relative au transfert de données personnelles vers un pays tiers.

Saisie d'une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la CNIL pourrait ainsi, dans le cas où elle estimerait fondés les griefs avancés, demander au Conseil d'État d'ordonner la suspension du transfert de données en cause, le cas échéant sous astreinte, et assortir ses conclusions d'une demande de question préjudicielle à la Cour de justice de l'Union européenne en vue d'apprécier la validité de la décision d'adéquation prise par la Communauté européenne et des tous les actes pris par celle-ci autorisant ou approuvant les « garanties appropriées » prévues à l'article 45 du règlement (UE) 2016/679 du 27 avril 2016. En dehors de toute réclamation, la CNIL disposerait de la même faculté « de manière générale » afin d'assurer la protection des droits et libertés des personnes à l'égard du traitement de leurs données à caractère personnel.

La CNIL pourrait saisir le Conseil d'État dans les mêmes conditions aux fins d'ordonner la suspension d'un transfert de données fondé sur une décision d'adéquation prise par la Commission européenne en application de la directive (UE) n° 2016/680 du 27 avril 2016, sauf lorsque le transfert de données en cause est effectué par une juridiction dans l'exercice de sa fonction juridictionnelle. Cette restriction s'impose, selon le considérant 80 de ladite directive, « afin de préserver l'indépendance des juges dans l'accomplissement de leurs missions judiciaires » ^{115 ( * )} .

À l'initiative de son rapporteur, votre commission a apporté à cet article quelques améliorations rédactionnelles ( amendement COM-67 ) et procédé à une coordination dans le code pénal ( amendement COM-90 ).

Votre commission a adopté l'article 17 ainsi modifié .

Article 17 bis (nouveau) - Nullité de certaines clauses contractuelles

L'article 17 bis du projet de loi vise à favoriser, pour le consommateur accédant à Internet, un choix de services diversifiés et offrant les meilleures garanties de protection des données personnelles. Il est issu d'un amendement COM - 14 de notre collègue Claude Raynal.

Votre rapporteur partage l'objectif louable de cet amendement : il s'agit, très concrètement, d'éviter que les utilisateurs de terminaux mobiles soient enfermés dans un écosystème dominé par un seul opérateur et d'empêcher, par exemple, que certains fabricants de terminaux se voient imposer de proposer aux utilisateurs certains services installés par défaut, sans alternative et collectant des données à caractère personnel pour les monétiser.

Il s'agit néanmoins, selon votre rapporteur, d'un problème qui ne pourra être réglé de façon pérenne et réellement satisfaisante que grâce aux instruments juridiques les mieux appropriés, ceux qui relèvent du droit de la concurrence ou ceux qui régissent les pratiques commerciales. Le droit des données personnelles ne lui paraît pas ici le meilleur outil pour résoudre cette situation .

Le mécanisme proposé par l'amendement, qui crée une cause de nullité des clauses contractuelles entre responsables de traitement et les tiers, n'est, en outre, pas d'une grande clarté et votre rapporteur admet que l'on puisse s'interroger sur le caractère proportionné et suffisamment justifié par un motif d'intérêt général de l'atteinte à la liberté contractuelle.

Néanmoins, en adoptant cet amendement d'appel, avec le soutien de son rapporteur, votre commission a souhaité, d'une part, envoyer un signal politique au Gouvernement sur l'urgence d'apporter des réponses rapides et concrètes à ce problème et, d'autre part, disposer d'une première base de travail afin que le débat s'engage en séance publique.

Votre commission a adopté l'article 17 bis ainsi rédigé.

TITRE III - DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2009/977/JAI DU CONSEIL

Les articles 18 et 19 qui composent le titre III du projet de loi tendent à transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2009/977/JAI du Conseil.

La directive doit être transposée avant le 6 mai 2018.

1. Les objectifs de la directive (UE) 2016/680

La directive 95/46 a doté l'Union européenne d'un premier cadre de protection des données personnelles. Cette directive ne s'appliquait néanmoins pas aux activités relevant du pilier interétatique relatif à la justice et aux affaires intérieures (dit « JAI »).

Après les attentats terroristes de Londres de 2005, les États membres de l'Union européenne ont souhaité faciliter les échanges d'informations dans le cadre des enquêtes : cette volonté politique s'est traduite par l'adoption de la décision-cadre 2008/977/JAI  qui a permis d'harmoniser les règles relatives aux traitements à des fins de prévention, de détection, d'enquêtes, de poursuites ou d'exécution des sanctions en matière pénale (soit pour les fichiers dit « de souveraineté »). Ces règles ne s'appliquaient néanmoins qu'aux échanges de fichiers entre États membres ou entre États membres et États tiers de l'Union européenne.

Les États membres ont souhaité poursuivre le renforcement de l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière . La facilitation des échanges d'informations entre autorités nationales supposait une clarification du cadre juridique applicable aux transferts de données hors de l'Union européenne vers des États tiers mais également une harmonisation des règles nationales afin d'assurer dans tous les États membres un niveau élevé de protection des données à caractère personnel . Par cohérence avec les règles posées par le règlement (UE) 2016/679, la directive (UE) 2016/680 tend à affirmer des droits pour les personnes concernées (droit à l'information, droit d'accès, droit de rectification ou d'effacement des données et droit de limitation des données) qui peuvent faire l'objet de restrictions, mais également des obligations pour les responsables de traitements .

2. Le champ d'application de la directive

La directive est applicable à tout traitement de données à caractère personnel qui dépend d'une autorité « compétente » à des finalités de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Les dispositions de la directive sont applicables lorsque sont remplies deux conditions cumulatives tenant :

- à la nature de l'autorité chargée de traiter les données à caractère personnel ; est une autorité compétente l'autorité judiciaire, la « police », toute autorité répressive, tout organisme ou entité à qui le droit national confie l'exercice de l'autorité publique ou des prérogatives de puissance publique ;

- et aux finalités du traitement.

À défaut de la réunion de ces deux conditions, dès lors que le traitement relève du droit de l'Union, les dispositions du règlement (UE) 2016/679 s'applique.

Le tableau ci-après illustre la détermination du cadre légal applicable.

Détermination du cadre légal applicable

Source : commission des lois du Sénat

Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Droit à l'information en matière pénale - Suppression de certains régimes d'exercice indirect du droit d'accès

L'article 18 du projet de loi vise à adapter la loi n° 78-17 du 6 janvier 1978 à certaines dispositions de la directive (UE) 2016/680.

1. Le régime actuel des traitements de données à caractère personnel en matière pénale : des droits limités pour les personnes concernées

Actuellement, il existe un régime dérogatoire pour les traitements de données à caractère personnel en matière pénale et pour les fichiers dits de police permettant de déroger à certains droits ou d'en moduler les effets afin de tenir compte des finalités poursuivies par ces fichiers.

a) L'absence de droit à l'information de la personne concernée en matière pénale

En application du VI de l'article 32 de la loi n° 78-17 du 6 janvier 1978, le droit à l'information ne s'applique pas aux traitements ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Dans la mesure où une telle limitation est « nécessaire au respect des fins poursuivies par le traitement », le droit à l'information ne s'exerce pas non plus pour les traitements mis en oeuvre pour le compte de l'État et intéressant la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement, en application du V du même article 32.

b) L'exercice indirect du droit d'accès, de rectification et d'effacement

Pour certains traitements, et notamment les traitements intéressant la sécurité publique ou qui ont pour mission de prévenir, rechercher ou constater des infractions, le droit d'accès peut être prévu par l'acte d'autorisation : dans cette hypothèse, il s'exerce de manière indirecte , en application des articles 41 et 42 de la loi n° 78-17 du 6 janvier 1978.

La demande est adressée par la personne concernée à la CNIL « qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires . » Avec l'accord du responsable du traitement, ces données peuvent être communiquées au requérant. Si la communication de l'acte réglementaire portant création du fichier ne met pas en cause les finalités de celui-ci, le responsable du traitement peut transmettre ce dernier.

2. Les innovations de la directive (UE) 2016/680 pour les droits des personnes concernées

Pour les traitements de données à caractère personnel concernés ^{116 ( * )} , la directive (UE) 2016/680 affirme de nouveaux droits pour les personnes concernées.

a) L'affirmation d'un droit à l'information de la personne concernée par l'article 13 de la directive (UE) 2016/680

L'article 13 de la directive (UE) 2016/680 consacre, en matière pénale ^{117 ( * )} , un droit à l'information pour la personne concernée par un traitement de données à caractère personnel.

Sous réserve de la prise en compte des droits fondamentaux et des intérêts légitimes de la personne concernée, les États membres peuvent, par la loi, « retarder ou limiter la fourniture des informations à la personne concernée » ou « ne pas fournir ces informations » pour certaines catégories de traitement afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui.

b) Un droit d'accès, de rectification et d'effacement des données

L'article 14 de la directive (UE) 2016/680 affirme, sous réserve des limitations prévues par l'article 15, le droit d'accès des personnes concernées aux traitements dont elles font l'objet.

Comparaison des exigences liées au droit d'accès

L'article 15 de la directive autorise certaines restrictions à ce droit d'accès.

Pour certaines catégories de traitement définies par la loi et sous réserve de la prise en compte des droits fondamentaux et des intérêts légitimes de la personne concernée, les États membres peuvent, par la loi, supprimer ou limiter le droit d'accès afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, dès lors qu'une telle limitation constitue « une mesure nécessaire et proportionnée dans une société démocratique ».

En cas de restriction, partielle ou totale, du droit d'accès, le responsable de traitement doit informer, par écrit, la personne concernée de cette mesure ainsi que des motifs. Cette information n'a pas à être fournie lorsqu'elle risque de compromettre les objectifs liés à la protection de la sécurité, des droits et libertés d'autrui ou à la prévention, détection, d'infractions pénales, aux enquêtes, recherches, procédures, poursuites ou à l'exécution des sanctions pénales.

c) L'affirmation d'un droit de rectification ou d'effacement et de limitation du traitement

L'article 16 de la directive (UE) 2016/680 consacre le droit pour les personnes concernées d'obtenir du responsable de traitement « dans les meilleurs délais » que toute information inexacte soit rectifiée et que toute information incomplète soit complétée.

La personne peut obtenir le droit à l'effacement de ses données :

- lorsque le traitement ne respecte pas les principes de licéité, de sécurité, de compatibilité avec les finalités légitimes, de conservation pour une durée adaptée, d'exactitude des données,

- lorsqu'il porte de manière illicite sur des données dites sensibles,

- ou lorsqu'une obligation légale l'exige.

Lorsqu'il ne peut être déterminé si des données sont exactes ou non (et que la contestation porte sur l'exactitude des données) ou lorsque les données doivent être conservées à des fins probatoires , le responsable de traitement peut « limiter » le traitement plutôt que de procéder à l'effacement des données : par exemple, restreindre le champ de recherches dans ce fichier.

Tout refus de rectifier, d'effacer des données ou de limiter le traitement, donne lieu à une information de la personne, notamment concernant les motifs de refus. Sous réserve de la prise en compte des droits fondamentaux et des intérêts légitimes de la personne concernée, les États membres peuvent, par la loi, limiter, voire supprimer ce droit à l'information concernant ce refus afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, dès lors qu'une telle restriction constitue « une mesure nécessaire et proportionnée dans une société démocratique ».

d) Des droits s'exerçant, par principe, de manière directe

Si ces droits s'exercent, par principe, de manière directe, l'article 17 de la directive (UE) 2016/680 autorise un exercice indirect en cas de restriction, via l'autorité de contrôle (c'est-à-dire la CNIL).

3. L'objet de l'article 18 du projet de loi : assurer les coordinations nécessaires

La plupart des droits créés par la directive ne sont pas garantis par les dispositions actuelles de la loi n° 78-17 du 6 janvier 1978 : l'article 19 du projet de loi tend à les créer. Par cohérence, l'article 18 du projet de loi vise à assurer les coordinations nécessaires dans la loi Informatique et libertés en supprimant les dispositions inutiles au regard des dispositions créées par l'article 19 du projet de loi ^{118 ( * )} .

Par ailleurs, les traitements intéressant la sécurité publique relèvent, en principe, du champ d'application de la directive. Votre rapporteur s'est interrogée sur la pertinence de l'article 18 du projet de loi qui prévoit, concernant ces fichiers, de continuer à les soumettre au régime des fichiers intéressant la sûreté de l'État ou de la défense, « sans préjudice de l'application des dispositions du chapitre XIII » pour les seuls fichiers intéressant la sécurité publique.

Votre rapporteur regrette cette articulation maladroite et peu claire retenue par le projet de loi entre les dispositions générales de la loi n° 78-17 du 6 janvier 1978 et les dispositions de cette même loi concernant les seuls fichiers relevant du champ d'application de la directive (UE) 2016/680. Une intervention législative sera nécessaire pour clarifier l'agencement des dispositions de la loi « Informatique et libertés » : dans cette perspective, votre rapporteur invite le Gouvernement à mieux différencier le régime applicable aux fichiers intéressant la sûreté de l'État ou la défense, qui ne relèvent pas du droit de l'Union européenne, des fichiers intéressant seulement la sécurité publique, qui relève du champ d'application de la directive.

Sous cette réserve, votre commission a adopté l'article 18 sans modification .

Article 19 (art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données à caractère personnel en matière pénale

L'article 19 du projet de loi vise à transposer les règles applicables au traitement de données à caractère personnel prévues par la directive (UE) 2016/680, qui auront vocation à s'appliquer par dérogation aux autres dispositions de la loi n° 78-17 du 6 janvier 1978. À cet effet, il prévoit la création d'un nouveau chapitre XIII de la loi n° 78-17 du 6 janvier 1978 composé de 27 articles numérotés 70-1 à 70-27.

Votre rapporteur examinera ces nouvelles dispositions, article par article, selon les quatre sections prévues par le nouveau chapitre XIII de la loi n° 78-17 du 6 janvier 1978.

SECTION 1 : DISPOSITIONS GÉNÉRALES (ART. 70-1 À ART. 70-10)

1. Champ d'application du nouveau chapitre XIII et conditions de licéité des traitements concernés (nouvel article 70-1 de la loi n° 78-17 du 6 janvier 1978)

• Le nouvel article 70-1 de la loi n° 78-17 du 6 janvier 1978 a pour objet de préciser le champ d'application des dispositions qui seraient définies dans le nouveau chapitre XIII de la loi « Informatique et libertés », en application de la directive (UE) 2016/680.

Les dispositions de la directive ont vocation à régir tout traitement de données à caractère personnel, effectué par une autorité dite compétente (soit l'autorité judiciaire, la police, toute autorité répressive, tout organisme ou entité à qui le droit national confie l'exercice de l'autorité publique ou des prérogatives de puissance publique) à des fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales , y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Sur ce point, le projet de loi se contente de reprendre, quasiment mot pour mot, le champ d'application défini par la directive : l'article 19 transpose à l'identique les finalités des traitements concernés et définit en tant qu'autorité compétente « toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié [...] l'exercice de l'autorité publique et des prérogatives de puissance publique ». À l'initiative de notre collègue députée Mme Paula Forteza, rapporteure, la commission des lois de l'Assemblée nationale a adopté un amendement rédactionnel visant à améliorer cette écriture.

Selon votre rapporteur, celle-ci demeure néanmoins perfectible. S'il est nécessaire de se conformer aux exigences du texte européen, il est néanmoins préférable de préciser les notions utilisées par la directive en mobilisant les termes utilisés en droit français. Ainsi, votre rapporteur n'approuve pas le choix du projet de loi de ne pas préciser explicitement les « autorités compétentes » concernées par ces dispositions : pourquoi ne pas mentionner l'autorité judiciaire ? Pourquoi ne pas mentionner, par renvoi, les autorités répressives, les forces de sécurité intérieure par exemple ou encore les douanes ? Dans la perspective de la clarification de la loi n° 78-17 du 6 janvier 1978, il conviendra de prendre en compte la nécessité de définir clairement les autorités compétentes en droit français. Votre rapporteur souligne néanmoins qu'une disposition générale devrait être maintenue pour certaines dispositions qui y font référence, notamment pour les « autorités compétentes » des États non membres de l'Union européenne.

• L'article 70-1 vise également à transposer l'article 8 de la directive. Selon cet article et le considérant 33, un traitement de données à caractère personnel en matière pénale n'est licite que si le traitement est nécessaire à l'exécution d'une mission effectuée par une autorité compétente, pour les finalités énoncées précédemment, et que ce traitement est fondé sur une base juridique suffisamment claire et précise .

Les dispositions du droit national doivent, au minimum, définir les objectifs du traitement, les données à caractère personnel concernées et les finalités du traitement.

Si la rédaction de l'article 70-1 proposée par l'article 19 du projet de loi ne mentionne pas explicitement cette obligation, il est précisé que doivent être respectées les dispositions du nouvel article 70-3 imposant un acte réglementaire préalable pour les fichiers mis en oeuvre pour le compte de l'État ou les traitements portant sur des données sensibles et du nouvel article 70-4 qui impose la réalisation d'une analyse d'impact relative à la protection des données à caractère personnel en cas de risque élevé pour les droits et les libertés des personnes physiques. À l'initiative de notre collègue députée Mme Danielle Obono, la commission des lois de l'Assemblée nationale a précisé que le traitement devait assurer « la proportionnalité de la durée de conservation des données personnelles, compte tenu de l'objet du fichier et de la nature ou de la gravité des infractions concernées ».

• Enfin, l'article 70-1 vise à préciser la définition des notions utilisées dans le nouveau chapitre XIII : lorsqu'elles ne sont pas définies dans le chapitre I ^er de la loi n° 78-17 du 6 janvier 1978, les définitions de l'article 4 du règlement (UE) 2016/679 s'appliquent.

2. Autorisation des traitements (nouveaux articles 70-2 à 70-4 de la loi n° 78-17 du 6 janvier 1978)

e) Les règles applicables aux traitements des données sensibles (nouvel article 70-2)

• Les exigences posées par l'article 10 de la directive

En application de l'article 10 de la directive, les traitements concernant certaines données « sensibles ^{119 ( * )} » ne peuvent être autorisés que si trois conditions sont réunies :

- en cas de nécessité absolue,

- sous réserve de garanties appropriées pour les droits et libertés des personnes ,

- lorsqu'ils sont autorisés par le droit de l'Union ou le droit national, ou pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ou lorsqu'ils portent sur des données manifestement rendues publiques par la personne concernée.

• Les règles actuellement définies en droit français

Si l'article 8 de la loi n° 78-17 du 6 janvier 1978 interdit, en principe, le traitement de données « sensibles », il autorise également de nombreuses exceptions dès lors que « la finalité du traitement l'exige » , sans garanties particulières ^{120 ( * )} .

Surtout, ne sont pas soumis à cette interdiction de principe les traitements mis en oeuvre pour le compte de l'État, justifiés par l'intérêt public, qui « intéressent la sûreté de l'État, la défense ou la sécurité publique » ou « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » . Ces traitements sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la CNIL.

Les règles actuelles concernant les fichiers qui relèvent du champ d'application de la directive, à savoir ceux qui intéressent la sécurité publique ou qui concernent la prévention et la répression des infractions pénales, ne respectent donc pas les exigences de la directive.

Comparaison du champ des « catégories particulières de données à caractère personnel » ou données dites « sensibles »

• L'encadrement des traitements des données sensibles prévu par le nouvel article 70-2 de la loi n° 78-17 du 6 janvier 1978

Conformément aux exigences de la directive, le nouvel article 70-2, qui serait créé par l'article 19 du projet de loi, vise à préciser que les traitements de données à caractère personnel portant sur des données dites sensibles, dans le champ d'application défini à l'article 70-1, ne sont possibles qu'en cas de « nécessité absolue », « sous réserve de garanties appropriées pour les droits et libertés de la personne concernée » et dans trois hypothèses :

- s'ils sont prévus par un acte législatif ou réglementaire,

- s'ils ont pour objet de protéger les intérêts vitaux d'une personne physique,

- s'ils portent sur des données manifestement rendues publiques par la personne concernée.

Votre rapporteur regrette que le Gouvernement n'ait pas souhaité précisé quelles étaient « les garanties appropriées pour les droits et libertés de la personne concernée ». Il appartient au législateur, et non au pouvoir réglementaire, de préciser ces garanties à l'occasion de la création de tels fichiers par la loi. Enfin, votre commission a adopté, à l'initiative de votre rapporteur, un amendement rédactionnel COM-68 visant à préciser la première hypothèse.

f) Les formalités préalables à la création des fichiers (nouvel article 70-3)

Actuellement, les fichiers entrant dans le champ d'application de la directive sont soumis à une autorisation préalable de la CNIL ou, pour ceux mis en oeuvre pour le compte de l'État, créés par un arrêté ministériel ou un décret en Conseil d'État après avis de la CNIL.

Conformément à la philosophie portée par le règlement (UE) 2016/679, la directive (UE) 2016/680 n'impose pas de formalités préalables pour les fichiers relevant de son champ d'application.

Néanmoins, comme l'a souligné le Conseil d'État dans son avis ^{121 ( * )} , l'article 1 ^er de la directive précise que celle-ci « n'empêche pas les États membres de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés » des personnes concernées. Son considérant 15 souligne que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu'elles offrent » et qu'il convient que les États « ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive. »

À l'invitation du Conseil d'État, l'article 19 du projet de loi, par la création de ce nouvel article 70-3 de la loi n° 78-17 du 6 janvier 1978, vise à maintenir un encadrement pour les fichiers mis en oeuvre pour le compte de l'État, en imposant soit un arrêté ministériel, soit un décret en Conseil d'État, pris après avis motivé et publié de la CNIL pour les fichiers portant sur des données dites sensibles.

Votre rapporteur approuve cet ajout et estime qu'il conviendrait de maintenir les formalités préalables pour tous les fichiers entrant dans le champ d'application de la directive, et pas seulement pour les fichiers mis en oeuvre pour le compte de l'État. En matière pénale, il lui semblerait paradoxal que les fichiers de l'État soient plus encadrés que les fichiers mis en oeuvre par des personnes morales qui peuvent être tout aussi dangereux pour les droits et libertés des personnes.

En conséquence, votre commission a adopté, à l'initiative de votre rapporteur, un amendement COM-69 rect. visant à soumettre tout traitement entrant dans le champ d'application du nouvel article 70-1, et qui ne serait pas mis en oeuvre pour le compte de l'État, à l'autorisation préalable de la CNIL , conformément au droit actuellement en vigueur .

g) Le régime de l'analyse d'impact et de la consultation préalable de la CNIL (nouvel article 70-4)

• Les exigences posées par les articles 27 et 28 de la directive

En application de l'article 27 de la directive (UE) 2016/679, tout traitement susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques doit faire l'objet d'une analyse de l'impact des opérations de traitement envisagées .

Ce risque s'évalue au regard du recours à de « nouvelles technologies » et au regard de la nature, de la portée, du contexte et des finalités du traitement.

En application de l'article 28 de la directive (UE) 2016/679, lorsque l'analyse d'impact indique, pour un traitement, un risque élevé pour les droits et les libertés des personnes physiques ou lorsqu'un type de traitement présente ce même risque (notamment en raison de l'utilisation « de nouveaux mécanismes, technologies ou procédures » ), le responsable du traitement ou le sous-traitant doit consulter l'autorité de contrôle, c'est-à-dire la CNIL.

• Le régime proposé par le projet de loi

Une transposition de ces dispositions apparaît nécessaire : aucune disposition ne prévoit actuellement de dispositif équivalent à celui imposé par la directive.

Par la création d'un nouvel article 70-4, l'article 19 du projet de loi prévoit la réalisation d'une analyse d'impact relative à la protection des données à caractère personnel de manière systématique lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Tout traitement portant sur des données dites sensibles serait nécessairement considéré comme susceptible d'engendrer un risque élevé. Le nouvel article 70-4 prévoit la consultation de la CNIL, postérieurement à la réalisation d'analyses d'impact, dans les mêmes conditions que celles prévues par la directive.

Une nouvelle fois, votre rapporteur déplore l'absence de volonté du Gouvernement de réellement adapter les dispositions de la directive au droit français. En raison du caractère flou des termes utilisés, il sera délicat pour les responsables de traitement de savoir s'ils doivent ou non consulter préalablement la CNIL. Les ambiguïtés de ces dispositions sont cependant levées par la modification de l'article 70-3 par l' amendement COM-69 rect. de votre rapporteur, qui impose l'autorisation préalable de la CNIL pour tous les fichiers relevant du champ d'application de la directive, à l'exception des fichiers mis en oeuvre pour le compte de l'État.

Par ailleurs, à l'initiative de votre rapporteur, votre commission a adopté un amendement COM-70 visant à préciser le contenu de l'analyse d'impact, par renvoi au 7 de l'article 35 du règlement (UE) 2016/679.

3. L'encadrement des réutilisations ultérieures des données (nouveaux articles 70-5 à 70-7 de la loi n° 78-17 du 6 janvier 1978)

• Les exigences posées par les articles 4 et 9 de la directive

Complétant le deuxième principe général applicable à la protection des données, les articles 4 et 9 de la directive (UE) 2016/680 encadrent les « traitements ultérieurs ».

L'article 9 de la directive précise que, par principe, les données collectées pour une finalité ne peuvent pas être traitées à d'autres fins.

Ce principe n'interdit pas des traitements de données pour une autre finalité que celle pour laquelle les données ont été collectées :

- à la double condition que le responsable dudit traitement soit autorisé à traiter ces données pour cette autre finalité, en application du droit de l'Union ou du droit national et que ce traitement soit nécessaire et proportionné, en application du deuxième paragraphe de l'article 4 de la directive (UE) 2016/680 ;

- ou pour l'archivage dans l'intérêt public, à des fins scientifiques, statistiques ou historiques, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, en application du troisième paragraphe de l'article 4 de la directive (UE) 2016/680 ;

- ou en cas d'exception prévue par le droit national ou le droit de l'Union, en application du premier paragraphe de l'article 9 de la directive (UE) 2016/680. Dans cette hypothèse, si le traitement est effectué dans le cadre d'une activité relevant du champ d'application de l'Union, le règlement (UE) 2016/679 s'applique.

• La conformité du droit en vigueur à la directive

Si le droit français semble en conformité avec les grands principes définis au premier paragraphe de l'article 4 de la directive (UE) 2016/680, néanmoins, aucune disposition n'est prévue actuellement concernant l'encadrement des traitements ultérieurs, soit les traitements utilisant les données à d'autres finalités que celles pour lesquelles elles ont été collectées.

Par la création d'un nouvel article 70-5 et des articles 70-6 et 70-7, l'article 19 du projet de loi vise à « transposer » respectivement les dispositions de l'article 9 et de l'article 4 de la directive.

Tableau de correspondance

Concernant la rédaction proposée du nouvel article 70-5, votre rapporteur regrette, une nouvelle fois, que le projet de loi se contente de reprendre, mot pour mot, l'article de la directive .

Concernant la rédaction proposée du nouvel article 70-6, votre rapporteur s'est interrogée sur le risque d'une sous-transposition des exigences du paragraphe 2 de l'article 4  concernant l'encadrement de ces traitements « ultérieurs » : à son initiative, votre commission a adopté un amendement COM-71 visant à souligner que sous réserve des conditions prévues par les chapitres I ^er et XIII de la loi n° 78-17 du 6 janvier 1978, ces traitements « ultérieurs », à d'autres finalités que celles pour lesquelles les données ont été collectées, ne sont licites que s'ils sont nécessaires et proportionnés à cette finalité.

4. Précision concernant le principe d'exactitude (nouvel article 70-8 de la loi n° 78-17 du 6 janvier 1978)

Le principe d'exactitude des données est un des principes généraux de la protection des données à caractère personnel garantis par la directive. Comme le précise le considérant 30, l'application de ce principe doit tenir compte de la nature et de la finalité du traitement concerné. Les fichiers en matière de police et de justice sont susceptibles de traiter des données fondées sur des perceptions subjectives : le principe d'exactitude n'impose pas l'exactitude du fait énoncé mais l'exactitude de la déclaration quant à ce fait énoncé.

Dans ce cadre, l'article 7 de la directive précise que les traitements distinguent, dans la mesure du possible, les données fondées sur des faits des données fondées sur des appréciations personnelles.

Puisqu'aucune distinction n'est exigée en droit français, l'article 19 du projet de loi, par la création d'un nouvel article 70-8, vise à transposer ce principe.

5. L'interdiction, sauf exception, des décisions individuelles automatisées (nouvel article 70-9 de la loi n° 78-17 du 6 janvier 1978)

• Le principe posé par la directive

En application de l'article 11 de la directive, est interdite toute décision fondée exclusivement sur un traitement automatisé, « y compris le profilage » , qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative.

Par exception, une telle décision peut être autorisée par le droit national s'il existe des garanties appropriées pour les droits et libertés de la personne concernée. Parmi ces garanties, figure nécessairement et a minima le droit d'obtenir une intervention humaine de la part du responsable de traitement.

En principe, une telle décision ne peut être fondée sur les données « sensibles ». Par exception, le deuxième paragraphe de l'article 11 autorise une telle décision en cas de « mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ». Le dernier paragraphe de l'article 11 souligne le fait qu'est interdit tout profilage qui entraîne une discrimination sur la base des données dites « sensibles », conformément au droit de l'Union.

• Le droit français actuel

L'encadrement juridique actuel des décisions individuelles prises sur le fondement d'un traitement automatisé de données, qui s'applique tant aux traitements régis par le règlement (UE) 2016/679 qu'à ceux régis par la directive (UE) 2016/680, n'est pas exempt de toute ambiguïté ^{123 ( * )} .

L'article 10 de la loi n° 78-17 du 6 janvier 1978 interdit de fonder une décision de justice impliquant une appréciation du comportement d'une personne sur un traitement automatisé de données à caractère personnel utilisant des techniques de profilage. Cette disposition apparaît plus protectrice que les exigences de la directive ; en effet, celle-ci n'interdit pas de fonder une décision de justice exclusivement sur un traitement automatisé de données dès lors qu'il existe des garanties appropriées.

Est également interdite toute décision produisant des effets juridiques (et non pas seulement des effets défavorables, contrairement à la directive) prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à « définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité », soit sur le fondement d'algorithmes de profilage ^{124 ( * )} .

Le même article précise deux « exceptions » à cette interdiction :

• n'est pas considérée comme une décision individuelle exclusivement automatisée, et est donc autorisée , toute décision pour laquelle une personne peut présenter des observations dans le cadre d'une relation contractuelle ;

• n'est pas considérée comme une décision individuelle exclusivement automatisée, et est donc autorisée , toute décision répondant favorablement à une demande de la personne concernée.

La conformité des règles définies par l'article 10 de la loi n° 78-17 du 6 janvier 1978 aux exigences de la directive apparait difficile à évaluer, principalement parce que le droit français est actuellement muet sur les décisions individuelles automatisées, prises sur un autre fondement qu'une technique de profilage.

• Le régime proposé par le projet de loi

Par la création d'un nouvel article 70-9, l'article 19 du projet de loi propose à la fois un régime plus protecteur que celui strictement exigé par la directive (en excluant toute décision produisant des effets juridiques - mêmes favorables - fondée exclusivement sur un traitement automatisé de données et toute décision de justice fondée, même de manière non exclusive, sur un traitement automatisé de données) et moins protecteur (en n'excluant pas les décisions fondées exclusivement sur un traitement automatisé de données qui « affecte de manière significative » une personne).

En la matière, qui concerne principalement les fichiers pénaux, contrairement aux domaines qui relèvent du champ d'application du règlement, le Gouvernement a choisi de ne pas prévoir d'exception à cette interdiction. Votre rapporteur partage ce choix.

Par coordination avec les modifications effectuées à l'article 14 du projet de loi, concernant l'encadrement des décisions individuelles automatisées dans le champ d'application du règlement (UE) 2016/679, votre commission a adopté l' amendement COM-72 de votre rapporteur visant à clarifier le fait qu'aucune décision de justice ne peut être fondée sur le profilage et qu'aucune décision produisant des effets juridiques ou affectant une personne de manière significative ne peut être prise sur le fondement exclusif d'un traitement automatisé de données.

Enfin, à la demande du Conseil d'État et conformément au troisième paragraphe de l'article 11 de la directive, le nouvel article 70-9 préciserait que tout profilage entraînant une discrimination serait interdit. Par l'adoption du même amendement COM-72 de précision, votre commission a renvoyé aux définitions de la discrimination mentionnées à l'article 225-1 du code pénal et à l'article 1 ^er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d'adaptation au droit communautaire dans le domaine de la lutte contre les discriminations .

6. Les règles de responsabilité concernant le sous-traitant (nouvel article 70-10)

• Les obligations définies aux articles 22 et 23 de la directive

À l'instar des articles 28 et 29 du règlement (UE) 2016/679, les articles 22 et 23 de la directive (UE) 2016/680 organisent un régime de sous-traitance distinct des devoirs de sécurité (prévus à l'article 29 de la directive) :

• le responsable de traitement ne peut choisir que des sous-traitants présentant des garanties suffisantes pour la prise de « mesures techniques et organisationnelles appropriées » ;

• tout recrutement d'un autre sous-traitant par le sous-traitant n'est possible qu'avec une autorisation écrite préalable , spécifique ou générale du responsable de traitement ;

• une organisation contractuelle (ou un autre acte juridique) spécifique, par un document écrit, est nécessaire entre le responsable de traitement et le sous-traitant.

La directive précise les mentions contractuelles obligatoires, qui diffèrent de celles prévues par le règlement : le contrat définit l'objet, la durée, la nature et la finalité du traitement, le type de données, les personnes concernées, les obligations et les droits du responsable de traitement et prévoit, a minima , que le sous-traitant :

- n'agit que sur instruction du responsable de traitement ;

- veille au respect de la confidentialité des données ;

- aide le responsable de traitement à veiller au respect des droits de la personne concernée ;

- supprime ou renvoie les données concernées au terme de la prestation de service, sauf en cas d'obligation légale de conservation des données ;

- met à disposition du responsable de traitement toutes les informations nécessaires pour apporter la preuve du respect de ce cadre.

Comme l'article 29 du règlement (UE) 2016/679, l'article 23 de la directive réitère le principe selon lequel tout sous-traitant, même secondaire, ne peut traiter les données à caractère personnel que sur instruction du responsable de traitement, sauf obligation légale.

• Un droit en vigueur partiellement conforme

En application de l'article 17 de la directive de 1995, au titre des devoirs de sécurité, un régime spécifique de la sous-traitance devait déjà être organisé en droit français. Un contrat ou un acte juridique obligatoire devait nécessairement lier le responsable de traitement et le sous-traitant ; cet acte devait préciser les mesures de sécurité à prendre et le principe selon lequel le sous-traitant n'agit que sur instruction du responsable de traitement.

Conformément à ce cadre européen, l'article 35 de la loi n° 78-17 du 6 janvier 1978 prévoit la possibilité d'une sous-traitance , encadrée par un contrat comportant nécessairement les obligations applicables en matière de sécurité et de confidentialité et précisant que le sous-traitant n'agit que sur instruction du responsable de traitement . Le sous-traitant doit présenter « des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité ».

• Le cadre légal proposé par le projet de loi

Par la création d'un nouvel article 70-10 de la loi n° 78-17 de la loi du 6 janvier 1978, l'article 19 du projet de loi vise à transposer les exigences de la directive non satisfaites par le droit actuel :

- l'encadrement du recours à un autre sous-traitant par le sous-traitant (2° de l'article 22 et article 23 de la directive)  - à cette fin, le nouvel article 70-10 renverrait aux paragraphes 1 et 2 de l'article 28 et à l'article 29 du règlement ;

- les mentions contractuelles obligatoires qui fixent des obligations aux sous-traitants (3° de l'article 22 de la directive) - à cette fin, le nouvel article 70-10 transpose les exigences de la directive tout en renvoyant les exigences relatives au contenu du contrat à un décret en Conseil d'État ;

- le fait que le sous-traitant doit être considéré comme un responsable de traitement si, en violation des règles énoncées par la directive, il détermine les finalités et les moyens du traitement (5° de l'article 22 de la directive) - à cette fin, le nouvel article 70-10 renverrait au paragraphe 10 du règlement.

À l'initiative de nos collègues Mathieu Darnaud et Jacques Genest, votre commission a adopté l' amendement COM-4 rect. visant à préciser que le contrat liant le sous-traitant au responsable de traitement précise les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.

SECTION 2 : OBLIGATIONS INCOMBANT AUX AUTORITÉS COMPÉTENTES ET AUX RESPONSABLES DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL (ART. 70-11 À ART. 70-17)

1. Obligation de mise à jour des données (nouvel article 70-11 de la loi n° 78-17)

Le nouvel article 70-11 vise à transposer les exigences définies par les paragraphes 2 et 3 de l'article 7 de la directive concernant la vérification de la fiabilité des données transmises ou mises à disposition et de leur mise à jour.

Les autorités compétentes auraient l'obligation de prendre « toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition ».

À cette fin, elles doivent « dans la mesure du possible » :

- vérifier la qualité de ces données avant transmission ou mise à disposition ;

- ajouter des informations qui permettront au destinataire des données de juger de l'exactitude, de l'exhaustivité, de la fiabilité et du niveau de mise à jour des données.

Lorsque seraient transmises des données inexactes ou de manière illicite, le destinataire en serait informé « sans retard » avant une rectification, un effacement des données concernées ou la limitation du traitement.

À nouveau, votre rapporteur regrette que l'article 70-11 tende à reprendre, mot pour mot, les paragraphes de la directive sans, par exemple, préciser concrètement les hypothèses recouvertes par la mention « dans la mesure du possible » .

S'il est nécessaire de conserver de la souplesse concernant l'obligation de préciser le contexte permettant d'évaluer l'exactitude de données, votre rapporteur considère que la mention « dans la mesure du possible » apparaît superfétatoire, voire contre-productive, pour le devoir de vérification de la qualité des données avant transmission.

Il est raisonnable de penser que tout fichier est susceptible de comporter des données inexactes : or, en matière pénale, il apparaît indispensable de tout mettre en oeuvre pour que les données soient exactes, complètes et mises à jour, a fortiori avant une transmission ou une mise à disposition d'un fichier. En conséquence, votre commission a adopté un amendement COM-74 de votre rapporteur visant à supprimer une occurrence de la mention « dans la mesure du possible ».

2. Obligation de distinction entre les personnes (nouvel article 70-12)

Le nouvel article 70-12 vise à transposer intégralement les exigences définies par l'article 6 de la directive concernant l'obligation de distinguer, « dans la mesure du possible » les données à caractère personnel relevant de différentes catégories de personnes, notamment mieux distinguer les suspects, des coupables, des victimes ou des tiers.

Les durées de conservation étant différentes selon les catégories, il est apparu souhaitable à votre commission que cette obligation soit effective : à l'initiative de notre collègue Claude Raynal, votre commission a adopté l' amendement COM-21 visant à rendre impérative la distinction des données entre victimes, mises en causes, témoins et personnes condamnées.

3. Obligations visant à garantir l'intégrité et la sécurité des données (nouvel article 70-13)

La directive impose, pour la protection des droits et libertés des personnes, l'adoption de mesures techniques et organisationnelles appropriées destinées à assurer la sécurité des données, adaptées au risque, avec des dispositions spécifiques pour les traitements de données dites sensibles ou les traitements automatisés.

Définies par les articles 19, 20 et 29 de la directive, plusieurs obligations générales, dont certaines sont identiques à celles prévues par le règlement, s'imposent aux responsables de traitement, ainsi qu'à leurs sous-traitants. Sont ainsi encouragés les principes de protection des données dès la conception (« privacy by design ») ou de protection par défaut (« privacy by default » ), de pseudonymisation ou encore de minimisation des données.

Le nouvel article 70-13, créé par l'article 19 du projet de loi, vise à transposer ces nouvelles obligations en prévoyant un renvoi au règlement européen pour les obligations de sécurité identiques à celles prévues par la directive.

L'article 70-13 vise à prévoir la possibilité de mesures techniques et organisationnelles spécifiques pour les données dites sensibles, sans que celles-ci ne soient définies par le projet de loi . La technicité de ces mesures et la grande évolutivité technologique des dispositifs de sécurité nécessaires imposent que celles-ci soient régulièrement définies par le pouvoir réglementaire.

Enfin, en application de l'article 29, pour les traitements automatisés, le projet de loi tend à inscrire dans la loi n° 78-17 du 6 janvier 1978, dix obligations à la charge du responsable de traitement et des sous-traitants.

4. Régime du registre et de la journalisation (nouveaux articles 70-14 à 70-15)

Selon le principe de responsabilisation et d'autocontrôle , l'article 24 de la directive impose aux responsables de traitement de tenir un registre écrit des activités de traitement afin de pouvoir démontrer la licéité du traitement, registre dont les conditions sont prévues de manière identique par l'article 30 du règlement (UE) 2016/679. L'article 25 impose, quant à lui, la tenue de journaux pour certaines opérations, notamment d'interconnexion.

En application du nouvel article 70-14 de la loi « Informatique et libertés » prévu par l'article 19 du projet de loi, les responsables de traitement et leurs sous-traitants devraient tenir un registre écrit des activités de traitement et mettre ce dernier à disposition de la CNIL. La plupart des informations devant figurer dans le registre sont précisées par renvoi à l'article 30 du règlement. L'article 70-14 tend également à préciser que le registre devrait comporter « la description générale des mesures visant à garantir un niveau de sécurité adapté au risque », notamment en ce qui concerne les traitements de données dites sensibles, « l'indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données (...) sont destinées et, le cas échéant, le recours au profilage ».

Conformément à l'article 25, le nouvel article 70-15 tend à obliger les responsables de traitement et leurs sous-traitants à tenir un journal pour certaines opérations de traitement, journal qui serait mis à disposition de la CNIL à des fins de « vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ». En vertu de l'article 24 du projet de loi ^{125 ( * )} , cette obligation serait reportée au plus tard au 6 mai 2023 lorsqu'une telle obligation « exigerait des efforts disproportionnés » , voire au 6 mai 2026, lorsqu'à défaut de report « il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé ».

5. Obligations de coopération avec la CNIL (nouvel article 70-16)

Conformément aux exigences de coopération posées par les articles 26, 30 et 31 de la directive, le nouvel article 70-16 vise, par un renvoi aux articles 31, 33 et 34 du règlement européen, à prévoir :

- une obligation générale de coopération avec la CNIL applicable au responsable de traitement et à tout sous-traitant (article 26 de la directive),

- des nouvelles obligations de notification et de communication en cas de violation des données personnelles ^{126 ( * )} (articles 30 et 31) :

o en cas de violation de données à caractère personnel, une notification à la CNIL doit, en principe, intervenir dans un délai de 72 heures après en avoir pris connaissance « à moins qu'il soit peu probable que la violation en question n'engendre des risques pour les droits et les libertés d'une personne physique »,

o en cas de risque élevé pour les droits et les libertés d'une personne physique, une communication à la personne concernée.

Conformément au paragraphe 6 de l'article 30 de la directive, le nouvel article 70-16 prévoit également une obligation de notification , dans les meilleurs délais, de violation des données personnelles à l'égard d'un autre État membre de l'Union européenne , lorsque ces informations ont été transmises par ce dernier.

Pour les traitements relevant uniquement du champ d'application de la directive, l'article 70-16 tend à préciser que la communication d'une violation à la personne concernée « peut être retardée, limitée ou ne pas être délivrée » afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, à condition que cette dérogation reste nécessaire et proportionnée et tienne compte des droits fondamentaux et des intérêts légitimes de la personne concernée.

Si votre rapporteur approuve cette disposition, elle regrette que le Gouvernement n'ait pas davantage précisé les critères encadrant cette possibilité de différer l'obligation de communication d'une violation de données à caractère personnel.

6. Le délégué à la protection des données (nouvel article 70-17)

À l'instar du règlement, l'article 32 de la directive (UE) 2016/680 impose, par principe, la désignation d'un délégué à la protection des données (DPD) dont les fonctions et les missions sont respectivement définies aux articles 33 et 34.

Se substituant en France au correspondant informatique et libertés (CIL), le délégué à la protection des données, qui peut être mutualisé, a pour missions de conseiller le responsable de traitement et ses employés, de contrôler le respect du droit en matière de protection des données et de coopérer avec la CNIL. Il doit présenter certaines garanties (qualités professionnelles, ressources, indépendance).

Le nouvel article 70-17 vise à prévoir la désignation d'un délégué à la protection des données, qui pourrait être mutualisé, tout en dispensant de cette désignation les juridictions, agissant dans l'exercice de leurs fonctions juridictionnelles , conformément à la faculté permise par l'article 32 de la directive.

Par renvoi aux dispositions identiques du règlement, le nouvel article 70-17 vise à transposer en droit français les fonctions et les missions du DPD.

SECTION 3 : DROITS DE LA PERSONNE CONCERNÉE PAR UN TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL (ART. 70-18 À ART. 70-24)

Les nouveaux articles 70-18 à 70-24 visent à mettre en conformité le droit français avec les droits à l'information, d'accès et de rectification ou d'effacement, consacrés, dans certaines limites, par les articles 13 à 18 de la directive.

1. Affirmation du droit à l'information, du droit d'accès et du droit de rectification ou d'effacement (nouveaux articles 70-18 à 70-20)

Par la création de nouveaux articles 70-18 à 70-20 de la loi n° 78-17 du 6 janvier 1978, l'article 19 du projet de loi vise à consacrer un droit à l'information , un droit d'accès et un droit de rectification ou d'effacement (ou à défaut de limitation du traitement) pour la personne concernée par un traitement de données à caractère personnel entrant dans le champ d'application de la directive ^{127 ( * )} .

À l'instar de la grande majorité des articles insérés dans la loi « Informatique et libertés » par le présent article du projet de loi, ces nouveaux articles tendent à reprendre, mot pour mot, les dispositions de la directive. Votre rapporteur n'a pas été convaincue par la pertinence d'une telle technique légistique et regrette, à l'instar de la CNIL ^{128 ( * )} , que ce projet de loi « sous-tranpose » les exigences de la directive : par exemple, concernant la création de l'article 70-18, alors que l'article 13 de la directive impose que dans certains cas particuliers, la loi impose la fourniture d'informations supplémentaires, le projet de loi est muet quant à la définition de ces « cas particuliers » .

Surtout, votre rapporteur regrette qu'aucune coordination n'ait été prévue par l'article 19 du projet de loi, a fortiori concernant les traitements de données directement créés par la loi : certains fichiers dits de police/justice ont une base légale, à l'instar du traitement d'antécédents judiciaires (TAJ), du fichier des personnes recherchées (FPR), du fichier judiciaire automatisé des auteurs d'infractions sexuelles ou violentes (FIJASV) ou encore des fichiers relatifs au non-respect des dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives à but lucratif. Or, à l'exception de la disposition prévue à l'article 70-24 (voir infra ), aucune modification législative n'a été prévue pour rendre ces dispositions conformes aux exigences de la directive : la seule affirmation, de manière générale, de principes et de restrictions possibles à ces principes, ne suffit pas à mettre en conformité le droit français avec la directive.

Votre commission a adopté un amendement rédactionnel COM-75 de votre rapporteur et deux amendements COM-8 et COM-9 de nos collègues Mathieu Darnaud et Jacques Genest visant à fixer à un mois le délai de réponse des responsables de traitement aux demandes d'effacement ou de rectification.

2. Possibilité de restreindre les droits des personnes (nouveaux articles 70-21 à 70-22)

Par la création du nouvel article 70-21 de la loi n° 78-17 du 6 janvier 1978, l'article 19 du projet de loi vise à transposer la possibilité permise par les articles 13, 15 et 17 de restreindre les droits des personnes mentionnés précédemment (information, accès, rectification, effacement) afin de ne pas gêner des procédures en cours, de ne pas nuire à l'effectivité des finalités poursuivies par le traitement, de protéger la sécurité publique ou nationale ou de protéger les droits et libertés d'autrui, dès lors qu'une telle limitation constitue « une mesure nécessaire et proportionnée dans une société démocratique ».

Les restrictions seront mentionnées dans l'acte normatif de création du traitement. Le projet de loi ne fait ainsi pas usage de la possibilité ouverte par la directive de déterminer dans la loi les catégories de traitement susceptibles de donner lieu à des restrictions des droits à l'information et d'accès.

Votre rapporteur regrette que la rédaction retenue par l'article 19 du projet de loi se contente de répéter que ces restrictions sont autorisées lorsqu'elle constitue « une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne », sans expliciter les critères qui pourraient concrètement être retenus. Pour respecter les droits fondamentaux, il ne suffit pas de mentionner dans la loi qu'une disposition doit s'y conformer ; sous peine d'encourir une contrariété à la Constitution pour incompétence négative, il est nécessaire pour le législateur d'organiser des conditions d'exercice de ces restrictions, conformes à ces droits fondamentaux. En raison du calendrier d'examen parlementaire du présent projet de loi, votre rapporteur regrette de n'avoir pu effectuer ce travail de transposition, qui devra faire l'objet d'un prochain texte législatif.

L'article 70-21 prévoit que le responsable de traitement informe la personne concernée de sa possibilité d'exercer ses droits par l'intermédiaire de la CNIL et de sa possibilité de former un recours juridictionnel. À l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a exclu cette information concernant le recours juridictionnel lorsque la restriction des droits porte sur le droit d'information. Afin d'harmoniser les régimes et d'assurer un haut niveau de protection des données à caractère personnel, votre commission a, par l'adoption de l' amendement COM-76 de votre rapporteur, rétabli la rédaction du projet de loi initial.

3. Modalités d'exercice de ces droits (nouvel article 70-23)

En application de l'article 12 de la directive, les informations communiquées à la personne, dans le cadre de l'exercice du droit à l'information, du droit d'accès et des droits de rectification et d'effacement ou du droit à la limitation du traitement, font l'objet d'une transmission compréhensible et aisément accessible : celle-ci est en principe gratuite , sauf en cas de demandes manifestement infondées ou excessives.

À l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a précisé que les informations communiquées à la personne concernée devront être transmises par tout moyen approprié, y compris électronique, de préférence sous la même forme que la demande.

4. Droits des personnes concernées par une décision judiciaire ou une enquête judiciaire (nouvel article 70-24)

Conformément à la possibilité offerte par l'article 18 de la directive, l'article 19 du projet de loi vise, par la création d'un nouvel article 70-24, à ne pas appliquer les droits d'information, d'accès, de rectification ou d'effacement prévus par la section 3 du chapitre XIII de la loi « Informatique et libertés » aux données contenues dans une décision judiciaire ou un dossier judiciaire au cours d'une procédure pénale. Les règles d'accès à ces données sont prévues par le code de procédure pénale.

À l'initiative de votre rapporteur, votre commission a adopté l' amendement COM-77 visant également à renvoyer, pour ces données, l'organisation des conditions d'exercice du droit de rectification ou d'effacement aux règles prévues par le code de procédure pénale.

SECTION 4 : TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES ÉTATS NON MEMBRES DE L'UNION EUROPÉENNE OU VERS DES DESTINATAIRES ÉTABLIS DANS DES ÉTATS NON MEMBRES DE L'UNION EUROPÉENNE (ART. 70-25 À ART. 70-27)

Les nouveaux articles 70-25 à 70-27, créés par l'article 19 du projet de loi, visent à transposer les exigences des articles 35 à 38 de la directive (UE) 2016/680.

• L'encadrement actuel des transferts internationaux de données à caractère personnel

En application de l'article 68 de la loi n° 78-17 du 6 janvier 1978, tout transfert de données à caractère personnel vers un État n'appartenant pas à l'Union européenne est soumis à l'appréciation du niveau de protection garanti par cet État, évalué au regard des mesures de sécurité appliquées mais également, par exemple, au regard des finalités du traitement et des durées de conservation des données. Par dérogation à ce principe, l'article 69 autorise néanmoins un tel transfert :

- si la personne y a consenti (premier alinéa de l'article 69),

- ou si ce transfert est nécessaire à la sauvegarde de la vie de cette personne, à la sauvegarde de l'intérêt public, au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice, à la consultation d'un registre public destiné à l'information du public, à l'exécution d'un contrat (1° à 6° de l'article 69),

- ou si la CNIL a donné son autorisation à ce transfert (8 ^e alinéa de l'article 69),

- ou s'il s'agit d'un traitement mis en oeuvre pour le compte de l'État qui intéresse la sûreté de l'État, la défense ou la sécurité publique ou qui a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté et si « le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes , notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet » (8 ^e alinéa de l'article 69).

Concernant cette dernière possibilité, il convient de préciser que les restrictions aux transferts de données vers d'autres États non membres sont définies par le décret n° 2005-1309 du 20 octobre 2005 qui précise les obligations imposées aux responsables de traitements, tout en faisant référence à une liste des États, établie par la Commission européenne, assurant un niveau adéquat de protection des données au regard de la directive 95/46/CE - alors même que celle-ci n'est pas censée s'appliquer en matière pénale. Or seulement un faible nombre d'États sont classés par la Commission européenne, comme assurant un niveau de protection suffisant. De plus, les garanties imposées pour des traitements commerciaux n'ont pas vocation à être identiques aux garanties imposées pour les traitements pénaux.

Les transferts des données en matière pénale doivent donc se fonder sur une autre possibilité : principalement l'autorisation de la CNIL ou le consentement de la personne. En effet, dans son avis n° 372616 du 26 octobre 2006, le Conseil d'État a estimé que les transferts de données à caractère personnel dont le traitement a pour finalité la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne sont pas des transferts nécessaires à la sauvegarde de l'intérêt public.

• L'objet du projet de loi : transposer fidèlement les obligations par la directive

Les articles 35 à 40 de la directive tendent à faciliter les transferts de données en matière pénale vers des pays tiers à l'Union européenne, en distinguant cependant deux régimes : d'une part, les transferts vers une « autorité compétente ^{129 ( * )} » d'un pays tiers, d'autre part, les transferts vers un « destinataire » établi dans un pays tiers (par exemple, un service de communications électroniques).

Les nouveaux articles 70-25 et 70-26 de la loi n° 78-17 du 6 janvier 1978 , créés par l'article 19 du projet de loi, visent à transposer fidèlement les exigences de la directive concernant les transferts vers une autorité compétente .

Conformément aux principes généraux définis par l'article 35 de la directive, le nouvel article 70-25 précise qu'en principe, tout transfert en matière pénale n'est possible que si quatre conditions cumulatives sont réunies :

- le transfert est nécessaire à l'une des finalités pour lesquelles les données ont été traitées en France , à savoir la prévention et la détection des infractions pénales, les enquêtes et poursuites en la matière ou l'exécution de sanctions pénales ;

- les données sont transférées à une autorité compétente, au sens de l'article 70-1 chargée de l'une de ces finalités ;

- si les données proviennent d'un autre État, ce dernier a préalablement autorisé ce transfert ; par dérogation, il est possible de transférer sans autorisation préalable si le transfert est nécessaire à la prévention d'une menace grave et immédiate pour la sécurité publique d'un autre État ou pour la sauvegarde des intérêts essentiels de la France et sous réserve d'une information « sans retard » de l'État qui a transmis ces données ;

- il existe une décision d'adéquation de la Commission européenne. À défaut, un instrument juridique contraignant devrait prévoir des garanties appropriées. À défaut d'instrument juridique, le transfert dépendra de l'évaluation par le responsable de traitement de l'existence de garanties appropriées ou non. Dans ce cas, la CNIL sera systématiquement informée.

Par dérogation, aux termes du nouvel article 70-26 qui vise à transposer l'article 38 de la directive, un transfert pourrait avoir lieu s'il était nécessaire à la sauvegarde des intérêts vitaux d'une personne physique, à la sauvegarde des intérêts légitimes de la personne concernée, pour prévenir une menace grave et immédiate pour la sécurité publique d'un autre État, pour « des cas particuliers » à l'une des finalités énoncées au premier alinéa de l'article 70-1 et « dans un cas particulier » pour la constatation, l'exercice ou la défense de droits en justice.

Pour ces cas particuliers, pour lesquels votre rapporteur regrette qu'ils ne soient pas définis par la loi, le responsable de traitement ne doit pas transférer ces données si « les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert envisagé ».

Enfin, le nouvel article 70-27 de la loi n° 78-17 du 6 janvier 1978 , créé par l'article 19 du projet de loi, vise à transposer fidèlement les exigences de la directive concernant les transferts vers un « destinataire » établi dans un pays tiers .

Conformément à l'article 39 de la directive, il précise qu'en principe, tout transfert en matière pénale n'est possible que si cinq conditions cumulatives sont réunies :

- le transfert est nécessaire à l'exécution de la mission de l'autorité qui transfère les données (1° du nouvel article 70-27) ;

- l'autorité qui transmet les données établit « qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public nécessitant le transfert » (2°) ;

- l'autorité estime que le transfert à l'autorité compétente de l'État est inefficace ou inapproprié, « notamment parce que le transfert ne peut pas être effectué en temps opportun » (3°) ;

- l'autorité compétente de l'autre État est informée « dans les meilleurs délais » (4°) ;

- l'autorité qui transmet les données informe le destinataire de la ou des finalités pour lesquelles les données transmises doivent exclusivement faire l'objet d'un traitement, « à condition qu'un tel traitement soit nécessaire » (5°).

Votre commission a adopté l'article 19 du projet de loi ainsi modifié.

TITRE III BIS (NOUVEAU) - DISPOSITIONS VISANT À FACILITER L'APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES

Article 19 bis (nouveau) (art. L. 2335-17 [nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L. 5216-8 du code général des collectivités territoriales) - Dotation communale et intercommunale pour la protection des données à caractère personnel

Introduit par votre commission, à l'initiative de son rapporteur, par l'adoption d'un amendement COM-78 rectifié , l'article 19 bis du projet de loi tend à créer, par prélèvement sur les recettes de l'État, une dotation pour la protection des données à caractère personnel, dont seraient bénéficiaires les communes, les établissements publics de coopération intercommunale (EPCI) à fiscalité propre, ainsi que la métropole de Lyon.

1. L'insuffisance des moyens mis à disposition des collectivités territoriales

Chacun s'accorde à dire que la plupart des collectivités territoriales ne seront pas prêtes pour appliquer le règlement général sur la protection des données dès le 25 mai 2018 , non plus que de nombreuses entreprises. La CNIL, qui en a pris acte, a d'ailleurs annoncé qu'elle ferait preuve de mansuétude au cours des premiers mois d'application du règlement, en ce qui concerne les nouvelles obligations qu'il impose, lorsqu'elle aura affaire à des organismes de bonne foi, engagés dans une démarche de mise en conformité et faisant preuve de coopération ^{130 ( * )} .

S'agissant des collectivités territoriales, elles sont responsables de très nombreux traitements, dont la plupart sont rendus obligatoires par la loi ou découlent nécessairement de l'exercice de leurs compétences . À elles seules, les communes sont dépositaires des fichiers de l'état civil, des listes électorales, des fichiers relatifs à la fiscalité locale, des fichiers cadastraux, de fichiers sociaux, du fichier de recensement de la population, du fichier des logements vacants, du fichier des associations subventionnées, du fichier des cantines scolaires, des fichiers issus des dispositifs de vidéosurveillance, etc. Les départements, quant à eux, doivent gérer de très nombreuses données sensibles, en lien avec leurs compétences en matière sociale et médico-sociale.

Les plus petites collectivités territoriales ont déjà le plus grand mal à se conformer exactement aux obligations qu'impose le droit en vigueur en matière de protection des données personnelles. Qu'en sera-t-il demain , alors qu'elles se verront soumises, en vertu du règlement européen :

- à l'obligation de mettre en place de nouvelles procédures encadrant le traitement de données personnelles (registre des activités de traitement pour les collectivités employant plus de 250 agents ou en cas de risque pour les droits et libertés, analyse d'impact éventuelle) ;

- à l'obligation de satisfaire les nouveaux droits reconnus aux personnes concernées, notamment le droit à l'effacement ;

- à l'obligation de se doter d'un délégué à la protection des données, qui s'imposera même aux plus petites collectivités ?

Se mettre en conformité avec ces nouvelles règles coûtera cher. Selon l'Assemblée des départements de France, que votre rapporteur a entendue, un département s'est vu demander près de 28 000 euros par un cabinet de conseil, pour une simple revue de conformité de ses seuls fichiers relatifs à la politique d'insertion et à l'aide sociale à l'enfance, et pour la fourniture de fiches pratiques. Comment une commune ou une petite intercommunalité, asphyxiée par des années de baisse des dotations de l'État, pourrait-elle assumer une telle charge ? L'aide apportée par la CNIL et par la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC), qui se résume pour l'essentiel à la diffusion d'informations et de guides méthodologiques, est très loin de suffire.

2. La création d'une dotation pour aider les communes et intercommunalités

Afin de remédier à cette situation, et sur proposition de son rapporteur, votre commission a décidé d'instituer, par prélèvement sur les recettes de l'État, une nouvelle dotation pour la protection des données personnelles destinée aux communes et aux intercommunalités , calculée en fonction de leur population.

Son montant par habitant serait décroissant à mesure que la population communale ou intercommunale augmente. Ainsi, une commune de 1 000 habitants percevrait 5 000 euros, une commune de 10 000 habitants 18 000 euros, une commune de 100 000 habitants 27 000 euros, et une commune d'un million d'habitants 36 000 euros.

Selon les estimations de votre rapporteur, cette dotation se monterait au total à environ 140 millions d'euros pour les communes et 30 millions d'euros pour les EPCI à fiscalité propre.

Votre commission a adopté l'article 19 bis (nouveau) ainsi rédigé .

Article 19 ter (nouveau) (art. L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales) - Mutualisation des services fonctionnels des collectivités territoriales et de leurs groupements

Introduit par votre commission, à l'initiative de son rapporteur, par l'adoption d'un amendement COM-79 , l'article 19 ter du projet de loi a pour objet de consolider la base légale des prestations de service offertes aux communes et intercommunalités par d'autres collectivités territoriales ou établissements publics, notamment dans le domaine informatique.

1. L'indispensable mutualisation des fonctions « support » et
les verrous du droit en vigueur

Les bénéfices de la mutualisation des fonctions « support » des collectivités territoriales et de leurs groupements sont unanimement salués : elles leur permettent d'exercer efficacement leurs compétences tout en maîtrisant leurs dépenses , dans un contexte de pénurie budgétaire. C'est notamment le cas en ce qui concerne les services informatiques offerts par des syndicats mixtes, des agences départementales, des centres de gestion de la fonction publique territoriale ou d'autres établissements publics - les modèles d'organisation varient grandement d'un territoire à l'autre, en fonction de l'histoire et des initiatives des élus. De telles structures sont susceptibles de fournir un délégué à la protection des données commun à plusieurs collectivités ou organismes publics, comme le permet l'alinéa 3 de l'article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Certes, les collectivités et leurs groupements peuvent aussi avoir recours à des prestataires privés. Mais cette solution n'est pas nécessairement moins onéreuse, loin s'en faut. En outre, il peut sembler inopportun de charger une personne privée de contrôler la mise en oeuvre de traitements de données sensibles ou liés à l'exercice de prérogatives de puissance publique. Enfin, le recours à des prestataires privés est soumis au droit des marchés publics et à ses lourdes règles procédurales. À l'inverse, les prestations de service délivrées par une autorité publique à une autre autorité publique , y compris lorsqu'elles donnent lieu au remboursement des dépenses engagées, échappent en grande partie aux obligations de publicité et de mise en concurrence ^{131 ( * )} .

Toutefois, le droit français comporte certaines rigidités qui freinent le développement de la mutualisation entre les collectivités territoriales et leurs groupements, notamment au bénéfice des communes et intercommunalités.

Le législateur, entendant favoriser l'intégration du bloc communal, a encouragé la mise en place de services communs et la conclusion de conventions de prestations de service entre les établissements publics de coopération intercommunale à fiscalité propre et leurs communes membres. En revanche, il a limité la faculté pour les communes et les EPCI de recourir aux services d'autres collectivités ou établissements publics, et notamment de syndicats mixtes . L'article L. 5111-1 du code général des collectivités territoriales, après avoir posé le principe selon lequel
« les collectivités territoriales peuvent s'associer pour l'exercice de leurs compétences », dispose ainsi que « des conventions qui ont pour objet la réalisation de prestations de services peuvent être conclues entre les départements, les régions, leurs établissements publics, leurs groupements et les syndicats mixtes. Des conventions ayant le même objet peuvent également être conclues entre des établissements publics de coopération intercommunale ou entre des communes membres d'un même établissement public de coopération intercommunale à fiscalité propre lorsque le rapport relatif aux mutualisations de services, défini à l'article L. 5211-39-1, le prévoit. » De la même façon, le III de l'article L. 5111-1-1 du même code, qui traite de la mise en commun de services fonctionnels ^{132 ( * )} , « notamment par la création d'un syndicat mixte », ne prévoit cette possibilité que pour les départements, la métropole de Lyon, les régions, leurs établissements publics et les syndicats mixtes dits « ouverts ».

Il en résulte, selon les informations recueillies par votre rapporteur, que certaines préfectures considèrent les prestations de services offertes par des syndicats mixtes au bloc communal comme dénuées de base légale. C'est d'autant plus préjudiciable que la mutualisation de services fonctionnels mentionnée au III de l'article L. 5111-1-1 est expressément soustraite par la loi aux règles relatives aux marchés publics ^{133 ( * )} .

2. Consolider la base légale des prestations de service au bénéfice
du bloc communal

De telles rigidités n'ont pas lieu d'être. Le bloc communal est désormais suffisamment intégré pour que l'on ne puisse craindre son émiettement. En outre, tous les EPCI à fiscalité propre n'ont pas les moyens humains, techniques et financiers d'offrir à leurs communes membres l'ensemble des services dont elles ont besoin, notamment en matière informatique. Pourquoi, alors, interdire à ces communes, voire aux EPCI à fiscalité propre eux-mêmes, de rechercher le concours d'autres collectivités territoriales ou groupements de collectivités ?

En pratique, les principes de libre administration et de liberté contractuelle des collectivités territoriales , qui ont tous deux valeur constitutionnelle ^{134 ( * )} , pourraient affaiblir la portée les limitations imposées par le code général des collectivités territoriales. Sans avoir de base légale explicite, les prestations de service entre les communes ou EPCI à fiscalité propre, d'une part, les autres collectivités territoriales ou groupements d'autre part, n'en seraient pas moins permises. Au vu des témoignages recueillis, et afin de se prémunir contre toute interprétation a contrario des dispositions légales, votre rapporteur a néanmoins estimé utile d' autoriser explicitement :

- les conventions de prestations de service entre une commune et un syndicat mixte , lorsque le rapport relatif aux mutualisations de services au sein d'un EPCI à fiscalité propre ne prévoit pas que de telles conventions sont passées entre l'EPCI et ses communes membres ;

- la mise en place de services fonctionnels unifiés , notamment par la création de syndicats mixtes, entre toutes les catégories de collectivités territoriales et leurs groupements , y compris les communes et EPCI.

Votre commission a adopté l'article 19 ter ainsi rédigé .

TITRE IV - HABILITATION À AMÉLIORER L'INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES

Article 20 (supprimé) - Habilitation à réviser par ordonnance la législation relative à la protection des données personnelles

L'article 20 tend à habiliter le Gouvernement à prendre, dans un délai de six mois , une ordonnance pour procéder à une réécriture de l'ensemble de la loi Informatique et libertés afin, notamment, d'améliorer son intelligibilité, de mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel et d'en prévoir l'application à l'outre-mer.

Quasiment tous les experts et organisations reçus en auditions au Sénat par votre rapporteur ont critiqué le caractère illisible, voire trompeur, du texte de la loi Informatique et libertés qui résultera des modifications apportées par le projet de loi .

En amont même de l'élaboration du texte, les avis préalables obligatoires sollicités par le Gouvernement étaient déjà parvenus à un tel constat : la CNIL a ainsi tenu à : « dénonce[r] le défaut de lisibilité de l'état du droit résultant du projet de loi » ^{135 ( * )} , quant au Conseil d'État , il juge : « [le] résultat très insatisfaisant en termes de lisibilité du droit positif » ^{136 ( * )} .

Si elle reconnaît volontiers que cette complexité est d'abord pour une petite partie inévitable, résultant du choix fait par le législateur européen lui-même d'adopter un règlement (général) et une directive (dans le domaine « police et pénal »), votre rapporteur souhaite aussi mettre le Gouvernement devant ses responsabilités , et regrette :

- un manque d'anticipation flagrant, s'agissant d'un projet de loi nécessaire à l'adaptation en France d'un règlement et d'une directive dont le contenu était pourtant connu dès avril 2016, il y a désormais près de deux ans ;

- un état du droit à venir très insatisfaisant, sans cohérence d'ensemble, où manqueront encore dans le détail de multiples coordinations ;

- et une grave incertitude sur l'applicabilité outre-mer, préjudiciable à la sécurité juridique et révélant un certain manque de considération pour nos compatriotes hors de l'hexagone.

Contrairement à son homologue à l'Assemblée nationale, confrontée aux mêmes critiques unanimes, votre rapporteur ne saurait se contenter de constater que, pour regrettable qu'elle soit, « cette méthode n'en est pas moins parfaitement constitutionnelle ». L'accessibilité et l'intelligibilité du droit est aussi un objectif à valeur constitutionnelle.

Elle a donc proposé à votre commission de signifier au Gouvernement sa vive désapprobation du procédé en supprimant purement et simplement cette habilitation ( amendement COM-89 ), laissant au Gouvernement le soin, s'il le souhaite, de venir en séance devant la représentation nationale expliquer les raisons de cette impréparation, rétablir l'habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance.

Votre commission a supprimé l'article 20 .

Article 20 bis (supprimé) (Art. L. 242-20 et L. 224-42-1 à L. 224-42-4 du code de la consommation ; article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) - Droit à la portabilité des données personnelles et des données non personnelles

Introduit par l'Assemblée nationale en séance, l'article 20 bis du projet de loi supprime du droit national les dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs, dont le principe est désormais régi par le RGPD en ce qui concerne la portabilité des données personnelles.

L'article 48 de la loi du 7 octobre 2016 pour une République numérique a prévu la mise en oeuvre, à compter du 25 mai 2018, d'un droit général à la récupération et à la portabilité des données aux termes duquel : « Le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données » (article L. 224-42-1 du code de la consommation).

Il opère cependant une distinction selon le type de données concernées, à caractère personnel ou non.

D'une part, s'agissant des données à caractère personnel , l'article L. 223-42-2 du code de la consommation renvoie au nouveau droit à la portabilité créé par l'article 20 du RGPD, qui garantit aux personnes le droit de « recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et [...] de transmettre ces données à un autre responsable du traitement ». Ce droit s'applique à tous les responsables de traitement automatisé, hors autorités publiques, et aux données fournies par les personnes concernées sur la base du consentement ou d'un contrat.

D'autre part, s'agissant des données n'ayant pas un caractère personnel , l'article L. 223-42-3 du code de la consommation définit un régime distinct qui ne concerne que les fournisseurs de service de communication au public en ligne. Ceux-ci doivent proposer aux consommateurs une fonctionnalité gratuite leur permettant la récupération :

- de tous les fichiers qu'ils ont mis en ligne ;

- de toutes les données résultant de l'utilisation du compte d'utilisateur du consommateur et consultables en ligne par celui-ci (à l'exception de celles ayant fait l'objet d'un enrichissement significatif par le fournisseur du service) ;

- et de certaines données associées au compte utilisateur du consommateur facilitant le changement de fournisseur ou l'accès à de nouveaux services (définies par décret).

Par un amendement de M. Éric Bothorel, adopté en séance avec avis favorable de la commission et du Gouvernement, l'Assemblée nationale a supprimé du droit national l'ensemble de ces dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs. Seul subsisterait désormais le droit à la portabilité des données personnelles dans le cadre du règlement.

Cette suppression a été motivée par le fait que la mise en oeuvre de deux régimes distincts (données personnelles, données non personnelles) pourrait poser des « difficultés d'interprétation » et rendrait complexe le tri à opérer entre les demandes de récupération de données relevant de deux régimes juridiques différents.

Votre rapporteur ne partage pas cette analyse, et note au contraire toute l'utilité de conserver également un droit spécifique à la récupération et à la portabilité des données n'ayant pas un caractère personnel.

Comme le soulignait déjà M. Christophe-André Frassa, rapporteur de votre commission lors de l'introduction de ces droits par la loi République numérique : « il s'agit moins d'anticiper le droit à la portabilité des données personnelles prévu par le futur règlement européen que d'assurer la régulation d'un secteur économique au bénéfice du consommateur et de la concurrence. [La portabilité des données non personnelles] est une chance de briser le quasi-monopole des grands opérateurs sur la concentration des données des utilisateurs des services en ligne, en permettant à des entreprises innovantes de proposer à ces derniers des services plus adaptés, exploitant directement la masse des données transférées. »

Votre commission a adopté l'amendement COM-24 de notre collègue Christophe-André Frassa et supprimé l'article 20 bis .

TITRE V - DISPOSITIONS DIVERSES ET FINALES

Article 21 (art. 13, 15, 16, 17, 21, 29, 30, 31, 39, 42, 67, 70, 71 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et art. 226-16-1-A du code pénal) - Coordinations

L'article 21 du projet de loi procède à la suppression des dispositions de la loi Informatique et libertés incompatibles ou en contradiction directe avec celles du règlement général sur la protection des données et de la directive relative aux traitements en matière de « police et pénale », en raison notamment de la disparition de la plupart des formalités préalables. Il procède également à plusieurs coordinations légistiques.

Votre commission a adopté les amendements de coordination COM-88 et de cohérence COM-80 de son rapporteur et adopté l'article 21 ainsi modifié.

Article 22 - Publication du « fichier des fichiers » par la CNIL

L'article 22 du projet de loi maintient pendant dix ans l'obligation pour la CNIL de mettre à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements ayant fait l'objet de formalités préalables auprès d'elle antérieurement au 25 mai 2018.

Depuis 2004 ^{137 ( * )} , la CNIL doit mettre à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités préalables obligatoires de déclaration ou d'autorisation (prévues par les articles 23 à 27 de la loi Informatique et libertés) à l'exception de traitements dits de « souveraineté » dont les actes réglementaires de création sont dispensés de publication (traitements mentionnés au III de l'article 26 de ladite loi).

Répondant à une recommandation du Conseil d'État qui, dans son rapport Le numérique et les droits fondamentaux , soulignait la pertinence d'offrir une vision complète de l'ensemble des traitements de données soumis à la connaissance de la CNIL, l'article 55 de la loi pour une République numérique avait prévu la publication de cette liste en open data dans un « format ouvert et aisément réutilisable ».

La suppression de l'essentiel des formalités préalables pourrait conduire logiquement à la disparition du « fichier des fichiers », le nouveau règlement européen ne prévoyant d'ailleurs pas une telle obligation pour les autorités nationales de contrôle.

Le projet de loi propose néanmoins de maintenir cette liste à la disposition du public en open data pour une durée de dix ans après l'entrée en vigueur du RGPD le 25 mai 2018. Son contenu serait ainsi « figé » à cette date.

En effet, dans la mesure où de nombreux traitements déclarés ou autorisés se poursuivront après cette date, il serait préjudiciable pour le droit à l'information des personnes concernées de ne plus avoir connaissance de l'ensemble des traitements mis en oeuvre. Il sera ainsi possible de conserver un registre des autorisations existantes.

Votre commission a adopté l'article 22 sans modification.

Article 23 (art. 230-8, 230-9 et 804 du code de procédure pénale) - Modification du cadre légal des traitements d'antécédents judiciaires

L'article 23 du projet de loi tend à modifier le régime des fichiers relatifs aux antécédents judiciaires afin de le mettre en conformité avec la décision du Conseil constitutionnel n° 2017-670 QPC du 27 octobre 2017.

1. Le cadre actuel des fichiers relatifs aux antécédents judiciaires

• Les principes généraux

Depuis la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure , dite « LOPPSI 2 », les articles 230-6 à 230-11 du code de procédure pénale encadrent les traitements relatifs aux antécédents judiciaires.

• Les durées de conservation des données

Les durées de conservation des données sont fixées par voie réglementaire (voir tableau ci-dessous).

Source : article R. 40-27 du code de procédure pénale

• Les mécanismes d'effacement anticipé

Concernant les personnes mises en cause, l'article 230-8 du code de procédure pénale prévoit deux mécanismes d'effacement anticipé des données :

- un droit , en principe, à l'effacement en cas de décision de relaxe ou d'acquittement devenue définitive : par dérogation, le maintien de l'information est possible « pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de l'intéressé » - dans cette hypothèse, l'information est inaccessible lors d'une recherche dans le cadre d'enquêtes administratives ;

- une possibilité d'effacement en cas de décision de non-lieu ou de classement sans suite : par principe, ces informations sont maintenues et ces décisions font l'objet d'une mention, sauf si le procureur de la République en ordonne l'effacement.

Par ailleurs, la rectification des données pour requalification judiciaire est de droit.

Cadre actuel d'effacement anticipé des données

Les exigences constitutionnelles et conventionnelles ont conduit le législateur à modifier ce régime.

À propos du TAJ, dans un arrêt Brunet c/ France du 18 septembre 2014, la Cour européenne des droits de l'homme a conclu à la violation par la France de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : à l'époque, l'effacement des données du TAJ n'était possible, en cas de classement sans suite, que lorsque celui-ci était motivé par une insuffisance de charges et aucun recours n'était possible contre la décision du procureur de la République territorialement compétent ou du magistrat référent.

Depuis la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale :

- l'ensemble des décisions de classement sans suite, quel qu'en soit le motif, peuvent donner lieu à effacement ;

- les décisions du procureur de la République tendant au maintien ou à l'effacement des données sont prises en fonction des finalités du fichier et au regard de la nature et des circonstances de commission de l'infraction et de la personnalité de l'intéressé ;

- les décisions du procureur de la République et du magistrat « référent » sont susceptibles de recours devant une juridiction judiciaire.

2. L'objet de l'article 23 du projet de loi : garantir la constitutionnalité des modalités d'effacement des données inscrites dans les traitements d'antécédents judiciaires

L'article 23 du projet de loi vise à assurer la conformité à la Constitution des modalités d'effacement des données inscrites dans les traitements d'antécédents judiciaires.

En effet, dans une décision n° 2017-670 QPC du 27 octobre 2017, le Conseil constitutionnel a censuré, avec effet différé au 1 ^er mai 2018, le premier alinéa de l'article 230-8 du code de procédure pénale : il a jugé qu'« en privant les personnes mises en cause dans une procédure pénale , autres que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d'obtenir l'effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée ».

L'analyse du caractère proportionné (ou non) de l'atteinte à la vie privée par ce traitement a pris en compte :

- la nature des données susceptibles d'être enregistrées,

- le nombre important de personnes susceptibles d'être mises en cause ;

- l'absence d'encadrement législatif des durées maximales de conservation des données ;

- les finalités des possibilités de consultation de ce fichier.

Sans reconnaître un droit à l'effacement, le Conseil constitutionnel a estimé nécessaire que soit prévue par la loi la possibilité pour les personnes mises en cause inscrites dans un fichier d'antécédents judiciaires de solliciter et d'obtenir l'effacement de leurs données avant la fin de la durée maximale de conservation.

En conséquence, l'article 23 du projet de loi tend, par la modification de l'article 230-8 du code de procédure pénale, à renforcer les garanties légales en matière d'effacement anticipé des données.

En premier lieu, il est précisé que le contrôle opéré par le procureur de la République territorialement compétent s'exerce « d'office ou à la demande de la personne concernée » .

En deuxième lieu, il est prévu que toute personne concernée par « une décision devenue définitive de relaxe, d'acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire , de non-lieu ou de classement sans suite » peut former, sans délai , une demande d'effacement, de complément ou de rectification.

Pour les « autres cas » , la personne pourra former sa demande lorsque « ne figure plus aucune mention dans le bulletin n° 2 de son casier judiciaire » , c'est-à-dire lorsque la condamnation a été considérée comme non avenue (par exemple, les condamnations assorties du bénéfice du sursis) ou que la personne a bénéficié d'une réhabilitation de plein droit ou judiciaire.

Considérant que le nombre de demandes de rectification serait susceptible d'augmenter, l'article 23 du projet de loi vise à allonger le délai d'examen de ces demandes par le procureur de la République territorialement compétent. Sur proposition de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a allongé d'un à deux mois le délai laissé au magistrat référent, compétent en application de l'article 230-9 du code de procédure pénale, pour statuer sur les demandes d'effacement.

3. La position de votre commission

Votre commission approuve l'économie générale de l'article 23 du projet de loi, sous réserve de l'adoption d'un amendement COM-84 de clarification présenté par son rapporteur. Comme la CNIL l'a souligné dans sa délibération, le projet de loi semble exiger un casier judiciaire vierge pour qu'une personne puisse faire une demande d'effacement alors même qu'une personne peut solliciter l'effacement de données concernant une procédure pénale autre que celle à l'origine de sa condamnation. Il convient de préciser qu'à peine d'irrecevabilité, les personnes condamnées ne peuvent former de demande d'effacement que lorsque ne figure plus dans le bulletin n° 2 de leur casier judiciaire de mention de nature pénale en lien avec la demande d'effacement.

Votre commission relève néanmoins que l'allongement à deux mois du délai de réponse n'apparaît pas justifié par des considérations autres que l'insuffisance des moyens humains et techniques du ministère public. D'ores et déjà, les parquets ne respectent pas ce délai d'un mois. Il convient d'encourager le ministère de la justice à renforcer ces moyens plutôt que d'affaiblir la protection effective des droits des personnes concernées pour des considérations budgétaires.

Par ailleurs, concernant l'exercice du droit d'accès indirect par la CNIL, votre rapporteur relève qu'en février 2015, la CNIL avait mis en demeure les ministères de l'intérieur et de la justice de respecter les délais maximaux de traitement prévus par voie réglementaire, à savoir trois mois. Or en 2017, le taux de carence des parquets dans la transmission des suites judiciaires restait élevé, à 37 %.

En conséquence, par l'adoption de l' amendement COM-81 de votre rapporteur, votre commission a souhaité maintenir les délais actuellement prévus par le code de procédure pénale. Il conviendrait de tirer les conséquences de cette durée légale sur les effectifs des services judiciaires.

Par ailleurs, votre rapporteur considère paradoxal que les droits des personnes mises en cause mais n'ayant même pas fait l'objet de poursuites soient moindres que ceux des personnes mises en cause ayant fait l'objet de poursuites mais ayant été relaxées ou acquittées. Or, dans la plupart des cas, les classements sans suite résultent d'une absence totale d'infraction ou d'une insuffisance de charges. Par l'adoption de l' amendement COM-83 de son rapporteur, votre commission a souhaité prévoir qu'en cas de décision de non-lieu ou de classement sans suite, par principe, les données des personnes mises en cause sont, sauf décision contraire, effacées.

Enfin, dans son avis n° 395119 du 30 mars 2016, le Conseil d'État a rappelé que « saisis d'une demande d'effacement de données qui ne sont pas au nombre de celles que l'article 230-7 du CPP autorise à collecter dans le traitement des antécédents judiciaires, le procureur de la République ou le magistrat référent mentionné à l'article 230-9 du même code, désignés par la loi pour contrôler le fichier, sont tenus d'en ordonner l'effacement. » À l'initiative de votre rapporteur et par l'adoption du même amendement COM-82, votre commission a souhaité affirmer clairement le droit des personnes à l'effacement des données inexactes, consacré par la directive (UE) 2016/680 : les personnes à l'encontre desquelles il n'existe aucun indice grave ou concordant ont le droit d'obtenir l'effacement de leurs données personnelles.

Votre commission a adopté l'article 23 ainsi modifié.

Article 23 bis (supprimé) (Art. L. 1461-7 du code de la santé publique) - Coordination

La coordination supplémentaire introduite par l'Assemblée nationale au sein de cet article isolé (et auquel ne s'appliquerait d'ailleurs pas l'entrée en vigueur différée prévue par l'article 24) a été directement intégrée au sein de l'article 13 dont elle découle.

Votre commission a adopté en conséquence un amendement COM-85 et supprimé cet article.

Article 24 - Entrée en vigueur au 25 mai 2018

L'article 24 du texte transmis fixe au 25 mai 2018 la date d'entrée en vigueur des principales dispositions de la présente loi.

Les différents droits, garanties, obligations et procédures prévues par le nouveau règlement seront applicables directement dans les États membres à compter du 25 mai 2018 ^{140 ( * )}

L'absence de régime transitoire figurant clairement dans le corps des articles du RGPD est apparue problématique à plusieurs des organisations rencontrées par votre rapporteur. À cet égard, il insiste sur le fait qu'il reviendra en définitive à la CNIL de tenir dûment compte du considérant 171 du RGPD aux termes duquel :

- d'une part, concernant le consentement , « lorsque le traitement est fondé sur un consentement en vertu de [l'ancienne directive de 1995], il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement »,

- d'autre part, concernant les formalités préalables , « les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de [l'ancienne directive de 1995], demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées . »

La directive doit, elle être transposée au plus tard le 6 mai 2018 (en application de son article 63) En raison de multiples renvois et notions communes, elle ne saurait cependant être transposée de façon satisfaisante tant que le règlement n'est pas en vigueur.

Dès lors, dans une optique de sécurité juridique et de simplification approuvée par le Conseil d'État, le projet de loi prévoit une entrée en vigueur indifférenciée, le 25 mai 2018, pour les dispositions mettant en oeuvre tant le Règlement que la Directive (à savoir les titres I ^er à III de la présente loi ainsi que deux articles portant dispositions transitoires et de coordination).

Concernant spécifiquement l'obligation de journalisation ^{141 ( * )} prévue pour les traitements de données régis par la directive , le Gouvernement a choisi d'en reporter de l'entrée en vigueur, comme ce texte le permet ^{142 ( * )} :

- au 6 mai 2023 lorsqu'une telle obligation de journalisation exigerait des efforts disproportionnés ;

- ou au 6 mai 2026 lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

À l'initiative de son rapporteur, votre commission a souhaité différer de deux ans, jusqu'au 25 mai 2020, l'entrée en vigueur de l'article 16 A , qui étend l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis ( amendement COM-86 ).

Votre commission a adopté l'article 24 ainsi modifié.

*

* *

Votre commission a adopté le projet de loi ainsi modifié.

EXAMEN EN COMMISSION

_____

MERCREDI 14 MARS 2018

Mme Sophie Joissains , rapporteur . - Nous examinons le projet de loi relatif à la protection des données personnelle. L'objet de ce texte est d'adapter la loi « Informatique et libertés » au paquet européen de protection des données personnelles, qui se compose d'un règlement général sur la protection des données (RGPD) et d'une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire.

Ces sujets ne sont pas inconnus de notre commission, qui a la chance de compter parmi ses membres un commissaire de la Commission nationale de l'informatique et des libertés (CNIL), Loïc Hervé. De façon générale, le Sénat s'est distingué ces dernières années en étant particulièrement actif sur ces questions.

Il a d'abord agi au niveau européen. Saluons, à ce propos, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, sur l'orientation et les principes directeurs du règlement européen, puis à la commission des lois, où il a été rapporteur sur le règlement, la directive et la résolution votée en séance publique. Dans le cadre de ses travaux de contrôle, le Sénat a également entrepris ces dernières années une réflexion plus large et nourrie sur les enjeux de souveraineté numérique. En témoignent la mission commune d'information sur la gouvernance d'Internet, dont le rapporteur était notre collègue Catherine Morin-Desailly, qui devrait bientôt présenter un rapport sur l'éducation et la formation numériques. Enfin, au sein de notre commission, lors de la discussion de la loi pour une République numérique, plusieurs dispositions approuvées à l'initiative du rapporteur Christophe-André Frassa avaient justement comme ambition d'anticiper l'entrée en vigueur des nouvelles règles européennes de protection des données - ce qui n'était pas un luxe !

Le règlement européen doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivité des entreprises européennes. Il sera directement applicable à partir du 25 mai, mais son application uniforme est atténuée par l'existence de 56 marges de manoeuvre, qui sont autant d'options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.

Il poursuit trois objectifs principaux. D'abord, renforcer les droits des personnes dont les données sont utilisées : le règlement réaffirme les droits des personnes - droits d'accès, d'opposition et de rectification -, introduit de nouveaux droits mieux adaptés à l'évolution des technologies numériques - portabilité des données, droit à l'oubli, lutte contre le profilage, protection spécifique des enfants - et facilite l'exercice de ces droits par des actions par mandataire, voire des actions collectives et le droit à réparation du préjudice subi.

Le deuxième objectif du règlement est de mieux graduer les obligations des acteurs en fonction des risques pour la vie privée. Il met ainsi fin à la plupart des formalités préalables auprès des autorités nationales. En contrepartie, la responsabilité des opérateurs gérant des fichiers est mieux graduée, étalée durant tout le cycle de vie des données. Ce n'est qu'en cas de risque qu'il revient au responsable de réaliser une étude d'impact et de solliciter, au besoin, l'avis du régulateur. Le règlement privilégie le recours à de nouveaux outils de conformité inspirés du droit souple : lignes directrices, codes de conduite spécifiques à certains secteurs et certification. Il généralise la désignation de délégués à la protection des données, dont le rôle, au sein de chaque structure, est d'aider à traiter les réclamations et de conseiller le responsable de traitement en coopération avec le régulateur national. Sa nomination est obligatoire dans plusieurs cas pour le secteur privé, pour les traitements à grande échelle et les données sensibles, et, surtout, pour toute personne publique - ce qui inclut même la plus petite de nos communes !

Le troisième objectif du règlement est de doter les régulateurs de pouvoirs à la mesure des enjeux de souveraineté numérique. Le champ d'application territorial et matériel du droit européen est considérablement élargi : le règlement doit être appliqué non seulement dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne
- c'est le critère de résidence - mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données, y compris donc par Internet. Les règles de transfert de données personnelles hors de l'Union européenne sont précisées et la coopération entre régulateurs en cas de transferts transfrontaliers est considérablement renforcée, ce qui est bienvenu.

Le règlement instaure des amendes désormais dissuasives en cas de manquement : jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial, chiffres pouvant même être doublés dans certains cas. Les autorités nationales sont ainsi enfin dotées d'outils à la hauteur des moyens des géants du numérique qu'elles sont appelées à réguler.

La directive reprend l'essentiel des principes du règlement et est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales. Elle doit, pour sa part, être transposée avant le 6 mai 2018.

Le projet de loi a pour but d'adapter notre droit au règlement général, de tirer parti des marges de manoeuvre nationales qu'il autorise et de transposer la directive sectorielle. Le Gouvernement a fait le choix symbolique de conserver la loi Informatique et libertés en n'opérant que les modifications strictement indispensables à la mise en oeuvre du règlement et de la directive.

Ainsi, les missions de la CNIL sont élargies et ses pouvoirs, renforcés. Le traitement des données dites sensibles reste encadré et des régimes spécifiques plus protecteurs, conservant des formalités préalables, restent prévus pour certains traitements, comme ceux du numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé. L'Assemblée nationale a étendu l'objet de l'action de groupe en matière de données personnelles à la réparation des dommages en vue d'obtenir la réparation des préjudices matériels. Les députés ont abaissé à quinze ans l'âge de consentement au traitement des données personnelles, fixé à seize ans dans le projet initial. Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées. L'importance des conditions de recueil du consentement est réaffirmée, tandis que sont supprimées les dispositions relatives à la portabilité des données, jugées satisfaites par celles, d'application directe, prévues dans le règlement. Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées. Le fichier de traitement d'antécédents judiciaires (TAJ) est sécurisé en réponse à une décision QPC du Conseil constitutionnel.

Mes amendements ne remettent pas en cause l'objectif global de ce texte mais corrigent de graves lacunes et rééquilibrent certains éléments du dispositif.

D'abord, je souhaite que notre commission réponde aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi : pas une ligne ne les mentionne. Elles sont pourtant concernées au premier chef : fichier d'état civil, fichier des cantines scolaires, fichier d'aide sociale, listes électorales, fiscalité locale, cadastre... Elles sont responsables de nombreux traitements sur lesquels elles n'ont souvent pas prise, car ils découlent d'obligations légales.

Sous la menace de sanctions pécuniaires, elles devront assumer seules des coûts importants : nomination d'un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l'exercice des nouveaux droits des particuliers... Les discussions à l'Assemblée nationale n'ont malheureusement pas permis de corriger les lacunes initiales du texte, car si les députés sont restés attentifs, à juste titre, au sort des TPE-PME, les collectivités territoriales ont été totalement négligées dans les débats.

Face à cette situation, je vous proposerai de prévoir que la CNIL adapte les normes qu'elle édicte et les informations qu'elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d'entre elles, de dégager de nouveaux moyens pour aider les collectivités à se conformer à leurs nouvelles obligations, de faciliter la mutualisation des services numériques entre collectivités, et de réduire l'aléa financier, en supprimant
- comme pour l'État - la faculté pour la CNIL d'imposer aux collectivités des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices subis en matière de données personnelles.

Ensuite, même si je suis consciente du caractère extrêmement délicat du choix à opérer ici, je vous proposerai de rétablir à seize ans l'âge du consentement numérique autonome, dans l'attente d'un rapport du Gouvernement nous éclairant sur les pratiques et les risques ou des résultats des travaux en cours au Sénat. Il me semble aussi nécessaire de mieux encadrer la faculté pour l'administration de prendre des décisions individuelles sur le seul fondement de traitements automatisés de données.

Je vous proposerai également de rééquilibrer la procédure d'action de groupe en réparation des préjudices. Sans la remettre en cause, il nous faut entendre l'inquiétude des petits opérateurs, collectivités territoriales comprises : chacun s'accorde à dire qu'ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 et ils pourraient être mis à terre par une condamnation pécuniaire trop lourde - sans compter les risques d'abus de droit, de quérulence ou d'extorsion. Pour apaiser ces craintes, je vous proposerai notamment de différer de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices, pour laisser le temps aux responsables de traitement de s'adapter, et d'imposer l'agrément préalable des associations de protection de la vie privée pour que celles-ci puissent introduire une action de groupe, afin de s'assurer de leur sérieux et de leur indépendance.

Je souhaite solennellement attirer l'attention de notre commission sur le grave problème que va poser l'insuffisance des moyens de la CNIL : déjà très sollicitée, elle ne disposera pas des capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures visant à faciliter son organisation interne ne suffiront pas et nous devrons absolument interroger le Gouvernement en séance à ce sujet. Les deux cent personnes qui travaillent à la CNIL représentent un effectif plus de deux fois inférieur à celui dont dispose son homologue britannique.

Je vous ferai aussi diverses propositions pour améliorer la transposition de la directive et garantir la constitutionnalité des fichiers de traitement des antécédents judiciaires.

Enfin, il nous faudra obtenir de sérieuses garanties sur l'orientation de l'ordonnance de recodification destinée à procéder aux nombreuses mises en cohérence que le Gouvernement affirme ne pas avoir eu le temps de réaliser dans le texte présenté. La CNIL et le Conseil d'État ont indiqué que l'illisibilité de ce projet de loi posait un problème d'accès au droit. Le manque d'anticipation du Gouvernement est grave : le contenu de la directive et du règlement étaient connus depuis avril 2016. Il révèle, vis-à-vis du Parlement, une désinvolture inouïe et, vis-à-vis des collectivités territoriales, un mépris abyssal.

Je vous proposerai donc de signifier au Gouvernement notre vive désapprobation en supprimant purement et simplement cette habilitation ; ceci lui laissera le soin, s'il le souhaite, de venir en séance expliquer les raisons de cette impréparation inédite, éventuellement de rétablir l'habilitation sollicitée et de préciser les contours du futur texte résultant de cette ordonnance.

M. Philippe Bas , président . - Merci. Ce projet de loi applique un règlement et transpose une directive. Les délais sont limités : nous devons avoir transposé la directive avant le 6 mai et le règlement avant le 25 mai 2018. Comme les gouvernements successifs n'ont pas fait preuve de beaucoup de diligence, notre rapporteur propose des mesures transitoires pour que la loi ne s'applique pas de manière brutale.

Actuellement vice-président de la commission des affaires européennes après en avoir été le président, Simon Sutour est un spécialiste reconnu de ces questions. Pour combattre la sur-transposition, la conférence des présidents a récemment décidé que la commission des affaires européennes pourrait présenter des observations sur certains textes législatifs. Nous expérimentons cette nouvelle procédure.

M. Simon Sutour . - Le 21 février dernier, la conférence des présidents a effectivement confié à la commission des affaires européennes, à titre expérimental et pour un an, une mission de veille sur l'intégration des textes européens dans notre législation nationale. C'est à ce titre que cette commission a examiné la semaine dernière, sur mon rapport, ce projet de loi, et a formulé des observations. Sophie Joissains étant aussi membre de cette commission, elle a pris une part active au débat.

Nous avions suivi avec attention l'élaboration de ce règlement général et de cette directive. J'ai présenté deux propositions de résolution européennes et un avis motivé sur ce sujet, qui ont été pris en considération : nous demandions que des dispositions nationales plus protectrices puissent être conservées, que toute personne résidant en France puisse saisir la CNIL, quand bien même le traitement des données aurait lieu dans un autre pays - l'Irlande, par exemple - et qu'ainsi tout citoyen français relève de la CNIL française.

Le projet de loi maintient certains régimes spéciaux protecteurs : il révise le régime particulier d'utilisation du numéro national d'identification des personnes et certains traitements mis en oeuvre pour le compte de l'État, il définit des règles plus protectrices pour les données biométriques et génétiques, il introduit un nouveau dispositif régissant le traitement des données de santé, qui présentent une finalité d'intérêt public.

La commission des affaires européennes relève toutefois que les régimes spéciaux visés et les règles nationales applicables aux données les plus sensibles s'inscrivent bien dans la logique du maintien d'un haut niveau national de protection souhaité par le Sénat, sans excéder les marges de manoeuvre ouvertes par le règlement. L'utilisation des données par les services de renseignement n'est toutefois pas évoquée.

La commission des affaires européennes a souligné la charge que représente l'obligation de mise en conformité à très brève échéance pour les petites collectivités territoriales, qui sont souvent dans l'incapacité financière et technique d'y faire face. Et le règlement, d'application immédiate, ne prévoit pas de délai de mise en conformité. Il est donc indispensable de prévoir un accompagnement adapté : nous l'avions évoqué lors de l'audition de la présidente de la CNIL dès novembre 2016.

La commission a insisté sur la nécessité de s'assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Dans son premier rapport sur l'application du privacy shield , publié en janvier, la Commission européenne recommande que le Département du Commerce des États-Unis poursuive la sensibilisation des entreprises et mette en oeuvre des procédures de vérification de la conformité de celles qui se sont auto-certifiées ; elle demande aussi aux autorités américaines de respecter leur engagement de lui fournir des informations récentes et exhaustives sur des améliorations pouvant s'avérer pertinentes.

Sur l'âge du consentement des enfants, fixé à quinze ans par l'Assemblée nationale selon une approche mesurée qui s'inscrit dans l'une des marges de manoeuvre ouvertes par le règlement, la commission est restée neutre : le règlement prévoit une plage de treize à seize ans.

Quant à l'extension de l'action de groupe à la réparation pécuniaire, elle a rappelé qu'il s'agit d'une faculté prévue en droit européen pour d'autres actions de groupe et recommandé qu'elle soit plutôt envisagée au niveau européen et assortie de règles d'enregistrement renforcées des associations.

M. Philippe Bas , président . - Je donne la parole à notre collègue Loïc Hervé, qui représente le Sénat à la CNIL.

M. Loïc Hervé . - Bravo pour ce rapport, qui met en exergue l'aspect politique de ce texte technique. Nous légiférons sous pression, vous l'avez dit. Si les gouvernements précédents avaient pris la mesure du travail à accomplir, nous ne nous verrions pas imposer un tel calendrier - ni un recours aux ordonnances. La France a été en avance, il y a quarante ans, quand l'informatique était à ses balbutiements, avec la création de la CNIL et de la Commission d'accès aux documents administratifs (CADA). La loi de 1978 et ses grands principes peuvent encore nous inspirer dans les bouleversements que nous traversons. Elle pose le triptyque liberté-sécurité-souveraineté. Liberté, car nos données personnelles, prolongement de notre corps et de notre vie, nous appartiennent, et le législateur doit les protéger. Sécurité, car ces données sont parfois sensibles et peuvent avoir de la valeur. Souveraineté, enfin, car les échanges de données internationaux doivent préserver les intérêts de notre pays et de l'Union européenne.

Ce règlement nous fait passer d'un paradigme administratif, régi par une logique d'autorisation, à un principe de responsabilisation des acteurs. Mais encore faut-ils que ceux-ci soient au courant ! Bien des élus locaux ignorent tout du sujet. Le régime des sanctions étant renforcé, nous devons veiller à accompagner les collectivités territoriales. Les associations d'élus et les services déconcentrés de l'État ne se saisissent de la question qu'aujourd'hui. Des mutualisations doivent être mises en place pour faire baisser le coût infligé aux collectivités territoriales.

Quant aux moyens de la CNIL, ils ne sont aucunement à la hauteur des missions qu'on songe à lui confier. Déjà, ses 200 collaborateurs peinent à faire face aux sollicitations dont ils font l'objet sur le RGPD. Vieille de quarante ans, elle devra désormais fonctionner en réseau avec ses homologues européennes ; il faut donc la doter de moyens équivalents.

M. Jérôme Durain . - Nous devons mettre de l'enthousiasme et de l'énergie à traiter ce sujet, même s'il semble très encadré par le calendrier et la procédure. Européen et numérique : deux raisons du désintérêt qui semble l'entourer. Pourtant, les enjeux sont nombreux, et nous sommes en retard. Nous avons des marges de manoeuvre, dans lesquelles nous devons nous insinuer. Le secrétaire d'État l'a dit : nous sommes tous intéressés à nos traces numériques. Le Sénat, chambre des libertés et représentant des collectivités territoriales, a une double raison de s'emparer du sujet. Il faudra muscler l'arsenal contre les entreprises, qui contreviendront à la loi. En créant la CNIL, nous avons été précurseurs et il nous faut rester à la pointe de ces avancées.

Mme Maryse Carrère . - Ce dossier est complexe : il s'agit d'intégrer à notre droit des textes européens. Nous accueillons favorablement le renforcement des prérogatives de la CNIL, qui pourra saisir le Conseil d'État pour obtenir la suspension du transfert de données personnelles. L'abaissement de la majorité numérique à quinze ans nous semble satisfaisant. Nous veillerons à l'effectivité des droits d'information, de recours et de rectification et les sous-traitants devront être soumis aux mêmes obligations que les responsables de traitement. La lisibilité du texte de l'Assemblée n'est pas entièrement satisfaisante et notre rapporteur rendra certains articles plus intelligibles. Le recours à des ordonnances ultérieures trahit la précipitation du Gouvernement. Dommage ! Les amendements introduisant dans ce texte les collectivités territoriales sont bienvenus. Le groupe RDSE les votera.

Mme Esther Benbassa . - Les fichiers touchés par les services de renseignement entrent directement dans le champ d'application de cette directive et ils n'y sont pas conformes. Le Gouvernement prétend que la sûreté de l'État et la défense ne relèvent pas du droit de l'Union européenne. C'est un argument fallacieux, et la directive devrait au contraire nous conduire à modifier la loi sur le renseignement de 2015.

M. Pierre-Yves Collombat . - Comment les petites collectivités territoriales pourront-elles faire face ? Quand la question s'était posée à propos des fichiers croisés, des règles spécifiques avaient été adoptées pour les communes de moins de 2 000 habitants. Pourquoi ne pas faire de même dans ce texte ?

M. Arnaud de Belenet . - Le sort réservé aux collectivités territoriales nous inquiète, car le règlement s'imposera à elles aussi dès le mois de mai. Madame le rapporteur a présenté deux pistes : les exonérer de certaines sanctions prévues à l'article 6 et les aider à financer et à gérer les outils devenus nécessaires. Nous n'avons que quelques jours pour trouver le moyen de financer ces mesures, dont j'espère qu'elles feront consensus au Sénat.

M. Philippe Bas , président . - Sur le financement, si le Gouvernement trouve une idée géniale, nous saurons lui faire bon accueil ! À l'échelle nationale, ce sont plusieurs centaines de millions d'euros qu'il faut mobiliser. À tout le moins, le Sénat doit veiller à ce que les collectivités territoriales n'aient pas à assumer seules cette charge qui leur est imposée.

Mme Sophie Joissains , rapporteur . - C'est un vrai privilège de travailler ainsi ensemble sur les questions européennes, quelles que soient nos étiquettes politiques. Hélas, le calendrier est serré : l'Assemblée nationale a reçu le texte en décembre, et nous-mêmes en février... Ce projet de loi a le mérite d'uniformiser et d'harmoniser notre droit avec celui de l'Union européenne mais, d'un point de vue légistique, c'est un galimatias improbable qui maintient des dispositions obsolètes de la loi de 1978 - loi que, par ailleurs, nous voulons conserver, car elle a fait de nous des pionniers en Europe - et négligeant d'exploiter les marges de manoeuvre qui nous sont laissées. Pas plus que les TPE-PME, les collectivités territoriales ne sont prises en compte. C'est catastrophique : l'Assemblée des départements de France nous indiquait qu'elle avait fait son travail, mais que personne d'autre ne se sentait concerné. Les petites communes reçoivent des devis à 3 000 euros par jour pour des formations ou des mises en conformité ! La CNIL fait ce qu'elle peut pour informer le public, mais personne n'a pris la mesure des investissements à effectuer : devoir d'alerte du responsable de traitement dans les 72 heures, devoir de prévenir toutes les personnes concernées, etc. Il est invraisemblable que la question des collectivités territoriales n'ait pas été abordée, comme si elles n'existaient pas ! Je souhaite qu'elles bénéficient du même régime que l'État, au nom de leur mission de service public et de leurs prérogatives de puissance publique : pas d'amendes de la CNIL, délai de deux ans pour la mise en oeuvre de l'action de groupe et accompagnement actif pour s'y préparer par la CNIL, pourquoi pas, par les préfets. Nous proposerons également une solution pour financer les nouveaux outils des collectivités territoriales, qui sera en lien direct avec le produit des amendes de la CNIL. Je vous propose ainsi de ne pas voter l'habilitation, qui témoigne d'un double mépris : pour le Parlement et pour les collectivités territoriales. Nous ne pouvons pas laisser ce sujet de côté, même si le public ne se sent pas, pour l'instant, concerné. « Nul n'est censé ignorer la loi ». Mais bien peu ont conscience des obligations qui vont s'appliquer !

Les fichiers mis en oeuvre par l'État qui intéressent la sûreté de l'État et la défense n'entrent absolument pas, madame Benbassa, dans le champ d'application de la directive : le droit de l'Union européenne leur est inapplicable.

EXAMEN DES AMENDEMENTS

Article 1 ^er

M. Philippe Bas , président . - Les amendements COM-28 et COM-27 ont le même objet, mais l'amendement COM-28 me semble mieux rédigé.

Mme Sophie Joissains , rapporteur . - Mon amendement COM-28 répare l'oubli des collectivités territoriales dans ce texte.

L'amendement COM-28 est adopté. L'amendement COM-27 devient sans objet. L'amendement rédactionnel COM-29 est adopté.

Mme Sophie Joissains , rapporteur . - Avis défavorable à l'amendement COM-23 tenons-nous en au RGPD, d'application directe.

L'amendement COM-23 n'est pas adopté.

Mme Sophie Joissains , rapporteur . - Mon amendement COM-30 rétablit le principe selon lequel seuls les présidents des assemblées parlementaires peuvent consulter la CNIL. Celle-ci est débordée et répond déjà à de nombreuses consultations.

L'amendement COM-30 est adopté. L'amendement COM-15 devient sans objet. L'amendement de précision COM-31 est adopté, ainsi que l'amendement de cohérence rédactionnelle COM-32 .

Article 1 ^er bis

Mme Sophie Joissains , rapporteur . - Mon amendement COM-33 supprime le formalisme rigide de la procédure de consultation de la CNIL, qui n'a pas lieu d'être calqué sur celui prévu pour le Conseil d'État.

L'amendement de suppression COM-33 est adopté.

Article 2

L'amendement rédactionnel COM-34 est adopté. L'amendement COM-16 devient sans objet, tout comme l'amendement COM-13 .

Article 2 bis

Mme Sophie Joissains , rapporteur . - Mon amendement COM-35 introduit de la souplesse dans l'organisation interne des travaux de la CNIL - en accord avec elle.

L'amendement COM-35 est adopté.

Article 4

L'amendement de clarification COM-36 est adopté.

Mme Sophie Joissains , rapporteur . - Avis favorable à l'amendement COM-17 sous réserve d'un sous-amendement : je souhaite y ajouter les mots « à peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction ».

L'amendement COM-17 ainsi que le sous-amendement COM-91 sont adoptés.

Article 5

Mme Sophie Joissains , rapporteur . - Mon amendement COM-37 donne à la CNIL la souplesse requise pour participer aux nouveaux mécanismes de coopération entre autorités européennes.

L'amendement COM-37 est adopté, ainsi que l'amendement de précision COM-38 .

Article 6

Mme Sophie Joissains , rapporteur . - Mon amendement COM-39 préserve les pouvoirs de sanction de la CNIL mais rétablit une gradation pédagogique dans l'enchaînement des mesures pouvant être prononcées.

L'amendement COM-39 est adopté.

Mme Sophie Joissains , rapporteur . - Mon amendement COM-40 exonère les collectivités territoriales et leurs groupements, au même titre que l'État, de l'amende administrative.

L'amendement COM-40 est adopté. L'amendement rédactionnel COM-41 est adopté, ainsi que l'amendement de cohérence COM-42 . Les amendements rédactionnels COM-43 et COM-44 et l'amendement d'harmonisation COM-45 sont adoptés.

Mme Sophie Joissains , rapporteur . - Un grand nombre de responsables de traitement ne seront pas prêts au mois de mai. Mon amendement COM-47 propose que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL finance les actions destinées à les aider à se conformer à la nouvelle réglementation. L'argent de la protection des données doit aller à la protection des données.

L'amendement COM-47 est adopté. L'amendement de précision COM-48 rectifié est adopté.

Article 7

Mme Sophie Joissains , rapporteur . - Si l'intention est louable, la liste présentée par les auteurs de l'amendement COM-25 pour les données dites « sensibles » diffèrerait sensiblement de celle résultant du RGDP. Or, l'objet de l'article 7 est justement d'harmoniser la loi Informatique et libertés avec le règlement. Mon avis est donc défavorable.

M. Simon Sutour . - On ne peut réécrire le RGPD !

L'amendement COM-25 n'est pas adopté .

Mme Sophie Joissains , rapporteur . - Je suis également, pour des raisons similaires, défavorable à l'amendement COM-18 .

L'amendement COM-18 n'est pas adopté.

Mme Sophie Joissains , rapporteur . - L'amendement COM-49 prend en compte le cas des prestataires et des stagiaires pour les traitements mis en oeuvre par les employeurs ou les administrations, qui portent sur des données biométriques nécessaires au contrôle de l'accès aux lieux de travail.

L'amendement COM-49 est adopté.

Mme Sophie Joissains , rapporteur. - L'interdiction prévue par l'amendement COM-19 me paraît bien trop générale. Le souhait de prendre en considération des situations de handicap est évidemment louable mais cet amendement est satisfait par le droit en vigueur.

L'amendement COM-19 n'est pas adopté.

Article 9

L'amendement COM-50 rectifié de coordination et de précision est adopté.

Article 11

Mme Sophie Joissains , rapporteur . - L'amendement COM-51 maintient le droit existant en matière d'autorisation des fichiers d'infractions pénales, de condamnations ou de mesures de sûreté non mis en oeuvre par l'État. Il précise également les conditions dans lesquelles des personnes morales de droit privé peuvent traiter de telles données.

L'amendement COM-51 est adopté.

Mme Sophie Joissains , rapporteur . - L'amendement COM-52 prévoit l'anonymat des magistrats et des acteurs d'une procédure judiciaire, afin d'éviter toute atteinte à la liberté d'appréciation des juridictions. Ces dispositions avaient été votées par le Sénat en octobre dernier à l'initiative du président Bas, dans le cadre de l' open data des décisions de justice.

L'amendement COM-52 est adopté.

Article 12

L'amendement COM-87 corrigeant une erreur légistique est adopté.

Mme Sophie Joissains , rapporteur . - Il est légitime que les services publics d'archives bénéficient d'un régime dérogatoire au droit commun de la protection des données personnelles. Toutefois, ces dérogations ne trouveront à s'appliquer que dans la mesure nécessaire à l'exercice de leurs missions de service public. Il paraît donc utile qu'un décret en Conseil d'État précise la portée de ces dérogations. Tel est l'objet de l'amendement COM-54 .

L'amendement COM-54 est adopté.

Mme Sophie Joissains , rapporteur . - Il ne m'apparaît pas justifié de déroger au droit à la rectification de données inexactes en ce qui concerne les traitements mis en oeuvre par les services publics d'archives, raison pour laquelle je vous propose d'adopter l'amendement COM-55 .

L'amendement COM-55 est adopté.

Mme Sophie Joissains , rapporteur . - L'amendement COM-53 prévoit, comme le Gouvernement l'avait initialement souhaité, qu'un décret en Conseil d'État puisse étendre ces dérogations, en tout ou partie, aux autres traitements mis en oeuvre à des fins de recherche scientifique ou historique, statistiques ou archivistiques d'intérêt public.

L'amendement COM-53 est adopté.

Article 13

L'amendement rédactionnel COM-56 est adopté.

Mme Sophie Joissains , rapporteur . - Je propose à ses auteurs de retirer l'amendement COM-1 .

L'amendement COM-1 est retiré.

Mme Sophie Joissains , rapporteur . - Je suis défavorable à l'amendement COM-26 .

L'amendement COM-26 n'est pas adopté.

Les amendements rédactionnel COM-57 et de coordination COM-58 sont adoptés.

Article 14 A

Mme Sophie Joissains , rapporteur . - Je vous propose, par l'amendement de suppression COM-59 , de maintenir à seize ans l'âge du consentement autonome d'un mineur pour le traitement de ses données personnelles par certains services en ligne. Nous manquons en effet de données précises sur les pratiques et les risques d'Internet en la matière et souhaiterions être mieux informés sur ce sujet, c'est aussi le but de la mission menée par notre collègue Catherine Morin-Desailly.

M. Jean-Pierre Sueur . - Quels sont les arguments ?

Mme Sophie Joissains , rapporteur . - Le RGPD fixe par défaut l'âge du consentement à seize ans, en laissant aux États membres la possibilité de l'abaisser jusqu'à treize ans. L'Allemagne et le Luxembourg ont ainsi choisi seize ans, la Grande-Bretagne, treize ans. La France s'était prononcée en faveur de seize ans pendant la négociation du RGPD et lors du dépôt du projet de loi initial. Suivons notre premier choix, quitte à le modifier lorsque nous disposerons d'éléments plus précis.

M. Philippe Bas , président . - Soyons clairs : cet âge correspond à celui auquel un jeune peut consentir lui-même au traitement de ses données personnelles sur Internet. En réalité, les jeunes ont une grande habitude d'aller sur Internet, où la vérification des limites d'âge est quelque peu bancale. Cette disposition sans grande portée pratique ressort plutôt de l'ordre du symbole, et rappelle la responsabilité des parents en la matière.

M. François Pillet . - L'âge de seize ans a également l'avantage de correspondre à celui de l'émancipation éventuelle d'un mineur.

Mme Brigitte Lherbier . - Cette disposition remet-elle en cause ou modifie-t-elle d'une quelconque façon le droit à l'oubli sur Internet ?

Mme Sophie Joissains , rapporteur . - Nullement. Le sujet du consentement abordé ici est très différent. Seize ans est l'âge par défaut proposé par le RGPD.

M. Loïc Hervé . - Il existe toujours de bonnes raisons de choisir tel ou tel âge. En réalité, de nombreux jeunes ouvrent, avec une fausse date de naissance, un compte Facebook avant l'âge de treize ans. Je partage donc la position de sagesse de notre rapporteur.

M. Philippe Bas , président . - Cette question est finalement un peu un leurre...

Mme Esther Benbassa . - Tout à fait !

Les amendements identiques de suppression COM-59 et COM-11 sont adoptés.

Article 14

Mme Sophie Joissains , rapporteur . - L'amendement COM-60 procède à une réécriture globale de l'article 14 relatif aux décisions prises sur le fondement d'algorithmes. Le projet de loi autorise les décisions administratives individuelles prises sur le seul fondement d'un traitement automatisé des données, jusqu'ici prohibées. Sans méconnaitre les bénéfices liés à l'usage d'algorithmes par l'administration, il convient de l'encadrer strictement. En effet, une décision automatisée risque d'être aveugle à des circonstances particulières de l'espèce ; le recours aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation. Un deuxième risque est lié à l'essor de l'intelligence artificielle, qui pourrait conduire à ce que des décisions administratives soient prises sur le fondement de critères que nul ne connaîtrait, l'algorithme les ayant lui-même déterminés et pondérés ; c'est le phénomène des « boîtes noires ». Un risque existe enfin que la programmation des algorithmes destinés à prendre des décisions individuelles n'aboutisse à contourner les règles de fond et de forme qui encadrent l'exercice du pouvoir réglementaire. Ainsi, dans la procédure dite « Admission post-bac », les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n'avaient jamais été explicités dans un texte réglementaire et qui n'étaient même pas rendus publics. On ne saurait admettre que l'administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d'infaillibilité des automates pour masquer ses propres choix.

Pour parer à ce triple risque, je vous propose de n'autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces derniers ont pour objet d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement qu'un tel traitement.

Par ailleurs, la loi du 7 octobre 2016 pour une République numérique a imposé à l'administration, lorsqu'elle prend une décision individuelle sur le fondement d'un traitement algorithmique, d'en faire mention sur le texte de la décision. Or, il semble que certaines administrations rechignent à se conformer à cette nouvelle obligation de transparence... Afin de les y inciter, je vous propose que le non-respect de cette formalité soit une cause de nullité de la décision.

Je vous propose enfin de corriger une première entorse aux règles de publicité des algorithmes employés par l'administration pour fonder des décisions individuelles, issue d'un amendement du Gouvernement à la loi du 8 mars 2018 relative à l'orientation et à la réussite des étudiants. Cet amendement, déposé tardivement en séance publique au Sénat sans que notre commission de la culture ait pu se prononcer, concerne les algorithmes qu'emploieront les établissements d'enseignement supérieur pour classer les candidatures qu'ils auront reçues. Dans l'éventualité où ces algorithmes conduiraient à accepter ou à rejeter des dossiers sans examen, il n'y a aucune raison que ces établissements ne respectent pas les obligations de transparence prévues par le code des relations entre le public et l'administration. La commission de la culture soutient ma proposition.

M. Pierre-Yves Collombat . - Cet amendement est particulièrement important. Je souscris pleinement à l'intention de notre rapporteur, mais je m'interroge sur les dérogations prévues. En réalité, dans la mesure où une décision administrative peut toujours faire l'objet d'interprétations s'agissant de cas particuliers, ces dérogations à l'interdiction des algorithmes devraient être supprimées.

Mme Sophie Joissains , rapporteur . - L'administration utilise de plus en plus fréquemment les algorithmes. Mon objectif est d'encadrer les plus dangereux, les fameuses « boîtes noires », mais d'autres - je pense à ceux utilisés par l'administration fiscale - ne posent guère de difficulté. Je ne crois pas très crédible de supprimer les dérogations, compte tenu de l'évolution du fonctionnement de nos administrations et du contexte européen.

M. Pierre-Yves Collombat . - Lorsque les algorithmes ne sont qu'un outil, leur utilisation ne me choque pas. Mais ils ne doivent en aucun cas fonder une décision administrative. Un peu comme dans le métro, il est toujours mieux d'avoir un véritable conducteur à bord !

Mme Sophie Joissains , rapporteur . - Le dispositif que je vous propose limite l'utilisation d'algorithmes aux cas où l'administration ne dispose d'aucune marge d'appréciation pour prendre une décision individuelle, à l'instar de ceux dont use l'administration fiscale pour calculer l'impôt.

L'amendement COM-60 est adopté. L'amendement COM-20 devient sans objet.

Article 14 bis

Les amendements identiques de coordination COM-61 et COM-12 sont adoptés.

Article 15

Mme Sophie Joissains , rapporteur . - Parce qu'il est satisfait par le droit en vigueur, je propose à ses auteurs de retirer l'amendement COM-2 .

L'amendement COM-2 est retiré.

Article additionnel avant l'article 16 A

Mme Sophie Joissains , rapporteur . - L'amendement COM-3 prévoit que l'introduction d'une action de groupe peut donner lieu à une médiation pour rechercher une solution amiable au litige. Il est satisfait par le droit en vigueur.

L'amendement COM-3 est retiré.

Article 16 A

L'amendement de précision COM-62 est adopté.

Mme Sophie Joissains , rapporteur . - Afin que la CNIL puisse présenter ses observations devant une juridiction saisie d'une action de groupe, il convient qu'elle soit informée de l'introduction de l'instance par le demandeur. Tel est l'objet de l'amendement COM-63 .

L'amendement COM-63 est adopté.

Mme Sophie Joissains , rapporteur . - Il convient de laisser aux responsables de traitement, et je pense notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de se conformer aux nouvelles obligations issues du RGPD. Il ne faut pas les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements. Je vous propose donc, avec l'amendement COM-64 , de prévoir un délai de deux ans.

M. Loïc Hervé . - Les associations d'élus se sont emparées du sujet. Les organisations professionnelles, notamment celles qui oeuvrent auprès des TPE-PME, devraient également mettre à profit le délai qui leur est ici offert. Il ne faudrait pas que le même problème se pose encore dans deux ans...

M. Philippe Bas , président . - Effectivement ! Nous portons une attention particulière aux collectivités territoriales et à leurs groupements mais les difficultés sont identiques pour les TPE-PME : leurs obligations sont lourdes et le risque de sanction, réel, quand bien même le projet a été imaginé pour contraindre les grands groupes. Le Gouvernement et la CNIL doivent prendre des engagements pour informer et accompagner ces acteurs.

L'amendement COM-64 est adopté.

Mme Sophie Joissains , rapporteur . - Afin d'éviter la multiplication des recours abusifs, l'amendement COM-65 prévoit un agrément préalable des associations ayant qualité pour introduire une action de groupe en matière de données personnelles, comme cela existe déjà dans les domaines de la consommation, de l'environnement ou de la santé.

L'amendement COM-65 est adopté.

Article 16

Mme Sophie Joissains , rapporteur . - L'amendement de conséquence COM-66 met en conformité l'article 16 avec le droit européen, qui ne permet pas que le mécanisme de mandatement soit réservé aux associations agréées.

L'amendement COM-66 est adopté.

Article 17

L'amendement rédactionnel COM-67 est adopté, ainsi que l'amendement de coordination COM-90 .

Article additionnel après l'article 17

M. Philippe Bas , président . - L'amendement COM-14 de Claude Raynal garantit que les utilisateurs d'un terminal aient le choix de services équivalents offrant de meilleures garanties de protection des données personnelles, lorsque des services de communication au public en ligne sont préinstallés.

Mme Sophie Joissains , rapporteur . - Il poursuit un objectif louable partagé par nombre d'entre nous. Néanmoins, il s'agit avant tout d'un problème de concurrence et de protection industrielle : le droit des données personnelles ne constitue pas l'outil idoine pour y remédier ; l'Assemblée nationale s'est d'ailleurs heurtée à cette limite. Il pourrait en revanche opportunément être traité au niveau européen dans le cadre de la négociation du prochain règlement e-privacy . Je n'y suis pas, à ce stade, favorable.

M. Loïc Hervé . - Je note que les véhicules législatifs sont rares pour traiter cette question, déjà abordée par la présidente de la commission de la culture, Catherine Morin-Desailly, lors des débats relatifs à la loi pour une République numérique. Un débat aura à nouveau lieu en séance publique dans le cadre du présent projet de loi car le sujet est d'importance : Google représente l'outil par défaut sur de nombreux ordinateurs et terminaux mobiles, alors qu'il collecte et monétise les données personnelles à tout va. Qwant propose, en revanche, une démarche plus éthique et respectueuse de la protection des libertés individuelles.

Je partage certes l'analyse juridique de notre rapporteur, mais nous devons faire pression sur le Gouvernement à chaque occasion qui nous est offerte. Le ministère de la justice semble ouvert à cette question. Agissons car l'enjeu est d'importance et les véhicules législatifs trop rares !

M. Jérôme Durain . - Je souscris au plaidoyer de Loïc Hervé. Laissons-nous effectivement la possibilité d'aborder ce sujet en séance publique et de convaincre le Gouvernement !

M. Philippe Bas , président . - Vous avez qualifié, madame le rapporteur, l'objectif poursuivi par cet amendement de « louable ». Peut-être pourriez-vous faire évoluer votre position à la lumière de notre débat ?

Mme Sophie Joissains , rapporteur . - Soit ! Adoptons cet amendement sous réserve de modifications légistiques mais il conviendra de retravailler sa rédaction lors de la séance publique.

L'amendement COM-14 est adopté avec modifications.

Article 19

Les amendements rédactionnels, de précision et de coordination COM-68 , COM-70 , COM-71 , COM-72 , COM-75 , COM-76 et COM-77 sont adoptés.

Les amendements COM-5 , COM-6 et COM-10 sont retirés.

Mme Sophie Joissains , rapporteur . - Conformément aux possibilités offertes par la directive, l'amendement COM-69 rectifié maintient le régime actuel d'autorisation par la CNIL pour les fichiers en matière pénale. Pour des données aussi sensibles, il semble délicat de se passer d'autorisation préalable.

M. Philippe Bas , président . - Il s'agit effectivement d'une tradition française !

L'amendement COM-69 rectifié est adopté.

Mme Sophie Joissains , rapporteur . - Je suis favorable à l'amendement COM-4 rectifié.

L'amendement COM-4 rectifié est adopté.

Mme Sophie Joissains , rapporteur . - L'amendement COM-74 supprime la mention « dans la mesure du possible » relative à l'obligation de vérifier la qualité des données à caractère personnel avant leur transmission à un tiers.

L'amendement COM-74 est adopté.

Mme Sophie Joissains , rapporteur . - Je suis favorable à l'amendement COM-21 .

L'amendement COM-21 est adopté.

Mme Sophie Joissains , rapporteur . - Les dispositions envisagées par l'amendement COM-7 ne sont pas prévues par la directive du 27 avril 2017 : elles s'apparenteraient donc à une sur-transposition, raison pour laquelle j'y suis défavorable.

L'amendement COM-7 n'est pas adopté.

Mme Sophie Joissains , rapporteur . - Je suis favorable aux amendements COM-8 et COM-9 relatifs au délai de rectification et d'effacement des données inexactes.

Les amendements COM-8 et COM-9 sont adoptés.

Articles additionnels après l'article 19

Mme Sophie Joissains , rapporteur . - L'amendement COM-78 rectifié crée, par prélèvement sur les recettes de l'État, une dotation pour la protection des données personnelles, dont le montant par habitant serait décroissant à mesure que la population augmente. L'objectif de cette mesure est de permettre aux collectivités territoriales et à leurs groupements de faire face aux nouvelles obligations qui leur incombent en tant que responsables de traitement et qui auront un coût élevé, insupportable pour beaucoup de petites communes et intercommunalités. À titre d'illustration, un département s'est récemment vu facturer, par un organisme privé, 28 000 euros pour la livraison de fiches techniques et une revue de conformité sur les seuls fichiers relatifs aux politiques de réinsertion et à l'aide sociale à l'enfance.

M. Philippe Bas , président . - Le dispositif proposé par notre rapporteur est astucieux... et recevable !

M. François Bonhomme . - À combien est estimé l'impact financier de cette mesure ?

Mme Sophie Joissains , rapporteur . - Selon nos calculs, à 170 millions d'euros.

M. Alain Marc . - Ce dispositif ne risque-t-il pas de conduire à une diminution des concours financiers de l'État aux collectivités, dont on nous a annoncé la stabilisation pour les trois prochaines années ?

Mme Sophie Joissains , rapporteur . - Il ne s'agit pas de la même enveloppe.

M. Pierre-Yves Collombat . - Comment avez-vous réussi à passer sous les fourches caudines de l'article 40 de la Constitution ?

Mme Sophie Joissains , rapporteur . - Il ne faut pas confondre les prélèvements sur recettes, qui peuvent être prévus à condition d'être gagés, et les augmentations de charges, toujours interdites. Il s'agit toutefois essentiellement d'un amendement d'appel...

M. Philippe Bas , président . - Le régime juridique des amendements parlementaires sur les recettes diffère effectivement de celui applicable aux charges.

L'amendement COM-78 rectifié est adopté.

Mme Sophie Joissains , rapporteur . - L'amendement COM-79 a pour objet de faciliter la mutualisation des services support des collectivités territoriales et de leurs groupements, en particulier s'agissant de leurs services informatiques. Ces structures sont en effet susceptibles de fournir un délégué à la protection des données commun à plusieurs collectivités ou organismes publics.

M. Loïc Hervé . - Cette proposition, qui favorise la mutualisation des moyens des différentes structures, est essentielle ! Agences départementales, centres de gestion, associations départementales des maires..., les possibilités sont nombreuses. Les collectivités territoriales voient affluer les offres de prestataires privés, qu'il ne faut pas exclure par principe, mais la mutualisation est souvent plus adaptée.

M. André Reichardt . - Pourquoi ces prestations ne seraient-elles pas soumises au droit des marchés publics ?

Mme Sophie Joissains , rapporteur . - Les prestations de services internes à la sphère publique, dits « in house », sont en grande partie soustraites aux obligations de publicité et de mise en concurrence.

M. Alain Richard . - Les critères de la prestation intégrée étant fixés par le droit européen, j'attire votre attention sur le fait que les prestations offertes par des associations d'élus en sont exclues.

M. Loïc Hervé . - Les associations départementales de maires jouent souvent un rôle majeur en matière d'information des élus, mais elles n'entrent effectivement pas dans le champ de la proposition de notre rapporteur.

L'amendement COM-79 est adopté.

Article 20

M. Philippe Bas , président . - Le Gouvernement doit promulguer ce texte d'ici le mois de mai, mais son travail est inachevé et manque cruellement de lisibilité. Pour y remédier, il se propose d'intervenir légistiquement par voie d'ordonnance. Pourtant, il disposait du temps nécessaire à l'élaboration d'un texte convenable.

Mme Sophie Joissains , rapporteur . - Pour signifier notre désapprobation concernant ces méthodes peu respectueuses du Parlement, l'amendement COM-89 supprime l'habilitation.

M. Simon Sutour . - J'y suis favorable. Nous devons marquer le coup face à tant d'impréparation, même si la France, traditionnellement très en retard en matière de transposition, progresse dans ce domaine. En outre, le texte d'une habilitation doit être clair et précis, ce qui n'est pas ici le cas.

Mme Sophie Joissains , rapporteur . - Nous devons inciter le Gouvernement à nous présenter des garanties, notamment au bénéfice des collectivités territoriales.

M. Jean-Pierre Sueur . - Je comprends qu'il s'agit là d'un acte politique dans un contexte de débat sur l'usage des ordonnances, mais je ne suis pas opposé à cet outil lorsqu'il s'agit de codification.

M. Loïc Hervé . - Dans le cas présent, ce ne sont pas les ordonnances qui posent problème, mais la raison pour laquelle le Gouvernement souhaite y avoir recours : il n'a pas su tenir les délais ! Quel mépris pour le travail du Parlement !

Mme Sophie Joissains , rapporteur . - Une codification peut évidemment être réalisée par ordonnance, mais, alors que les collectivités territoriales et les TPE-PME sont directement concernées par le texte, rien n'a été fait en amont auprès d'elles et le Parlement a été saisi au dernier moment. Cette situation n'est pas acceptable. Elle suscite une vive inquiétude quant au contenu de l'ordonnance, qui devrait être prise à droit constant, respecter les collectivités et garantir l'applicabilité des mesures dans les outre-mer.

M. Philippe Bas , président . - Au-delà de la codification, l'ordonnance doit procéder à un toilettage complet de la loi de 1978. L'exigence de droit constant n'est nullement mentionnée à ce stade.

M. Alain Richard . - La formulation générale s'agissant du droit constant autorise le rédacteur à réaliser les corrections indispensables en droit européen et à supprimer les dispositions obsolètes. Il faut reprendre cette formule, d'autant que la loi de 1978 réformée en 2004 par le droit européen de la protection des données est d'excellente qualité.

L'amendement de suppression COM-89 est adopté et l'amendement COM-22 devient sans objet.

Article 20 bis

Mme Sophie Joissains , rapporteur . - Je suis favorable à l'amendement COM-24 .

M. Christophe-André Frassa . - Je vous remercie ! La loi pour une République numérique prévoyait la portabilité des données non personnelles et leur possible récupération par les consommateurs. L'article 20 bis , introduit par l'Assemblée nationale, tend à supprimer cette disposition. Mon amendement a pour objet de la maintenir car elle permet de limiter la puissance des plateformes au profit des consommateurs.

L'amendement de suppression COM-24 est adopté.

Article 21

Les amendements de coordination et de cohérence COM-88 et COM-80 sont adopté.

Article 23

L'amendement COM-81 supprimant l'allongement du délai de réponse et l'amendement COM-82 de clarification sont adoptés.

Mme Sophie Joissains , rapporteur . - L'amendement COM-83 vise à offrir les mêmes droits aux personnes relaxées qu'à celles bénéficiant d'un classement sans suite pour insuffisance de charges.

M. André Reichardt . - Pourquoi devrait-on limiter l'effacement des données personnelles à certains types de non-lieu ou de décisions de classement sans suite ?

Mme Sophie Joissains , rapporteur . - Je vous propose de modifier la rédaction de mon amendement pour prendre en considération votre remarque.

M. André Reichardt . - Pourquoi, en outre, prévoir une exception à cet effacement au bon vouloir du procureur de la République ?

Mme Sophie Joissains , rapporteur . - Le procureur peut souhaiter que les informations sur un individu soient conservées dans l'éventualité d'enquêtes futures.

L'amendement COM-83 rectifié est adopté.

Mme Sophie Joissains , rapporteur . - L'amendement COM-84 clarifie le fait que, pour les personnes condamnées, la demande d'effacement ou de rectification peut être formée lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 du casier judiciaire en lien avec la demande d'effacement. En effet, le casier judiciaire mentionne également des décisions disciplinaires, commerciales ou administratives, qui n'ont pas vocation à empêcher une personne de demander l'effacement des données relatives aux infractions pénales.

L'amendement COM-84 est adopté.

Article 23 bis

L'amendement de coordination COM-85 est adopté.

Article 24

Mme Sophie Joissains , rapporteur . - Par cohérence, l'amendement COM-86 reporte de deux ans l'entrée en vigueur de l'article 16 A du projet de loi relatif à l'action de groupe en réparation de préjudices subis en matière de données personnelles.

L'amendement COM-86 est adopté.

Le projet de loi est adopté dans la rédaction issue des travaux de la commission.

Le sort des amendements examinés par la commission est retracé dans le tableau suivant :

LISTE DES PERSONNES ENTENDUES ET DES CONTRIBUTIONS ÉCRITES

Ministère de la justice

Cabinet du garde des sceaux

M. Éric Thiers , conseiller spécial chargé des questions institutionnelles

Mme Aurélia Schaff , conseillère chargée de l'Europe et des relations internationales

M. Julien Pavy , chargé de mission

Direction des affaires civiles et du sceau

M. Antony Duplan , chef du bureau du droit constitutionnel et du droit public général

M. Corentin Hellendorff , rédacteur au bureau du droit constitutionnel et du droit public général

Cabinet du secrétaire d'État chargé du numérique

M. Côme Berbain , conseiller en charge du numérique et de la transformation numérique de l'État

Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC)

M. Henri Verdier , directeur

Mme Maud Choquet , chargée de mission juridique

Conseil national du numérique

M. Yann Bonnet , secrétaire général

Secrétariat général des affaires européennes

Mme Sandrine Gaudin , secrétaire générale des affaires européennes

M. Renaud Halem , chef du secteur Espace judiciaire européen

Mme Eve  Jullien , adjointe au chef du secteur Espace judiciaire européen

Mme Constance Deler , cheffe du secteur Parlements

Commission nationale de l'informatique et des libertés (CNIL)

M. Jean Lessi , secrétaire général

M. Mathias Moulin , directeur-adjoint à la direction de la protection des droits et des sanctions

M. Émile Gabrié , conseiller auprès de la présidente et du secrétaire général

Mme Tiphaine Havel , conseillère pour les questions institutionnelles et parlementaires

Assemblée des départements de France (ADF)

M. Jean-Pierre Quignaux , conseiller technique Nouvelles technologies

Mme Marylène Jouvien , responsable des relations avec le Parlement

Mme Virginie Langlet , correspondante informatique et liberté auprès du département des Alpes-Maritimes

Association des maires de France (AMF)

M. Patrick Molinoz , vice-président de l'AMF, maire de Vénarey-les-Laumes (21) et président de la communauté du Pays d'Alésia et de la Seine

Mme Charlotte de Fontaines , chargée des relations avec le Parlement

Fédération nationale des collectivités concédantes et régies (FNCCR)

M. Christophe Mahais , responsable des projets informatiques

Mme Manon Leyendecker , juriste au sein du département énergie

Agence landaise pour l'informatique (ALPI)

M. Renaud Lagrave , directeur syndicat mixte ALPI

Centre de gestion de la fonction publique territoriale de l'Aude

M. Cédric Courtois , correspondant informatique & libertés mutualisé

M. Loïc Jobineau , responsable du service

Association pour le développement et l'innovation numérique des collectivités (ADICO)

M. Emmanuel Vivé , directeur général

Association française des correspondants aux données personnelles (AFCDP)

M. Paul Olivier Gibert , président

Association UFC Que choisir

Mme Justine Massera , juriste NTIC

M. Guilhem Fenieys , chargé de mission relations institutionnelles

Association e-enfance

Mme Justine Atlan , directrice générale

M. Samuel Comblez , psychologue, directeur des opérations

Conseil national des barreaux

Mme Christiane Feral-Schuhl , présidente

M. Etienne Papin , avocat au Barreau de Paris spécialisé dans le droit de l'informatique, de l'internet et des médias

Mme Laurence Dupont , directrice adjointe du pôle juridique, correspondante informatique et liberté du CNB

M. Jacques-Édouard Briand , directeur des affaires législatives et réglementaires

Qwant

M. Éric Léandri , fondateur de Qwant

M. Guillaume Champeau , Directeur Relations Publiques

Mme Eléonor Lasou , Consultante - Rivington

M. Léonard Cox , VP Affaires publiques et RSE

Association pour le commerce et les services en ligne (ACSEL)

M. Eric Barbry , président de la commission juridique

Fédération des industries électriques, électroniques et de communication (FIEEC)

Mme Julie Macaire , chef de service des affaires juridiques

Mme Maxence Demerlé , déléguée générale du syndicat Alliance Française des Industries du Numérique (AFNUM)

M. Gabriel Daubech , spécialisé sur les aspects santé au syndicat national de l'industrie des technologies médicales (SNITEM)

Chambre de commerce internationale (ICC)

Mme Stéphanie Faber , avocate

Mme Sophie Tomlinson

M. Florian Banciu

Syntec numérique

Mme Émilie Dumérain , déléguée juridique

M. Sébastien Duplan , délégué relations institutionnelles

Syndicat national de la communication directe

M. Éric Huignard , co-président du SNCD

Mme Méliné Matossian , responsable affaires publiques et communication

Syndicat des régies internet

Mme Hélène Chartier , directrice générale

Mlle Katherine Dagg , consultante à Lysios Public Affairs

M. Clément Reix , chargé de la politique publique chez Dailymotion

Personnalités qualifiées

M. Serge Abiteboul , directeur de recherche à l'Inria, membre du Collège de l'ARCEP

M. Gilles Dowek , directeur de recherche à l'Inria

Mme Nozha Boujemaa , directrice de recherche à l'Inria

M. Hervé Isar , professeur des universités, directeur du laboratoire interdisciplinaire de droit des médias et des mutations sociales (LID2MS)

M. Yann Padova , avocat, ancien secrétaire général de la CNIL

Exégètes amateurs

M. Alexis Fitzjean O Cobhthaigh , avocat

Quadrature du net

M. Arthur Messaud , juriste pour l'association

Internet Society France

M. Nicolas Chagny , président

M. Lucien Castex , secrétaire général

Google

M. Olivier Esper , directeur des relations institutionnelles de Google France

Twitter

Mme Audrey Herblin-Stoop , directrice des affaires publiques France & Russie

Association des sites numériques communautaires (ASIC)

M. Giuseppe de Martino , président

Facebook

M. Anton Battesti , responsable affaires publiques

M. Nicolas de Bouville , responsable de la politique de confidentialité

Association française des entreprises privées (AFEP)

Mme Emmanuelle Flament-Mascaret , directrice Affaires commerciales et propriété intellectuelle

Mouvement des entreprises de France (MEDEF)

Mme Joëlle Simon , directrice des affaires juridiques

Mme Clémentine Furigo , juriste, chargée de mission à la direction droit de l'entreprise

M. Jules Guillaud , chargé de mission à la direction des affaires publiques

Contributions écrites

Acces Now

AEON

M. Loïc Cadiet, professeur à l'école de droit de la Sorbonne

Centre d'analyse du terrorisme

Cdiscount

European Digital Rights (EDRi)

GESTE

One plus One

Groupe RELX

Syndicat de la Presse quotidienne nationale

ANNEXE - LISTE DES « MARGES DE MANoeUVRE »

1) Pour les règles sectorielles spécifiques des États membres, notamment pour les données sensibles et les conditions de licéité, et la marge de manoeuvre des États membres : considérant 10 ;

2) Pour la prise en compte des besoins spécifiques des TPE/PME : considérant 13 ;

3) Pour adapter le règlement pour le secteur public, y compris pour adopter des conditions spécifiques ou des restrictions : considérant 19 ; article 6, paragraphe 2 ;

4) Pour désigner certains responsables de traitement : article 4, point 7 ;

5) Pour les traitements de données par les juridictions et la supervision de ceux-ci : considérant 20 ;

6) Pour les données des personnes décédées : considérant 27 ;

7) Pour les tiers autorisés : considérant 31 et article 4, point 9 ;

8) Pour la licéité des traitements du secteur public (dans l'intérêt public ou imposant une obligation légale) et la création de tels traitements : considérants 45, 47 ; article 6, paragraphe 3 ;

9) Pour déterminer la compatibilité, la licéité et la base légale des traitements de données ultérieurs dans l'intérêt public : considérants 50, 51 ; article 6, paragraphe 4 ;

10) Pour les conditions relatives au consentement des enfants de moins de 16 ans et de plus de 13 ans : article 8, paragraphe 1 ^er ;

11) Pour les traitements de données sensibles, y compris de santé, génétiques ou biométriques : considérants 51, 52, 53, article 9, articles 17 pour les limitations au droit à l'oubli et 21, paragraphe 6 pour les traitements de données sensibles à des fins scientifiques, statistiques ou historiques dans l'intérêt privé ;

12) Pour le traitement des données relatives aux condamnations pénales : article 10 ;

13) Pour déterminer les conséquences de demandes d'exercice de droits excessives ou manifestement infondées : article 12 ;

14) Pour l'obtention ou la divulgation d'information par le responsable de traitement : article 14, paragraphe 5, point c) ;

15) Pour la compilation des opinions politiques dans le cadre des activités électorales : considérant 56 ;

16) Pour le droit à l'effacement et le droit à l'oubli : considérant 65 et article 17 ;

17) Pour la limitation du traitement des données au lieu de l'effacement : article 18 ;

18) Pour autoriser le profilage : considérant 73 et article 22 ;

19) Pour les restrictions aux droits des personnes et obligations des responsables de traitement : considérant 59 et article 23 ;

20) Pour déterminer les responsabilités respectives des responsables de traitement conjoints : article 26 ;

21) Pour déterminer les exigences sur la validité juridique d'un acte liant le responsable de traitement au sous-traitant : considérant 81 et articles 28 et 29 ;

22) Pour les exigences relatives aux instructions du responsable de traitement à son sous-traitant, y compris pour obliger le sous-traitant à conserver les données après la fin du contrat avec le responsable de traitement : considérant 81 et article 28 ;

23) Pour la sécurité des traitements : article 32 ;

24) Pour prévoir des analyses d'impact dans le cadre de l'adoption d'une législation nationale : considérant 93 et article 35 ;

25) Pour la procédure de consultation préalable de l'autorité de contrôle dans le cadre de l'adoption d'une nouvelle législation ou de la mise en place d'un nouveau traitement de données dans l'intérêt public : article 36 ;

26) Pour obliger à la désignation d'un délégué à la protection des données : article 37 ;

27) Pour l'obligation de secret professionnel du délégué à la protection des données : article 38 ;

28) Pour encourager les codes de conduite et la certification : articles 40 et 42 ;

29) Pour l'accréditation des organismes certificateurs : article 43 ;

30) Pour conclure des accords internationaux : considérant 102 et article 46 ;

31) Pour des transferts de données dans l'intérêt public : considérant 111 ;

32) Pour certains transferts dérogatoires : article 49 ;

33) Pour limiter les transferts de données vers un pays tiers ou une organisation internationale en l'absence de décision d'adéquation à certaines catégories : considérant 112 ; article 49 ;

34) Pour la création des autorités de contrôle : considérant 117 ;

35) Pour prévoir la coopération entre les autorités de protection des données nationales s'il en existe plus d'une : considérant 119, article 51 ;

36) Pour les conditions générales de désignation des membres et du personnel des autorités de contrôle : considérant 121, articles 51, 52, 53, 54 ;

37) Pour les pouvoirs des autorités de contrôle : considérant 129, article 58 ;

38) Pour les instances auxquelles les autorités de contrôle font rapport : article 59 ;

39) Pour confier des pouvoirs d'enquête aux autorités de contrôle des autres États membres effectuant des enquêtes sur son territoire dans le cadre d'opérations conjointes : article 62 ;

40) Pour la désignation de l'autorité de protection des données participant au CEPD lorsqu'il y en a plusieurs : considérant 119 et article 68 ;

41) Pour les actions collectives et pour les exigences concernant les associations pouvant agir en représentation : considérant 142, article 80 ;

42) Pour la désignation de la juridiction compétente sur le territoire : considérant 143 ; articles 78 et 82 ;

43) Pour les régimes de responsabilité : considérant 146, article 82 ;

44) Pour les sanctions administratives des responsables de traitement publics : considérants 150 et article 83 paragraphe 7 ;

45) Pour prévoir des sanctions lorsque le Règlement n'a pas harmonisé les sanctions, y compris pénales : considérants 149 et 151 et article 84 ;

46) Pour l'articulation des dérogations nationales en matière de liberté d'expression et de droit à l'information et les dérogations spécifiques : considérant 153 ; article 85 ;

47) Pour l'accès aux documents publics et la réutilisation des données du secteur public : considérant 154 et article 86 ;

48) Pour fixer les conditions spécifiques du traitement d'un numéro national d'identification : article 87 ;

49) Pour les traitements de données des salariés : considérant 155 ; article 88 ;

50) Pour les traitements des données à des fins archivistiques dans l'intérêt public, statistiques, scientifiques, historiques, pour prévoir les garanties appropriées nécessaires et les dérogations : considérant 156, article 89 (et articles 14 et 17) ;

51) Pour la recherche scientifique : considérant 157 ;

52) Pour les traitements de données à des fins archivistiques dans l'intérêt public : considérant 158 ;

53) Pour les traitements de données à des fins statistiques : considérant 162 ;

54) Pour les statistiques publiques : considérant 163 ;

55) Pour limiter les pouvoirs des autorités de contrôle pour respecter le secret professionnel : considérant 164 et articles 13, paragraphe 5, point d) et 90 ;

56) Pour les traitements de données des églises et associations religieuses : considérant 165 .

AMENDEMENTS NON ADOPTÉS PAR LA COMMISSION

Article 1 ^er

Amendement n° COM-27 présenté par

M. PATRIAT et les membres du groupe La République En Marche

Alinéa 4

Après les mots :

et peut, à cette fin, apporter une information personnalisée aux

Insérer les mots :

collectivités territoriales

Alinéa 9

A la deuxième phrase

Après les mots :

et des besoins spécifiques des

Insérer les mots :

collectivités territoriales

Alinéa 13

A la deuxième phrase

Après les mots :

à cette fin, les besoins spécifiques des

Insérer les mots :

collectivités territoriales

Objet

Cet amendement vise à améliorer l'information dont disposent les collectivités territoriales sur les obligations qui sont les leurs en matière de protection des données personnelles.

Les difficultés rencontrées par les élus locaux dans leur mise en conformité obligatoire avec les exigences nouvelles du RGPD ont été manifestement évacuées lors de la discussion du texte à l'Assemblée nationale.

En vertu d'une logique de contrôle ex ante base'e sur des formalités administratives auprès de la CNIL, à laquelle se substitue désormais une logique dite de "responsabilisation" ex post des acteurs privés et publics, les élus locaux se retrouvent en première ligne et sous la menace immédiate de conséquences pénales et de risques administratifs non négligeables en cas de non-conformité au règlement.

Le groupe LREM se propose d'ouvrir le débat sur les conséquences directes du RGPD pour nos territoires avant son entrée en application le 25 mai 2018.

Amendement n° COM-23 présenté par

M. RAYNAL

Alinéa 11

Après le mot:

techniques

insérer le mot :

relatives aux finalités

Objet

Les finalités déclarées pour l'utilisation des systèmes biométriques passent sous silence l'existence d'une fonction latente à la biométrie : la localisation des personnes physiques. En effet, le développement des systèmes biométriques est intimement lié à la volonté du responsable du traitement non pas de simplement authentifier un document ou identifier une personne, mais bien de localiser cette dernière.

Or cette finalité latente n'est jamais prévue par le droit, alors même qu'elle est recherchée. Ainsi, en rendant obligatoire la présentation de l'ensemble des finalités et en permettant à la CNIL de prescrire des mesures complémentaires concernant ces données, cet amendement a vocation à renforcer les droits fondamentaux des personnes ainsi que le respect du principe de finalité.

Tel est l'objet du présent amendement.

Amendement n° COM-15 présenté par

M. RAYNAL

Alinéa 19

Après la dernière phrase

Insérer une phrase ainsi rédigée :

Par tout parlementaire,  à tout moment de la conception d'une proposition de loi.

Objet

L'ouverture de la compétence de la CNIL doit aussi concerner les propositions de loi, non pas uniquement celles déjà déposées, mais aussi celles en train d'être écrites. Cette extension a pour fonction de permettre aux parlementaires de bénéficier de l'expertise de la CNIL.

Tel est l'objet du présent amendement.

Article 2

Amendement n° COM-16 présenté par

M. RAYNAL

Alinéa 3

Supprimer le mot :

individuelles

Objet

Dans une définition restreinte, la liberté individuelle est prévue à l'article 66 de la Constitution qui en confie le monopole de la protection au juge judiciaire. Ainsi, la protection est alors restreinte à un certain type de liberté.

Même dans une acception large, qui inclurait d'autres libertés, notamment personnelles, cette formulation ne peut trouver à s'appliquer aux libertés collectives.

Partant, la suppression du mot "individuelles" entraînera une protection accrue des libertés.

Tel est l'objet du présent amendement.

Amendement n° COM-13 présenté par

MM.  Henri LEROY, PACCAUD et DALLIER, Mme EUSTACHE-BRINIO et MM.  CHAIZE, LEFÈVRE, GROSDIDIER, MEURANT, DANESI et VASPART

Compléter cet article par un paragraphe ainsi rédigé :

... - Le premier alinéa du II de l'article 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi rédigé :

« Le mandat des membres de la commission est de cinq ans ; il n'est pas renouvelable. »

Objet

Cet amendement a pour objet d'offrir la plus grande indépendance qui soit à la CNIL.

En effet, les membres des principales autorités administratives indépendantes ne peuvent être renouvelés dans leur fonction à l'issue de leur mandat. Ainsi en est-il du Conseil supérieur de l'audiovisuel ou encore de l'Autorité des marchés financiers.

Le caractère non-renouvelable constitue la garantie que le comportement des membres de la CNIL ne sera jamais commandé par une volonté de leur part d'être renouvelé dans leur fonction.

Article 7

Amendement n° COM-25 présenté par

M. PATRIAT et les membres du groupe La République En Marche

Alinéa 3

Rédiger ainsi cet alinéa :

« I. - Il est interdit de traiter des données à caractère personnel qui révèlent l'origine prétendument raciale ou ethnique, les opinions politiques, les pratiques et croyances qu'un individu exerce ou manifeste dans le cadre de sa foi spirituelle, les convictions philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques tendant à désanonymiser une personne physique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne physique. »

Objet

Cet amendement apporte des corrections rédactionnelles à la présente codification des dispositions relatives à certaines catégories de données. Il s'agit principalement de tenir compte de la jurisprudence de la Cour européenne des Droits de l'Homme en faisant la distinction entre la conviction religieuse d'une part, et, sa manifestation, d'autre part.

Par ailleurs, l'introduction du terme "désanonymiser" nous apparait pas totalement infondée au regard de l'objectif constitutionnel d'intelligibilité de la loi.

Amendement n° COM-18 présenté par

M. RAYNAL

Alinéa 3

Supprimer les mots:

de manière unique

Objet

L'identification biométrique se basant sur une correspondance statistique entre deux mesures corporelles, elle ne peut identifier de manière unique un individu. Même les systèmes biométriques les plus performants,s'ils peuvent discriminer deux personnes, ne peuvent de manière unique identifier un individu, puisque par nature, il ne s'agit là que d'une probabilité et non d'une certitude.

Cette transformation des hypothèses scientifiques (les statistiques), en  une vérité juridique (le caractère unique de l'identité biométrique) peut entraîner des problèmes pour les personnes, notamment des identifications erronées, ou des rejets d'identification.

L'objet de cet amendement est alors de préciser, par la suppression de l'expression de "manière unique" de mettre en adéquation les qualifications juridiques avec l'état des connaissances en ce qui concerne les sciences et les techniques.

Amendement n° COM-19 présenté par

M. RAYNAL

Alinéa 9

Compléter cet alinéa par les mots :

le responsable du traitement de données biométriques doit garantir le caractère subsidiaire de ce dernier en mettant à disposition de l'agent ou de l'usager un dispositif non biométrique remplissant la même finalité

Objet

Quelque soit le système biométrique utilisé, il existe un pourcentage même minime de personnes dont les données biométriques ne peuvent être enregistrées. Ce taux d'impossibilité d'enrôlement est fonction soit de la nature des données capturées, soit des accidents de la vie des personnes (doigts coupés, brûlés ou mal formés).

L'objet de cet amendement est de permettre à ces personnes d'accéder aux même services que les personnes enrôlées dans les systèmes biométriques.

Article 13

Amendement n° COM-1 présenté par

MM.  DARNAUD et GENEST

Alinéa 31

Compléter cet alinéa en insérant la phrase suivante ainsi rédigée:

« Pour l'exercice de ce droit, les titulaires précédemment cités doivent justifier de leur identité et de leur autorité parentale, de leur mission de représentation dans le cadre d'une tutelle, de leur habilitation familiale ou d'un mandat de protection future, ainsi que de leur identité. »

Objet

Cet amendement précise les conditions selon lesquelles les titulaires de l'autorité parentale et personnes assimilées sont destinataires des informations.

Il vise à mieux concilier la protection des données personnelles et l'exploitation des données disponibles afin d'améliorer les réponses à apporter aux personnes bénéficiaires des politiques sociales ou de santé.

Amendement n° COM-26 présenté par

M. PATRIAT et les membres du groupe La République En Marche

Alinéa 40

Première phrase

Après les mots :

le consentement éclairé

Insérer les mots :

, libre, spécifique, univoque

Alinéa 43

Première phrase

Après les mots :

le consentement éclairé

Insérer les mots :

, libre, spécifique, univoque

Objet

Déjà listées au sein de la Directive 95/46/CE, le  Règlement européen 2016/679 sur la protection des données personnelles définit et entérine les conditions légales du consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Par ailleurs, les qualificatifs libre et éclairé sont repris dans tous les attendus de jugement ayant trait aux problèmes de consentement.

Cette précision rédactionnelle mérite par conséquent d'être intégrée au texte compte tenu de la sécurisation juridique qu'elle apporte.

Article 14

Amendement n° COM-20 présenté par

M. RAYNAL

Alinéa 10

Ajouter :

Il tient à la disposition de l'usager le cahier des charges complet et le code source commenté de l'algorithme.

Objet

Face au développement des algorithmes, il est important de permettre aux citoyens de connaître tant les impératifs qui ont conduit à son développement que les explications de son mode de fonctionnement. Partant, cet amendement se propose d'inscrire dans la loi un principe de transparence en matière d'algorithme en rendant obligatoire la transmission, sur demande, tant du cahier des charges que du code source avec ses commentaires.

Tel est l'objet du présent amendement

Article 15

Amendement n° COM-2 présenté par

MM.  DARNAUD et GENEST

Après l'alinéa 2

Insérer un nouvel alinéa ainsi rédigé :

IV. La documentation concernant la notification de violation de données à caractère personnel n'est pas considérée comme un document administratif au sens du Code des relations entre le public et l'Administration, elle n'est donc pas communicable sur la base des articles L 311 et suivants du Code de la Relation entre le Public et l'Administration.

Objet

Cet amendement précise les dispositions relatives à la limitation du droit à la communication d'une violation de données à caractère personnel auprès d'un usager, ou d'une autre institution voir d'une personne mal attentionnée.

Division additionnelle avant l'article 16 A (nouveau)

Amendement n° COM-3 présenté par

MM.  DARNAUD et GENEST

Avant l'article 16 A (nouveau)

Insérer une division additionnelle ainsi rédigée :

Pour toute action engagée sur la base de l'article 43 ter de la loi n°78-17 du 6 janvier 1978, il sera possible de passer par une médiation. La médiation régie par le présent article s'entend de tout processus structuré, quelle qu'en soit la dénomination, par lequel deux ou plusieurs parties tentent de parvenir à un accord en vue de la résolution amiable de leurs différends, avec l'aide d'un tiers, le médiateur, choisi par elles ou désigné, avec leur accord, par la juridiction.

Une liste des médiateurs est établie par un décret en Conseil d'état.

Le médiateur accomplit sa mission avec impartialité, compétence et diligence.

Sauf accord contraire des parties, la médiation est soumise au principe de confidentialité. Les constatations du médiateur et les déclarations recueillies au cours de la médiation ne peuvent être divulguées aux tiers ni invoquées ou produites dans le cadre d'une instance juridictionnelle ou arbitrale sans l'accord des parties.

Les délais de recours contentieux sont interrompus et les prescriptions sont suspendues à compter du jour où, après la survenance d'un différend, les parties conviennent de recourir à la médiation ou, à défaut d'écrit, à compter du jour de la première réunion de médiation.

Ils recommencent à courir à compter de la date à laquelle soit l'une des parties ou les deux, soit le médiateur déclarent que la médiation est terminée. Les délais de prescription recommencent à courir pour une durée qui ne peut être inférieure à six mois.

Le médiateur informe la juridiction concernée du fait que les parties aient trouvé ou non un accord amiable.

Objet

Cet amendement propose la mise en place d'une médiation présentant plusieurs avantages :

- Alléger la tâche de travail de la CNIL

- Conduire des actions de pédagogie auprès des services non suffisamment informés de la législation existante

- Mettre des garde-fous aux actions de groupe visant à désorganiser les services et à encourager systématiquement les usagers à faire des demandes en masse en vue de demande de dommages et intérêts.

Article 19

Amendement n° COM-5 présenté par

MM.  DARNAUD et GENEST

Alinéa 16

Insérer deux nouveaux alinéas ainsi rédigés:

La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président.

Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'avis est réputée acceptée.

Objet

Cet amendement prévoit les délais de réponse de la CNIL lorsque le responsable du traitement ou son sous-traitant a sollicité son avis.

Amendement n° COM-6 présenté par

MM.  DARNAUD et GENEST

Alinéa 41

Rédiger ainsi le début de cet alinéa :

« Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et, ..... »

Le reste sans changement

Objet

Le responsable du traitement des données doit mettre en oeuvre toutes les mesures appropriées, y compris celles qui existent déjà, afin de garantir la sécurité des données.

Amendement n° COM-7 présenté par

MM.  DARNAUD et GENEST

Après l'alinéa 63

Insérer deux paragraphes nouveaux ainsi rédigés :

II - La désignation d'un Délégué à la protection des données est, préalablement à sa notification à la Commission nationale de l'informatique et des libertés, portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre remise contre signature.

La décision de désignation du Délégué à la Protection des données ainsi que les informations nécessaires permettant de se mettre en rapport avec lui sont portées à la connaissance des personnes concernées par tout moyen.

Pour les administrations, cette désignation fait l'objet d'une publication, selon le cas, dans un des bulletins, recueils ou registres mentionnés aux articles R. 312-3 à R. 312-6 du code des relations entre le public et l'administration.

III - Dans les trois mois de sa désignation, le Délégué à la protection des données effectue le recensement des traitements dans le registre prévu à l'article 30 du règlement (UE) 2016/679.

Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission

IV - Lorsque le délégué à la protection des données est démissionnaire ou déchargé de ses fonctions, le responsable des traitements en informe la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie

La notification de cette décision mentionne en outre le motif de la démission ou de la décharge. Il y est annexé, le justificatif de la notification de la décision au Délégué à la protection des données.

Cette décision prend effet huit jours après sa date de réception par la Commission nationale de l'informatique et des libertés.

Le remplacement du Délégué à la Protection des données doit se faire dans un délai d'un mois par le responsable des traitements.

Objet

La loi doit préciser la désignation, la fonction et les missions du Délégué à la protection des données, ainsi que les modalités de fin de mission de celui-ci.

Amendement n° COM-10 présenté par

MM.  DARNAUD et GENEST

Alinéa 114

Compléter cet alinéa par la phrase suivante ainsi rédigée :

« En tout état de cause, ces frais devront respecter les montants définis par l'arrêté du 1er octobre 2001 relatif aux conditions de fixation et de détermination du montant des frais de copie d'un document administratif. »

Objet

Amendement de clarification

Article 20

Amendement n° COM-22 présenté par

M. RAYNAL

Alinéa 2

Insérer

2° pour garantir un niveau de protection des droits fondamentaux équivalents aux plus hauts standards des pays membres de l'UE.

Objet

L'autorisation donnée au Gouvernement de prendre des ordonnances dans le domaine de la loi ne peut se faire sans intégrer dans l'habilitation une obligation de protection des droits fondamentaux. Cette protection des droits fondamentaux qui découle directement du domaine de la loi prévu à l'article 34 de la Constitution doit être d'un niveau équivalent au meilleur système de protection.

Cette volonté de protéger les droits fondamentaux a justifié en 1978 l'adoption de la loi informatique et libertés face au scandale SAFARI et il serait dommageable que cet aspect historique disparaisse dans cette refonte.

Tel est l'objet du présent amendement.

---

* ¹ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ² Résolution européenne n° 110 (2011-2012) sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055).

* ³ Résolution européenne n° 105 (2011-2012) portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement du Parlement européen et du Conseil relatif à la protection des données à caractère personnel.

* ⁴ Résolution européenne n° 108 (2012-2013) sur la protection des données personnelles.

* ⁵ Rapport d'information n° 696 (2013-2014) de Mme Catherine Morin-Desailly « L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne », fait au nom de la mission commune d'information sur la gouvernance mondiale de l'Internet.

* ⁶ Rapport d'information n° 443 (2012-2013) fait par Mme Catherine Morin-Desailly « L'Union européenne, colonie du monde numérique ? », au nom de la commission des affaires européennes.

* ⁷ Rapport n° 534 (2015-2016) de M. Christophe-André Frassa, fait au nom de la commission des lois, sur le projet de loi pour une République numérique.

* ⁸ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* ⁹ Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

* ¹⁰ Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* ¹¹ Le champ d'application de la directive de 1995 était alors circonscrit au domaine communautaire et ne concernait pas le pilier relatif à la justice et aux affaires intérieures (JAI). Elle a, par la suite, été complétée par plusieurs instruments ayant pour objet d'assurer la protection de données dans le cadre de traitements spécifiques, notamment une décision-cadre JAI en matière pénale, qui se bornait à encadrer les transferts de données en excluant l'harmonisation des règles nationales en matière de protection des données par les services répressifs.

* ¹² Les marges de manoeuvre sont prévues soit directement dans les articles du règlement, soit dans les considérants (paragraphes interprétatifs qui ouvrent le texte) et sont de portée inégale. La liste de ces dispositions, communiquée à votre rapporteur, est publiée en annexe du présent rapport. Selon le SGAE, le nombre élevé de ces marges tient précisément à ce que ces renvois aux législations nationales ont permis d'emporter le soutien des États membres qui n'étaient pas favorables à un règlement d'application uniforme.

* ¹³ Décision n° 2017-670 QPC du 27 octobre 2017, M. Mikhail P. [Effacement anticipé des données à caractère personnel inscrites dans un fichier de traitement d'antécédents judiciaires].

* ¹⁴ Délibération n° 2017-299 du 30 novembre 2017 de la CNIL portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du janvier 1978 ; elle est consultable à l'adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf

* ¹⁵ Avis n° 393836 du Conseil d'État consultable à l'adresse suivante : http://www.assemblee-nationale.fr/15/pdf/projets/pl0490-ace.pdf

* ¹⁶ Le maintien de ces dispositions dans la loi Informatique et libertés s'explique par la volonté de continuer à couvrir les cas de traitement de données personnelles qui ne relèveraient ni du règlement, ni de la directive.

* ¹⁷ À savoir, ceux 1° relevant du règlement (les fichiers « civils et commerciaux », mais également certains fichiers relevant de l'administration), 2° relevant de la directive (traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites) et, enfin, 3° ne relevant pas du droit de l'Union ou exclus du champ tant du règlement que de la directive (traitements intéressant la sûreté de l'État et la défense).

* ¹⁸ Communication de la Commission au Parlement européen et au Conseil « Une meilleure protection et de nouvelles perspectives - Orientations de la Commission relatives à l'application directe du règlement général sur la protection des données à partir du 25 mai 2018 » (COM(2018) 43 final - 24.01.2018).

* ¹⁹ Pour les autorités publiques et, dans le privé, pour certains acteurs traitant des données à « grande échelle » de façon régulière ou en cas de données sensibles.

* ²⁰ Selon la CNIL, ces instruments lui permettront de convertir son patrimoine normatif actuel (autorisations uniques, normes simplifiées, etc .) en référentiels sectoriels susceptibles de produire des effets de droit gradués dans le nouvel environnement juridique : soit en se bornant à de simples guides permettant aux professionnels de s'orienter dans leurs démarches de conformité, soit à l'appui par exemple de l'élaboration de la liste des dispenses d'étude d'impact prévues à l'article 35 du RGPD (aux termes duquel « L'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise (...) L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. »)

* ²¹ En prévoyant un système à double niveau : la CNIL peut tout d'abord certifier elle-même des personnes, des produits, des systèmes de données ou des procédures de manière à reconnaître leur conformité au règlement européen et à la loi du 6 janvier 1978 ; elle peut également agréer des organismes certificateurs, sur la base de leur accréditation par l'instance nationale dédiée (le Comité français d'accréditation - COFRAC), à laquelle elle peut apporter des exigences supplémentaires.

* ²² Ajout issu d'un amendement adopté par l'Assemblée nationale.

* ²³ À titre d'exemple, aux Pays-Bas, où cette mission existe déjà, l'autorité néerlandaise reçoit en moyenne 6 000 à 7 000 notifications par an.

* ²⁴ Par rapport à la population actuelle de 5 000 correspondants informatique et libertés (CIL), la CNIL anticipe un nombre de 20 000 à 25 000 délégués à la protection des données, selon ses estimations communiquée à votre rapporteur.

* ²⁵ Aux termes de l'article 52 (Indépendance), § 4, « Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l'infrastructure nécessaires à l'exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité. »

* ²⁶ Aide sociale à l'enfance, gestion et contrôle du revenu de solidarité active (RSA), gestion et contrôle de l'allocation personnalisée à l'autonomie (APA), commande publique et marchés publics, contrôle de la CVAE, gestion du patrimoine des collèges, FSL, télémédecine, convention avec des particuliers pour le Plan départemental des itinéraires de promenade et de randonnée (PDIPR), etc .

* ²⁷ Aux termes de l'article 57 (Missions) : « 1. [...] chaque autorité de contrôle, sur son territoire [...] c) conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement ».

* ²⁸ Aux termes de l'article 58 (Pouvoirs) : « 3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants : [...] émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ».

* ²⁹ Aux termes de l'article 36 (Consultation préalable) : « 1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données [...] indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. [...] 4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement. »

* ³⁰ Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ³¹ Lorsqu'il confie un pouvoir de sanction à une autorité administrative indépendante, le législateur doit lui-même prévoir des garanties de nature à assurer le respect des « principes d'indépendance et d'impartialité indissociables de l'exercice de pouvoirs de sanction par une autorité administrative indépendante », qui impliquent notamment de séparer « les fonctions de poursuite et d'instruction et les pouvoirs de sanction » (Conseil constitutionnel, décision n° 2012-280 QPC du 12 octobre 2012).

* ³² Solution dégagée dès 2008 (Conseil d'État, 19 février 2008, n° 311974, Profil France), et constamment réaffirmée depuis : « la formation restreinte de la CNIL, lorsqu'elle est saisie d'agissements pouvant donner lieu à l'exercice de son pouvoir de sanction, doit être regardée comme décidant du bien-fondé d'accusations en matière pénale au sens de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ; [il] s'ensuit, et alors même qu'elle n'est pas une juridiction au regard du droit interne, que le moyen tiré de ce qu'elle aurait statué dans des conditions qui ne respecteraient pas le principe d'impartialité rappelé à l'article 6 de la convention peut, eu égard à la nature, à la composition et aux attributions de cet organisme, être utilement invoqué à l'appui d'un recours formé devant le Conseil d'État à l'encontre de sa décision » (Conseil d'État, 12 mars 2014, n° 353193, Pages jaunes).

* ³³ « (...) La formation restreinte statue hors la présence du rapporteur et du commissaire du Gouvernement. / Un agent des services de la commission, faisant office de secrétaire de séance, peut être désigné par le président de la formation restreinte. Il assiste au délibéré de la formation restreinte, sans y prendre part. Il relève de la seule autorité du président de la formation restreinte dans le cadre de ces fonctions » (art. 77 du décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

* ³⁴ À cet égard, seuls les agents et membres habilités au secret de la défense, conformément au code de la défense, ont accès aux documents contenant des informations relevant de ce régime (cf. article 19 de la loi Informatique et libertés : « [...] Ceux des agents qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi »).

* ³⁵ « [Droits] a) [d']ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions » et « e) [d']obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'accomplissement de ses missions ».

* ³⁶ « f ) obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres. »

* ³⁷ Issu de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui transposait l'article 28 de la directive 95/46/CE du 24 octobre 1995.

* ³⁸ Voir a du 1 de l'article 4 de la directive de 1995.

* ³⁹ Plusieurs garanties sont prévues : demande préalable de l'autre autorité à la CNIL, décision particulière du président de la CNIL, réservée à ceux des membres ou agents de l'autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la CNIL, les contrôles auxquels participeront ces agents habilités restant exercés sous l'autorité de la CNIL.

* ⁴⁰ Voir le commentaire de l'article 1 ^er .

* ⁴¹ Voir le commentaire de l'article 3.

* ⁴² Concernant le champ des données dites « sensibles », outre les dérogations à l'interdiction de traitement déjà expressément contenues dans la directive, l'article 8, paragraphe 4, de l'ancienne directive de 1995 autorisait les États membres à prévoir, sous réserve de garanties appropriées, des dérogations supplémentaires pour un motif d'intérêt public important, soit par leur législation nationale, soit par leur autorité de contrôle.

* ⁴³ Prévue à l'article 67 de la loi Informatique et Libertés.

* ⁴⁴ Le projet de loi transmis maintient d'ailleurs certaines formalités préalables pour certains traitements concernant ces données sensibles ( données biométriques et génétiques) en utilisant une marge de manoeuvre du RGPD, dont le 4 de l'article 9 permet de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données de la santé » (voir le commentaire de l'article 9).

* ⁴⁵ Par décret en Conseil d'État pris après avis motivé et publié de la commission (en pratique, ces traitements sont principalement mis en oeuvre par les ministères de la défense ou de l'intérieur).

* ⁴⁶ Le Secrétariat général des affaires européennes est un service du Premier ministre, il a notamment pour mission l'élaboration des positions françaises.

* ⁴⁷ Le SGAE a comptabilisé au total 56 marges de manoeuvre renvoyant au droit national, prévues soit directement dans les articles du RGPD, soit dans ses considérants (paragraphes interprétatifs qui ouvrent le texte). Elles sont de portée inégale et leur liste récapitulée dans une note du SGAE communiquée à votre rapporteur, est publiée en annexe du présent rapport.

* ⁴⁸ Rapport d'information n° 344 (2017-2018), fait par M. Simon Sutour au nom de la commission des affaires européennes, sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles.

* ⁴⁹ Pour les traitements soumis à cette obligation, le fait de ne pas procéder aux formalités requises est passible d'une peine de 5 ans d'emprisonnement et de 300 000 euros d'amende (art. 226-16 et 226-16-1-A du code pénal). En pratique, la doctrine s'accorde à reconnaître que de telles peines sont cependant rarement prononcées, et que, lorsqu'elles le sont, le quantum est assez léger.

* ⁵⁰ Voir le commentaire des articles 3 et 6 pour une description du pouvoir de sanction de la CNIL, et notamment celui d'infliger des amendes.

* ⁵¹ Engagement de la responsabilité civile, nullité de certains actes et caractère illicite de la preuve obtenue en méconnaissance des obligations du responsable du traitement.

* ⁵² Pour les catégories les plus courantes de traitements de données à caractère personnel dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.

* ⁵³ En substance, pour les personnes privées, l'utilisation du NIR ou la consultation du répertoire Insee doivent être autorisées par la CNIL. Si le fichier incluant le NIR parmi les données à traiter est mis en oeuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, l'autorisation doit alors être délivrée par décret en Conseil d'État pris après avis motivé et publié de la CNIL. S'il ne s'agit que d'autoriser la consultation du RNIPP, un arrêté (ou une décision de l'organe délibérant) pris après avis motivé et publié de la CNIL suffit. La même procédure d'arrêté est applicable si le traitement utilisant le NIR vise uniquement à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration.

* ⁵⁴ La protection devra désormais être assurée dès la conception du service ou du produit (« privacy by design ») et en minimisant l'usage des données au strict nécessaire en fonction de la finalité du traitement (« privacy by default »). Les responsables de traitement et leurs sous-traitants doivent opérer un suivi continu pour être en mesure de démontrer à tout moment la conformité au règlement (en se dotant de procédures appropriées, comme un registre des traitements pour les grandes structures), voire de moyens humains dédiés ( délégués à la protection des données désormais obligatoires dans certains cas : pour les autorités publiques et, dans le privé, pour certains acteurs traitant des données à « grande échelle » de façon régulière ou en cas de données sensibles.).

* ⁵⁵ Sur ce point, votre rapporteur renvoie au commentaire du titre III du projet de loi.

* ⁵⁶ À savoir les données à caractère personnel dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

* ⁵⁷ Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ⁵⁸ Décision n° 2004-499 DC du 29 juillet 2004, loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ⁵⁹ Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ⁶⁰ Votre rapporteur remarque que dans la traduction française du règlement, à l'instar de la traduction italienne (« condanne penali e reati »), l'adjectif qualificatif « pénales » ne s'applique pas aux infractions. Votre rapporteur observe néanmoins que certaines traductions du règlement appliquent l'adjectif qualificatif « pénales » tant aux condamnations qu'aux infractions : « condenas e infraciones penales » dans la version espagnole ; « criminal convictions and offences » dans la version anglaise.

* ⁶¹ Sur ce point, votre rapporteur renvoie au commentaire de l'article 9 du projet de loi.

* ⁶² M. Loïc Cadiet, rapport à Madame la garde des sceaux, ministre de la justice, « L' open data des décisions de justice », mission d'étude et de préfiguration sur l'ouverture au public des décisions de justice, novembre 2017.

* ⁶³ Sur ce point, voir le commentaire de l'article 7.

* ⁶⁴ Rapport n° 33 (2017-2018) de MM. Jacques Bigot et François-Noël Buffet, fait au nom de la commission des lois, déposé le 18 octobre 2017, sur la proposition de loi n° 641 (2016-2017) d'orientation et de programmation pour le redressement de la justice.

* ⁶⁵ Voir la délibération de la CNIL n° 2005-213 du 11 octobre 2005.

* ⁶⁶ Pour mémoire, l'article 39 de la loi n° 78-17 du 6 janvier 1978 prévoit qu'une personne physique a le droit d'interroger un responsable de traitement en vue d'obtenir notamment la confirmation que des données à caractère personnel la concernant font ou non l'objet de ce traitement, des informations relatives aux finalités du traitement, aux catégories de données traitées et à leurs destinataires, aux transferts de données hors de l'Union européenne, ainsi que la communication des données qui la concernent.

* ⁶⁷ Voir le chapitre III du livre I ^er du livre II du code du patrimoine.

* ⁶⁸ Plus précisément, il est prévu de supprimer les dispositions selon lesquelles 1° les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives sont dispensés de formalités préalables, 2° les données conservées au-delà de leur durée initiale de conservation par les services publics d'archives peuvent être traitées à d'autres fins qu'historiques, statistiques ou scientifiques avec l'autorisation de la CNIL.

* ⁶⁹ Refonder le droit à l'information publique à l'heure du numérique : un enjeu citoyen, une opportunité stratégique , rapport d'information n° 589 (2013-2014) de Mme Corinne Bouchoux au nom de la mission commune d'information sur l'accès aux documents administratifs.

Ce rapport est consultable à l'adresse suivante : http://www.senat.fr/rap/r13-589-2/r13-589-2.html

* ⁷⁰ Article L. 161-28-1 du code de la sécurité sociale : « les données reçues et traitées par le [SNIIRAM] préservent la vie privée des personnes ayant bénéficié des prestations de soins »

* ⁷¹ Art. 54 de la loi Informatique et libertés « Les traitements de données à caractère personnel ayant une finalité d'intérêt public de recherche, d'étude ou d'évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l'informatique et des libertés, dans le respect des principes définis par la présente loi (...) Dans des conditions définies par décret en Conseil d'État, l'Institut national des données de santé, prévu à l' article L. 1462-1 du code de la santé publique, peut être saisi par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présente la recherche, l'étude ou l'évaluation justifiant la demande de traitement ; il peut également évoquer le cas de sa propre initiative. Dans tous les cas, il rend un avis dans un délai d'un mois à compter de sa saisine. »

* ⁷² Pour une présentation plus détaillée, on pourra se reporter utilement à la très riche étude de Jean Cattan, « La mise à disposition des données de santé » (Droit Administratif n° 5, mai 2016).

* ⁷³ Ces organisations, listées par décret en conseil d'État, pris après avis de la CNIL, peuvent pour accomplir leurs missions accéder à certaines données de manière permanente

* ⁷⁴ L'Assemblée nationale a adopté un amendement du Gouvernement excluant également du champ d'application de ce chapitre les traitements « mis en oeuvre aux fins d'assurer (...) la prise en charge des prestations par les organismes d'assurance maladie complémentaire », en plus de ceux déjà exclus relevant du régime de base d'assurance maladie.

* ⁷⁵ L'Assemblée nationale a adopté deux amendements identiques de sa rapporteure et de M. Cédric Villani limitant la compétence de l'Institut national des données de santé d'émettre un avis sur le caractère d'intérêt public que présente un traitement non à l'ensemble des traitements de données de santé (section 1) mais bien, comme en l'état du droit, au seul cas des traitements effectués dans le cadre d'une recherche, une étude ou une évaluation portant sur des données personnelles en matière de santé (section 2).

* ⁷⁶ Autorisation en faveur d'un même demandeur concernant des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

* ⁷⁷ La CNIL a rassemblé, en mai 2013, un collectif d'acteurs issus du monde de l'éducation, de la recherche, de l'économie numérique, de la société civile, de fondations d'entreprises et d'autres institutions. Le collectif regroupe près de 70 structures. www.educnum.fr

* ⁷⁸ Convention dont l'objet visait notamment : à concevoir des ressources pédagogiques en matière de protection des données personnelles, les tester et en évaluer la pertinence et l'efficacité ; à mettre ces ressources à disposition tant des enseignants que des élèves ; organiser et promouvoir des actions de formation et des opérations (concours, séminaires de réflexion, colloques...) ; à sensibiliser les enseignants, les élèves et les étudiants à un usage responsable et éclairé du numérique.

Cette convention est accessible sur le site Internet de la CNIL à l'adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/convention_men_cnil.pdf

* ⁷⁹ h de l'article 2 de la directive.

* ⁸⁰ 11 de l'article 4 du RGPD.

* ⁸¹ Article 7 du RGPD.

* ⁸² Dont la définition, propre au droit de l'Union européenne, figure au b du 1 de l'article 1 ^er de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

* ⁸³ Rapport d'information n° 344 (2017-2018), fait par M. Simon Sutour au nom de la commission des affaires européennes, sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles. Ce rapport est consultable à l'adresse suivante : http://www.senat.fr/rap/r17-344/r17-344.html.

* ⁸⁴ Article 4 du règlement (UE) 2016/679 du 27 avril 2016.

* ⁸⁵ Le machine learning est, par exemple, à l'origine des progrès des prévisions météorologiques.

* ⁸⁶ Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ⁸⁷ Article 15 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

* ⁸⁸ Voir la décision 2017-053 du 30 août 2017 de la présidente de la CNIL mettant en demeure le ministère de l'éducation nationale au sujet de la procédure dite « Admission post-bac », ainsi que l'avis de la CNIL sur le projet de loi. Le Conseil d'État lui-même semble quelquefois se ranger à cette interprétation extensive : voir CE, 7 avril 2010, n° 309547.

* ⁸⁹ À savoir les données à caractère personnel dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

* ⁹⁰ Bien que la notion de données à caractère personnel ne s'applique qu'aux informations relatives à une personne physique (voir l'article 2 de la loi n° 78-17 du 6 janvier 1978), l'interdiction des décisions de justice impliquant une appréciation sur le comportement d'une personne et fondées sur un traitement automatisé de données personnelles s'applique aussi bien à la condamnation d'une personne morale pour des motifs liés au comportement de son organe, personne physique.

* ⁹¹ Le secret industriel et commercial s'oppose, par exemple, à la communication d'un document administratif à toute autre personne qu'à l'intéressé : voir l'article L. 311-6 du code des relations entre le public et l'administration.

* ⁹² C'est le cas néanmoins du licenciement (article L. 1234-1 du code du travail), du congé donné au titulaire d'un bail commercial (article L. 145-9 du code de commerce), mais aussi, depuis la réforme du droit des obligations, de la résolution unilatérale de tout contrat (article 1226 du code civil).

* ⁹³ Voir CE, 16 octobre 1995, n° 146887, à propos des concours d'entrée à l'École nationale d'administration.

* ⁹⁴ Il a ainsi été jugé que l'autorité administrative avait compétence liée pour prononcer l'admission d'office à la retraite d'un fonctionnaire qui atteint la limite d'âge (CE, 19 novembre 1954, Sieur Greffe , Lebon p. 603), pour prescrire la radiation des cadres d'un agent à l'encontre duquel le juge pénal a prononcé une interdiction de toute fonction ou emploi public (CE, 25 juillet 1980, n° 15363), ou pour rejeter une demande de permis de construire soumis à l'avis conforme de l'administration des monuments historiques, dès lors que cet avis est défavorable (CE, 22 février 1957, Sté coopérative de reconstruction de Rouen et de sa région , Lebon p. 126). La jurisprudence a aussi fait état de la compétence liée de l'administration lorsque celle-ci exerçait un réel pouvoir d'appréciation pour qualifier les faits, dès lors que, cette qualification étant donnée, sa décision était dictée par les règles de droit ; le Conseil d'État semble désormais retenir une acception plus étroite de la notion (voir CE, 3 février 1999, n° 149722, Montaignac , AJDA 1999. 567, chron. F. Raynaud).

* ⁹⁵ Voir le rapport publié en décembre 2017 par la CNIL, « Comment permettre à l'homme de garder la main ? Les enjeux éthiques des algorithmes et de l'intelligence artificielle », p. 26. Ce document est consultable à l'adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf .

* ⁹⁶ Voir l'encadré p. 92 .

* ⁹⁷ Trois exemples permettent d'observer cette gradation. Il serait dangereux d'octroyer un permis de chasser à des personnes susceptibles de faire un mauvais usage de leurs armes ; mais le code de l'environnement ne laisse pas au directeur général de l'Office national de la chasse et de la faune sauvage une entière liberté d'appréciation sur ce point : il se contente de fixer la liste des personnes qui ne peuvent se voir délivrer un permis : mineurs de seize ans, majeurs en tutelle, personnes privées du droit de port d'armes à la suite d'une condamnation, etc. (article L. 423-11). L'article L. 332-16 du code du sport établit, quant à lui, une liste de critères assez souples pour apprécier si une personne constitue une menace pour l'ordre public justifiant qu'il lui soit interdit d'accéder aux stades. Enfin, l'article L. 521-1 du code de l'entrée et du séjour des étrangers et du droit d'asile autorise l'expulsion d'un étranger dont la présence en France constitue « une menace grave pour l'ordre public », sans plus de précisions.

* ⁹⁸ Article R. 443-3-1 du code de la construction et de l'habitation.

* ⁹⁹ La direction générale des finances publiques dispose ainsi d'un outil de lutte contre la fraude fiscale dénommé « ciblage de la fraude et valorisation des requêtes », créé par un arrêté du 21 février 2014 et fondé sur l'exploration de données ou datamining . La jurisprudence administrative considère d'ailleurs que la décision de soumettre un contribuable à un contrôle fiscal n'est pas détachable de la procédure d'imposition et qu'elle n'est donc pas en elle-même susceptible de recours pour excès de pouvoir : voir par exemple CAA Lyon, 22 septembre 1993, n° 93-161.

* ¹⁰⁰ CE Ass., 23 décembre 2011, n° 335477 et CE, 23 décembre 2011, n° 335033.

* ¹⁰¹ Voir le rapport public thématique publié en octobre 2017 par la Cour des comptes, « Admission post-bac et accès à l'enseignement supérieur : un dispositif contesté à réformer », pp. 57-59. Ce document est consultable à l'adresse suivante : https://www.ccomptes.fr/sites/default/files/2017-10/20171019-rapport-admission-post-bac_0.pdf , ainsi que le rapport n° 305 (2017-2018) de nos collègues Cédric Villani, député et Gérard Longuet, sénateur, fait au nom de l'Office parlementaire des choix scientifiques et techniques, « Les algorithmes au service de l'action publique : le cas du portail admission post-bac », consultable à l'adresse suivante : https://www.senat.fr/rap/r17-305/r17-3051.pdf .

* ¹⁰² Voir le rapport n° 193 (2017-2018) de notre collègue Jacques Grosperrin, fait au nom de la commission de la culture, sur le projet de loi relatif à l'orientation et à la réussite des étudiants, consultable à l'adresse suivante : http://www.senat.fr/rap/l17-241/l17-2411.pdf .

* ¹⁰³ L'algorithme pourrait consister, soit à pré-ordonner l'ensemble des dossiers (pour n'examiner que ceux se situant de part et d'autre de la barre d'admission), soit à les répartir en deux ensembles constitués respectivement des dossiers automatiquement écartés et des dossiers à examiner.

* ¹⁰⁴ Le III de l'article L. 612-3 du code de l'éducation, dans sa rédaction issue de la loi n° 2018-166 du 8 mars 2018 relative à l'orientation et à la réussite des étudiants , dispose que pour l'accès aux formations non sélectives, « lorsque le nombre de candidatures excède les capacités d'accueil d'une formation, les inscriptions sont prononcées par le président ou le directeur de l'établissement dans la limite des capacités d'accueil, au regard de la cohérence entre, d'une part, le projet de formation du candidat, les acquis de sa formation antérieure et ses compétences et, d'autre part, les caractéristiques de la formation ». Le IV du même article prévoit un pourcentage minimal de bacheliers boursiers et un pourcentage maximal de bacheliers résidant dans une autre académie.

* ¹⁰⁵ Notre commission de la culture proposait au contraire, par l'amendement n° 194, d'imposer la publication des règles définissant ces algorithmes et des principales caractéristiques de leur mise en oeuvre.

* ¹⁰⁶ Article 4 (« sécurité du traitement »), § 3, aux termes duquel, dans la rédaction résultant de la révision de 2009 :

« En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l'autorité nationale compétente de la violation.

« Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, le fournisseur avertit également sans retard indu l'abonné ou le particulier concerné de la violation » (Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques).

* ¹⁰⁷ Règlement (UE) no 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques, art. 3, § 5.

* ¹⁰⁸ Le considérant 41 du règlement précise à cet égard que « Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (...) et de la Cour européenne des droits de l'homme. »

* ¹⁰⁹ Voir par exemple les possibilités reconnues aux associations de consommateurs agréées d'agir en cessation d'agissements illicites, de se joindre à une action en réparation engagée par un ou plusieurs consommateurs, ou, lorsque de tels agissements sont constitutifs d'une infraction pénale, d'exercer les droits reconnus à la partie civile (chapitre I ^er du titre II du livre VI du code de la consommation).

* ¹¹⁰ Voir les articles L. 622-1 et L. 622-4 du code de la consommation et l'article L. 142-3 du code de l'environnement.

* ¹¹¹ Voir le commentaire de l'article 16 A.

* ¹¹² La directive prévoit cependant des dérogations si la personne a donné son consentement, si le transfert est nécessaire à l'exécution d'un contrat ou à la sauvegarde d'un intérêt public important, etc. Si aucune de ces dérogations ne s'applique, un État membre peut autoriser un transfert lorsque le responsable du traitement offre « des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes ». La Commission européenne dispose cependant, dans ce dernier cas, d'un droit d'opposition ; elle définit alors des mesures appropriées auxquelles les États membres doivent se conformer.

* ¹¹³ Voir le paragraphe 5 de l'article 58 du règlement et le paragraphe 5 de l'article 47 de la directive.

* ¹¹⁴ Voir l'encadré à la page suivante et le commentaire de l'article 21.

* ¹¹⁵ L'article 45 de la même directive dispose, par conséquent, que « chaque État membre prévoit que chaque autorité de contrôle n'est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle ».

* ¹¹⁶ Voir supra le tableau présentant le champ d'application de la directive.

* ¹¹⁷ Le champ d'application de la directive dépasse le strict champ de la matière pénale pour s'appliquer à l'ensemble des fichiers dits « de police et de justice », à l'exception des fichiers intéressant la sûreté de l'État et la défense.

* ¹¹⁸ À l'initiative de notre collègue députée Mme Paula Forteza, rapporteure, la commission des lois de l'Assemblée nationale a adopté deux amendements rédactionnels.

* ¹¹⁹ À savoir les données à caractère personnel dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

* ¹²⁰ Sur ce point, votre rapporteur renvoie au commentaire de l'article 7.

* ¹²¹ Conseil d'État, avis du 7 décembre 2017 sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés NOR : JUSC1732261L.

* ¹²² En raison des finalités des traitements concernés, à la différence des principes du règlement, le principe de transparence n'est pas mentionné par la directive.

* ¹²³ Sur ce point, votre rapporteur renvoie au commentaire de l'article 14, qui concerne particulièrement les dispositions relatives aux décisions individuelles automatisées, prises dans le champ d'application du règlement européen 2016/679.

* ¹²⁴ Sur ce point, votre rapporteur renvoie à nouveau au commentaire de l'article 14.

* ¹²⁵ Sur ce point, votre rapporteur renvoie au commentaire de l'article 24.

* ¹²⁶ Actuellement, l'obligation de notification des violations de données à caractère personnel n'est applicable qu'aux données personnelles faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communication électroniques.

* ¹²⁷ Voir commentaire de l'article 18.

* ¹²⁸ Voir délibération n° 2017-299 du 30 novembre 2017 de la CNIL portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du 6 janvier 1978.

* ¹²⁹ Une autorité compétente peut être une autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales mais également tout organisme ou entité à qui l'exercice de l'autorité publique et des prérogatives de puissance publique à ces mêmes fins a été confié.

* ¹³⁰ Voir le communiqué de la CNIL du 19 février 2018, consultable à l'adresse suivante : https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire .

* ¹³¹ Voir les arrêts de la Cour de justice des Communautés européennes n ^os C?324/07 du 18 novembre 2008 Coditel-Brabant et C-480/06 du 9 juin 2009 Commission c/ Allemagne .

* ¹³² Les services fonctionnels sont définis au même article comme « des services administratifs ou techniques concourant à l'exercice des compétences des collectivités intéressées sans être directement rattachés à ces compétences » : il peut s'agir de services financiers, de la gestion des ressources humaines, de celle des systèmes d'information, etc.

* ¹³³ Voir le troisième alinéa de l'article L. 5111-1 du même code.

* ¹³⁴ Voir, en ce qui concerne la liberté contractuelle des collectivités territoriales, la décision du Conseil constitutionnel n° 2006-543 DC du 30 novembre 2006.

* ¹³⁵ Délibération n° 2017-299 du 30 novembre 2017 de la CNIL portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du janvier 1978, consultable à l'adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf

* ¹³⁶ Avis n° 393836 du Conseil d'État, consultable à l'adresse suivante : http://www.assemblee-nationale.fr/15/pdf/projets/pl0490-ace.pdf

* ¹³⁷ Art. 4 de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ¹³⁸ Chaîne applicative supportant le système d'information opérationnel pour le pénal et les enfants.

* ¹³⁹ Cette décision, qui concernant le STIC, a été confirmée par la décision du Conseil d'État du 11 avril 2014, n° 360759, à propos du TAJ.

* ¹⁴⁰ En effet, l'article 99 du RGPD précise que le règlement entre en vigueur le vingtième jour suivant sa publication au Journal officiel de l'Union européenne et n'est applicable que deux ans après ; le règlement ayant été publié le 4 mai 2016, il est entré en vigueur, stricto sensu , le 25 mai 2016, et sera applicable le 25 mai 2018.

* ¹⁴¹ Obligation fixée à l'article 25 de la directive et transposé par l'article 70-15 de la loi Informatique et Libertés dans sa rédaction résultant de l'article 19 du présent projet de loi.

* ¹⁴² Aux termes de l'article 63 (Transposition) :

« 2. Par dérogation (...), un État membre peut prévoir que, à titre exceptionnel, lorsque cela exige des efforts disproportionnés, les systèmes de traitement automatisé installés avant le 6 mai 2016 sont mis en conformité avec [l'obligation de journalisation] au plus tard le 6 mai 2023.

« 3. Par dérogation (...), un État membre peut, dans des circonstances exceptionnelles, mettre un système donné de traitement automatisé visé au paragraphe 2 du présent article, en conformité avec [l'obligation de journalisation] dans un délai déterminé après le délai visé au paragraphe 2 du présent article, lorsque, à défaut de cela, de graves difficultés se poseraient pour le fonctionnement du système de traitement automatisé en question. (...) Le délai déterminé n'est en aucun cas fixé au-delà du 6 mai 2026. »