Après l'article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 341-4 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

Les nouveaux dispositifs de comptage (compteurs Linky) mis en place procèdent, par défaut et sans le consentement des personnes, à des enregistrements de données personnelles.

Le fonctionnement intrinsèque de ces compteurs implique le traitement de données à caractère personnel.

Dès lors, seule la faculté de pouvoir s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’auto-détermination des données personnelles, tel que préconisé par le Conseil d’Etat dans son rapport annuel de 2014 « Le numérique et les droits fondamentaux », que les exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à  la libre circulation de ces données.

Ce Règlement consacre le principe selon lequel le consentement des personnes au traitement de leurs données personnelles doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.

Un refus de la part de certains utilisateurs à ce que leurs données personnelles soient collectées par les dispositifs de comptage et l’impossibilité, partant, d’installer ces dispositifs chez ces utilisateurs n’entraînera pas une violation de la directive européenne n° 2009/72/CE du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l'électricité, dès lors que son annexe I n’impose qu’une couverture du territoire national à hauteur de 80%.

Après l'article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 452-2-1 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

Les nouveaux dispositifs de comptage (compteurs Gazpar) mis en place procèdent, par défaut et sans le consentement des personnes, à la collecte de données personnelles.

Les données de consommation de gaz atteignent un degré de précision permettant une mesure « sur un pas de temps inférieur ou égal à la journée » (article D. 452-1-1 du code de l’énergie).

Le fonctionnement intrinsèque de ces compteurs implique donc le traitement de données à caractère personnel.

Dès lors, seule la faculté de pouvoir s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’auto-détermination des données personnelles, tel que préconisé par le Conseil d’Etat dans son rapport annuel de 2014 « Le numérique et les droits fondamentaux », que les exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à  la libre circulation de ces données.

Ce Règlement consacre le principe selon lequel le consentement des personnes  au traitement de leurs données personnelles doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. Aucun traitement de données à caractère personnel ne peut être réalisé par défaut, et ce même s’il est accompagné d’une option de sortie.

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le chapitre II du titre II du livre VIII du code de la sécurité intérieure est complété par un article L. 822-… ainsi rédigé :

« Art. L. 822-… - Lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits prévus à l’article L. 841-1 du présent code. La transmission de ces informations ne peut être retardée qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique, et à la condition que la Commission nationale de contrôle des techniques de renseignement soit dûment informée de ce retard. »

Le premier paragraphe de l’article 13 de la directive (UE) 2016/680 exige que le responsable de traitement mette à la disposition des personnes concernées les informations concernant l’identité du responsable, les finalités du traitement et les droits de la personne concernée et ne prévoit aucune dérogation à cette mesure.

Le deuxième paragraphe du même article exige la communication d’autres types d’informations, telle que la nature des données traitées. traitées lorsque la finalité poursuivie les permet.

Le troisième paragraphe du même article prévoit que la loi d’un État membre peut autoriser des dérogations aux obligations posées au deuxième paragraphe, mais ne permet toutefois aucune dérogation aux obligations posées au premier paragraphe.

Or, le code de la sécurité intérieure autorise des traitements de données personnelles dans le but de lutter contre certaines infractions, sans prévoir toutefois que les personnes concernées ne reçoivent la moindre information, en aucune circonstance. Cette absence d’information est donc frontalement contraire à la directive 2016/680 et doit être corrigée.

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Après le cinquième alinéa de l’article L. 854-9 du code de la sécurité intérieure, il est inséré un alinéa ainsi rédigé :

« Le Conseil d’État, statuant dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, peut aussi être saisi par toute personne souhaitant vérifier qu’aucune technique de renseignement prévue au présent chapitre n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue au quatrième alinéa du présent article. »

L’article 54 de la directive (UE) 2016/680 exige, sans aucune exception possible, que les États membres offrent aux particuliers une voie de recours juridictionnel pour contester la licéité d’un traitement portant sur leurs données personnelles. L’article précise explicitement que cette voie de recours juridictionnel doit être ouverte seraient aussi ouvertes par ailleurs des voies administratives.

Or, l’article L. 854-9 du code de la sécurité intérieure prévoit que, en matière de surveillance internationale, les particuliers ne peuvent pas agir en justice pour contester la licéité d’une mesure mise en œuvre à leur égard – seule la CNCTR a ce pouvoir, étant entièrement libre d’agir ou non. Cette absence de voie de recours juridictionnel est parfaitement contraire aux exigences de la directive et doit être corrigée.

Après l'article 19

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article L. 863-2 du code de la sécurité intérieure est complété par une phrase ainsi rédigée : « Ces services ne peuvent transmettre à d’autres services, français ou étrangers ou obtenir des renseignements d’autres services, français ou étrangers, que dans les conditions prévues au chapitre I^er du titre II du présent livre ainsi que, s’agissant des autorités d’un État n’appartenant pas à l’Union européenne, dans les conditions prévues à l’article 70-25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Le code de la sécurité intérieure n’impose aucune condition ni contrôle s’agissant des échanges de renseignement par les autorités françaises avec d’autres autorités, françaises ou étrangères. Le code doit ainsi être modifié, non seulement pour imposer aux autorités françaises de respecter le cadre des transferts hors-UE posé par la directive (UE) 2016/680, mais aussi pour exiger que ces échanges, avec des autorités françaises, européennes ou hors-UE, poursuivent un des intérêts fondamentaux de la Nation prévus à l’article L. 811-3 du code (tel que doit le faire n’importe quelle autre collecte de renseignement) et que la CNCTR soit en mesure d’en assurer le contrôle.

I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : « , dès lors que ces données révèlent à elles-seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

L’objectif de cet amendement est d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement.

1° L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non-sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles qui, elles, n’ont jamais été publiées par la personne.

2° L’article 9 du RGPD n’autorise le traitement de données sensibles que pour certaines finalités dont il fait la liste exhaustive. Or, l’article 8, III, de la loi de 1978 (tel que modifié par le projet de loi) autoriserait les traitements de données sensibles poursuivant n’importe quelle finalité, pour la simple raison qu’une mesure technique serait appliquée : l’anonymisation à bref délai. Ceci n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.

Pour autant, cette mesure d’anonymisation à bref délai n’est pas sans intérêt. En effet, l’article 9 du RGPD prévoit que, s’agissant de certaines finalités, le traitement de données sensibles n’est licite qu’en présence de « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». Pour certaines de ces finalités, la loi de 1978 prévoit effectivement des garanties qui pourraient correspondre à ces « mesures appropriées ». Néanmoins, s’agissant d’autres finalités (celles visées au b), g) et j) du 2 de l’article 9 du règlement), la loi n’en prévoit aucune. Ainsi, dans ce cas précis, la mesure d’anonymisation à bref délai pourrait être une des « mesures appropriées » autorisant la poursuite de ces finalités.

Après l’article 10

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

Cet amendement vise à rendre explicite que l’obligation de sécurité prévue dans le règlement se traduit en obligation de chiffrer de bout en bout chaque fois que cela est possible. En effet, le chiffrement de bout en bout où seules les personnes autorisées à accéder aux données (par exemple l’expéditeur et le/les destinataire/s d’un message) ont la clef limite considérablement les risques d’intrusion.

Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Pour être valide, le consentement de la personne concernée doit être donné de façon explicite, libre, spécifique et informée. Cela implique notamment que son consentement ne soit pas exigé en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service. »

Cet amendement vise à intégrer la définition déterminante donnée par la CNIL et le G29 du caractère libre du consentement.

Après l'article 11

Insérer un article additionnel ainsi rédigé :

I. - Après le deuxième alinéa de l’article L. 10 du code de justice administrative, il est inséré un alinéa ainsi rédigé :

« Toutefois, les personnes morales de droit privé dont l’activité principale consiste en l’étude et l’analyse, y compris statistique, du droit disposent de ces jugements sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. »

II. - Après le premier alinéa de l’article L. 111-13 du code de l’organisation judiciaire, il est inséré un alinéa ainsi rédigé :

« Toutefois, les personnes morales de droit privé dont l’activité principale consiste en l’étude et l’analyse, y compris statistique, du droit disposent de ces décisions sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. »

Le présent amendement vise à autoriser les éditeurs juridiques à disposer des jugements et décisions judiciaires non anonymisés, condition nécessaire pour leur permettre d’exercer utilement leur activité d’étude et d’analyse du droit. Ces acteurs ne sauraient être assimilés aux ré-utilisateurs entendus dans leur acceptation la plus large et doivent pouvoir disposer d’un accès distinct aux informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire.

Alinéa 9

Compléter cet alinéa par les mots :

ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques

L'encadrement de la protection des données de santé souffrait jusqu'ici d’un relatif vide juridique, en cela que les données de santé n’avaient pas été définies clairement. En effet, la directive 95/46/CE sur la protection des données personnelles les définissait dans son article 8 uniquement par rapport à leur nature sensible.

Aussi, le législateur européen a tenu à les doter d'une définition précise à l'article 4 de son Règlement général sur la protection des données adopté en 2016. La qualification de "données de santé" regroupe ainsi les "données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne". 

Dans la perspective de l'application de ce Règlement et du présent projet de loi, il est essentiel de garantir la non-utilisation des données personnelles de santé pour fixer les prix des assurances ainsi que l’impossibilité d’utiliser ces mêmes données à des fins de choix thérapeutique ou médical.

La liberté pour le patient de choisir son médecin est primordiale, tout comme l’est la liberté du médecin de choisir la thérapie la plus adaptée au patient.

I. – Alinéa 2

Remplacer les mots :

la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France

par les mots :

le traitement est effectué :

II. – Alinéa 3

Remplacer cet alinéa par cinq alinéas ainsi rédigés :

« 1° Dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que ce traitement ait lieu ou non en France ;

« 2° Ou par un responsable du traitement qui n’est pas établi sur le territoire français mais dans un lieu où le droit français s’applique en vertu du droit international public ;

« 3° Ou par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union Européenne, dans la mesure où ce traitement est appliqué à des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français, lorsque ce traitement est lié :

« a) À l’offre de biens ou de services à ces personnes concernées en France, qu’un paiement soit exigé ou non desdites personnes ;

« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »

Alinéa 11, première phrase

1° Après le mot :

types

insérer le mot :

notamment

2° Après le mot :

assurer

insérer les mots :

la protection des données, à savoir par exemple le respect des droits en matière d’accessibilité, de finalité et de minimisation des données,

Cet amendement vise à élargir le cadre des règlements-types à la protection des données, par exemple au respect des droits en matière d'accessibilité, de finalité et de minimisation de la donnée.

Cette rédaction permettra à la CNIL d'édicter des règlements de fond en matière de protection de la donnée et de respect de la vie privée. En novembre 2017, dans un avis sur la transposition de la directive européenne, elle avait fait la demande d'un élargissement du cadre des règlements-types pour pouvoir élargir son champ d'action au-delà du seul sujet de la sécurité des systèmes. Ces nouvelles responsabilités consacre son rôle de protecteur de la vie privée.

Outre l'accessibilité et la finalité des données, cet amendement inscrit également dans le cadre des règlements-types la question de la minimisation des données collectées. Il semble en effet opportun que la CNIl s'exprime et mette en oeuvre une règle de fond pour que la collecte et le traitement des données ne concernent que les données essentielles. Il s'agit d'une avancée essentielle pour le respect de la vie privée et des données personnelles.

Alinéa 19

Après le mot :

Sénat

insérer les mots :

, par soixante députés ou soixante sénateurs

Cet amendement élargit le droit de saisine de la CNIL à soixante députés ou soixante sénateurs.

Tout en saluant l'effort du Gouvernement d'élargissement du pouvoir de saisine de la CNIL aux présidents des deux chambres parlementaires, il est nécessaire que la demande d'une expertise technique soit ouverte à un groupe de députés ou de sénateurs. Il s'agit ainsi de mettre en place une initiative de saisine parlementaire de la CNIL, fondamentale au renforcement de la participation citoyenne à la vie publique.

Alinéa 23

Rédiger ainsi cet alinéa :

7° L’avant-dernier alinéa est complété par une phrase ainsi rédigée : « Elle peut saisir pour avis toute autre autorité ou institution intéressée par l’accomplissement de ses missions. »

Cet amendement modifie le 7° de L'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés pour permettre à la CNIl de saisir toute autre autorité ou institution intéressée par l'accomplissement de ses missions.

Il s'agit de favoriser le dialogue entre les différentes autorités ou institutions compétentes sur les problématiques numériques.

Alinéa 8, seconde phrase

Compléter cette phrase par les mots :

après information préalable du patient

Cet amendement précise que la communication de données médicales individuelles (incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé) ne peut se faire qu'après information préalable du patient.

Il s'inscrit en conséquence dans le respect du principe de transparence à l'égard des personnes concernées qui régit l'ensemble du règlement 2016/679.

Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. » ;

Cet amendement entend protéger les jeunes élèves en instituant une interdiction de traitement des données à caractère personnel collectées dans le cadre de l'utilisation de services numériques au sein de l'Education nationale. 

Il entend inscrire dans le droit une obligation souvent présente dans les conditions générales d'utilisation des services numériques de l'Education nationale. La protection de la vie privée et des données personnelles des élèves du premier et du second cycle est essentiel et ne peut être relégué.

Ce débat doit donc instituer une véritable protection pour ces publics fragiles, souvent imprudents sur les supports numériques avec leurs données personnelles.

Alinéa 33

Compléter cet alinéa par une phrase ainsi rédigée :

Le responsable de traitement transmet au mineur les informations mentionnées au I de l’article 32 de la présente loi dans un langage clair et facilement accessible.

Cet amendement intègre dans la loi une obligation de langage clair et facilement accessible lorsque l'administration s'adresse à un mineur âgé de quinze ans ou plus. 

Il est essentiel qu'un mineur choisissant d'échanger seul avec l'administration soit en mesure d'avoir un échange franc et compréhensible.

Après l’article 14

Insérer un article additionnel ainsi rédigé :

Après l’article L. 121-4-1 du code de l’éducation, il est inséré un article L. 121-4-… ainsi rédigé :

« Art. L. 121-4-... – Les établissements d’enseignement scolaire mettent à la disposition du public, dans un format accessible à tous et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité. »

Cet amendement, déposé puis retiré en première lecture à l'Assemblée nationale, inscrit dans le Code de l'Education nationale le principe de la transparence du traitement des données scolaires.

Il s'inscrit dans la perspective d'une meilleure protection des élèves du premier et du second degré et les prémunit du traitement automatisé de leurs données. A l'heure de l'accélération de l'école du numérique, il est primordial de protéger les jeunes publics d'une utilisation frauduleuse de leurs données et d'assurer, par tous les moyens possibles, la préservation de leur vie privée.

Alinéa 2

Compléter cet alinéa par une phrase ainsi rédigée :

Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées.

Cet amendement vise à assurer la soutenabilité financière des actions de groupe prévue à l'article 16 A du projet de loi, en prévoyant la possibilité pour une association ou une organisation de se faire rembourser les frais engagés pour exercer ses droits et ceux des personnes représentées;

Il s'agit ainsi d'affirmer l'effectivité de ce mécanisme d'action de groupe introduit dans le projet de loi en première lecture, à l'Assemblée nationale, en commission.

Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 341-1 du code de la propriété intellectuelle, il est inséré un alinéa ainsi rédigé :

« Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »

Cet amendement, présenté en première lecture à l'Assemblée nationale et rejeté, entend créer des droits moraux sur les données personnelles générées en ligne.

De même qu'il existe un droit de la propriété intellectuelle sur les écrits, il semble logique de créer un droit de la propriété intellectuelle sur les écrits publiés en ligne (sur un blog, sur un réseau social). Média d'expression moderne, il convient de reconnaître que le net et les réseaux sociaux sont aujourd'hui un foyer de création artistique et intellectuelle. cet amendement entend reconnaître cette création numérique et accorder aux citoyens un droit d'exploitation des données numériques.

Au-delà de la création de données personnelles, cet amendement crée un droit moral sur les données (nom, coordonnées, historique de navigation), légale à ses héritiers ou à des tiers, afin d'encourager une gestion prudente des données personnelles. Il n'est en effet pas normal que ces données soient aujourd'hui exploitées sans vergogne, alors que la grande majorité des utilisateurs n'a pas connaissance de ces masses de données produites et abandonnées à des opérateurs extérieurs.

Compléter cet article par un alinéa ainsi rédigé :

« Le ou les responsables conjoints d’un traitement de données personnelles à finalité de production d’une information anonyme de nature statistique peuvent conserver, en marge du traitement auquel peuvent être appliquées les mesures appropriées visant à garantir la protection des données personnelles, notamment la pseudonymisation, pendant la durée prévue au 5° de l’article 6 de la présente loi, le nom et l’adresse postale ou électronique des personnes dont les données ont servi par agrégation sur un effectif de taille suffisante, à produire l’information statistique, afin d’informer lesdites personnes de leurs droits visés aux articles 12 et suivants du règlement (UE) 2016/679, notamment à l’article 16 relatif au droit de rectification, et de leur droit d’accéder à l’information statistique. »

Disposer du résultat d’un traitement de données à finalité statistique ne permet pas, par définition, d’identifier les personnes dont les données ont servi à la production dudit résultat. Par conséquent, en l’absence de dérogations particulières, le responsable du traitement ne peut plus informer directement les personnes concernées de leurs droits, notamment de leur droit de rectification (article 16 du Règlement Général sur la Protection des Données - RGPD) qui permet d’assurer la qualité de la production statistique, ni prendre l’initiative de les informer directement de leur droit d’accéder au résultat statistique pourtant prévu au Code des relations entre le public et l’administration.

Le présent amendement vise à préciser les moyens dont peut disposer le responsable d’un traitement de données à finalité statistique pour permettre aux personnes concernées d’exercer effectivement leurs droits, notamment celui d’accéder à l’information statistique qu’ils contribuent à produire. L’amendement permet ainsi d’assurer une meilleure cohérence, dans les faits, avec les dispositions du Code des relations entre le public et l’administration.

Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

1° Le second alinéa de l'article L. 233-1 du code de la sécurité intérieure est complété par les mots : « ou par le responsable ou les responsables conjoints de traitements de données à caractère personnel à finalité statistique pour l’exercice de leurs missions de régulation du trafic routier ou d’organisation de la mobilité » ;

2° L'article L. 330-1 du code de la route est complété par un alinéa ainsi rédigé :

« Lorsque les traitements automatisés de données à caractère personnel ont une finalité statistique, ils restent soumis aux dispositions de l'article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »

Cet amendement permet d’employer la technologie de Lecture Automatisée de Plaque d’Immatriculation (LAPI) pour produire des informations statistiques à partir de données personnelles collectées par les équipements de terrains utilisés, notamment, dans le cadre du système de contrôle-sanction automatisé de la circulation et contenues dans les messages d’infraction émis par lesdits équipements, avant que les messages ne donnent éventuellement lieu à des constats d’infraction.

Alinéa 9, après la première phrase

 Insérer une phrase ainsi rédigée :

Elle prend en compte la situation des personnes dépourvues de compétences numériques.

Cet amendement se justifie par son texte même.

Alinéa 11, seconde phrase

Après les mots :

de l’État

insérer les mots :

et des collectivités territoriales

et remplacer le mot :

ses

par le mot :

leurs

Cet amendement vise à exclure les collectivités territoriales,  comme le projet de loi le prévoit déjà pour l'Etat, de mesures techniques et organisationnelles supplémentaires pour la protection de données biométriques, génétiques et de santé.

Alinéa 6, première phrase

Remplacer les mots :

commissaire du Gouvernement

par les mots :

rapporteur public

Cet amendement vise à remplacer la notion de "commissaire de gouvernement", susceptible de laisser penser à une partialité selon une jurisprudence de la CEDH relative à la juridiction administrative, par celle, plus neutre, de "rapporteur public".

I. – Alinéas 4, 10 et 14

Après les mots :

des autres États membres de l’Union européenne

insérer les mots :

, sous réserve de leur application dudit règlement,

II. – Alinéa 23

Après le mot :

précité

insérer les mots :

, sous réserve de l’application dudit règlement par l’État membre de l’autorité de contrôle chef de file

Cet amendement vise à permettre à la CNIL de suspendre sa coopération avec des autorités de contrôle dont les Etats membres n'auraient pas pris les mesures d'application adaptées du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

Compte-tenu des contraintes spécifiques des micro-entreprises et des petites et moyennes entreprises, une amende ne peut être prononcée que lorsque le caractère délibéré de la violation est démontré.

Cet amendement vise à atténuer le risque financier de l'entrée en vigueur de la présente loi pour les micro-entreprises, et les PME.

Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

L'accès aux données utilisées lors d'opérations de traitement sans lien avec l'exercice de la fonction juridictionnelle ne peut alors se faire que sous l'autorité et en présence d'un magistrat.

Cet amendement vise à prévoir que les contrôles effectués par la CNIL au sein des juridictions se font sous l'autorité et en présence d'un magistrat, comme sous celles du médecin en matière de données médicales, afin de mieux garantir le principe de séparation des pouvoirs entre les AAI et l'autorité judiciaire.

Avant l’article 11

Insérer un article additionnel ainsi rédigé :

Le 4° du II de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi rédigé :

« 4° Les traitements portant sur des données à caractère personnel rendues explicitement publiques par la personne concernée, sauf dans le cas où la loi prévoit que l’interdiction mentionnée au I ne peut être levée par le consentement de la personne concernée ; »

Cet amendement, suggéré par des associations de défense des droits des citoyens sur internet, vise à mieux prendre en compte le risque inhérent à la constitution de données sensibles à partir de données personnelles librement publiées sur internet et recoupées entre elles. Il est donc proposé de permettre aux pouvoirs publics de sanctionner les traitements visant à élaborer de tels profilages.

Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Le fait d’exiger d’une personne qu’elle autorise l’utilisation de ses données personnelles en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service, constitue un vice de consentement. »

Cet amendement, suggéré par certaines associations de défense des droits des citoyens sur internet, vise à préciser les dispositions de la loi de 1978 relatives au consentement.

Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Le droit d’utiliser des données personnelles à des fins commerciales n’est pas cessible sans le consentement de la personne concernée. »

Cet amendement vise à renforcer le poids du consentement de la personne concernée lors de la cession de données personnelles à des fins commerciales.

Avant l’article 10

Insérer un article additionnel ainsi rédigé :

La loi n° 78–17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :

1° L’article 3 est complété par un paragraphe ainsi rédigé :

« ... – Les personnes concernées par un traitement de données personnelles sont informées de l’identité et de la localisation de la personne responsable du traitement, et le cas échéant, de celles des sous-traitants opérant sous sa responsabilité préalablement au recueil de leur consentement à l’utilisation de données personnelles, mais également en cas de changement de l’identité du responsable ou d’un sous-traitant. » ;

2° Le quatrième alinéa de l’article 35 est complété par une phrase ainsi rédigée : « Lorsque le sous-traitant est établi dans un État différent de l’État du responsable du traitement, ce contrat est communiqué aux personnes concernées par le traitement. »

Cet amendement vise à renforcer les obligations de transparence des responsables de traitement et de leurs sous-traitants, afin d'améliorer l'information des personnes concernées par les traitements de données personnelles sur le droit applicable au responsable du traitement de ses données et à ses éventuels sous-traitants.

Le maintien dans le règlement européen de marges de manœuvre à la discrétion des États-membres risque de laisser perdure d'importantes différences en matière de protection des données personnelles au sein de l'Union européenne, ce qui pourrait induire le développement de pôles économiques dédiés au sous-traitement des données personnelles dans les États aux législations les moins protectrices pour les personnes et consommateurs.

C'est pourquoi il est proposé, en contrepartie, de renforcer les obligations d'information à l'endroit des personnes concernées.

Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Cet amendement vise à supprimer le droit de rectification sur les archives, proposé par le présent projet de loi, qui est contraire aux deux grands principes de l'archivistique que sont l'intégrité et l'authenticité des archives. Outre ces conséquences sur le travail scientifique des historiens et autres chercheurs exploitant les archives, l'ouverture d'un tel droit de rectification constituerait une très grande charge de travail pour les archivistes.

Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Cet amendement, suggéré par les services d'archives, vise à faciliter l'entrée en vigueur des dispositions prévues à l'article 12 du présent projet de loi, en supprimant la mention d'un nouveau décret en Conseil d’État, ces services étant déjà dans l'attente d'un décret d'application pris sur le fondement de l'article 6 de la loi pour une République numérique.

Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Par son article 89 le RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger à certains droits des personnes concernées par les traitements, et en particulier à son article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial.

 En effet, il est nécessaire que les traitements mis en œuvre par les services publics d'archives dérogent au droit de rectification. Les traitements visés par l'article 12 ne portent que sur les "archives définitives" ou « archives historiques » et en aucun cas sur les archives « courantes » et « intermédiaires », également appelées « archives vivantes » qui sont, quant à elles, bel et bien soumises au droit de rectification. Mais, à l'issue de la durée d'utilité administrative des documents, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées à titre définitif par un service public d'archives ne doivent plus être modifiées. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique.

 Les informations que comportent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés. L’archiviste doit quant à lui en garantir l’authenticité.

 Un droit à rectification sur des archives historiques générerait de surcroît une charge de travail extrêmement lourde pour les agents des services d’archives nationales, régionales, départementales et communales qui conservent des milliers de km de documents et des centaines de teraoctets de données et qui devraient vérifier le bien-fondé des corrections demandées sur des documents parfois vieux de plusieurs décennies et en seraient souvent incapables.

Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Par son article 89, le RGPD permet aux traitements à des fins archivistiques dans l’intérêt public de déroger à certains droits en contrepartie de conditions et garanties appropriées. Cette disposition ne concerne que les archives « définitives » ou archives « historiques » et seulement les traitements des services publics d’archives (archives nationales, régionales, départementales, communales et intercommunales), qui ont pour mission de collecter les archives publiques à l’issue de leur durée d’utilité administrative.

 La gestion de ces archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. On dénombre ainsi plus de 150 dispositions dans le code du patrimoine, des dizaines de dispositions inscrites dans d'autres textes, notamment dans le code des relations entre le public et l’administration (droit d’accès aux documents administratifs et droit de la réutilisation des informations publiques) et plus d’une centaine d’instructions ministérielles. Toutes les étapes de la « chaîne archivistique » (tri et sélection, traitement, conservation, communication) sont ainsi juridiquement très encadrées. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes. Une nouvelle couche de droit n’est pas nécessaire et apporterait une complexité inutile.

 Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.

 Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques mis en œuvre par les services publics d’archives.

Après l’article 24

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 441-2-1 du code de la construction et de l’habitation, il est inséré un alinéa ainsi rédigé :

« L’ensemble des personnes précitées doit veiller à l’authenticité des pièces produites dans le cadre d’une demande. À cette fin, elles disposent d’un accès au répertoire national mentionné à l’article L. 114-12-1 du code de la sécurité sociale et aux avis d’imposition des demandeurs. Il leur est également possible de solliciter directement auprès de leur employeur la copie de leur contrat de travail ainsi que les trois dernières fiches de paie. »

Cet amendement a pour objet d’utiliser une des marges de manœuvre mentionnées au f) du 1. de l’article 6 du règlement général sur la protection des données. Les collectivités territoriales et les bailleurs sociaux pourront désormais contrôler l’authenticité des pièces qui leur sont communiquées dans le cadre d’une demande de logement locatif social. Ainsi, une telle possibilité offerte au responsable de traitement répond à deux intérêts légitimes que sont la lutte contre la fraude et l’égalité de traitement des administrés.

Après l’article 24

Insérer un article additionnel ainsi rédigé :

Au 2° de l’article L. 114-12-1 du code de la sécurité sociale, après les mots : « d’aide sociale », sont insérés les mots : « ou pour l’attribution d’un logement locatif social ».

Cet amendement a pour objet d’utiliser une des marges de manœuvre mentionnées au f) du 1. de l’article 6 du règlement général sur la protection des données. Il étend l’accès au répertoire national commun aux organismes chargés de la gestion d’un régime obligatoire de sécurité sociale ou du service des allocations et prestations au bénéfice des collectivités territoriales et leurs groupements. Ils pourront dorénavant le consulter, non seulement, dans le cadre d’une procédure d’attribution d’une forme quelconque d’aide sociale, comme le prévoit déjà le Code de la sécurité sociale, mais également lors de l’instruction d’une demande tendant à l’attribution d’un logement social. Ainsi, une telle possibilité offerte au responsable de traitement répond à deux intérêts légitimes que sont la lutte contre la fraude et l’égalité de traitement des administrés.

Alinéa 5

1° Première phrase

Après la référence :

15

insérer la référence :

, 16

2° Seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Cet amendement vise à rétablir l'alinéa 5 dans sa rédaction d'origine tel que présenté par le gouvernement. En effet, par son article 89, le règlement général sur la protection des données permet aux traitements à des fins archivistiques dans l’intérêt public de déroger à certains droits et en particulier au droit de rectification prévu dans l'article 16 de ce même réglement, en contrepartie de conditions et garanties appropriées. Cette disposition ne concerne que les archives « définitives » ou archives « historiques » et seulement les traitements des services publics d’archives (archives nationales, régionales, départementales, communales et intercommunales), qui ont pour mission de collecter les archives publiques à l’issue de leur durée d’utilité administrative.

La gestion de ces archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. On dénombre ainsi plus de 150 dispositions dans le code du patrimoine, des dizaines de dispositions inscrites dans d'autres textes, notamment dans le code des relations entre le public et l’administration (droit d’accès aux documents administratifs et droit de la réutilisation des informations publiques) et plus d’une centaine d’instructions ministérielles. Toutes les étapes de la « chaîne archivistique » (tri et sélection, traitement, conservation, communication) sont ainsi juridiquement très encadrées. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes. Une nouvelle couche de droit n’est pas nécessaire et apporterait une complexité inutile.

Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.

Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques mis en œuvre par les services publics d’archives.

Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« …° Les traitements mis en œuvre par les personnes mentionnées à l’article L. 561-2 du code monétaire et financier qui portent sur des données biométriques strictement nécessaires aux mesures de vigilance définies à l’article L. 561-4-1 du même code. » ;

Les établissement financiers ont, depuis l’ordonnance du 1er décembre 2016 relative à la lutte contre le blanchiment, des obligations de vigilance afin d’éviter que leurs services soient utilisés pour le financement du terrorisme ou le blanchiment des capitaux liés à des activités criminelles. Il leur est notamment demandé d’établir avec certitude l’identité de leurs clients sur la base de données fiables, parmi lesquelles figurent un outil fiable contre la falsification et l’usurpation, les données biométriques.

Les auteurs de cet amendement souhaiteraient en conséquence que la loi permette à aux établissements financiers de pouvoir utiliser ces données biométriques, dans la mesure où celles-ci sont strictement nécessaires aux mesures de vigilance imposées.

Après l'article 6

Insérer un article additionnel ainsi rédigé :

Le Président de la Commission nationale de l’informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

Le délégué à la protection des données est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. 

La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics et doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ».

Du fait de ses attributions sensibles, il semble cohérent que le mouvement déontologique à l'oeuvre dans l'ensemble de la sphère publique s'applique également à la fonction de DPO. La particularité de son office plaide également pour des dispositions déontologiques spécifiques, que la CNIL serait la mieux à même d'identifier. Un tel document, associé aux chartes existant déjà dans le secteur privé, pourrait en outre contribuer à mieux définir les bonnes pratiques pour l'ensemble des DPO.

Alinéa 42, première phrase

Après les mots :

le consentement éclairé

insérer les mots :

, libre, spécifique, univoque 

Déjà listées au sein de la Directive 95/46/CE, le  Règlement européen 2016/679 sur la protection des données personnelles définit et entérine les conditions légales du consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Par ailleurs, les qualificatifs libre et éclairé sont repris dans tous les attendus de jugement ayant trait aux problèmes de consentement. 

Cette précision rédactionnelle mérite par conséquent d'être intégrée au texte compte tenu de la sécurisation juridique qu'elle apporte. 

I. – Alinéa 5

1° Remplacer la mention :

II. – 

par la mention :

III. – 

2° Remplacer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

par les mots :

également, le cas échéant en complément de la mise en demeure prévue au II du présent article

II. – Alinéa 14

1° Remplacer la mention :

III. – 

par la mention :

II. – 

2° Après le mot :

peut

insérer les mots :

, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

III. – Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

Il s’agit d’expliciter la gradation des mesures correctrices susceptibles d’être prononcées par la CNIL, que la rédaction du projet de loi n’affichait pas clairement : avertissement sur un risque de manquement ; mise en demeure pour les manquements susceptibles de faire l’objet d’une mise en conformité ; saisine de la formation restreinte en vue du prononcé de mesures répressives plus fortes, en particulier d’une éventuelle amende.

Pour autant, le président de la CNIL doit pouvoir, ainsi que le prévoit l’article 83 du RGPD, déterminer au cas par cas, en tant compte des circonstances particulières de chaque espèce et notamment des critères mentionnés à ce même article 83 (gravité du manquement, préjudices causés aux tiers, bonne ou mauvaise foi de l’organisme, etc.) la ou les mesure(s) les plus appropriées : mise en demeure seule, saisine de la formation restreinte seule, ou combinaison des deux mesures. Il est nécessaire d’expliciter cette articulation (alternative ou cumulative) entre les différentes orientations du dossier.

Alinéa 5

Après la référence :

15

insérer la référence :

, 16

Par son article 89 le RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger à certains droits des personnes concernées par les traitements, et en particulier à son article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial. 

En effet, il est nécessaire que les traitements mis en œuvre par les services publics d'archives dérogent au droit de rectification. Les traitements visés par l'article 12 ne portent que sur les "archives définitives" ou « archives historiques » et en aucun cas sur les archives « courantes » et « intermédiaires », également appelées « archives vivantes » qui sont, quant à elles, bel et bien soumises au droit de rectification. Mais, à l'issue de la durée d'utilité administrative des documents, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées à titre définitif par un service public d'archives ne doivent plus être modifiées. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique.

Les informations que comportent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés. L’archiviste doit quant à lui en garantir l’authenticité.

Un droit à rectification sur des archives historiques générerait de surcroît une charge de travail extrêmement lourde pour les agents des services d’archives nationales, régionales, départementales et communales qui conservent des milliers de km de documents et des centaines de teraoctets de données et qui devraient vérifier le bien-fondé des corrections demandées sur des documents parfois vieux de plusieurs décennies et en seraient souvent incapables.

Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement, en deux temps :

1/ Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

2/ Il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.

Alinéas 13 à 16

Supprimer ces alinéas.

Les alinéas 13 à 16 de l’article 11 proposent d’anonymiser les noms des magistrats et des avocats dans les décisions de justice.

Pourtant, le Conseil national des barreaux s’est opposé à l’unanimité à l’anonymisation des avocats dans une résolution du 3 février 2017. De même, M. Louvel, premier président de la Cour de cassation et les premiers présidents des cours d’appel se sont prononcés contre cette mesure qui ferait de la France une exception en Europe et la placerait aux côtés de la Russie et de la Roumanie en matière de transparence.

De même, la CNIL s’est déjà prononcée contre la mesure en 2001 et son avis est suivi dans toute l’Union européenne. Dans ce sens, le Garde des sceaux a confié une mission d'étude au professeur Loïc Cadiet. Cette mission, composée de membres du Conseil d'État, de la Cour de cassation, du CNB et de la CNIL a rendu son rapport public le 9 janvier 2018 et a considéré dans son point n° 71 que « l’occultation du nom du magistrat reviendrait à cacher un des principaux acteurs du fonctionnement de l’institution judiciaire et ne garantirait plus la fiabilité et l’intégrité des données ouvertes (open data), ce qui constitue alors un obstacle aux objectifs poursuivis par la loi ».

La modification des règles établies de publication pose de plus un problème d’insécurité juridique pour ce qui est du stock d’un million de décisions déjà sur Légifrance et en open data. L’État, s’il ne réanonymise pas à grand coût ce stock devrait soit supprimer ce qui est en ligne, soit s’exposer à des plaintes nouvelles.

Enfin l’article L. 10 du code de justice administrative dispose aujourd’hui que « les jugements sont publics. Ils mentionnent le nom des juges qui les ont rendus. ». Or, en souhaitant anonymiser intégralement les magistrats et avocats, l'article 11 contrevient à cette disposition historique et essentielle, garante du droit à un procès équitable.

Cet article s’oppose ainsi au mouvement d’ouverture des données publiques qui tend à renforcer la confiance des citoyens envers la justice.

Après l’alinéa 46

Insérer deux alinéas ainsi rédigés :

…° Le premier alinéa de l’article 51 est ainsi rédigé :

« Art. 51 -  À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, est puni d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés : ».

Le e) du paragraphe 5 et le paragraphe 6 de l’article 83 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) punissent d’une amende pouvant s’élever jusqu’à 20M€ ou 4% du chiffre d’affaires annuel mondial le non-respect des pouvoirs d’enquête de l’autorité chargée de contrôle, ie la commission nationale de l'informatique et des libertés (CNIL).

L’article 6 du projet de loi harmonise les sanctions financières prévues à l’article 45 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dont le montant maximum était jusqu’à présent fixé à 3 M€ (article 47 de la loi précitée).

Le présent amendement vise également à harmoniser le montant de l’amende infligé en cas d’entrave à l’action de la CNIL visée à l’article 51 de la loi n° 78-17.

Alinéa 47

Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :

II. – Le code pénal est ainsi modifié :

1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

3° Au deuxième alinéa de l’article 226-22, les mots : « 100 000 euros d’amende » sont remplacés par les mots : « 5 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

4° L’article 226-16 est ainsi modifié :

a) Au premier alinéa, après le mot : « loi », sont insérés les mots : « , ou, dans les cas où la loi l’exige, sans qu’un délégué à la protection des données ait été désigné, » ;

b) Au deuxième alinéa, la référence : « au 3° du I de l’article 45 » est remplacée par les références : « aux 3° , 4° , 5° ou 6° du II de l’article 45 ou aux 1° , 2° , 3° , 4° ou 5° du I de l’article 46 » ;

5° À l’article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots :  « responsable de traitement » et la référence : « du II » est supprimée ;

6° L’article 226-19 est ainsi modifié :

a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles. » ;

7° À l’article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «,  par la déclaration préalable ou au-delà de la durée indiquée lors de l’inscription du traitement au registre du responsable du traitement » ;

8° À l’article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l’inscription du traitement au registre du responsable de traitement » ;

9° À l’article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l’Union européenne en violation des mesures prises par la Commission européenne » ;

10° L’article 226-23 est ainsi rédigé :

« Art 226-23. – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d’information ou de droit d’accès des personnes concernées, conformément aux articles 12 à 15 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » ;

11° Après l’article 226-23, il est inséré un article 226-23-… ainsi rédigé :

« Art 226-23-... – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d’effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

La rédaction de la section 5 du livre II de la partie législative du code pénal intitulée « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » n’est plus en parfaite cohérence avec la nouvelle rédaction de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Par exemple, sont visées dans cette section des formalités abrogées (déclaration, norme simplifiée).

Par ailleurs, les contraventions prévues aux articles R 625-10 à R 625-13 du code pénal, qui relèvent d’un décret en Conseil d’État, visent des faits classés par le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) parmi les manquements les plus graves, et devraient être requalifiées en délits au même niveau que les autres infractions.

Enfin, le projet de loi ne prévoit pas de sanctionner le non-respect de l’ensemble des nouveaux droits et obligations prévus par le RGPD (ex : portabilité, obligation de nommer un délégué à la protection des données).

Le présent amendement harmonise le montant des sanctions prévues à la section susmentionnées au regard de celles prévues à l’article 11 de la loi n° 78-17 tel que modifié par l’article 6 du présent projet de loi d’une part, et procède à certaines mises à jour du contenu des articles d’autre part.

Avant le chapitre I^er

Insérer un article additionnel ainsi rédigé :

L’article 2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;

2° Au quatrième alinéa, après les mots : « critères déterminés », sont insérés les mots : « que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

La rédaction actuelle de l'article 2 de la loi n°78-17 du 6 janvier 1978 qui fixe son champ d'application diffère légèrement de celle du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ce qui risque dans certains cas d’introduire des incertitudes. Cet amendement propose des mises en cohérence avec l’article 2 du RGPD et le point 6 de l’article 4 qui définit la notion de fichier.

Avant l’article 8

Insérer un article additionnel ainsi rédigé :

Le I de l’article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Le 1° est ainsi rédigé :

« 1° Effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non sur le territoire français ; »

2° Sont ajoutés trois alinéas ainsi rédigés :

« …° Relatifs à des personnes concernées qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire français, lorsque les activités de traitement sont liées :

« a) À l’offre de biens ou de services à ces personnes concernées sur le territoire français, qu’un paiement soit exigé ou non desdites personnes ;

« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »

Pour faciliter la compréhension des acteurs, l’amendement propose d’utiliser le même vocable que celui utilisé par le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) pour définir le champ d’application territorial de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cet amendement ne remet pas en cause le cas spécifique des traitements effectués sur le territoire français.

Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Accorder un droit de rectification sur les « archives définitives » ou « archives historiques », reviendrait à porter atteinte aux deux grands principes de l'archivistique que sont l'intégrité et l'authenticité des archives.

Cet amendement vise donc à réintégrer la dérogation au droit de rectification accordée aux services publics d’archives, conformément à l’article 89 du RGPD. Cette dérogation était inscrite dans le projet de loi initial.

Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

La gestion des archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes.

Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.

Cet amendement vise donc à faciliter l'entrée en vigueur des dispositions prévues à l'article 12 du présent projet de loi, en supprimant la mention d'un nouveau décret en Conseil d’État. Il apparaît pertinent de revenir au texte du projet de loi initial.

Alinéa 11, seconde phrase

Supprimer les mots :

sauf pour les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique,

L’alinéa 11 prévoit que la CNIL établit et publie des règlements types en vue d’assurer, d’une part, la sécurité́ des systèmes de traitement de données à caractère personnel et, d’autre part, de régir les traitements de données de santé.

À ce titre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé conformément à l’article 9 du règlement européen, sauf pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique.

Le présent amendement vise à supprimer cette exception au regard de la nécessité d’encadrer strictement le traitement des données sensibles.

La CNIL s’est exprimée en ce sens dans son avis du 30 novembre 2017.

Alinéa 19

Après le mot :

Sénat

insérer les mots :

, ainsi qu’à la demande d’un président de groupe parlementaire,

Le présent amendement a pour objet de permettre aux présidents de groupes parlementaires de l’Assemblée nationale et du Sénat de saisir la CNIL sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

Cette possibilité, introduite à l’Assemblée Nationale à l’initiative de nos collègues députés communistes, semble, aux auteurs du présent amendement, tout à fait importante et doit, en conséquence, être rétablie.

I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : « , dès lors que ces données révèlent à elles-seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

L’objectif de cet amendement est, d’une part, d’apporter les précisions manquantes au règlement général sur la protection des données (RGPD) et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement européen.

1° L’article 9 du règlement général sur la protection des données (RGPD) manque de précision en n’interdisant pas explicitement les traitements qui visent à reconstituer des données sensibles qui n’ont jamais été publiées par la personne.

2° L’article 9 du règlement général sur la protection des données (RGPD) n’autorise le traitement de données sensibles que pour certaines finalités dont il fait la liste exhaustive. Or, l’article 8, III, de la loi de 1978 (tel que modifié par le projet de loi) reviendrait à autoriser, en cas d’application d’une mesure technique telle l’anonymisation à bref délai, les traitements de données sensibles poursuivant n’importe quelle finalité. Ceci n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.

Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« 11° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions du 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l’informatique et des libertés délivré selon les modalités prévues à l’article 28. » ;

Le présent amendement a pour objet de rétablir la possibilité (prévue par l’article 25 de la loi du 6 janvier 1978) d’utilisation des traitements qui seraient nécessaires à la recherche publique, après autorisation de la CNIL. 

Après l'article 10

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment, chaque fois que cela est possible, que les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à y accéder. »

Cet amendement prévoit une obligation pour les responsables de traitements et sous -traitements de chiffrer les données de bout en bout, chaque fois que cela est possible. En effet, le chiffrement de bout en bout où seules les personnes autorisées à accéder aux données (par exemple l’expéditeur et le/les destinataire/s d’un message) ont la clef limite considérablement les risques d’intrusion.

Rédiger ainsi cet article :

L’article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l’autorité publique ou » ;

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée proportionnée à cette finalité ; la communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. »

Le présent amendement a pour objet de revenir à la rédaction initiale du texte.

En effet, les auteurs du présent amendement considèrent que l’amendement de Madame Joissains, adopté en commission des lois, s’oppose au mouvement de consécration de la transparence de notre système judiciaire, qui tend à renforcer la confiance des citoyens envers la justice.

Comme l’a signalé une mission de mai 2017, confiée par le Garde des Sceaux à des membres du Conseil d’État, de la Cour de cassation, du CNB et de la CNIL, «  l’occultation du nom du magistrat reviendrait à cacher un des principaux acteurs du fonctionnement de l’institution judiciaire et ne garantirait plus la fiabilité et l’intégrité des données ouvertes (open data), ce qui constitue alors un obstacle aux objectifs poursuivis par la loi  ».

Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Pour être valide, le consentement de la personne concernée doit résulter d’une action volontaire, explicite, libre, spécifique et informée. Cela implique notamment que son consentement ne soit pas exigé́ en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service. » 

Selon la CNIL, « le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée (ex : dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut ???). Le consentement est "préalable" à la collecte des données. »

Cet amendement vise à intégrer la définition déterminante donnée par la CNIL et le G29 du caractère libre du consentement.

Alinéa 15

Après le mot :

consulte

insérer les mots :

pour avis

Pour plus de sécurité dans le traitement des données personnelles, le responsable du traitement ou son sous-traitant doit solliciter l’avis de la CNIL. 

Tel est l’objet de cet amendement.

Alinéa 42

Avant le mot :

Afin

insérer les mots :

Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et

De manière générale, les collectivités territoriales assument un très grand nombre de traitement de données différents des uns des autres et pouvant regrouper tous types d’information y compris des plus sensibles.

Confrontés à un mille-feuille sécuritaire, les collaborateurs de ces collectivités s’interrogent sur les obligations à respecter. C’est pourquoi, il doit être clairement précisé qu’ils doivent mettre en œuvre toutes les mesures appropriées, y compris celles qui existent déjà, afin de garantir la sécurité des données.

Cet amendement permet ainsi au responsable de traitement de ne pas occulter les différentes obligations qui lui incombent. A titre d’exemple, pour le secteur public : il convient de respecter le Référentiel Général de Sécurité, pour les Hébergeurs de données de santé, il convient de connaitre et respecter les exigences de l’ASIP Santé et de la PSSI-S.

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le chapitre II du titre II du livre VIII du code la sécurité intérieure est complété par un article L. 822-… ainsi rédigé :

« Art. L. 822-... – Lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits prévus à l’article L. 841-1 du présent code. La transmission de ces informations ne peut être retardée qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique, et à la condition que la Commission nationale de contrôle des techniques de renseignement soit dûment informée de ce retard. »

Le premier paragraphe de l’article 13 de la directive (UE) 2016/680 exige que le responsable de traitement mette à la disposition des personnes concernées les informations concernant l’identité du responsable, les finalités du traitement et les droits de la personne concernée et ne prévoie aucune dérogation à cette mesure.

Or le code de la sécurité intérieure autorise des traitements de données personnelles dans le but de lutter contre certaines infractions, sans prévoir toutefois l’information des personnes, en aucune circonstance. Cette absence d’information semble, aux auteurs du présent amendement, contraire à la directive 2016/680. Ils proposent, en conséquence de pallier cette lacune.

Après l'article 19

Insérer un article additionnel ainsi rédigé :

Au 4° de l’article L. 833-2 du code de la sécurité intérieure, les mots : « communiqués par des services étrangers ou par des organismes internationaux ou » sont supprimés.

L’article 46, 1, a), de la directive (UE) 2016/680 exige que, dans chaque État membre, une autorité indépendante « contrôle l’application des dispositions adoptées en application de [cette] directive et de ses mesures d’exécution et veille au respect de celles-ci ». En France, en matière de renseignement, cette autorité de contrôle est définie par l’article L. 833-1 du code de la sécurité intérieure comme étant la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Toutefois, l’article L. 833-2, 4° , du code de la sécurité intérieure prévoit que la CNCTR ne peut pas avoir accès aux renseignements collectés, exploités, échangés ou conservés par les services français dès lors que ces renseignement ont initialement été « communiqués par des services étrangers ou par des organismes internationaux ». Cela empêche la CNCTR de vérifier que les données personnelles collectées et exploitées par les services le sont de façon licite. Les auteurs de cet amendement considèrent que cette disposition entre en contradiction avec les exigences de la directive qui doit être correctement incorporée en droit interne.

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Après le cinquième alinéa de l’article L. 854-9 du code de la sécurité intérieure, il est inséré un alinéa ainsi rédigé :

« Le Conseil d’État, statuant dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, peut aussi être saisi par toute personne souhaitant vérifier qu’aucune technique de renseignement prévue au présent chapitre n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue au quatrième alinéa du présent article. »

L’article 54 de la directive (UE) 2016/680 exige, sans aucune exception possible, que les États membres offrent aux particuliers une voie de recours juridictionnel pour contester la licéité d’un traitement portant sur leurs données personnelles. L’article précise explicitement que cette voie de recours juridictionnel doit être ouverte. Des voies de recours administratifs seraient également ouvertes.

Toutefois, l’article L. 854-9 du code de la sécurité intérieure prévoit que, en matière de surveillance internationale, les particuliers ne peuvent agir en justice pour contester la licéité d’une mesure mise en œuvre à leur égard (seule la CNCTR a ce pouvoir dont elle use de manière discrétionnaire). Cette absence de voie de recours juridictionnel semble aux auteurs de cet amendement contraire aux exigences de la directive. Ils proposent donc de pallier cette lacune.

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article L. 863-2 du code de la sécurité intérieure est complété par une phrase ainsi rédigée : « Ces services ne peuvent transmettre à d’autres services, français ou étrangers ou obtenir des renseignements d’autres services, français ou étrangers, que dans les conditions prévues au chapitre I^er du titre II du présent livre ainsi que, s’agissant des autorités d’un État n’appartenant pas à l’Union européenne, dans les conditions prévues à l’article 70-25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Le code de la sécurité intérieure n’impose aucune condition ni contrôle s’agissant des échanges de renseignement par les autorités françaises avec d’autres autorités françaises ou étrangères. Le code doit ainsi être modifié, non seulement pour imposer aux autorités françaises de respecter le cadre des transferts hors-UE posé par la directive (UE) 2016/680, mais aussi pour exiger que ces échanges, avec des autorités françaises, européennes ou hors-UE, poursuivent un des intérêts fondamentaux de la Nation prévus à l’article L. 811-3 du code et que la CNCTR soit en mesure d’en assurer le contrôle. Les auteurs de cet amendement proposent donc de pallier cette lacune.

Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Amendement de repli.

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. »

Amendement de repli.

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.

Après l'article 13 bis

Insérer un article additionnel ainsi rédigé :

Une plateforme nationale de lutte contre la manipulation de compétitions sportives est créée.

Elle est placée sous la présidence du ministre chargé des sports et regroupe l’ensemble des institutions et services participant à cette lutte. Les membres de la plateforme ne sont ni rémunérés ni défrayés à ce titre.

Sa composition et son fonctionnement sont précisés par décret.

Les membres de cette plateforme peuvent se communiquer les renseignements et documents utiles à la lutte contre la manipulation des compétitions sportives, y compris ceux couverts par le secret professionnel, sous réserve des dispositions de l'article 11 du code de procédure pénale.

Cet amendement vise à consacrer au niveau législatif l’existence de la plateforme de lutte contre la manipulation de compétitions sportives afin de légitimer la transmission d’informations ou de documents couverts par le secret professionnel. En effet, conformément à l’article 226-14 du code pénal, l’atteinte au secret professionnel n’est pas caractérisée dans les cas où la loi impose ou autorise la révélation du secret.

Créée il y a deux ans, et présidée par la Ministre des Sports, la Plateforme nationale de lutte contre la manipulation des compétitions sportives, regroupe le service central des courses et jeux de la police nationale, le Parquet national financier, Tracfin, la Ministère des Sports, le CNOSF, l’ARJEL et la Française des Jeux.

Cette plateforme s’inscrit dans un réseau international qui rassemble aujourd’hui 25 plateformes. En novembre dernier, la Fédération slovaque de Football, mandatée par l’UEFA pour faire un rapport sur la lutte contre la manipulation des compétitions sportives indiquait que « la plateforme française est aujourd’hui la plateforme nationale la plus inspirante ».

La plateforme française fonctionne bien, donc, et surtout, elle ne coûte pas un euro supplémentaire à l’Etat. Tous les moyens, aussi bien humains que techniques, sont mutualisés entre ses membres, pour gagner en efficacité.

Pour gagner en efficacité, les membres de la plateforme auraient besoin de transmettre des informations pouvant relever du secret professionnel, à l’exception des dispositions de l’article 11 du code de procédure pénale.

Après l’article 17 bis

Insérer un article additionnel ainsi rédigé :

Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420-2-3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : « , L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».

La vente liée de matériels informatiques et d’applications ou services préinstallés constitue un réel frein pour le libre choix par les consommateurs de leurs outils numériques, qu’il s’agisse d’un moteur de recherche sur internet ou d’un système d’exploitation pour un ordinateur ou un smartphone. De plus, elle ne permet pas aux utilisateurs de ces matériels de choisir de façon optimale des services de communication au public en ligne en fonction de leur impact en termes de collecte et d’utilisation de leurs données personnelles.

Les contrats liant les fabricants de matériels et les concepteurs d’applications ou les éditeurs de services de communication, apparemment visés par le présent article, sont certes à l’origine de ces ventes dites liées ou subordonnées.

Pour autant, au regard des principes constitutionnels de liberté contractuelle et de liberté du commerce et de l’industrie comme des règles du code civil en matière de droit des contrats, de tels contrats sont licites. De plus, depuis 2009, la Cour de justice de l’Union européenne considère que les procédés de vente liée sont licites et juge contraires au droit européen les règles nationales les interdisant par principe, dès lors que ces procédés ne figurent pas dans la liste des pratiques interdites en toutes circonstances fixée par la directive 2005/29/CE du 11 mai 2005 sur les pratiques commerciales déloyales.

Sur la base de cette jurisprudence européenne, la législation française a d’ailleurs dû évoluer, après mise en demeure par la Commission européenne. L’article L. 121-11 du code de la consommation dispose ainsi qu’est « interdit le fait de subordonner la vente d’un produit (…) à l’achat concomitant d’un autre produit (…) dès lors que cette subordination constitue une pratique commerciale déloyale ». Or, telle qu’elle est définie de façon rigoureuse par l’article L. 121-1 du même code, la pratique commerciale déloyale ne saurait s’appliquer de façon générale au type de contrat visé par le présent article : « une pratique commerciale est déloyale lorsqu’elle est contraire aux exigences de la diligence professionnelle et qu’elle altère ou est susceptible d’altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l’égard d’un bien ou d’un service ».

Dans ces conditions, le nouvel article 17 bis du projet de loi, tel qu’il est conçu, soulève de sérieuses difficultés de constitutionnalité et de conventionnalité, en prévoyant la nullité de certains contrats au motif qu’ils auraient pour effet d’imposer à un tiers au contrat, consommateur, l’achat d’un produit combiné à un autre produit. En outre, l’hypothèse selon laquelle de tels contrats pourraient en eux-mêmes méconnaître les principes du recueil du consentement pour la collecte et le traitement de données à caractère personnel, tels qu’ils résultent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, paraît trop indirecte et incertaine pour être admise au regard du droit européen.

Si la question posée est légitime, une autre réponse doit donc lui être apportée, au-delà du seul droit de la consommation, qui n’offre pas de garanties suffisantes. 

Dans le domaine du droit de la concurrence, l’article L. 420-2 du code de commerce prohibe « l’exploitation abusive par une entreprise (…) d’une position dominante sur le marché intérieur », de tels abus pouvant notamment « consister (…) en ventes liées ».

L’Autorité de la concurrence est compétente pour connaître et sanctionner de telles pratiques. L’article L. 420-3 du même code ajoute qu’est « nul tout engagement, convention ou clause contractuelle se rapportant à une pratique prohibée ». La compétence appartient ici au juge civil.  Dès lors, il conviendrait de renforcer des moyens offerts par le droit de la concurrence pour lutter contre les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants, alors que le marché de ces services et celui des matériels constituent deux marchés distincts au sens du droit de la concurrence.

Tel est l’objet du présent amendement, qui propose d’introduire un nouvel article L. 420-2-3 dans le code de commerce pour prohiber l’exploitation abusive par une entreprise d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. Les sanctions encourues pour de telles pratiques seraient celles que peut prononcer l’Autorité de la concurrence en matière de pratiques anticoncurrentielles, en particulier des sanctions pécuniaires. De plus, la prohibition de telles pratiques permettrait également, en application de l’article L. 420-3 du même code, d’obtenir devant le juge l’annulation des contrats à l’origine de telles ventes liées abusives.

Après l’alinéa 13

Insérer un alinéa ainsi rédigé :

« …) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l’autorité nationale en matière de sécurité et de défense des systèmes d’information, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ; »

Les objets connectés sont de plus en plus présents dans la vie quotidienne et le développement de ces technologies représente un enjeu stratégique majeur pour l'ensemble des acteurs économiques dans les secteurs de la santé, de la protection de l'environnement, de la maîtrise de l'énergie ou encore des transports.

Ces objets connectés sont aujourd’hui insuffisamment sécurisés alors qu’ils recueillent des données personnelles (y compris des données sensibles comme des données de santé) en masse. 
Le présent amendement prévoit donc que soit mis en place un dispositif de labellisation pour les objets connectés. Cette labellisation, qui sera mise en ouvre par la CNIL, constituera une assurance pour les usagers que les objets répondent à des exigences élevées en matière de sécurité et de confidentialité de leurs données personnelles.

Après l’article 12

Insérer un article additionnel ainsi rédigé :

À la fin de la seconde phrase de l’article L. 212-4-1 du code du patrimoine, les mots : « à fiscalité propre » sont supprimés. 

Conformément à l’article L.212-4-1 du code du patrimoine, le service public d’archives (SPA) d’une collectivité peut mutualiser la conservation d’archives numériques avec un autre service public d’archives.

En pratique, cette possibilité ne concerne pas exclusivement les EPCI à fiscalité propre. Le présent amendement a pour objet d’adapter la rédaction de l’article susvisé, afin d’étendre son champ d’application à d’autres groupements qui interviennent également dans ce domaine : syndicats mixtes informatiques, groupement d’intérêt public… 

Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

Au deuxième alinéa de l’article L. 1425-2 du code général des collectivités territoriales est ainsi modifié :

1° À la première phrase, le mot : « peuvent » est remplacé par le mot : « doivent » ;

2° La dernière phrase est supprimée. 

Compte tenu de l’importance croissante du numérique dans notre société et des enjeux y afférents (dématérialisation des services et inclusion numérique, ouverture, sécurisation et protection des données...), il est surprenant que les collectivités locales, compte tenu de l’impact que l’économie du numérique va avoir sur l’action publique, ne soient pas tenues d’élaborer une stratégie de développement des usages et services numériques sur leur territoire, à l’échelon le plus adapté de leur point de vue.

En effet, au regard du droit en vigueur (article L.1415-2 du code général des collectivités territoriales), l'élaboration d’une telle stratégie n’est obligatoire que dans les zones de montagne, sur les territoires couverts par un schéma directeur territorial d'aménagement numérique.

Le présent amendement a donc pour objet d’étendre cette obligation sur l’ensemble du territoire.

Alinéa 13

1° Troisième phrase

Après les mots :

l’article 43 du même règlement

insérer les mots :

ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément

2° Dernière phrase

Supprimer cette phrase.

L’article 43 du règlement 2016/679 (UE) prévoit trois options pour l’agrément des organismes certificateurs, lequel peut être délivré, soit par la CNIL (art. 43.1.a), soit par l’organisme national d’accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil (art. 43.1.b,  en France, le Comité français d'accréditation - COFRAC), soit par les deux.

 Le f bis de l’article 11 de la loi n°78-17, dans sa rédaction actuelle, prévoit que la CNIL est toujours l’autorité qui va agréer les tiers certificateurs. Elle peut certes agréer « sur la base d’une accréditation délivrée par l’organisme national d’accréditation », en fixant, le cas échéant, des exigences supplémentaires aux normes d’accréditation. Toutefois, cette rédaction ne permet pas au COFRAC d’agréer lui-même des tiers certificateurs. Or il apparaît opportun de permettre, au cas par cas, selon l’objet de certification, que l’agrément des tiers certificateurs puisse se faire alternativement par la CNIL ou par le COFRAC.

 Le présent amendement prévoit ainsi de modifier l’alinéa 13 de l’article 1^er du projet de loi afin de prévoir cette possibilité, étant précisé que, tout comme dans l’esprit de la rédaction actuelle, la CNIL restera à l’initiative du choix de l’autorité chargée de cet agrément (elle-même ou le COFRAC), sans pouvoir pour autant imposer ce choix à l’organisme national d’accréditation ni lui déléguer véritablement une telle attribution, ce qui aurait des conséquences excessives en termes de responsabilité, eu égard à la compétence exclusive de la Commission en matière de référentiel d’agrément.

Il est également proposé la suppression de la dernière phrase de l'alinéa 13 selon laquelle la CNIL « peut établir des exigences supplémentaires  en matière de normes d’accréditation ». Cette mention qui est déjà prévue à l'article 43.1.b) du règlement 2016/679 (UE), n’apparaît nécessaire.

Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« Les membres et agents mentionnés au premier alinéa du I du présent article peuvent, à la demande du président de la commission, être assistés par des experts. » ;

Cet amendement a pour objet de rétablir les dispositions du III de l’article 44 de la loi n° 78-17 du 6 janvier 1978 qui permet aux membres et agents de la Commission nationale de l’informatique et des libertés de recourir à des experts dans le cadre de ses contrôles. Ces dispositions prévoyaient que : « Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent. ». Il est proposé de réintroduire cette possibilité, qui a été supprimée par erreur de rédaction dans le projet de loi, en l’assouplissant.

En effet, cette rédaction permettra la désignation d’experts par leur autorité (par exemple la CNIL s’associe avec l’Autorité de régulation des jeux en ligne (ARJEL) pour contrôler les opérateurs de jeux en ligne) mais également permettre l’assistance des experts n’appartenant pas à une autorité comme par exemple, les experts inscrits sur une liste d'experts judiciaires.

L’absence de désignation préalable par une autorité existe déjà pour d’autres autorités administratives indépendantes. Ainsi, l’Autorité des marchés financiers peut recourir « pour ses contrôles et enquêtes, à des corps de contrôle extérieurs, à des commissaires aux comptes, à des experts inscrits sur une liste d'experts judiciaires ou à des personnes ou autorités compétentes » (art. 621-9-2 du code monétaire et financier). De même, le rapporteur général de l’autorité de la concurrence « peut décider de faire appel à des experts en cas de demande formulée à tout moment de l'instruction par le rapporteur ou une partie » (art. L.463-8 du code de commerce). Enfin, les agents de l'Autorité de régulation des communications électroniques et des postes (ARCEP) « peuvent recourir à toute personne compétente » qui peut « les accompagner lors de leurs contrôles et prendre connaissance de tout document ou élément nécessaire à la réalisation de sa mission ou de son expertise » (art. L.32-4 du code des postes et des communications électroniques).

Il est rappelé que le règlement intérieur de la CNIL précise les modalités de recours aux experts (art. 55 du règlement intérieur de la CNIL). Conformément à l’article 13 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, le règlement intérieur détermine également les règles déontologiques applicables aux experts dont l’autorité administrative indépendante a éventuellement recours pour l’exercice de ses missions.

I. – Alinéa 5

Supprimer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

II. – Alinéa 14

Après le mot :

peut

insérer le mot :

également

Cet amendement vise à rétablir la rédaction de l’article 6 du projet de loi, dans sa rédaction antérieur à l’amendement CL39 adopté en commission des lois. Cet amendement avait pour objet, selon l’exposé des motifs, de « rétablir une gradation pédagogique dans l’enchaînement des mesures susceptibles d'être prononcées » par la CNIL en obligeant cette dernière à adresser au préalable un avertissement ou une mise en demeure avant la saisine de la formation restreinte.

Or, en premier lieu, cette nouvelle obligation est contraire à la lettre et à l’esprit du règlement (UE) 2016/679.

D’une part, l’article 83 du RGPD prévoit expressément que les autorités nationales doivent pouvoir choisir, alternativement ou cumulativement, entre le prononcé d’une amende pécuniaire et/ou une mise en demeure de se conformer au cadre juridique. L’article 58.2 prévoit ainsi que « chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes » sans qu’une gradation ne soit prévue.

D’autre part, le RGPD développe des systèmes de coopération et de cohérence avec des autorités de contrôle des Etats-membres que l’amendement voté met à mal. En effet, s’agissant par exemple d’un traitement transfrontalier, les autres autorités pourraient demander à la CNIL de prendre directement une sanction pécuniaire sans mise en demeure préalable et le comité européen à la protection des données pourrait même prendre une décision contraignante à cet effet. Un tel conflit de normes serait très dommageable pour la sécurité des procédures répressives nationales.

En second lieu, l’amendement voté a des conséquences importantes sur le fonctionnement de la CNIL.

Cette gradation imposée va susciter des alourdissements opérationnels conséquents, à la fois pour la CNIL, qui devra prendre en charge, pour le même manquement, une procédure de mise en demeure ou d’avertissement par le président de la Commission puis (éventuellement en parallèle) une procédure de sanction par sa formation restreinte. Les organismes incriminés auront également à gérer ces deux catégories de procédure, soit de manière simultanée si les manquements peuvent être distingués en deux catégories (procédure de sanction correspondant aux manquements pour des faits passés, qui ne sauraient en tout état de cause faire l’objet d’une mise en conformité, et mise en conformité par le biais d’une mise en demeure pour l’avenir), soit de manière successive si le manquement persiste. En pratique, ces deux pratiques devront en outre faire l’objet d’une articulation entre différentes formation de la CNIL (le président et la formation restreinte) avec un manque de lisibilité pour les acteurs économiques.

Enfin, l’impossibilité de prononcer, dans certains cas nécessaires, directement une sanction est susceptible de mettre à mal le pouvoir répressif de la CNIL à l’égard de certains acteurs et  l’effet dissuasif de la sanction. Il pourrait en résulter le risque que cette rigidification du pouvoir répressif de la CNIL conduise à l’inverse de l’effet recherché. Les organismes les mieux dotés juridiquement, qui ne sont pas les cibles principales de l’amendement voté en commission, sachant qu’une mise en conformité ne les rend plus éligibles à la sanction, n’ont pas d’incitation à corriger d’eux-mêmes un manquement qu’ils auraient constaté et sont au contraire incités à attendre une mise en demeure de la CNIL, qui leur permet de se protéger, au moins dans un premier temps, contre toute amende pécuniaire. L’absence de possibilité, pour la CNIL, de prononcer directement une sanction sans recourir préalablement à une mise en demeure ou un avertissement pourrait donc avoir un effet désincitatif à la mise en conformité pour certains organismes.

Alinéa 44

Supprimer cet alinéa.

Cet amendement vise à supprimer l’alinéa 44 de l’article 6 introduit par l’amendement 48 de la commission des lois. Cet alinéa vise à ce que le produit des sanctions pécuniaires et des astreintes, prélevés sur des responsables de traitement condamnés, soit destiné à financer l'assistance apportée par l'État aux responsables de traitements et à leurs sous-traitants, afin qu'ils se conforment à leurs obligations.

A titre liminaire, il est rappelé que c’est à la CNIL qu’appartient la mission, au titre de l’article 57 (d) du RGPD, d’encourager la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent. Or l’article 36 de la loi organique relative aux lois de finances (LOLF) prévoit que : « L'affectation, totale ou partielle, à une autre personne morale d'une ressource établie au profit de l'Etat ne peut résulter que d'une disposition de loi de finances ».

Le principe d’universalité budgétaire ne permet pas davantage de verser un produit d’une ressource établie au profit de l’Etat à une dépense particulière, en l’occurrence le financement d’une assistance. En effet, ce principe interdit l’affectation d’une recette à une dépense déterminée en dehors du cas prévu par l’article 19 de la LOLF qui prévoit que « L'affectation d'une recette à un compte spécial ne peut résulter que d'une disposition de loi de finances ».

Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« 11° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions du 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l’informatique et des libertés délivré selon les modalités prévues à l’article 28. » ;

La recherche publique ne relève pas, en tant que telle, du champ d’application du II de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version en vigueur, qui autorise, par exception à l’interdiction de principe de traiter des données sensibles instituée au I du même article, les traitements portant sur de telles données. Dans le domaine de la recherche, seuls sont actuellement et spécifiquement couverts respectivement par le 7° et le 8° du II de l’article 8, d’une part, « les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels » et, d’autre part, « les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé ».

Les études menées par les établissements d’enseignement supérieur et de recherche et les organismes de recherche nécessitant le traitement de données dites sensibles, lorsqu’elles ne peuvent s’appuyer sur le consentement des personnes concernées, sont majoritairement soumises à l’autorisation préalable de la CNIL, en application des dispositions du IV de l’article 8 et de celles de l’article 25 de la loi du 6 janvier 1978. Tel est le cas en particulier d’un grand nombre d’études menées dans le champ de la sociologie et de la démographie (enquêtes portant par exemple sur les migrants ou bien encore sur les violences faites aux femmes).

En l’état actuel du projet de loi, la suppression de la procédure d’autorisation préalable de la CNIL par l’abrogation de l’article 25 a pour conséquence de soumettre ces traitements à un dispositif d’autorisation par décret en Conseil d’Etat pris après avis motivé et publié de la CNIL. Dans sa rédaction actuelle, les dispositions du IV de l’article 8 de la loi du 6 janvier 1978 prévoient en effet que ne sont pas soumis à l’interdiction de traiter des données sensibles les traitements justifiés par l’intérêt public « autorisés dans les conditions prévues au II de l’article 26 ». Or, cette formalité préalable n’est nullement adaptée, compte tenu notamment du calendrier qu’elle impose, aux études menées par les établissements d’enseignement supérieur et de recherche et les organismes de recherche.

Il est donc proposé d’inscrire, au titre des exceptions énumérées au II de l’article 8, un alinéa supplémentaire relatif à la recherche publique, prise au sens de l’article L. 112-1 du code de la recherche.

En effet, dans la mesure où les traitements à finalité de recherche publique doivent être regardés aussi bien comme des traitements répondant à des « motifs d’intérêt public importants » que des traitements à des fins de recherche scientifique ou historique, l’article 9.2 du RGPD en autorise la mise en œuvre, sur la base du droit de l’Etat membre, qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Pour ce dernier motif d’ailleurs, la mise en œuvre de ces traitements ne sera possible qu’après consultation de la CNIL, qui émettra un avis motivé et publié.

I. – Alinéa 2

Supprimer cet alinéa.

II. – Alinéa 3

Rétablir le 1° dans la rédaction suivante :

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l’autorité publique ou » ;

III. – Alinéa 4

Remplacer les mots :

l’exercice des missions qui leur sont confiées par la loi

par les mots :

leur mission

IV – Alinéa 6, troisième et dernière phrases

Supprimer ces phrases.

V. – Alinéas 9 à 12

Supprimer ces alinéas.

L’amendement CL 51 adopté en commission a modifié sur plusieurs points l’article 11 du projet de loi qui concerne l’article 9 de la loi informatique et libertés relatif aux données d’infraction.

L’ajout du mot « strictement » au 3° de l’article 9 (par le IV.A de l’amendement CL51) est pertinent.

Le présent d’amendement a pour objet de rétablir la rédaction du projet de loi compte tenu des autres modifications apportées.

En premier, il rétablit la définition des données visées à l’article 10 du règlement (UE) 2016/679, à savoir les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté effectués sous le contrôle ou par l’autorité publique. La rédaction issue de l’amendement est contraire au RGPD sur ce point.

En deuxième lieu, le présent d’amendement rétablit la rédaction résultant du projet de loi adopté par l’Assemblée nationale qui permettait aux personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la CNIL, dans la mesure strictement nécessaire à leur mission, de traiter des données d’infraction. La commission des lois a estimé que ces missions doivent être confiées par la loi. Or cette précision apparaît trop restrictive dès lors que certaines associations, comme par exemple les associations d’aide aux victimes, ne remplissent pas cette condition, alors qu’elles ont besoin de traiter de ces données pour l’exercice de leur mission.

En troisième lieu, le présent amendement supprimer la référence à un décret en Conseil d’Etat pour définir les modalités du 3° (traitement de données d’infraction par des personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue. Dans sa décision n° 2004-499 DC du 29 juillet 2004, le Conseil constitutionnel a précisé que les garanties appropriées et spécifiques doivent être fixées dans la loi. Les garanties qui figurent dans le projet de loi en termes de durée de conservation et de proportionnalité de la finalité ne nécessitent pas d’être précisées dans un décret en Conseil d’Etat.

Enfin, le présent amendement supprime le régime d’autorisation préalable par la CNIL avec une possibilité de décision unique et déclaration de responsable de traitement qui a été réintroduit par la commission des lois. Il va à l’encontre de la logique de non surtansposition souhaitée par le Gouvernement et de la philosophie du règlement européen, retranscrite dans le projet de loi, qui allège les formalités préalables tout en permettant à la CNIL d’utiliser du droit souple et de sanctionner, le cas échéant, sévèrement les responsables de traitement.

Alinéas 13 à 16

Supprimer ces alinéas.

L’amendement CL 52 a complété l’article 11 du projet de loi en modifiant l’article L. 111-3 du code de l’organisation judiciaire et l’article L. 10 du code de justice administrative pour prévoir que les modalités de la mise à disposition des décisions de justice préviennent tout risque de ré-identification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions.

La loi du 7 octobre 2016 pour une République numérique a introduit dans ces deux codes des dispositions relatives à la mise à disposition des décisions de justice (Open data) en fixant les grands principes de cette mise à disposition. Elle doit notamment être  faite à titre gratuit, dans le respect de la vie privée des personnes concernées et précédée d’une analyse du risque de réidentification des personnes. La loi a renvoyé à un décret en Conseil d’Etat le soin de fixer les conditions d’application de ces dispositions.

Au regard de la sensibilité et la complexité du sujet, une mission a été confiée au professeur Cadiet afin d’éclairer la rédaction de ces dispositions d’application. Ce dernier a remis le 29 novembre 2017 son rapport à la garde des Sceaux qui contient 20 recommandations. Certaines ont déjà été reprises dans le cadre du présent projet de loi. D’autres, ont fait l’objet d’un examen et ont servi à l’élaboration d’un décret d’application qui sera soumis prochainement au Conseil d’Etat.

La rédaction proposée par la commission impose que la diffusion des décisions de justice prévienne tout risque de ré-identification. Il s’agit là d’un objectif impossible à atteindre, sauf à enlever des parties entières des décisions de justice avant leur diffusion au public. Elles seraient alors complètement illisibles.

Cette analyse est confirmée par la mission qui rappelle dans son rapport que la prévention absolue de la ré-identification est totalement impossible à réaliser car les décisions de justice sont des documents très construits qui contiennent de nombreuses données ré-identifiantes. Si une prévention absolue du risque de ré-identification est imposée par la loi, l’open data des décisions de justice ne pourra tout simplement pas être réalisé.

Il faut donc aller vers une protection adaptée de la vie privée des personnes concernées par les décisions. Les mentions d’identification contenues dans les décisions doivent être supprimées et la ré-identification doit être rendue difficile à réaliser, et non totalement impossible. Cela permettra de réaliser l’équilibre en protégeant la vie privée des personnes sans empêcher la diffusion des décisions. La rédaction actuelle des articles L. 111-13 du code de l'organisation judiciaire et L. 10 du code de justice administrative est donc adaptée.

Enfin, s’agissant de la protection des identités des professionnels de justice, le décret en Conseil d’État qui doit être pris en application des articles L. 111-13 du code de l’organisation judiciaire et L. 10 du code de justice administrative permettra de trancher cette question. Il est actuellement en cours d’élaboration par les services de la Chancellerie.

Alinéa 3

Rédiger ainsi cet alinéa :

2° Les deuxième à dernier alinéas sont supprimés ;

L’amendement COM-87 adopté en commission a modifié l’article 12 du projet de loi en rétablissant une partie de l’article 36 de la loi Informatique et Libertés supprimée par le projet de loi. Le présent amendement a pour objet de rétablir la rédaction du projet de loi, le texte issu de la commission n’étant plus conforme au RGPD.

En effet, le RGPD n’interdit pas de procéder à des traitements de données archivées à d’autres fins que les fins archivistiques dans l’intérêt public, les fins de recherche scientifique ou historique ou les fins statistiques. Les traitements en question sont en revanche soumis au régime de droit commun du RGPD et de la loi Informatique et Libertés et ne bénéficient pas des dispositions spécifiques attachées aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

 La nouvelle rédaction de l’alinéa qui impose certaines conditions spécifiques n’est pas conforme au RGPD et le présent amendement a pour objet de revenir à la rédaction initiale du projet de loi.

Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

L’amendement COM-55 adopté en commission a modifié l’article 12 du projet de loi en retirant aux traitements à des fins archivistiques dans l’intérêt public la dérogation au droit de rectification dont ils peuvent bénéficier. Le présent amendement a pour objet de rétablir la rédaction du projet de loi.

L’article 89 du RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger au droit de rectification prévu à l’article 16. La France a fermement défendu cette dérogation pendant les quatre années de négociation du Règlement. Elle était inscrite dans le projet de loi initial et la CNIL n’a pas émis de réserve sur cette dérogation circonscrite au champ des traitements à des fins archivistiques dans l’intérêt public.

 Les traitements mis en œuvre par les services publics d'archives doivent absolument déroger au droit de rectification. L'article 12 du projet de loi ne vise que les "archives définitives" ou « archives historiques » et non les "archives courantes" ou les "archives intermédiaires" (parfois appelées « archives vivantes »), qui restent soumises au droit de rectification. Mais, à l'issue de leur durée d'utilité administrative, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées par un service public d'archives (Archives nationales, régionales, départementales, communales) ne doivent plus être modifiées. C’est l’un des grands principes de l’archivistique, qui garantit des sources intègres, authentiques et non dénaturées nécessaires à l’écriture de l’Histoire.

Les informations que comportent les archives historiques sont souvent périmées et incomplètes en raison de leur ancienneté ; elles sont parfois volontairement inexactes par la volonté de l'auteur du document. Les modifier alors qu'elles sont devenues archives historiques reviendrait à porter atteinte à l'intégrité du document original, avec risque de falsification et d'atteinte à son caractère authentique. Il convient de distinguer le caractère original et authentique du document d’archives de la véracité de l'information qu'il contient : pour ne pas altérer ce caractère original et authentique, l'information erronée archivée comme « archive historique » ne doit pas être modifiée. Le constat de sa véracité relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés.

 Il est en conséquence absolument nécessaire de faire déroger les traitements archivistiques à l’article 16 du RGPD.

Alinéa 5, dernière phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

L’amendement COM-54 adopté en commission a modifié l’article 12 du projet de loi en substituant au riche corpus normatif régissant la gestion des archives publiques un décret en Conseil d’Etat pour apporter les garanties appropriées en matière de traitements à des fins archivistiques dans l’intérêt public. Le présent amendement a pour objet de rétablir la rédaction du projet de loi.

L’article 89 du RGPD autorise les traitements à des fins archivistiques dans l’intérêt public à déroger à certains droits en contrepartie de conditions et garanties appropriées. Ne sont visées que les archives « définitives » ou « historiques » et uniquement les traitements mis en œuvre par les services publics d’archives qui collectent les archives publiques à l’issue de leur durée d’utilité administrative (archives nationales, régionales, départementales, communales et intercommunales).

 La gestion de ces archives est encadrée par un corpus législatif et réglementaire extrêmement étoffé : plus de 150 dispositions dans le code du patrimoine (parties législative et réglementaire), des dizaines de dispositions dans d'autres textes, en particulier le code des relations entre le public et l’administration (CRPA), ainsi que des normes, notamment en matière d’archivage électronique. Ainsi, les règles de sélection, de traitement, de conservation et de communication (délais et modalités) des documents et données sont précisément définies et apportent des garanties fortes et suffisantes. Par ailleurs, la gestion des archives historiques visée par l’alinéa 5 de l’article 12 est assurée par les seuls services publics d'archives, qui forment un réseau homogène aux pratiques professionnelles harmonisées et qui sont placés sous le contrôle scientifique et technique de l'Etat. De nouvelles dispositions réglementaires ajouteraient une couche de droit supplémentaire et complexifieraient un droit déjà extrêmement dense à l’heure de la simplification et des efforts d’intelligibilité du droit.

 S'agissant de la diffusion sur Internet des documents d’archives comportant des données à caractère personnel, un décret d'application de l’article 6 de la loi pour une République numérique, pris après avis de la CNIL et en cours de finalisation, en déterminera précisément les conditions.

 Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques dans l’intérêt public mis en oeuvre par les services publics d'archives et relatifs aux seules archives « définitives » ou « historiques ».

Alinéa 6

Après la référence :

15,

insérer la référence :

16,

L’amendement COM-83 adopté en commission a introduit un sixième alinéa à l’article 12, relatif aux traitements à des fins de recherche scientifique et historique ou à des fins statistiques. Le présent amendement a pour objet de le compléter.

L’article 89 du RGPD permet aux traitements à des fins de recherche scientifique et historique ou à des fins statistiques de déroger à certains droits des personnes, en particulier au droit de rectification prévu à l’article 16. La France a fermement défendu cette dérogation pendant les quatre années de négociation du Règlement. Elle était inscrite dans le projet de loi initial.

Cette dérogation, qui garantit la liberté du travail de l’historien, est d’autant plus nécessaire que les grands services d’archives du secteur « privé » comme le Mémorial de la Shoah, les services d’archives des Eglises, de partis politiques, l’association Génériques sur l’histoire de l’immigration ou encore le service d’archives d’ATD-Quart-Monde relèvent de ce dispositif. Leurs traitements ne sont en effet pas assimilables aux traitements à des fins archivistiques dans l’intérêt public qui ne visent que les services d’archives qui ont l’obligation légale de collecter et de traiter des archives, soit, en France, les services publics d’archives (considérant 158 du RGPD).

Les traitements mis en œuvre à des fins de recherche scientifique et historique ou à des fins statistiques doivent déroger au droit de rectification, afin de préserver le caractère intègre et authentique des documents conservés à titre d’archives historiques.

Comme dans les autres fonds d’archives, les archives historiques conservées par les Eglises, les fondations, les partis politiques, les associations, sont souvent périmées et incomplètes en raison de leur ancienneté ; elles sont parfois volontairement inexactes par la volonté de l'auteur du document. Les modifier alors qu'elles sont devenues archives historiques reviendrait à porter atteinte à l'intégrité du document original, avec risque de falsification et d'atteinte à son caractère authentique. Il convient de distinguer le caractère original et authentique du document d’archives de la véracité de l'information qu'il contient : pour ne pas altérer ce caractère original et authentique, l'information erronée archivée comme « archive historique » ne doit pas être modifiée. Le constat de sa véracité relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés.

Il est en conséquence absolument nécessaire de faire déroger les traitements à des fins de recherche scientifique et historique ou à des fins statistiques à l’article 16 du RGPD, comme le permet son article 89.

Compléter cet article par deux alinéas ainsi rédigés :

…° Après les mots : « de la conférence médicale. », la fin du sixième alinéa de l’article L. 6113-7 du code de la santé publique est ainsi rédigée :

« Les conditions de cette désignation et les modes d’organisation de la fonction d’information médicale en particulier les conditions dans lesquelles des personnels placés sous l’autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 du présent code peuvent contribuer au traitement des données, sont fixés par décret. »

La tarification à l’activité (T2A) impose à chaque établissement de santé concerné par ce mode de financement de rendre compte de son activité par une remontée de données quantifiées et standardisées relatives à la prise en charge des patients : c’est l’objet du programme de médicalisation des systèmes d’information (PMSI). 

Le processus de codage, étapes par lesquelles les données propres à chaque patient sont retraitées en statistiques pseudonymisées, implique un accès à des données permettant, même indirectement, une identification. Au titre de l’article L.1110-4 du code de la santé publique (CSP), relatif au secret médical, seuls les professionnels de santé participant à la prise en charge d’un patient sont autorisés à accéder à ses données de santé. Pour mettre en œuvre le PMSI, et en dérogation à ce principe, l’article L.6113-7 CSP met cette production sous la responsabilité d’un médecin de l’information médicale nommé dans chaque établissement ; l’article R.6113-5 CSP étend la dérogation à l’ensemble des personnels travaillant auprès de lui ou placé sous son autorité, mais ne renvoie aucunement à des personnes salariées de sociétés prestataires autres que celles intervenant sur le matériel ou les logiciels.

Par ailleurs, face à la difficulté à recruter des médecins DIM (département d’information médicale) et à l’importance que revêt le codage pour le financement des établissements de santé par la T2A, ces derniers sont amenés à avoir recours à des prestataires extérieurs, soit pour la production initiale des données du PMSI, soit dans le cadre de procédures d’audit pour mettre en œuvre un contrôle des processus ou optimiser le codage, donc les ressources financières. Les audits sont en particulier réalisés dans le contexte de la certification des comptes des établissements publics de santé, dont la mission légale s’exerce selon les modalités fixées dans l’article L. 823-9, alinéa 1, du Code de commerce, et par les décrets n°1238 et n°1239 du 23 décembre 2013.

Au vu des enjeux, ce recours doit être garanti aux établissements publics comme privés.

Dans ce double cadre se pose la question des conditions réglementaires d’accès aux dossiers médicaux des patients par les prestataires extérieurs mandatés par l’établissement de santé, comme le soulignait la Commission nationale de l’informatique et des libertés.

Cet amendement vise à sécuriser le recours à des prestataires extérieurs pour le codage ou l’audit des données PMSI au travers d’un cadre juridique permettant de garantir la protection des données de santé à caractère personnel contenues dans des dossiers médicaux des patients. L’accès des prestataires extérieurs aux données de santé serait alors réalisé dans des conditions techniques renvoyant à la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), et ne serait autorisé que dans la stricte mesure de ce qui est nécessaire à leur mission.

Après l’article 13 bis

Insérer un article additionnel ainsi rédigé :

I. – L’article L. 4123-9-1 du code de la défense est ainsi rédigé :

« Art. L. 4123-9-1. – I. – Le responsable d’un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l’une des finalités du traitement. 

« À l’exclusion des traitements mis en œuvre pour le compte de l’État, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l’obligation posée au premier alinéa, la mention de la qualité de militaire.

« Les personnes accédant aux données personnelles de militaires peuvent faire l’objet d’une enquête administrative aux seules fins d’identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l’identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l’article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, selon les règles propres à chacun d’eux.

« Dans l’hypothèse où le ministre compétent considère, sur le fondement de l’enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l’accès aux données personnelles de militaires y figurant.

« II. – Sans préjudice des dispositions du 1 de l’article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d’accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai le ministre compétent.

« III. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les conditions d’application du présent article.

« IV. – Est puni :

« 1° D’un an d’emprisonnement et de 100 000 euros d’amende le manquement, y compris par négligence, à l’obligation prévue au deuxième alinéa du I du présent article ;

« 2° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l’accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;

« 3° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II. »

II. – Dans le délai d’un an suivant l’entrée en vigueur de la présente loi, les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire procèdent à sa suppression ou à son remplacement par celle de la qualité d’agent public, lorsque cette mention n’est pas strictement nécessaire à l’une des finalités du traitement.

III. – Le troisième alinéa de l’article 226-16 et le second alinéa de l’article 226-17-1 du code pénal sont supprimés.

IV. – L’article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale est abrogée.

L’entrée en vigueur du règlement européen de protection des données (RGPD) à compter du 25 mai 2018 rompt avec la logique des formalités préalables. Les hypothèses dans lesquelles une autorisation préalable de la Commission nationale de l’informatique et des libertés (CNIL) est requise sont désormais résiduelles et limitées aux traitements les plus sensibles tels que les fichiers dits de souveraineté ou ceux comportant des données génétiques ou biométriques. A cette aune, il convient de refondre le dispositif mis en œuvre par l’article 117 de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale.

 En effet, ce dispositif prévoit un régime d’autorisation auprès de la CNIL pour mettre en œuvre un traitement de données à caractère personnel dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent. Il prévoit également la réalisation d’une enquête administrative sur la personne responsable du traitement ainsi que sur les personnes accédant aux données comportant la qualité de militaire. Enfin, des prescriptions techniques peuvent être imposées aux opérateurs privés concernés par le dispositif.

 Dans un souci d’allègement des formalités préalables et des sujétions imposées aux opérateurs privés, le présent amendement remanie ce dispositif pour le rendre plus efficace et opérationnel.

 Conformément à l’article 5.1 du RGPD, le responsable d’un traitement ne pourra conserver la mention de la qualité de militaire des personnes dont les données sont traitées que si celle-ci est strictement nécessaire à l’une des finalités du traitement. Une campagne de sensibilisation des opérateurs privés sera à ce titre réalisée par le ministère des armées.

 Pour les traitements dont la mention de la qualité de militaire est strictement nécessaire à l’une des finalités de ces traitements, les responsables de traitement seront uniquement tenus d’informer le ministre compétent de leur mise en œuvre et ne seront plus soumis à un régime d’autorisation ou de déclaration auprès de la CNIL. En outre, et à la différence du dispositif actuel, l’obligation d’information ne pèsera pas sur les collectivités territoriales et leurs groupements, pas davantage que sur les associations à but non lucratif.

Par ailleurs, le ministère des armées pourra le cas échéant décider de s’assurer de la sécurité des traitements en cause en procédant à une enquête administrative sur les personnes accédant aux données personnelles de militaires, sans que cette enquête ne soit désormais une obligation.

Ce projet d’article entend ainsi concilier l’impératif de sécurité des militaires qui a prévalu à la mise en œuvre de ce dispositif et l’objectif d’allègement des obligations pesant sur les opérateurs privés.

Alinéa 2

Rédiger ainsi cet alinéa :

« Art. 10. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

La commission des lois a modifié l’alinéa 2 de l’article 14 du projet de loi. La nouvelle rédaction prévoit qu’ « Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l'article 4 du règlement … ».

Or, interdire toute décision de justice fondée sur le profilage est plus restrictif que ce prévoit la loi actuelle qui indique qu’ : « Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité. »

Dès lors, la rédaction issue de la commission des lois est moins protectrice que le droit actuel à savoir interdire toute décision de justice fondée sur un traitement automatisé de données à caractère personnel. Le présent amendement se borne à reprendre l’alinéa 1^er de l’article 10 en vigueur aujourd’hui.

Alinéa 5

Rédiger ainsi cet alinéa :

« 2° Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre I^er du titre I^er du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard ;

Le présent amendement rétablit le texte dans la version équilibrée, issue de l’Assemblée nationale, permettant le recours à des décisions prises sur le fondement d’un traitement algorithmique tout en offrant les garanties nécessaires pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée.

Compte tenu de leur caractère déterminant, il est important que ces garanties de transparence et d’intervention humaine figurent explicitement dans le texte de la loi Informatique et libertés, y compris l’obligation de maîtrise ainsi que son explicitation, en lien avec l’avis rendu par la CNIL sur cet article.

Il n'est pas nécessaire de rappeler par la loi que les décisions doivent respecter strictement les dispositions légales ou règlementaires en vigueur et que, partant, ce doit être également le cas des traitements algorithmiques mis en œuvre pour prendre ces décisions.

Alinéa 6

Supprimer cet alinéa.

Cet alinéa n’est pas conforme au règlement : pour les actes visés au 3°, aucune garantie n'est prévue alors même que ces actes affectent significativement les personnes.

En effet, l’article L. 311-3-1 du code des relations entre le public et l’administration qui impose l’information détaillée de la personne concernée est applicable sous réserve du 2° de l'article L. 311-5, qui prévoit la non communicabilité des documents administratifs dont l’accès porterait notamment atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature ou au déroulement des procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, sauf autorisation.

Alinéa 8

Supprimer cet alinéa.

Si le Gouvernement partage pleinement l’objectif de faire appliquer l’article L. 311-3-1 du code des relations entre le public et l’administration, il n’est pas favorable à ce que l’absence de mention dans la décision conduise immédiatement à la nullité de cette dernière, ce qui serait disproportionné. Il lui semble, d’une part, que ce point doit être laissé à l’appréciation du juge et il note, d’autre part, qu’il n’existe pas de précédent de ce type, en matière d’obligations d’éditique.

Alinéa 9

Supprimer cet alinéa

Le présent amendement a pour objet de supprimer l’alinéa 9 introduit en commission. Cet alinéa supprime le dernier alinéa du I de l’article L. 612-3 du code de l’éducation dans sa nouvelle rédaction issue de la loi n° 2018-166 du 8 mars 2018 relative à l’orientation et à la réussite des étudiants.

Cette disposition a été introduite par un amendement du Gouvernement en séance publique au Sénat. Il s’agit de garantir aux candidats à une formation de premier cycle un accès spécifique et individualisé aux documents administratifs qui, sans compromettre le principe du secret des délibérations de la commission d’examen des candidatures, lui permettra de comprendre les critères et les motifs de la décision prise par le chef d’établissement.

La commission des lois a considéré, au contraire, que cette disposition, à la lumière des autres dispositions du présent projet de loi, ouvre la voie à une prise de décision par des algorithmes locaux sans aucune intervention humaine.

Le Gouvernement ne partage pas cette position.

En premier lieu, les dispositions de la loi « orientation et réussite des étudiants » ont été conçues de manière à imposer une intervention humaine dans le traitement des dossiers des candidats dans le prolongement de la décision du 25 septembre 2017 de la CNIL sur le système APB.

En outre, la loi du 9 mars 2018 instaure, pour départager les candidats, un critère difficilement traduisible en masse par un algorithme : la cohérence entre le profil du candidat et les attendus de la formation demandée. Ce critère, qui a été reconnu comme objectif par le Conseil d’Etat puis par le Conseil constitutionnel n’est pas quantifiable dès lors qu’il laisse une large part à l’appréciation de la motivation des candidats dans le choix des équipes pédagogiques. Dans ces conditions, il ne saurait être mis en œuvre uniquement par un algorithme d’affectation. Une intervention humaine, en l’espèce la délibération de l’équipe pédagogique, est donc incontournable.

Ensuite, l’article L. 612-3, dans sa nouvelle rédaction, prévoit à la fois la personnalisation des cursus et l’instauration de dispositifs d’accompagnement pédagogique qui doivent être adaptés aux profils des candidats. Là encore, un algorithme ne saurait se substituer à l’appréciation portée par les équipes pédagogiques sur le profil du candidat et sur l’utilité des dispositifs proposés dans chaque établissement, ces accompagnements pouvant évoluer d’une année sur l’autre selon la politique conduite par ces établissements. Dans ces conditions, les établissements ne peuvent faire l’économie, au profit d’un traitement automatisé, d’une appréciation personnelle des candidatures transmises.

Le recours, le cas échéant, à des algorithmes locaux, par les équipes pédagogiques est néanmoins possible afin de les assister dans le travail d’examen des candidatures mais il ne saurait pour autant exclure toute délibération des équipes pédagogiques. C’est d’ailleurs précisément l’objet du dernier alinéa du I de l’article L. 612-3 que de vouloir consacrer l’intervention systématique des équipes pédagogiques dans le traitement des candidatures des bacheliers tout en préservant le secret qui s’attache traditionnellement et nécessairement à leurs délibérations. 

Par ailleurs, cette disposition se borne en effet à tirer les conséquences du principe général du secret des délibérations que le Conseil d’Etat a consacré dans sa décision du 17 février 2016. L’alinéa dont la suppression a été votée en commission des lois a donc pour objectif d’instaurer un équilibre entre l’existence d’une délibération des équipes pédagogiques qui ne se confond pas avec le recours à un traitement automatisé local et la protection du secret de leurs délibérations. Dans ces conditions, la suppression de cet alinéa est contraire à son intention puisqu’il supprime également la mention du rôle joué par les équipes pédagogiques. 

Enfin, et en vue de se prémunir contre d’éventuelles dérives, la loi du 9 mars 2018 a institué un comité éthique et scientifique qui a vocation à prévenir ce type de risque et à garantir un traitement humain des dossiers et un haut niveau de protection des candidats.

Dans ces conditions et malgré la faculté ouverte par le présent projet de loi de prendre des décisions sur le fondement d’un traitement automatisé, il apparait que la procédure de traitement des dossiers des candidats pour l’accès aux formations dans le premier cycle ne saurait exclure toute intervention humaine et ouvrir ainsi la voie à la constitution d’un « nouvel APB ».

En outre, la suppression du dernier alinéa du I de l’article 612-3 du code de l’éducation fragiliserait le rôle de la délibération des équipes pédagogiques.

Dès lors, la suppression de cet alinéa qui a été votée en commission des lois ne répond pas à l’objectif que leurs auteurs entendent poursuivre.

Alinéa 3

Supprimer cet alinéa.

Amendement de cohérence avec l’amendement du Gouvernement concernant l’article 16 A (suppression de l’agrément des associations).

I. - Alinéas 7 à 10

Supprimer ces alinéas.

II. – Alinéa 11

Rédiger ainsi cet alinéa :

2° Le IV est complété par un alinéa ainsi rédigé :

III. – Alinéa 12

Rédiger ainsi le début de cet alinéa :

« Lorsque l’action …

Le présent amendement a pour objet de supprimer la condition d’agrément, introduite par la commission, pour les associations souhaitant exercer une action de groupe en matière de protection des données personnelles.

Subordonner l’exercice d’une action de groupe à un agrément permettant d’attester par exemple la représentativité d’une association constitue une exigence supplémentaire contraire à la lettre du règlement (UE) 2016/679. Son article 80.1 qui mentionne les organismes, organisations ou associations à but non lucratif qui ont été « valablement constitué conformément au droit d'un État membre » ne conditionne pas le mandatement en vue de l’exercice d’une action de groupe aux seules associations agréées.

Par ailleurs, cette condition supplémentaire a pour effet d’entraver la possibilité d’exercer des actions de groupe alors même que la pratique a montré que très peu d’action de groupe avait été initiée. La crainte d’un déferlement d’actions en réparation n’est pas fondée.

Rédiger ainsi cet article :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

Le présent amendement concilie le souhait des parlementaires de donner sa pleine efficacité au consentement prévu par le Règlement, dans le cas notamment des terminaux mobiles, et le respect des normes européennes et nationales.

En effet, la rédaction actuelle du 17 bis porte atteinte à la liberté contractuelle puisqu’elle interdirait à tout éditeur d’application de conclure un accord avec un fabricant de smartphone pour une exposition préférentielle de son application (affichage par défaut), notamment des accords avec partage de rémunération, présentant un intérêt pour les deux parties. Elle est également susceptible, par les charges qu’elle ferait peser sur les entreprises de porter atteinte à la libre prestation des services.

En outre, au plan concurrentiel, cette rédaction qui a une portée générale et symétrique, s’appliquerait aux applications de Google comme à celle d’un éditeur nouvel entrant, qui ne pourrait conclure un accord d’exposition préférentielle avec un fabricant de smartphone, alors même que cet accord pourrait l’aider à entrer sur le marché et aurait donc des effets pro-concurrentiels.

Le présent amendement s’appuie sur le considérant 78 du règlement selon lequel : « La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. (…) Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. »

En délimitant clairement le champ d’application (traitements fondés sur le consentement et responsable de traitement, couvert par le règlement, à l’exclusion des tiers), la rédaction s’inscrit aussi dans la logique de responsabilisation du Règlement, en abandonnant la sanction a priori du contrat, au profit de l’obligation pour le responsable d’être en mesure de démontrer les mesures qu’il prend pour se conformer aux obligations en matière de consentement.

Alinéa 12

Supprimer cet alinéa.

Le présent amendement vise à supprimer l’obligation, ajoutée en commission des lois, d’une autorisation préalable de la Commission nationale de l’informatique et des libertés pour tout traitement non mis en œuvre par l’Etat dans le champ de la directive.

En effet, cette autorisation préalable n’est nullement exigée par l’article 28 de la directive qui prévoit des garanties suffisantes pour la protection des droits et des libertés des personnes concernées par ces traitements.

Ainsi pour ces traitements, l’article 70-4 du projet de loi, qui transpose strictement la directive, impose la réalisation d’une analyse d’impact dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment chaque fois qu’il porte sur des données sensibles.

La consultation de la Commission nationale de l’informatique et des libertés est en outre exigée dès lors que le traitement, au regard des conclusions de cette analyse d’impact ou en raison de l’utilisation de nouvelles technologies, est susceptible de présenter des risques élevés pour les libertés et droits des personnes concernés.

Dès lors, le présent projet de loi n’affaiblit nullement la protection des données à caractère personnel.

Alinéa 13

Supprimer les mots :

, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité

Le présent amendement vise à supprimer le renvoi opéré au règlement pour définir le contenu de l’analyse d’impact devant être réalisée préalablement au traitement par le responsable.

En effet, le contenu de l’analyse d’impact exigé par l’article 27 de la directive diffère de celui prévu par le règlement.

Ainsi la directive n’impose pas une description systématique des finalités du traitement, ni une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de ces finalités.

Le contenu de l’analyse d’impact, de nature réglementaire, sera précisé dans le décret.

Alinéas 26 à 28

Rédiger ainsi ces alinéas :

« Art. 70-9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.

« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.

Pour les mêmes motifs que l’amendement portant sur l’article 14 du projet, le Gouvernement souhaite revenir au texte initial sur les traitements automatisés.

Interdire toute décision de justice fondée sur le profilage est en effet plus restrictif, et dès lors moins protecteur, qu’interdire toute décision de justice fondée sur un traitement automatisé de données à caractère personnel.

En outre, les précisions apportées au profilage discriminatoire apparaissent à la fois insuffisantes, car elles ne renvoient pas à la totalité des dispositions pénales applicables aux discriminations, et peu lisibles du fait de la multiplication des renvois.

Alinéa 34, seconde phrase

Après le mot :

vérifie

insérer les mots :

, dans la mesure du possible,

Le présent amendement vise à rétablir l’obligation de moyen, et non de résultat, imposée par la directive aux autorités compétentes en matière de vérification des données avant de transmettre celles-ci à un tiers.

En effet, l’article 7§2 de la directive prévoit expressément que chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Lors d’une telle transmission de données, sont également ajoutées, dans la mesure du possible, toute information permettant au destinataire de juger de leur fiabilité et de leur niveau de mise à jour.

Imposer une obligation de résultat aux autorités compétentes est incontestablement disproportionné. Elle implique par exemple que la transmission de bonne foi d’une donnée qui ne serait plus à jour, y compris dans les cas où l’autorité compétente ne pouvait le savoir, pourrait faire l’objet de sanction de la Commission nationale de l’informatique et des libertés et de sanctions pénales.

Du reste, l’article 70-11 du projet de loi prévoit, conformément à la directive, que dès qu’elle prend connaissance de l’inexactitude de la donnée transmise, l’autorité compétente doit en aviser le destinataire.

Dans sa rédaction adoptée par l’Assemblée, cet article correspondait à l’exacte transposition de la directive et il n’y avait donc pas de raison de le modifier.

Alinéa 37

Après le mot :

établit

insérer les mots :

dans la mesure du possible et le cas échéant

Pour les mêmes motifs que l’amendement précédent, le présent amendement vise à rétablir dans l’article 70-12 l’obligation de moyen, et non de résultat, imposée aux responsables de traitement dans la distinction des données en fonction de différentes catégories de personnes concernées.

Lors du traitement de ces données, le responsable du traitement devra ainsi tout mettre en œuvre pour les distinguer selon que la personne concernée est mise en cause dans une procédure pénale, coupable, victime ou tiers à une infraction pénale.

En effet, l’article 6 de la directive prévoit expressément que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées.

En outre, il apparaît excessif de pouvoir reprocher un manquement à un responsable de traitement qui n’aurait pas été immédiatement informé de ce que la personne initialement mise en cause dans une procédure était en réalité, après des investigations plus poussées, tiers à l’infraction pénale.

Dans sa rédaction adoptée par l’Assemblée, l’article 70-12 correspondait à l’exacte transposition de la directive et il n’y avait donc pas de raison de le modifier.

Alinéas 87 et 89

Supprimer les mots :

, et au bout d’un mois maximum,

Le présent amendement vise à supprimer dans l’article 70-20 le délai d’un mois imposé au responsable de traitement pour rectifier ou effacer des données à caractère personnel qui a été ajouté par la Commission des lois.

En effet, l’article 16 §1 et §2 de la directive prévoit que la personne concernée a le droit d’obtenir du responsable de traitement la rectification ou l’effacement de ses données dans les meilleurs délais, sans que ne soit fixé un délai butoir.

Par ailleurs, les délais de réponse aux demandes formées sur le fondement de la loi informatique et libertés ne sont pas prévus dans la loi mais par le décret du 20 octobre 2005.

Enfin, ce délai d’un mois risque de poser des difficultés pratiques, dès lors que son point de départ n’est nullement précisé, et qu’un mois paraît bien trop court pour permettre au responsable de traitement d’obtenir les informations nécessaires au traitement de la demande puis de procéder aux rectifications ou effacements nécessaires.

Ce délai d’un mois ne correspond du reste pas au délai imparti au responsable de traitement pour répondre aux demandes de rectification ou d’effacement adressées en application des articles 38 à 40 de la loi informatique et libertés, qui est de deux mois.

De même, un tel délai paraît incohérent au regard du délai de deux mois prévu de manière générale, par l’article 802-1 du code de procédure pénale, pour répondre à toute demande adressée au ministère public ou à une juridiction.

Dans sa rédaction adoptée par l’Assemblée, l’article 70-20 correspondait à l’exacte transposition de la directive et il n’y avait donc pas lieu de le modifier. Le délai de réponse du responsable de traitement aux demandes formées pourra être fixé dans le décret.

Alinéa 110

Remplacer les mots :

et de former un recours juridictionnel

par une phrase ainsi rédigée :

Hors le cas prévu au 1° du II, il l’informe également de la possibilité de former un recours juridictionnel.

Cet amendement vise à rétablir la stricte transposition de la directive dans le cadre de l’information donnée par le responsable de traitement sur la possibilité de former un recours.

En effet, la directive n’impose au responsable du traitement d’informer la personne concernée de cette possibilité de former un recours juridictionnel que dans le cadre des droits d’accès et de rectification ou d’effacement aux termes des articles 15§3 et 16§4, et non dans le cadre du droit à l’information prévu par l’article 13.

Une telle précision ne vient par ailleurs nullement réduire les garanties offertes à la personne concernée en cas de restriction de son droit à l’information.

Dans ce cas, la personne concernée pourra en effet exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés puis en cas de refus de sa demande par cet intermédiaire, former un recours juridictionnel.

Supprimer cet article.

Le présent amendement supprime l’article 19 bis, introduit lors de l’examen en commission et créant une dotation à destination de toutes les communes et de tous les établissements publics de coopération intercommunale à fiscalité propre au titre des charges supportées pour se mettre en conformité avec les obligations qui leur incombent en application du règlement européen sur la protection des données.

En premier lieu, rien ne permet d’assurer qu’une telle dotation répondrait aux objectifs ayant présidé à sa création. En effet, il est difficile, en l’absence d’études préalables dédiées, d’estimer avec précision les éventuels coûts supportés par les collectivités locales en application du règlement européen ni de savoir comment les besoins d’accompagnement – et la nature concrète de ces derniers - seront répartis entre elles. Ainsi, cette nouvelle dotation, d’un montant financier élevé estimé à 170 millions d’euros, n’apporte aucune garantie quant à une prise en charge effective des besoins des collectivités. De plus, ses critères d’attribution – à l’ensemble du bloc communal et en fonction de seuls critères de population – suscitent des doutes quant à l’équité d’un versement de cette nature.

En second lieu, cette dotation entrerait dans le périmètre des concours financiers tel défini à l’article 16 de la loi de programmation des finances publiques pour les années 2018 à 2022 et qui comprend les prélèvements sur recettes. Or, ce même article a prévu un plafond annuel du montant de l’ensemble des concours financiers de l’Etat aux collectivités locales. Ce plafond est globalement stable jusqu’en 2022. Dès lors, la création d’un concours financier d’un montant de 170 millions d’euros conduirait mécaniquement à devoir baisser d’un montant similaire les autres concours financiers de l’Etat aux collectivités et ce afin de pouvoir respecter le plafond prévu par la loi de programmation.

Les concours susceptibles d’être baissés à ce titre sont, par exemple, les dotations de soutien à l’investissement local, la dotation globale de fonctionnement ou bien encore la dotation de compensation de la réforme de la taxe professionnelle. Il s’agit soit de supports de priorités gouvernementales et nationales, à l’instar du soutien à l’investissement local, soit de dotations libres d’emploi et garantes de la libre administration des collectivités locales.

L’accompagnement par l’Etat dans la mise en œuvre du règlement européen relatif à la protection des données doit être adapté aux besoins de chaque collectivité. Il n’implique dès lors pas nécessairement un soutien financier, a fortiori si ce dernier devait se faire au détriment du soutien par l’Etat d’autres politiques publiques prioritaires portées par le secteur local.

Rétablir cet article dans la rédaction suivante :

I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires :

1° À la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ;

2° Pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;

3° À l’adaptation et à l’extension à l’outre-mer des dispositions prévues aux 1° et 2° ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la même loi du 6 janvier 1978 relevant de la compétence de l’État.

II. – Cette ordonnance est prise, après avis de la Commission nationale de l’informatique et des libertés, dans un délai de six mois à compter de la promulgation de la présente loi.

III. – Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l’ordonnance.

La commission des lois a supprimé l’article d’habilitation proposé par le Gouvernement et adopté par l’Assemblée nationale.

Le présent amendement a pour objet de rétablir cet article.

Dans le respect des prérogatives du Parlement, le Gouvernement a décidé de déposer un projet de loi permettant de mettre en œuvre le règlement européen et de transposer la directive, sans solliciter d’ordonnance pour ce faire. Les assemblées sont donc saisies des dispositions législatives nécessaires pour assurer la conformité de notre droit national à cette nouvelle réglementation européenne et aucun des choix politiques ou juridiques pour ce faire n’est ainsi soustrait à l’appréciation du Parlement.

Le Gouvernement souhaite naturellement que soit respectée l’échéance du 25 mai 2018, date à laquelle le règlement européen est applicable. C’est pourquoi, il a fait le choix d’un texte le resserré et non une réécriture de l’ensemble de la loi de 1978, pour ne procéder qu’aux seuls ajustements rendus nécessaires par la mise en conformité.

Le présent projet de loi procède par ailleurs d’une problématique légistique nouvelle et complexe : il s’agit de tirer les conséquences d’un règlement (UE) 2016/679 d’application directe, et d’une directive (UE) 2016/680, dont les dispositions doivent être transposées dans la loi, alors que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, intrinsèquement liées.

C’est la raison pour laquelle le Gouvernement sollicite du parlement une habilitation pour « codifier » les modifications apportées à notre droit par le projet de loi, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique. Il ne s’agira aucunement de revenir sur les choix que le Parlement sera amené à faire lors du vote du texte. Non seulement le Gouvernement s’y engage mais cet engagement résulte des termes mêmes de l’habilitation. Le Conseil d'Etat, dans son avis sur le projet de loi, a validé cette démarche, tout en réduisant le délai d'habilitation à six mois.

L’habilitation sollicitée permettra d’adopter un plan clair, avec un titre premier rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre deuxième consacré au champ du règlement (UE) 2016/679, un titre troisième à la directive (UE) 2016/680 et un titre quatrième aux dispositifs hors du champ de l’Union.

L’ordonnance permettra également de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel afin d‘« apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ».

La démarche adoptée par le Gouvernement consiste donc à soumettre au Parlement les questions posées par la transcription dans notre droit des nouvelles règles européennes sans avoir à employer son temps que l’on sait précieux à opérer une codification qui ne pourra qu’intervenir à droit constant compte tenu de l’habilitation et de la nécessité d’offrir aux citoyens un cadre juridique stable et lisible.

Rétablir cet article dans la rédaction suivante :

I. – Le livre II du code de la consommation, dans sa rédaction résultant de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, est ainsi modifié :

1° La sous-section 4 de la section 3 du chapitre IV du titre II est abrogée ;

2° Au premier alinéa de l’article L. 242-20, la référence : « L. 224-42-3 » est supprimée.

II. – Le II de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique est abrogé.

L’amendement CL 24 adopté en commission des lois revient sur l’article 20 bis voté à l’Assemblée nationale. Cet article avait pour objet d’abroger les dispositions insérées dans le code de consommation par l’article 48 de la loi du 7 octobre 2016 pour une République numérique.

Cet article 48, qui devait entrer en vigueur le 25 mai 2018, vise à permettre au consommateur de récupérer les fichiers qu’il a mis en ligne, les données résultant de l’utilisation de son compte d’utilisateur et consultables en ligne par celui-ci, ainsi que d’autres données associées à son compte utilisateur sous certaines conditions.

Ces dispositions sont devenues sans objet et sources de confusion.

En effet, une telle portabilité des données a été instaurée par l’article 20 du RGPD. Ce nouveau droit européen, qui couvre les données personnelles, couvre toutes les données qui avaient été visées par le législateur dans le cadre de l’article 48 de la loi du 7 octobre 2016.

Cette a été confirmé les lignes directrices relatives au droit à la portabilité des données qui ont été adoptées par le Groupe de travail « article 29 » sur la protection des données (organe consultatif européen sur la protection des données).

En outre, le RGPD prévoit des modalités de portabilité plus aisées pour les consommateurs que celles prévues par le droit national.

Les dispositions issues de l’article 48 de la loi du 7 octobre 2016 doivent donc être supprimées pour des raisons de cohérence et de sécurité juridique, notamment pour les opérateurs économiques. Une telle suppression ne vise aucunement à priver les consommateurs d’un droit dès lors que celui-ci est désormais consacré au niveau européen.