Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 1 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme LASSARADE, MM. CARDOUX et de NICOLAY, Mmes DELMONT-KOROPOULIS, DEROMEDI et GRUNY, MM. VOGEL et Henri LEROY, Mmes TROENDLÉ, CHAIN-LARCHÉ, THOMAS et BONFANTI-DOSSAT, M. BRISSON, Mmes GARRIAUD-MAYLAM et MICOULEAU, MM. MILON, GRAND, BONHOMME et BONNE, Mme LANFRANCHI DORGAL et MM. BOUCHET, LELEUX, CHARON, PANUNZI et PRIOU


ARTICLE ADDITIONNEL APRÈS ARTICLE 15


Après l'article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 341-4 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

Objet

Les nouveaux dispositifs de comptage (compteurs Linky) mis en place procèdent, par défaut et sans le consentement des personnes, à des enregistrements de données personnelles.

Le fonctionnement intrinsèque de ces compteurs implique le traitement de données à caractère personnel.

Dès lors, seule la faculté de pouvoir s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’auto-détermination des données personnelles, tel que préconisé par le Conseil d’Etat dans son rapport annuel de 2014 « Le numérique et les droits fondamentaux », que les exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à  la libre circulation de ces données.

Ce Règlement consacre le principe selon lequel le consentement des personnes au traitement de leurs données personnelles doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.

Un refus de la part de certains utilisateurs à ce que leurs données personnelles soient collectées par les dispositifs de comptage et l’impossibilité, partant, d’installer ces dispositifs chez ces utilisateurs n’entraînera pas une violation de la directive européenne n° 2009/72/CE du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l'électricité, dès lors que son annexe I n’impose qu’une couverture du territoire national à hauteur de 80%.

 



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 2 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Retiré

Mme LASSARADE, MM. CARDOUX et de NICOLAY, Mmes DELMONT-KOROPOULIS, DEROMEDI et GRUNY, MM. VOGEL et Henri LEROY, Mmes TROENDLÉ, CHAIN-LARCHÉ, THOMAS et BONFANTI-DOSSAT, M. BRISSON, Mmes GARRIAUD-MAYLAM et MICOULEAU, MM. MILON, GRAND, BONHOMME et BONNE, Mme LANFRANCHI DORGAL et MM. BOUCHET, LELEUX, CHARON, PANUNZI et PRIOU


ARTICLE ADDITIONNEL APRÈS ARTICLE 15


Après l'article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 452-2-1 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

Objet

Les nouveaux dispositifs de comptage (compteurs Gazpar) mis en place procèdent, par défaut et sans le consentement des personnes, à la collecte de données personnelles.

Les données de consommation de gaz atteignent un degré de précision permettant une mesure « sur un pas de temps inférieur ou égal à la journée » (article D. 452-1-1 du code de l’énergie).

Le fonctionnement intrinsèque de ces compteurs implique donc le traitement de données à caractère personnel.

Dès lors, seule la faculté de pouvoir s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’auto-détermination des données personnelles, tel que préconisé par le Conseil d’Etat dans son rapport annuel de 2014 « Le numérique et les droits fondamentaux », que les exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à  la libre circulation de ces données.

Ce Règlement consacre le principe selon lequel le consentement des personnes  au traitement de leurs données personnelles doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. Aucun traitement de données à caractère personnel ne peut être réalisé par défaut, et ce même s’il est accompagné d’une option de sortie.

 



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 3 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Non soutenu

Mme BRUGUIÈRE, M. SOL, Mme GOY-CHAVENT, M. HENNO, Mme DEROMEDI, MM. BANSARD, Alain MARC et Daniel LAURENT, Mme RENAUD-GARABEDIAN, M. PONIATOWSKI, Mme GARRIAUD-MAYLAM, MM. de NICOLAY, BONHOMME et MILON, Mme LAMURE, M. BRISSON, Mmes BILLON et BORIES, MM. LEFÈVRE et GUERRIAU, Mmes MORHET-RICHAUD, EUSTACHE-BRINIO et BONFANTI-DOSSAT, M. BONNE, Mme MÉLOT, MM. LAGOURGUE, LELEUX, CHASSEING, Bernard FOURNIER, BOUCHET et HUSSON, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le chapitre II du titre II du livre VIII du code de la sécurité intérieure est complété par un article L. 822-… ainsi rédigé :

« Art. L. 822-… - Lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits prévus à l’article L. 841-1 du présent code. La transmission de ces informations ne peut être retardée qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique, et à la condition que la Commission nationale de contrôle des techniques de renseignement soit dûment informée de ce retard. »

Objet

Le premier paragraphe de l’article 13 de la directive (UE) 2016/680 exige que le responsable de traitement mette à la disposition des personnes concernées les informations concernant l’identité du responsable, les finalités du traitement et les droits de la personne concernée et ne prévoit aucune dérogation à cette mesure.

Le deuxième paragraphe du même article exige la communication d’autres types d’informations, telle que la nature des données traitées. traitées lorsque la finalité poursuivie les permet.

Le troisième paragraphe du même article prévoit que la loi d’un État membre peut autoriser des dérogations aux obligations posées au deuxième paragraphe, mais ne permet toutefois aucune dérogation aux obligations posées au premier paragraphe.

Or, le code de la sécurité intérieure autorise des traitements de données personnelles dans le but de lutter contre certaines infractions, sans prévoir toutefois que les personnes concernées ne reçoivent la moindre information, en aucune circonstance. Cette absence d’information est donc frontalement contraire à la directive 2016/680 et doit être corrigée.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 4 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Non soutenu

Mme BRUGUIÈRE, MM. Alain MARC, SOL, HENNO et Daniel LAURENT, Mme DEROMEDI, M. BANSARD, Mmes GOY-CHAVENT et RENAUD-GARABEDIAN, M. PONIATOWSKI, Mme GARRIAUD-MAYLAM, MM. BONHOMME, de NICOLAY, MILON et CHASSEING, Mme LAMURE, M. BRISSON, Mme BORIES, M. BONNE, Mmes BONFANTI-DOSSAT et BILLON, MM. LEFÈVRE et GUERRIAU, Mmes MORHET-RICHAUD et EUSTACHE-BRINIO, M. LAGOURGUE, Mme MÉLOT, MM. BOUCHET et Bernard FOURNIER, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l’article 19

Insérer un article additionnel ainsi rédigé :

Après le cinquième alinéa de l’article L. 854-9 du code de la sécurité intérieure, il est inséré un alinéa ainsi rédigé :

« Le Conseil d’État, statuant dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, peut aussi être saisi par toute personne souhaitant vérifier qu’aucune technique de renseignement prévue au présent chapitre n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue au quatrième alinéa du présent article. »

Objet

L’article 54 de la directive (UE) 2016/680 exige, sans aucune exception possible, que les États membres offrent aux particuliers une voie de recours juridictionnel pour contester la licéité d’un traitement portant sur leurs données personnelles. L’article précise explicitement que cette voie de recours juridictionnel doit être ouverte seraient aussi ouvertes par ailleurs des voies administratives.

Or, l’article L. 854-9 du code de la sécurité intérieure prévoit que, en matière de surveillance internationale, les particuliers ne peuvent pas agir en justice pour contester la licéité d’une mesure mise en œuvre à leur égard – seule la CNCTR a ce pouvoir, étant entièrement libre d’agir ou non. Cette absence de voie de recours juridictionnel est parfaitement contraire aux exigences de la directive et doit être corrigée.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 5 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Non soutenu

Mme BRUGUIÈRE, M. SOL, Mme GOY-CHAVENT, M. Alain MARC, Mme DEROMEDI, MM. Daniel LAURENT et HENNO, Mmes RENAUD-GARABEDIAN et GARRIAUD-MAYLAM, MM. de NICOLAY, BONHOMME, MILON et CHASSEING, Mmes LAMURE, BILLON et BORIES, MM. BRISSON, LEFÈVRE et GUERRIAU, Mmes MORHET-RICHAUD et EUSTACHE-BRINIO, MM. BONNE et LAGOURGUE, Mme MÉLOT, MM. BOUCHET et Bernard FOURNIER, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l'article 19

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article L. 863-2 du code de la sécurité intérieure est complété par une phrase ainsi rédigée : « Ces services ne peuvent transmettre à d’autres services, français ou étrangers ou obtenir des renseignements d’autres services, français ou étrangers, que dans les conditions prévues au chapitre Ier du titre II du présent livre ainsi que, s’agissant des autorités d’un État n’appartenant pas à l’Union européenne, dans les conditions prévues à l’article 70-25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Objet

Le code de la sécurité intérieure n’impose aucune condition ni contrôle s’agissant des échanges de renseignement par les autorités françaises avec d’autres autorités, françaises ou étrangères. Le code doit ainsi être modifié, non seulement pour imposer aux autorités françaises de respecter le cadre des transferts hors-UE posé par la directive (UE) 2016/680, mais aussi pour exiger que ces échanges, avec des autorités françaises, européennes ou hors-UE, poursuivent un des intérêts fondamentaux de la Nation prévus à l’article L. 811-3 du code (tel que doit le faire n’importe quelle autre collecte de renseignement) et que la CNCTR soit en mesure d’en assurer le contrôle.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 6 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Avis du Gouvernement
G Défavorable
Rejeté

Mme BRUGUIÈRE, M. BANSARD, Mme GOY-CHAVENT, M. Alain MARC, Mme DEROMEDI, MM. Daniel LAURENT, HENNO et SOL, Mmes GARRIAUD-MAYLAM et RENAUD-GARABEDIAN, MM. PONIATOWSKI, de NICOLAY, BONHOMME, MILON et Bernard FOURNIER, Mmes LAMURE, BILLON et BONFANTI-DOSSAT, M. BONNE, Mme BORIES, MM. BRISSON, LEFÈVRE et GUERRIAU, Mmes MORHET-RICHAUD, EUSTACHE-BRINIO et MÉLOT, MM. LAGOURGUE et BOUCHET, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE 7


I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : « , dès lors que ces données révèlent à elles-seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Objet

L’objectif de cet amendement est d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement.

1° L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non-sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles qui, elles, n’ont jamais été publiées par la personne.

2° L’article 9 du RGPD n’autorise le traitement de données sensibles que pour certaines finalités dont il fait la liste exhaustive. Or, l’article 8, III, de la loi de 1978 (tel que modifié par le projet de loi) autoriserait les traitements de données sensibles poursuivant n’importe quelle finalité, pour la simple raison qu’une mesure technique serait appliquée : l’anonymisation à bref délai. Ceci n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.

Pour autant, cette mesure d’anonymisation à bref délai n’est pas sans intérêt. En effet, l’article 9 du RGPD prévoit que, s’agissant de certaines finalités, le traitement de données sensibles n’est licite qu’en présence de « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». Pour certaines de ces finalités, la loi de 1978 prévoit effectivement des garanties qui pourraient correspondre à ces « mesures appropriées ». Néanmoins, s’agissant d’autres finalités (celles visées au b), g) et j) du 2 de l’article 9 du règlement), la loi n’en prévoit aucune. Ainsi, dans ce cas précis, la mesure d’anonymisation à bref délai pourrait être une des « mesures appropriées » autorisant la poursuite de ces finalités.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 7 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme BRUGUIÈRE, MM. SOL, HENNO et Daniel LAURENT, Mme DEROMEDI, M. Alain MARC, Mme GOY-CHAVENT, M. BANSARD, Mme RENAUD-GARABEDIAN, M. PONIATOWSKI, Mme GARRIAUD-MAYLAM, MM. de NICOLAY, BONHOMME et MILON, Mme BILLON, M. BONNE, Mme BORIES, M. BRISSON, Mme BONFANTI-DOSSAT, M. CHASSEING, Mme EUSTACHE-BRINIO, M. Bernard FOURNIER, Mme LAMURE, MM. LEFÈVRE, LAGOURGUE et GUERRIAU, Mme MÉLOT, M. BOUCHET, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE ADDITIONNEL APRÈS ARTICLE 10


Après l’article 10

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

Objet

Cet amendement vise à rendre explicite que l’obligation de sécurité prévue dans le règlement se traduit en obligation de chiffrer de bout en bout chaque fois que cela est possible. En effet, le chiffrement de bout en bout où seules les personnes autorisées à accéder aux données (par exemple l’expéditeur et le/les destinataire/s d’un message) ont la clef limite considérablement les risques d’intrusion.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 8 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Non soutenu

Mme BRUGUIÈRE, M. BANSARD, Mme GOY-CHAVENT, M. Alain MARC, Mme DEROMEDI, MM. Daniel LAURENT, HENNO, SOL et GRAND, Mme GARRIAUD-MAYLAM, M. PONIATOWSKI, Mme RENAUD-GARABEDIAN, MM. de NICOLAY, BONHOMME et MILON, Mmes BILLON et BONFANTI-DOSSAT, M. BONNE, Mme BORIES, MM. BRISSON et CHASSEING, Mme EUSTACHE-BRINIO, MM. Bernard FOURNIER, GUERRIAU et LAGOURGUE, Mme LAMURE, M. LEFÈVRE, Mme MÉLOT, M. BOUCHET, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Pour être valide, le consentement de la personne concernée doit être donné de façon explicite, libre, spécifique et informée. Cela implique notamment que son consentement ne soit pas exigé en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service. »

Objet

Cet amendement vise à intégrer la définition déterminante donnée par la CNIL et le G29 du caractère libre du consentement.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 9 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

Mme Laure DARCOS, MM. DALLIER, MILON, HUGONET et BABARY, Mme BOULAY-ESPÉRONNIER, MM. LEFÈVRE et Daniel LAURENT, Mme DEROMEDI, M. SCHMITZ, Mme BONFANTI-DOSSAT, MM. BRISSON et GROSPERRIN, Mmes DUMAS et GRUNY, MM. Henri LEROY et CHAIZE, Mmes THOMAS, GARRIAUD-MAYLAM, LOPEZ et LAMURE, MM. BONHOMME, CHARON et DAUBRESSE, Mme IMBERT, M. LELEUX, Mme DEROCHE, M. HUSSON et Mme LANFRANCHI DORGAL


ARTICLE ADDITIONNEL APRÈS ARTICLE 11


Après l'article 11

Insérer un article additionnel ainsi rédigé :

I. - Après le deuxième alinéa de l’article L. 10 du code de justice administrative, il est inséré un alinéa ainsi rédigé :

« Toutefois, les personnes morales de droit privé dont l’activité principale consiste en l’étude et l’analyse, y compris statistique, du droit disposent de ces jugements sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. »

II. - Après le premier alinéa de l’article L. 111-13 du code de l’organisation judiciaire, il est inséré un alinéa ainsi rédigé :

« Toutefois, les personnes morales de droit privé dont l’activité principale consiste en l’étude et l’analyse, y compris statistique, du droit disposent de ces décisions sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. »

Objet

Le présent amendement vise à autoriser les éditeurs juridiques à disposer des jugements et décisions judiciaires non anonymisés, condition nécessaire pour leur permettre d’exercer utilement leur activité d’étude et d’analyse du droit. Ces acteurs ne sauraient être assimilés aux ré-utilisateurs entendus dans leur acceptation la plus large et doivent pouvoir disposer d’un accès distinct aux informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 10

16 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 11

16 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 12 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme DELMONT-KOROPOULIS, MM. RAISON, PERRIN, WATTEBLED et LONGEOT, Mme DEROMEDI, MM. MEURANT, HENNO et BASCHER, Mmes GRUNY et CHAUVIN, M. Henri LEROY, Mmes EUSTACHE-BRINIO et GARRIAUD-MAYLAM, MM. LEFÈVRE, CHAIZE et PANUNZI, Mmes IMBERT et Marie MERCIER, MM. CHASSEING, CANEVET, DANESI, CHARON, MILON et GREMILLET, Mme LANFRANCHI DORGAL, M. SAVARY, Mmes LAMURE et RENAUD-GARABEDIAN, M. MAUREY, Mme BILLON, MM. BONHOMME et DUPLOMB, Mme Anne-Marie BERTRAND, M. LELEUX, Mme DEROCHE et MM. SAVIN, LAMÉNIE, BONNE et MIZZON


ARTICLE 13


Alinéa 9

Compléter cet alinéa par les mots :

ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques

Objet

L'encadrement de la protection des données de santé souffrait jusqu'ici d’un relatif vide juridique, en cela que les données de santé n’avaient pas été définies clairement. En effet, la directive 95/46/CE sur la protection des données personnelles les définissait dans son article 8 uniquement par rapport à leur nature sensible.

Aussi, le législateur européen a tenu à les doter d'une définition précise à l'article 4 de son Règlement général sur la protection des données adopté en 2016. La qualification de "données de santé" regroupe ainsi les "données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne". 

Dans la perspective de l'application de ce Règlement et du présent projet de loi, il est essentiel de garantir la non-utilisation des données personnelles de santé pour fixer les prix des assurances ainsi que l’impossibilité d’utiliser ces mêmes données à des fins de choix thérapeutique ou médical.

La liberté pour le patient de choisir son médecin est primordiale, tout comme l’est la liberté du médecin de choisir la thérapie la plus adaptée au patient.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 13 rect. septies

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

Mme BRUGUIÈRE, MM. SOL, HENNO et Daniel LAURENT, Mme DEROMEDI, M. Alain MARC, Mme GOY-CHAVENT, M. BANSARD, Mme GARRIAUD-MAYLAM, M. PONIATOWSKI, Mme RENAUD-GARABEDIAN, MM. de NICOLAY, BONHOMME et MILON, Mmes BILLON et BONFANTI-DOSSAT, M. BONNE, Mme BORIES, M. BRISSON, Mme EUSTACHE-BRINIO, MM. Bernard FOURNIER, GUERRIAU, LAGOURGUE et LEFÈVRE, Mme MÉLOT, M. BOUCHET, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI


ARTICLE 8


I. – Alinéa 2

Remplacer les mots :

la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France

par les mots :

le traitement est effectué :

II. – Alinéa 3

Remplacer cet alinéa par cinq alinéas ainsi rédigés :

« 1° Dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que ce traitement ait lieu ou non en France ;

« 2° Ou par un responsable du traitement qui n’est pas établi sur le territoire français mais dans un lieu où le droit français s’applique en vertu du droit international public ;

« 3° Ou par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union Européenne, dans la mesure où ce traitement est appliqué à des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français, lorsque ce traitement est lié :

« a) À l’offre de biens ou de services à ces personnes concernées en France, qu’un paiement soit exigé ou non desdites personnes ;

« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »

Objet

L’amendement vise à adapter le critère du champ d’application territorial de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, lorsque celle-ci sera appliquée de façon complémentaire au nouveau règlement européen, dans le but de le rapprocher tout à la fois du critère d’application du règlement européen lui-même, et du critère d’application de la même loi n°78-17 lorsqu’elle est appliquée seule, indépendamment du règlement.

 Il résulte en effet de l’article 8 du projet de loi en sa rédaction actuelle un degré de complexité incompatible avec les exigences de lisibilité et de bonne application de la loi, exigences d’autant plus impérieuses lorsque celle-ci vise à protéger les droits et libertés des personnes physiques.

 L’article 8 prévoit, dans la version du projet de loi adoptée par l’Assemblée Nationale, un champ d’application de la loi n°78-17 centré sur la résidence de la personne dont les données sont traitées, dans les cas où cette loi vient préciser les dispositions du règlement en application des marges de manœuvre laissées aux Etats membres de l’Union Européenne par ce dernier. Or, le règlement européen, et la loi n°78-17 elle-même lorsqu’elle est appliquée seule, se réfèrent systématiquement en principe au critère d’établissement, non pas de la personne concernée, mais du responsable du traitement. Par exception, dans certains cas limités, le règlement européen sera par ailleurs applicable lorsque ce responsable de traitement sera établi hors de l’Union Européenne, sous réserve que la personne concernée soit localisée en France, la notion de localisation se distinguant de celle de résidence.

 Cet éclatement des critères risque d’entraîner une confusion importante dans l’application territoriale de la loi n°78-17, notamment de la part des entreprises et organismes publics responsables de traitements, qui ne seront pas en mesure d’identifier facilement les règles de droit qui leur sont applicables. Par ailleurs, le choix d’un critère de résidence de la personne concernée a pour effet d’imposer systématiquement la collecte de l’adresse de cette personne, même dans les cas où cette donnée n’est pas nécessaire pour la finalité poursuivie par le traitement, en contrariété avec le principe de minimisation de la collecte imposé par le règlement européen. Cela risque de faire peser une charge trop importante sur les responsables de traitement et sous-traitants de données à caractère personnel mais également de porter une atteinte injustifiée à la vie privée des personnes concernées. Enfin, un autre risque est de voir émerger des situations de conflits de lois inextricables entre le droit français et celui d’un autre Etat membre qui aurait choisi de retenir un autre critère pour l’application de sa loi nationale en complément du règlement européen. Ce risque de conflits de lois a été expressément souligné par la Commission Nationale de l’Informatique et des Libertés dans son avis sur le projet de loi en date du 30 novembre 2017.

 Il est par conséquent proposé d’aligner le champ d’application territorial de la loi n°78-17, lorsqu’elle sera appliquée en complément du règlement européen, sur des critères analogues à ceux prévus par ce dernier. Cette réécriture aura également pour effet d’uniformiser le champ d’application territorial de la loi n°78-17 selon qu’elle est appliquée seule ou en complément du règlement, renforçant ainsi la lisibilité du texte.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 14 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 1ER


Alinéa 11, première phrase

1° Après le mot :

types

insérer le mot :

notamment

2° Après le mot :

assurer

insérer les mots :

la protection des données, à savoir par exemple le respect des droits en matière d’accessibilité, de finalité et de minimisation des données,

Objet

Cet amendement vise à élargir le cadre des règlements-types à la protection des données, par exemple au respect des droits en matière d'accessibilité, de finalité et de minimisation de la donnée.

Cette rédaction permettra à la CNIL d'édicter des règlements de fond en matière de protection de la donnée et de respect de la vie privée. En novembre 2017, dans un avis sur la transposition de la directive européenne, elle avait fait la demande d'un élargissement du cadre des règlements-types pour pouvoir élargir son champ d'action au-delà du seul sujet de la sécurité des systèmes. Ces nouvelles responsabilités consacre son rôle de protecteur de la vie privée.

Outre l'accessibilité et la finalité des données, cet amendement inscrit également dans le cadre des règlements-types la question de la minimisation des données collectées. Il semble en effet opportun que la CNIl s'exprime et mette en oeuvre une règle de fond pour que la collecte et le traitement des données ne concernent que les données essentielles. Il s'agit d'une avancée essentielle pour le respect de la vie privée et des données personnelles.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 15 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Retiré

M. Alain MARC, Mme DEROMEDI

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 1ER


Alinéa 19

Après le mot :

Sénat

insérer les mots :

, par soixante députés ou soixante sénateurs

Objet

Cet amendement élargit le droit de saisine de la CNIL à soixante députés ou soixante sénateurs.

Tout en saluant l'effort du Gouvernement d'élargissement du pouvoir de saisine de la CNIL aux présidents des deux chambres parlementaires, il est nécessaire que la demande d'une expertise technique soit ouverte à un groupe de députés ou de sénateurs. Il s'agit ainsi de mettre en place une initiative de saisine parlementaire de la CNIL, fondamentale au renforcement de la participation citoyenne à la vie publique.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 16 rect.

20 mars 2018


 

AMENDEMENT

présenté par

M. Alain MARC

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 1ER



Cet amendement a été déclaré irrecevable par la commission des finances.







Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 17 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Retiré

M. Alain MARC, Mme DEROMEDI

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 1ER


Alinéa 23

Rédiger ainsi cet alinéa :

7° L’avant-dernier alinéa est complété par une phrase ainsi rédigée : « Elle peut saisir pour avis toute autre autorité ou institution intéressée par l’accomplissement de ses missions. »

Objet

Cet amendement modifie le 7° de L'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés pour permettre à la CNIl de saisir toute autre autorité ou institution intéressée par l'accomplissement de ses missions.

Il s'agit de favoriser le dialogue entre les différentes autorités ou institutions compétentes sur les problématiques numériques.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 18

16 mars 2018


 

AMENDEMENT

présenté par

M. Alain MARC

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 1ER



Cet amendement a été déclaré irrecevable par la commission des finances.







Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 19 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 4


Alinéa 8, seconde phrase

Compléter cette phrase par les mots :

après information préalable du patient

Objet

Cet amendement précise que la communication de données médicales individuelles (incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé) ne peut se faire qu'après information préalable du patient.

Il s'inscrit en conséquence dans le respect du principe de transparence à l'égard des personnes concernées qui régit l'ensemble du règlement 2016/679.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 20 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 7


Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. » ;

Objet

Cet amendement entend protéger les jeunes élèves en instituant une interdiction de traitement des données à caractère personnel collectées dans le cadre de l'utilisation de services numériques au sein de l'Education nationale. 

Il entend inscrire dans le droit une obligation souvent présente dans les conditions générales d'utilisation des services numériques de l'Education nationale. La protection de la vie privée et des données personnelles des élèves du premier et du second cycle est essentiel et ne peut être relégué.

Ce débat doit donc instituer une véritable protection pour ces publics fragiles, souvent imprudents sur les supports numériques avec leurs données personnelles.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 21 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 13


Alinéa 33

Compléter cet alinéa par une phrase ainsi rédigée :

Le responsable de traitement transmet au mineur les informations mentionnées au I de l’article 32 de la présente loi dans un langage clair et facilement accessible.

Objet

Cet amendement intègre dans la loi une obligation de langage clair et facilement accessible lorsque l'administration s'adresse à un mineur âgé de quinze ans ou plus. 

Il est essentiel qu'un mineur choisissant d'échanger seul avec l'administration soit en mesure d'avoir un échange franc et compréhensible.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 22

16 mars 2018


 

AMENDEMENT

présenté par

M. Alain MARC

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 14



Cet amendement a été déclaré irrecevable par la commission des finances.







Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 23

16 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 24 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Défavorable
Adopté

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 14


Après l’article 14

Insérer un article additionnel ainsi rédigé :

Après l’article L. 121-4-1 du code de l’éducation, il est inséré un article L. 121-4-… ainsi rédigé :

« Art. L. 121-4-... – Les établissements d’enseignement scolaire mettent à la disposition du public, dans un format accessible à tous et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité. »

Objet

Cet amendement, déposé puis retiré en première lecture à l'Assemblée nationale, inscrit dans le Code de l'Education nationale le principe de la transparence du traitement des données scolaires.

Il s'inscrit dans la perspective d'une meilleure protection des élèves du premier et du second degré et les prémunit du traitement automatisé de leurs données. A l'heure de l'accélération de l'école du numérique, il est primordial de protéger les jeunes publics d'une utilisation frauduleuse de leurs données et d'assurer, par tous les moyens possibles, la préservation de leur vie privée.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 25 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

M. Alain MARC, Mme DEROMEDI

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE 16


Alinéa 2

Compléter cet alinéa par une phrase ainsi rédigée :

Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées.

Objet

Cet amendement vise à assurer la soutenabilité financière des actions de groupe prévue à l'article 16 A du projet de loi, en prévoyant la possibilité pour une association ou une organisation de se faire rembourser les frais engagés pour exercer ses droits et ceux des personnes représentées;

Il s'agit ainsi d'affirmer l'effectivité de ce mécanisme d'action de groupe introduit dans le projet de loi en première lecture, à l'Assemblée nationale, en commission.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 26 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 341-1 du code de la propriété intellectuelle, il est inséré un alinéa ainsi rédigé :

« Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »

Objet

Cet amendement, présenté en première lecture à l'Assemblée nationale et rejeté, entend créer des droits moraux sur les données personnelles générées en ligne.

De même qu'il existe un droit de la propriété intellectuelle sur les écrits, il semble logique de créer un droit de la propriété intellectuelle sur les écrits publiés en ligne (sur un blog, sur un réseau social). Média d'expression moderne, il convient de reconnaître que le net et les réseaux sociaux sont aujourd'hui un foyer de création artistique et intellectuelle. cet amendement entend reconnaître cette création numérique et accorder aux citoyens un droit d'exploitation des données numériques.

Au-delà de la création de données personnelles, cet amendement crée un droit moral sur les données (nom, coordonnées, historique de navigation), légale à ses héritiers ou à des tiers, afin d'encourager une gestion prudente des données personnelles. Il n'est en effet pas normal que ces données soient aujourd'hui exploitées sans vergogne, alors que la grande majorité des utilisateurs n'a pas connaissance de ces masses de données produites et abandonnées à des opérateurs extérieurs.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 27 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

MM. CHAIZE, GROSDIDIER, RAISON et PERRIN, Mme EUSTACHE-BRINIO, M. SOL, Mme GIUDICELLI, M. HUGONET, Mmes LAVARDE, BORIES et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. BABARY, SAVARY, BAZIN et VASPART, Mme LASSARADE, MM. Daniel LAURENT, KENNEL et MOUILLER, Mmes DEROMEDI, LAMURE et DESEYNE, MM. PACCAUD, PONIATOWSKI, BUFFET, de NICOLAY, BONHOMME, MILON, BASCHER et VOGEL, Mmes BOULAY-ESPÉRONNIER, DEROCHE et IMBERT, M. BOUCHET, Mme de CIDRAC et MM. Bernard FOURNIER, BONNE, REVET, LAMÉNIE, LELEUX, SAVIN et GREMILLET


ARTICLE 12


Compléter cet article par un alinéa ainsi rédigé :

« Le ou les responsables conjoints d’un traitement de données personnelles à finalité de production d’une information anonyme de nature statistique peuvent conserver, en marge du traitement auquel peuvent être appliquées les mesures appropriées visant à garantir la protection des données personnelles, notamment la pseudonymisation, pendant la durée prévue au 5° de l’article 6 de la présente loi, le nom et l’adresse postale ou électronique des personnes dont les données ont servi par agrégation sur un effectif de taille suffisante, à produire l’information statistique, afin d’informer lesdites personnes de leurs droits visés aux articles 12 et suivants du règlement (UE) 2016/679, notamment à l’article 16 relatif au droit de rectification, et de leur droit d’accéder à l’information statistique. »

Objet

Disposer du résultat d’un traitement de données à finalité statistique ne permet pas, par définition, d’identifier les personnes dont les données ont servi à la production dudit résultat. Par conséquent, en l’absence de dérogations particulières, le responsable du traitement ne peut plus informer directement les personnes concernées de leurs droits, notamment de leur droit de rectification (article 16 du Règlement Général sur la Protection des Données - RGPD) qui permet d’assurer la qualité de la production statistique, ni prendre l’initiative de les informer directement de leur droit d’accéder au résultat statistique pourtant prévu au Code des relations entre le public et l’administration.

Le présent amendement vise à préciser les moyens dont peut disposer le responsable d’un traitement de données à finalité statistique pour permettre aux personnes concernées d’exercer effectivement leurs droits, notamment celui d’accéder à l’information statistique qu’ils contribuent à produire. L’amendement permet ainsi d’assurer une meilleure cohérence, dans les faits, avec les dispositions du Code des relations entre le public et l’administration.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 28 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

M. CHAIZE, Mme EUSTACHE-BRINIO, M. SOL, Mme GIUDICELLI, M. HUGONET, Mmes LAVARDE et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. SAVARY, BAZIN et VASPART, Mme LASSARADE, MM. Daniel LAURENT, KENNEL et MOUILLER, Mmes BOULAY-ESPÉRONNIER, DEROMEDI, LAMURE et DESEYNE, MM. PACCAUD, PONIATOWSKI, BUFFET, de NICOLAY, BONHOMME, MILON, BASCHER et VOGEL, Mmes DEROCHE et IMBERT, M. BOUCHET, Mme de CIDRAC et MM. BONNE, REVET, LAMÉNIE et GREMILLET


ARTICLE ADDITIONNEL APRÈS ARTICLE 19 TER


Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

1° Le second alinéa de l'article L. 233-1 du code de la sécurité intérieure est complété par les mots : « ou par le responsable ou les responsables conjoints de traitements de données à caractère personnel à finalité statistique pour l’exercice de leurs missions de régulation du trafic routier ou d’organisation de la mobilité » ;

2° L'article L. 330-1 du code de la route est complété par un alinéa ainsi rédigé :

« Lorsque les traitements automatisés de données à caractère personnel ont une finalité statistique, ils restent soumis aux dispositions de l'article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »

Objet

Cet amendement permet d’employer la technologie de Lecture Automatisée de Plaque d’Immatriculation (LAPI) pour produire des informations statistiques à partir de données personnelles collectées par les équipements de terrains utilisés, notamment, dans le cadre du système de contrôle-sanction automatisé de la circulation et contenues dans les messages d’infraction émis par lesdits équipements, avant que les messages ne donnent éventuellement lieu à des constats d’infraction.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 29 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme Maryse CARRÈRE


ARTICLE 1ER


Alinéa 9, après la première phrase

 Insérer une phrase ainsi rédigée :

Elle prend en compte la situation des personnes dépourvues de compétences numériques.

Objet

Cet amendement se justifie par son texte même.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 30

16 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

Mme Maryse CARRÈRE


ARTICLE 1ER


Alinéa 11, seconde phrase

Après les mots :

de l’État

insérer les mots :

et des collectivités territoriales

et remplacer le mot :

ses

par le mot :

leurs

Objet

Cet amendement vise à exclure les collectivités territoriales,  comme le projet de loi le prévoit déjà pour l'Etat, de mesures techniques et organisationnelles supplémentaires pour la protection de données biométriques, génétiques et de santé.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 31

16 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE 3


Alinéa 6, première phrase

Remplacer les mots :

commissaire du Gouvernement

par les mots :

rapporteur public

Objet

Cet amendement vise à remplacer la notion de "commissaire de gouvernement", susceptible de laisser penser à une partialité selon une jurisprudence de la CEDH relative à la juridiction administrative, par celle, plus neutre, de "rapporteur public".






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 32

16 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 33

16 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE 5


I. – Alinéas 4, 10 et 14

Après les mots :

des autres États membres de l’Union européenne

insérer les mots :

, sous réserve de leur application dudit règlement,

II. – Alinéa 23

Après le mot :

précité

insérer les mots :

, sous réserve de l’application dudit règlement par l’État membre de l’autorité de contrôle chef de file

Objet

Cet amendement vise à permettre à la CNIL de suspendre sa coopération avec des autorités de contrôle dont les Etats membres n'auraient pas pris les mesures d'application adaptées du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 34

16 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE 6


Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

Compte-tenu des contraintes spécifiques des micro-entreprises et des petites et moyennes entreprises, une amende ne peut être prononcée que lorsque le caractère délibéré de la violation est démontré.

Objet

Cet amendement vise à atténuer le risque financier de l'entrée en vigueur de la présente loi pour les micro-entreprises, et les PME.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 35

16 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE 4


Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

L'accès aux données utilisées lors d'opérations de traitement sans lien avec l'exercice de la fonction juridictionnelle ne peut alors se faire que sous l'autorité et en présence d'un magistrat.

Objet

Cet amendement vise à prévoir que les contrôles effectués par la CNIL au sein des juridictions se font sous l'autorité et en présence d'un magistrat, comme sous celles du médecin en matière de données médicales, afin de mieux garantir le principe de séparation des pouvoirs entre les AAI et l'autorité judiciaire.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 36

16 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE ADDITIONNEL AVANT ARTICLE 11


Avant l’article 11

Insérer un article additionnel ainsi rédigé :

Le 4° du II de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi rédigé :

« 4° Les traitements portant sur des données à caractère personnel rendues explicitement publiques par la personne concernée, sauf dans le cas où la loi prévoit que l’interdiction mentionnée au I ne peut être levée par le consentement de la personne concernée ; »

Objet

Cet amendement, suggéré par des associations de défense des droits des citoyens sur internet, vise à mieux prendre en compte le risque inhérent à la constitution de données sensibles à partir de données personnelles librement publiées sur internet et recoupées entre elles. Il est donc proposé de permettre aux pouvoirs publics de sanctionner les traitements visant à élaborer de tels profilages.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 37 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Rejeté

Mme Maryse CARRÈRE


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Le fait d’exiger d’une personne qu’elle autorise l’utilisation de ses données personnelles en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service, constitue un vice de consentement. »

Objet

Cet amendement, suggéré par certaines associations de défense des droits des citoyens sur internet, vise à préciser les dispositions de la loi de 1978 relatives au consentement.



NB :La rectification consiste en un changement de place (d'un article additionnel avant l'article 14 AA vers un article additionnel après l'article 16 A).





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 38 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Le droit d’utiliser des données personnelles à des fins commerciales n’est pas cessible sans le consentement de la personne concernée. »

Objet

Cet amendement vise à renforcer le poids du consentement de la personne concernée lors de la cession de données personnelles à des fins commerciales.



NB :La rectification consiste en un changement de place (d'un article additionnel avant l'article 16 A vers un article additionnel après l'article 14 AA).





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 39

16 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

Mme Maryse CARRÈRE


ARTICLE ADDITIONNEL AVANT ARTICLE 10


Avant l’article 10

Insérer un article additionnel ainsi rédigé :

La loi n° 78–17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :

1° L’article 3 est complété par un paragraphe ainsi rédigé :

« ... – Les personnes concernées par un traitement de données personnelles sont informées de l’identité et de la localisation de la personne responsable du traitement, et le cas échéant, de celles des sous-traitants opérant sous sa responsabilité préalablement au recueil de leur consentement à l’utilisation de données personnelles, mais également en cas de changement de l’identité du responsable ou d’un sous-traitant. » ;

2° Le quatrième alinéa de l’article 35 est complété par une phrase ainsi rédigée : « Lorsque le sous-traitant est établi dans un État différent de l’État du responsable du traitement, ce contrat est communiqué aux personnes concernées par le traitement. »

Objet

Cet amendement vise à renforcer les obligations de transparence des responsables de traitement et de leurs sous-traitants, afin d'améliorer l'information des personnes concernées par les traitements de données personnelles sur le droit applicable au responsable du traitement de ses données et à ses éventuels sous-traitants.

Le maintien dans le règlement européen de marges de manœuvre à la discrétion des États-membres risque de laisser perdure d'importantes différences en matière de protection des données personnelles au sein de l'Union européenne, ce qui pourrait induire le développement de pôles économiques dédiés au sous-traitement des données personnelles dans les États aux législations les moins protectrices pour les personnes et consommateurs.

C'est pourquoi il est proposé, en contrepartie, de renforcer les obligations d'information à l'endroit des personnes concernées.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 40

16 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Mmes Maryse CARRÈRE et COSTES


ARTICLE 12


Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Objet

Cet amendement vise à supprimer le droit de rectification sur les archives, proposé par le présent projet de loi, qui est contraire aux deux grands principes de l'archivistique que sont l'intégrité et l'authenticité des archives. Outre ces conséquences sur le travail scientifique des historiens et autres chercheurs exploitant les archives, l'ouverture d'un tel droit de rectification constituerait une très grande charge de travail pour les archivistes.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 41

16 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Mmes Maryse CARRÈRE et COSTES


ARTICLE 12


Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Objet

Cet amendement, suggéré par les services d'archives, vise à faciliter l'entrée en vigueur des dispositions prévues à l'article 12 du présent projet de loi, en supprimant la mention d'un nouveau décret en Conseil d’État, ces services étant déjà dans l'attente d'un décret d'application pris sur le fondement de l'article 6 de la loi pour une République numérique.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 42

16 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

M. SCHMITZ


ARTICLE 12


Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Objet

Par son article 89 le RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger à certains droits des personnes concernées par les traitements, et en particulier à son article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial.

 En effet, il est nécessaire que les traitements mis en œuvre par les services publics d'archives dérogent au droit de rectification. Les traitements visés par l'article 12 ne portent que sur les "archives définitives" ou « archives historiques » et en aucun cas sur les archives « courantes » et « intermédiaires », également appelées « archives vivantes » qui sont, quant à elles, bel et bien soumises au droit de rectification. Mais, à l'issue de la durée d'utilité administrative des documents, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées à titre définitif par un service public d'archives ne doivent plus être modifiées. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique.

 Les informations que comportent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés. L’archiviste doit quant à lui en garantir l’authenticité.

 Un droit à rectification sur des archives historiques générerait de surcroît une charge de travail extrêmement lourde pour les agents des services d’archives nationales, régionales, départementales et communales qui conservent des milliers de km de documents et des centaines de teraoctets de données et qui devraient vérifier le bien-fondé des corrections demandées sur des documents parfois vieux de plusieurs décennies et en seraient souvent incapables.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 43

16 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

M. SCHMITZ


ARTICLE 12


Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Objet

Par son article 89, le RGPD permet aux traitements à des fins archivistiques dans l’intérêt public de déroger à certains droits en contrepartie de conditions et garanties appropriées. Cette disposition ne concerne que les archives « définitives » ou archives « historiques » et seulement les traitements des services publics d’archives (archives nationales, régionales, départementales, communales et intercommunales), qui ont pour mission de collecter les archives publiques à l’issue de leur durée d’utilité administrative.

 La gestion de ces archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. On dénombre ainsi plus de 150 dispositions dans le code du patrimoine, des dizaines de dispositions inscrites dans d'autres textes, notamment dans le code des relations entre le public et l’administration (droit d’accès aux documents administratifs et droit de la réutilisation des informations publiques) et plus d’une centaine d’instructions ministérielles. Toutes les étapes de la « chaîne archivistique » (tri et sélection, traitement, conservation, communication) sont ainsi juridiquement très encadrées. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes. Une nouvelle couche de droit n’est pas nécessaire et apporterait une complexité inutile.

 Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.

 Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques mis en œuvre par les services publics d’archives.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 44 rect. sexies

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

M. Henri LEROY, Mmes MICOULEAU, PUISSAT et GRUNY, M. PACCAUD, Mme BERTHET, MM. MEURANT, PIEDNOIR, VIAL, COURTIAL, GROSDIDIER, CHARON et LEFÈVRE, Mmes EUSTACHE-BRINIO, GIUDICELLI et GARRIAUD-MAYLAM, MM. CHAIZE, SAVARY et BABARY, Mmes TROENDLÉ, LOPEZ, DEROMEDI, LAMURE, DESEYNE et BORIES, MM. MILON, BONHOMME, GRAND, de NICOLAY et DANESI, Mmes DEROCHE, MORHET-RICHAUD, IMBERT et de CIDRAC et MM. Bernard FOURNIER, BONNE, LAMÉNIE, SAVIN, LELEUX, HUSSON, PANUNZI, GREMILLET et SOL


ARTICLE ADDITIONNEL APRÈS ARTICLE 24


Après l’article 24

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 441-2-1 du code de la construction et de l’habitation, il est inséré un alinéa ainsi rédigé :

« L’ensemble des personnes précitées doit veiller à l’authenticité des pièces produites dans le cadre d’une demande. À cette fin, elles disposent d’un accès au répertoire national mentionné à l’article L. 114-12-1 du code de la sécurité sociale et aux avis d’imposition des demandeurs. Il leur est également possible de solliciter directement auprès de leur employeur la copie de leur contrat de travail ainsi que les trois dernières fiches de paie. »

Objet

Cet amendement a pour objet d’utiliser une des marges de manœuvre mentionnées au f) du 1. de l’article 6 du règlement général sur la protection des données. Les collectivités territoriales et les bailleurs sociaux pourront désormais contrôler l’authenticité des pièces qui leur sont communiquées dans le cadre d’une demande de logement locatif social. Ainsi, une telle possibilité offerte au responsable de traitement répond à deux intérêts légitimes que sont la lutte contre la fraude et l’égalité de traitement des administrés.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 45 rect. sexies

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Retiré

M. Henri LEROY, Mmes MICOULEAU, PUISSAT et GRUNY, M. PACCAUD, Mme BERTHET, MM. MEURANT, PIEDNOIR, VIAL, COURTIAL, GROSDIDIER, CHARON et LEFÈVRE, Mmes EUSTACHE-BRINIO, GIUDICELLI et GARRIAUD-MAYLAM, MM. CHAIZE, SAVARY et BABARY, Mmes TROENDLÉ, LOPEZ, DEROMEDI, LAMURE, DESEYNE et BORIES, MM. MILON, BONHOMME, GRAND, de NICOLAY et DANESI, Mmes DEROCHE, MORHET-RICHAUD, IMBERT et de CIDRAC et MM. Bernard FOURNIER, BONNE, LAMÉNIE, SAVIN, LELEUX, HUSSON, PANUNZI, GREMILLET et SOL


ARTICLE ADDITIONNEL APRÈS ARTICLE 24


Après l’article 24

Insérer un article additionnel ainsi rédigé :

Au 2° de l’article L. 114-12-1 du code de la sécurité sociale, après les mots : « d’aide sociale », sont insérés les mots : « ou pour l’attribution d’un logement locatif social ».

Objet

Cet amendement a pour objet d’utiliser une des marges de manœuvre mentionnées au f) du 1. de l’article 6 du règlement général sur la protection des données. Il étend l’accès au répertoire national commun aux organismes chargés de la gestion d’un régime obligatoire de sécurité sociale ou du service des allocations et prestations au bénéfice des collectivités territoriales et leurs groupements. Ils pourront dorénavant le consulter, non seulement, dans le cadre d’une procédure d’attribution d’une forme quelconque d’aide sociale, comme le prévoit déjà le Code de la sécurité sociale, mais également lors de l’instruction d’une demande tendant à l’attribution d’un logement social. Ainsi, une telle possibilité offerte au responsable de traitement répond à deux intérêts légitimes que sont la lutte contre la fraude et l’égalité de traitement des administrés.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 46 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Demande de retrait
Retiré

M. PATIENT

et les membres du groupe La République En Marche


ARTICLE 12


Alinéa 5

1° Première phrase

Après la référence :

15

insérer la référence :

, 16

2° Seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Objet

Cet amendement vise à rétablir l'alinéa 5 dans sa rédaction d'origine tel que présenté par le gouvernement. En effet, par son article 89, le règlement général sur la protection des données permet aux traitements à des fins archivistiques dans l’intérêt public de déroger à certains droits et en particulier au droit de rectification prévu dans l'article 16 de ce même réglement, en contrepartie de conditions et garanties appropriées. Cette disposition ne concerne que les archives « définitives » ou archives « historiques » et seulement les traitements des services publics d’archives (archives nationales, régionales, départementales, communales et intercommunales), qui ont pour mission de collecter les archives publiques à l’issue de leur durée d’utilité administrative.

La gestion de ces archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. On dénombre ainsi plus de 150 dispositions dans le code du patrimoine, des dizaines de dispositions inscrites dans d'autres textes, notamment dans le code des relations entre le public et l’administration (droit d’accès aux documents administratifs et droit de la réutilisation des informations publiques) et plus d’une centaine d’instructions ministérielles. Toutes les étapes de la « chaîne archivistique » (tri et sélection, traitement, conservation, communication) sont ainsi juridiquement très encadrées. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes. Une nouvelle couche de droit n’est pas nécessaire et apporterait une complexité inutile.

Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.

Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques mis en œuvre par les services publics d’archives.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 47 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Muriel JOURDA, M. MANDELLI, Mme GRUNY, M. RETAILLEAU, Mmes BORIES et DEROCHE et M. LELEUX


ARTICLE 7


Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« …° Les traitements mis en œuvre par les personnes mentionnées à l’article L. 561-2 du code monétaire et financier qui portent sur des données biométriques strictement nécessaires aux mesures de vigilance définies à l’article L. 561-4-1 du même code. » ;

Objet

Les établissement financiers ont, depuis l’ordonnance du 1er décembre 2016 relative à la lutte contre le blanchiment, des obligations de vigilance afin d’éviter que leurs services soient utilisés pour le financement du terrorisme ou le blanchiment des capitaux liés à des activités criminelles. Il leur est notamment demandé d’établir avec certitude l’identité de leurs clients sur la base de données fiables, parmi lesquelles figurent un outil fiable contre la falsification et l’usurpation, les données biométriques.

Les auteurs de cet amendement souhaiteraient en conséquence que la loi permette à aux établissements financiers de pouvoir utiliser ces données biométriques, dans la mesure où celles-ci sont strictement nécessaires aux mesures de vigilance imposées.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 48 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Défavorable
Adopté

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 6


Après l'article 6

Insérer un article additionnel ainsi rédigé :

Le Président de la Commission nationale de l’informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

Objet

Le délégué à la protection des données est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. 

La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics et doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ».

Du fait de ses attributions sensibles, il semble cohérent que le mouvement déontologique à l'oeuvre dans l'ensemble de la sphère publique s'applique également à la fonction de DPO. La particularité de son office plaide également pour des dispositions déontologiques spécifiques, que la CNIL serait la mieux à même d'identifier. Un tel document, associé aux chartes existant déjà dans le secteur privé, pourrait en outre contribuer à mieux définir les bonnes pratiques pour l'ensemble des DPO.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 49

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

MM. de BELENET, PATRIAT

et les membres du groupe La République En Marche


ARTICLE 13


Alinéa 42, première phrase

Après les mots :

le consentement éclairé

insérer les mots :

, libre, spécifique, univoque 

Objet

Déjà listées au sein de la Directive 95/46/CE, le  Règlement européen 2016/679 sur la protection des données personnelles définit et entérine les conditions légales du consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Par ailleurs, les qualificatifs libre et éclairé sont repris dans tous les attendus de jugement ayant trait aux problèmes de consentement. 

Cette précision rédactionnelle mérite par conséquent d'être intégrée au texte compte tenu de la sécurisation juridique qu'elle apporte. 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 50

19 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 52

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Retiré

M. Loïc HERVÉ


ARTICLE 6


I. – Alinéa 5

1° Remplacer la mention :

II. – 

par la mention :

III. – 

2° Remplacer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

par les mots :

également, le cas échéant en complément de la mise en demeure prévue au II du présent article

II. – Alinéa 14

1° Remplacer la mention :

III. – 

par la mention :

II. – 

2° Après le mot :

peut

insérer les mots :

, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

III. – Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

Objet

Il s’agit d’expliciter la gradation des mesures correctrices susceptibles d’être prononcées par la CNIL, que la rédaction du projet de loi n’affichait pas clairement : avertissement sur un risque de manquement ; mise en demeure pour les manquements susceptibles de faire l’objet d’une mise en conformité ; saisine de la formation restreinte en vue du prononcé de mesures répressives plus fortes, en particulier d’une éventuelle amende.

Pour autant, le président de la CNIL doit pouvoir, ainsi que le prévoit l’article 83 du RGPD, déterminer au cas par cas, en tant compte des circonstances particulières de chaque espèce et notamment des critères mentionnés à ce même article 83 (gravité du manquement, préjudices causés aux tiers, bonne ou mauvaise foi de l’organisme, etc.) la ou les mesure(s) les plus appropriées : mise en demeure seule, saisine de la formation restreinte seule, ou combinaison des deux mesures. Il est nécessaire d’expliciter cette articulation (alternative ou cumulative) entre les différentes orientations du dossier.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 53

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

M. Loïc HERVÉ


ARTICLE 12


Alinéa 5

Après la référence :

15

insérer la référence :

, 16

Objet

Par son article 89 le RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger à certains droits des personnes concernées par les traitements, et en particulier à son article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial. 

En effet, il est nécessaire que les traitements mis en œuvre par les services publics d'archives dérogent au droit de rectification. Les traitements visés par l'article 12 ne portent que sur les "archives définitives" ou « archives historiques » et en aucun cas sur les archives « courantes » et « intermédiaires », également appelées « archives vivantes » qui sont, quant à elles, bel et bien soumises au droit de rectification. Mais, à l'issue de la durée d'utilité administrative des documents, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées à titre définitif par un service public d'archives ne doivent plus être modifiées. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique.

Les informations que comportent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés. L’archiviste doit quant à lui en garantir l’authenticité.

Un droit à rectification sur des archives historiques générerait de surcroît une charge de travail extrêmement lourde pour les agents des services d’archives nationales, régionales, départementales et communales qui conservent des milliers de km de documents et des centaines de teraoctets de données et qui devraient vérifier le bien-fondé des corrections demandées sur des documents parfois vieux de plusieurs décennies et en seraient souvent incapables.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 54 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Objet

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement, en deux temps :

1/ Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

2/ Il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 55

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

MM. de BELENET, PATRIAT

et les membres du groupe La République En Marche


ARTICLE 11


Alinéas 13 à 16

Supprimer ces alinéas.

Objet

Les alinéas 13 à 16 de l’article 11 proposent d’anonymiser les noms des magistrats et des avocats dans les décisions de justice.

Pourtant, le Conseil national des barreaux s’est opposé à l’unanimité à l’anonymisation des avocats dans une résolution du 3 février 2017. De même, M. Louvel, premier président de la Cour de cassation et les premiers présidents des cours d’appel se sont prononcés contre cette mesure qui ferait de la France une exception en Europe et la placerait aux côtés de la Russie et de la Roumanie en matière de transparence.

De même, la CNIL s’est déjà prononcée contre la mesure en 2001 et son avis est suivi dans toute l’Union européenne. Dans ce sens, le Garde des sceaux a confié une mission d'étude au professeur Loïc Cadiet. Cette mission, composée de membres du Conseil d'État, de la Cour de cassation, du CNB et de la CNIL a rendu son rapport public le 9 janvier 2018 et a considéré dans son point n° 71 que « l’occultation du nom du magistrat reviendrait à cacher un des principaux acteurs du fonctionnement de l’institution judiciaire et ne garantirait plus la fiabilité et l’intégrité des données ouvertes (open data), ce qui constitue alors un obstacle aux objectifs poursuivis par la loi».

La modification des règles établies de publication pose de plus un problème d’insécurité juridique pour ce qui est du stock d’un million de décisions déjà sur Légifrance et en open data. L’État, s’il ne réanonymise pas à grand coût ce stock devrait soit supprimer ce qui est en ligne, soit s’exposer à des plaintes nouvelles.

Enfin l’article L. 10 du code de justice administrative dispose aujourd’hui que « les jugements sont publics. Ils mentionnent le nom des juges qui les ont rendus. ». Or, en souhaitant anonymiser intégralement les magistrats et avocats, l'article 11 contrevient à cette disposition historique et essentielle, garante du droit à un procès équitable.

Cet article s’oppose ainsi au mouvement d’ouverture des données publiques qui tend à renforcer la confiance des citoyens envers la justice.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 56 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LAVARDE et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. BRISSON, BAZIN et BABARY, Mme LASSARADE, MM. CHAIZE, PACCAUD, DALLIER et BONHOMME, Mme LAMURE, MM. PERRIN, RAISON, MILON et RAPIN, Mmes DEROCHE et IMBERT et MM. BOUCHET, MANDELLI, BONNE, LAMÉNIE et SAVIN


ARTICLE 6


Après l’alinéa 46

Insérer deux alinéas ainsi rédigés :

…° Le premier alinéa de l’article 51 est ainsi rédigé :

« Art. 51 -  À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, est puni d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés : ».

Objet

Le e) du paragraphe 5 et le paragraphe 6 de l’article 83 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) punissent d’une amende pouvant s’élever jusqu’à 20M€ ou 4% du chiffre d’affaires annuel mondial le non-respect des pouvoirs d’enquête de l’autorité chargée de contrôle, ie la commission nationale de l'informatique et des libertés (CNIL).

L’article 6 du projet de loi harmonise les sanctions financières prévues à l’article 45 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dont le montant maximum était jusqu’à présent fixé à 3 M€ (article 47 de la loi précitée).

Le présent amendement vise également à harmoniser le montant de l’amende infligé en cas d’entrave à l’action de la CNIL visée à l’article 51 de la loi n° 78-17.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 57 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mmes LAVARDE et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. BRISSON, BAZIN et BABARY, Mme LASSARADE, MM. CHAIZE, PACCAUD, DALLIER et BONHOMME, Mme LAMURE, MM. PERRIN, RAISON, MILON et RAPIN, Mmes DEROCHE et IMBERT et MM. BOUCHET, MANDELLI, BONNE, LAMÉNIE et SAVIN


ARTICLE 6


Alinéa 47

Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :

II. – Le code pénal est ainsi modifié :

1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

3° Au deuxième alinéa de l’article 226-22, les mots : « 100 000 euros d’amende » sont remplacés par les mots : « 5 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

4° L’article 226-16 est ainsi modifié :

a) Au premier alinéa, après le mot : « loi », sont insérés les mots : « , ou, dans les cas où la loi l’exige, sans qu’un délégué à la protection des données ait été désigné, » ;

b) Au deuxième alinéa, la référence : « au 3° du I de l’article 45 » est remplacée par les références : « aux 3° , 4° , 5° ou 6° du II de l’article 45 ou aux 1° , 2° , 3° , 4° ou 5° du I de l’article 46 » ;

5° À l’article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots :  « responsable de traitement » et la référence : « du II » est supprimée ;

6° L’article 226-19 est ainsi modifié :

a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles. » ;

7° À l’article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «,  par la déclaration préalable ou au-delà de la durée indiquée lors de l’inscription du traitement au registre du responsable du traitement » ;

8° À l’article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l’inscription du traitement au registre du responsable de traitement » ;

9° À l’article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l’Union européenne en violation des mesures prises par la Commission européenne » ;

10° L’article 226-23 est ainsi rédigé :

« Art 226-23. – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d’information ou de droit d’accès des personnes concernées, conformément aux articles 12 à 15 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » ;

11° Après l’article 226-23, il est inséré un article 226-23-… ainsi rédigé :

« Art 226-23-... – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d’effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

Objet

La rédaction de la section 5 du livre II de la partie législative du code pénal intitulée « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » n’est plus en parfaite cohérence avec la nouvelle rédaction de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Par exemple, sont visées dans cette section des formalités abrogées (déclaration, norme simplifiée).

Par ailleurs, les contraventions prévues aux articles R 625-10 à R 625-13 du code pénal, qui relèvent d’un décret en Conseil d’État, visent des faits classés par le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) parmi les manquements les plus graves, et devraient être requalifiées en délits au même niveau que les autres infractions.

Enfin, le projet de loi ne prévoit pas de sanctionner le non-respect de l’ensemble des nouveaux droits et obligations prévus par le RGPD (ex : portabilité, obligation de nommer un délégué à la protection des données).

Le présent amendement harmonise le montant des sanctions prévues à la section susmentionnées au regard de celles prévues à l’article 11 de la loi n° 78-17 tel que modifié par l’article 6 du présent projet de loi d’une part, et procède à certaines mises à jour du contenu des articles d’autre part.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 58 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

Mmes LAVARDE et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. BRISSON, BAZIN et BABARY, Mme LASSARADE, MM. CHAIZE, PACCAUD, DALLIER et BONHOMME, Mme LAMURE, MM. PERRIN, RAISON, MILON et RAPIN, Mmes DEROCHE et IMBERT et MM. BOUCHET, MANDELLI, BONNE, LAMÉNIE et SAVIN


ARTICLE ADDITIONNEL AVANT CHAPITRE IER : CHAMP D'APPLICATION TERRITORIAL DES DISPOSITIONS COMPLÉTANT LE RÈGLEMENT (UE) 2016/679


Avant le chapitre Ier

Insérer un article additionnel ainsi rédigé :

L’article 2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au premier alinéa, après les mots : « traitements automatisés », sont insérés les mots : « en tout ou partie » ;

2° Au quatrième alinéa, après les mots : « critères déterminés », sont insérés les mots : « que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Objet

La rédaction actuelle de l'article 2 de la loi n°78-17 du 6 janvier 1978 qui fixe son champ d'application diffère légèrement de celle du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ce qui risque dans certains cas d’introduire des incertitudes. Cet amendement propose des mises en cohérence avec l’article 2 du RGPD et le point 6 de l’article 4 qui définit la notion de fichier.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 59 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mmes LAVARDE et GARRIAUD-MAYLAM, M. LEFÈVRE, Mme ESTROSI SASSONE, MM. BRISSON, BAZIN et BABARY, Mme LASSARADE, MM. CHAIZE, PACCAUD, DALLIER et BONHOMME, Mme LAMURE, MM. PERRIN, RAISON, MILON et RAPIN, Mmes DEROCHE et IMBERT et MM. BOUCHET, MANDELLI, BONNE, LAMÉNIE et SAVIN


ARTICLE ADDITIONNEL AVANT ARTICLE 8


Avant l’article 8

Insérer un article additionnel ainsi rédigé :

Le I de l’article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Le 1° est ainsi rédigé :

« 1° Effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non sur le territoire français ; »

2° Sont ajoutés trois alinéas ainsi rédigés :

« …° Relatifs à des personnes concernées qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire français, lorsque les activités de traitement sont liées :

« a) À l’offre de biens ou de services à ces personnes concernées sur le territoire français, qu’un paiement soit exigé ou non desdites personnes ;

« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »

Objet

Pour faciliter la compréhension des acteurs, l’amendement propose d’utiliser le même vocable que celui utilisé par le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) pour définir le champ d’application territorial de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cet amendement ne remet pas en cause le cas spécifique des traitements effectués sur le territoire français.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 60

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Non soutenu

M. MAZUIR


ARTICLE 12


Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Objet

Accorder un droit de rectification sur les « archives définitives » ou « archives historiques », reviendrait à porter atteinte aux deux grands principes de l'archivistique que sont l'intégrité et l'authenticité des archives.

Cet amendement vise donc à réintégrer la dérogation au droit de rectification accordée aux services publics d’archives, conformément à l’article 89 du RGPD. Cette dérogation était inscrite dans le projet de loi initial.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 61

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Non soutenu

M. MAZUIR


ARTICLE 12


Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Objet

La gestion des archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes.

Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.

Cet amendement vise donc à faciliter l'entrée en vigueur des dispositions prévues à l'article 12 du présent projet de loi, en supprimant la mention d'un nouveau décret en Conseil d’État. Il apparaît pertinent de revenir au texte du projet de loi initial.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 62

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 1ER


Alinéa 11, seconde phrase

Supprimer les mots :

sauf pour les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique,

Objet

L’alinéa 11 prévoit que la CNIL établit et publie des règlements types en vue d’assurer, d’une part, la sécurité́ des systèmes de traitement de données à caractère personnel et, d’autre part, de régir les traitements de données de santé.

À ce titre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé conformément à l’article 9 du règlement européen, sauf pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique.

Le présent amendement vise à supprimer cette exception au regard de la nécessité d’encadrer strictement le traitement des données sensibles.

La CNIL s’est exprimée en ce sens dans son avis du 30 novembre 2017.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 63

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 1ER


Alinéa 19

Après le mot :

Sénat

insérer les mots :

, ainsi qu’à la demande d’un président de groupe parlementaire,

Objet

Le présent amendement a pour objet de permettre aux présidents de groupes parlementaires de l’Assemblée nationale et du Sénat de saisir la CNIL sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

Cette possibilité, introduite à l’Assemblée Nationale à l’initiative de nos collègues députés communistes, semble, aux auteurs du présent amendement, tout à fait importante et doit, en conséquence, être rétablie.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 64

19 mars 2018


 

AMENDEMENT

présenté par

C Avis du Gouvernement
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 7


I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : « , dès lors que ces données révèlent à elles-seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Objet

L’objectif de cet amendement est, d’une part, d’apporter les précisions manquantes au règlement général sur la protection des données (RGPD) et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement européen.

1° L’article 9 du règlement général sur la protection des données (RGPD) manque de précision en n’interdisant pas explicitement les traitements qui visent à reconstituer des données sensibles qui n’ont jamais été publiées par la personne.

2° L’article 9 du règlement général sur la protection des données (RGPD) n’autorise le traitement de données sensibles que pour certaines finalités dont il fait la liste exhaustive. Or, l’article 8, III, de la loi de 1978 (tel que modifié par le projet de loi) reviendrait à autoriser, en cas d’application d’une mesure technique telle l’anonymisation à bref délai, les traitements de données sensibles poursuivant n’importe quelle finalité. Ceci n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 65 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 7


Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« 11° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions du 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l’informatique et des libertés délivré selon les modalités prévues à l’article 28. » ;

Objet

Le présent amendement a pour objet de rétablir la possibilité (prévue par l’article 25 de la loi du 6 janvier 1978) d’utilisation des traitements qui seraient nécessaires à la recherche publique, après autorisation de la CNIL. 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 66

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Tombé

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE ADDITIONNEL APRÈS ARTICLE 10


Après l'article 10

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment, chaque fois que cela est possible, que les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à y accéder. »

Objet

Cet amendement prévoit une obligation pour les responsables de traitements et sous -traitements de chiffrer les données de bout en bout, chaque fois que cela est possible. En effet, le chiffrement de bout en bout où seules les personnes autorisées à accéder aux données (par exemple l’expéditeur et le/les destinataire/s d’un message) ont la clef limite considérablement les risques d’intrusion.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 67

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 11


Rédiger ainsi cet article :

L’article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l’autorité publique ou » ;

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée proportionnée à cette finalité ; la communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. »

Objet

Le présent amendement a pour objet de revenir à la rédaction initiale du texte.

En effet, les auteurs du présent amendement considèrent que l’amendement de Madame Joissains, adopté en commission des lois, s’oppose au mouvement de consécration de la transparence de notre système judiciaire, qui tend à renforcer la confiance des citoyens envers la justice.

Comme l’a signalé une mission de mai 2017, confiée par le Garde des Sceaux à des membres du Conseil d’État, de la Cour de cassation, du CNB et de la CNIL, «  l’occultation du nom du magistrat reviendrait à cacher un des principaux acteurs du fonctionnement de l’institution judiciaire et ne garantirait plus la fiabilité et l’intégrité des données ouvertes (open data), ce qui constitue alors un obstacle aux objectifs poursuivis par la loi  ».






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 68 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l'article 14 AA

Insérer un article additionnel ainsi rédigé :

L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :

« Pour être valide, le consentement de la personne concernée doit résulter d’une action volontaire, explicite, libre, spécifique et informée. Cela implique notamment que son consentement ne soit pas exigé́ en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service. » 

Objet

Selon la CNIL, « le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée (ex : dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut ???). Le consentement est "préalable" à la collecte des données. »

Cet amendement vise à intégrer la définition déterminante donnée par la CNIL et le G29 du caractère libre du consentement.



NB :La rectification consiste en un changement de place (d'un article additionnel avant l'article 14 AA vers un article additionnel après l'article 14 AA).





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 69

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 19


Alinéa 15

Après le mot :

consulte

insérer les mots :

pour avis

Objet

Pour plus de sécurité dans le traitement des données personnelles, le responsable du traitement ou son sous-traitant doit solliciter l’avis de la CNIL. 

Tel est l’objet de cet amendement.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 70

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE 19


Alinéa 42

Avant le mot :

Afin

insérer les mots :

Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et

Objet

De manière générale, les collectivités territoriales assument un très grand nombre de traitement de données différents des uns des autres et pouvant regrouper tous types d’information y compris des plus sensibles.

Confrontés à un mille-feuille sécuritaire, les collaborateurs de ces collectivités s’interrogent sur les obligations à respecter. C’est pourquoi, il doit être clairement précisé qu’ils doivent mettre en œuvre toutes les mesures appropriées, y compris celles qui existent déjà, afin de garantir la sécurité des données.

Cet amendement permet ainsi au responsable de traitement de ne pas occulter les différentes obligations qui lui incombent. A titre d’exemple, pour le secteur public : il convient de respecter le Référentiel Général de Sécurité, pour les Hébergeurs de données de santé, il convient de connaitre et respecter les exigences de l’ASIP Santé et de la PSSI-S.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 71

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le chapitre II du titre II du livre VIII du code la sécurité intérieure est complété par un article L. 822-… ainsi rédigé :

« Art. L. 822-... – Lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits prévus à l’article L. 841-1 du présent code. La transmission de ces informations ne peut être retardée qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique, et à la condition que la Commission nationale de contrôle des techniques de renseignement soit dûment informée de ce retard. »

Objet

Le premier paragraphe de l’article 13 de la directive (UE) 2016/680 exige que le responsable de traitement mette à la disposition des personnes concernées les informations concernant l’identité du responsable, les finalités du traitement et les droits de la personne concernée et ne prévoie aucune dérogation à cette mesure.

Or le code de la sécurité intérieure autorise des traitements de données personnelles dans le but de lutter contre certaines infractions, sans prévoir toutefois l’information des personnes, en aucune circonstance. Cette absence d’information semble, aux auteurs du présent amendement, contraire à la directive 2016/680. Ils proposent, en conséquence de pallier cette lacune.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 72

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l'article 19

Insérer un article additionnel ainsi rédigé :

Au 4° de l’article L. 833-2 du code de la sécurité intérieure, les mots : « communiqués par des services étrangers ou par des organismes internationaux ou » sont supprimés.

Objet

L’article 46, 1, a), de la directive (UE) 2016/680 exige que, dans chaque État membre, une autorité indépendante « contrôle l’application des dispositions adoptées en application de [cette] directive et de ses mesures d’exécution et veille au respect de celles-ci ». En France, en matière de renseignement, cette autorité de contrôle est définie par l’article L. 833-1 du code de la sécurité intérieure comme étant la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Toutefois, l’article L. 833-2, 4° , du code de la sécurité intérieure prévoit que la CNCTR ne peut pas avoir accès aux renseignements collectés, exploités, échangés ou conservés par les services français dès lors que ces renseignement ont initialement été « communiqués par des services étrangers ou par des organismes internationaux ». Cela empêche la CNCTR de vérifier que les données personnelles collectées et exploitées par les services le sont de façon licite. Les auteurs de cet amendement considèrent que cette disposition entre en contradiction avec les exigences de la directive qui doit être correctement incorporée en droit interne.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 73

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l’article 19

Insérer un article additionnel ainsi rédigé :

Après le cinquième alinéa de l’article L. 854-9 du code de la sécurité intérieure, il est inséré un alinéa ainsi rédigé :

« Le Conseil d’État, statuant dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, peut aussi être saisi par toute personne souhaitant vérifier qu’aucune technique de renseignement prévue au présent chapitre n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue au quatrième alinéa du présent article. »

Objet

L’article 54 de la directive (UE) 2016/680 exige, sans aucune exception possible, que les États membres offrent aux particuliers une voie de recours juridictionnel pour contester la licéité d’un traitement portant sur leurs données personnelles. L’article précise explicitement que cette voie de recours juridictionnel doit être ouverte. Des voies de recours administratifs seraient également ouvertes.

Toutefois, l’article L. 854-9 du code de la sécurité intérieure prévoit que, en matière de surveillance internationale, les particuliers ne peuvent agir en justice pour contester la licéité d’une mesure mise en œuvre à leur égard (seule la CNCTR a ce pouvoir dont elle use de manière discrétionnaire). Cette absence de voie de recours juridictionnel semble aux auteurs de cet amendement contraire aux exigences de la directive. Ils proposent donc de pallier cette lacune.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 74

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme BENBASSA

et les membres du groupe communiste républicain citoyen et écologiste


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article L. 863-2 du code de la sécurité intérieure est complété par une phrase ainsi rédigée : « Ces services ne peuvent transmettre à d’autres services, français ou étrangers ou obtenir des renseignements d’autres services, français ou étrangers, que dans les conditions prévues au chapitre Ier du titre II du présent livre ainsi que, s’agissant des autorités d’un État n’appartenant pas à l’Union européenne, dans les conditions prévues à l’article 70-25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Objet

Le code de la sécurité intérieure n’impose aucune condition ni contrôle s’agissant des échanges de renseignement par les autorités françaises avec d’autres autorités françaises ou étrangères. Le code doit ainsi être modifié, non seulement pour imposer aux autorités françaises de respecter le cadre des transferts hors-UE posé par la directive (UE) 2016/680, mais aussi pour exiger que ces échanges, avec des autorités françaises, européennes ou hors-UE, poursuivent un des intérêts fondamentaux de la Nation prévus à l’article L. 811-3 du code et que la CNCTR soit en mesure d’en assurer le contrôle. Les auteurs de cet amendement proposent donc de pallier cette lacune.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 75 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Objet

Amendement de repli.

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 76 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

M. Alain MARC, Mme DEROMEDI, M. BONHOMME

et les membres du groupe Les Indépendants - République et Territoires


ARTICLE ADDITIONNEL APRÈS ARTICLE 14 AA


Après l’article 14 AA

Insérer un article additionnel ainsi rédigé :

La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. »

Objet

Amendement de repli.

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 77 rect. ter

20 mars 2018


 

AMENDEMENT

présenté par

C Irrecevable article 45
G  
Irrecevable art. 45, al. 1 C

MM. SAVIN et KERN, Mme LAVARDE, MM. HENNO, Daniel LAURENT et GRAND, Mme DEROMEDI, MM. CHAIZE et LONGEOT, Mmes LAMURE et GOY-CHAVENT, MM. PACCAUD, PERRIN, RAISON, LEFÈVRE et de NICOLAY, Mme GARRIAUD-MAYLAM, MM. BONHOMME, REICHARDT, BASCHER, MILON, Henri LEROY et BRISSON, Mmes PUISSAT et GRUNY et MM. LAUGIER, BAZIN et BUFFET


ARTICLE ADDITIONNEL APRÈS ARTICLE 13 BIS


Après l'article 13 bis

Insérer un article additionnel ainsi rédigé :

Une plateforme nationale de lutte contre la manipulation de compétitions sportives est créée.

Elle est placée sous la présidence du ministre chargé des sports et regroupe l’ensemble des institutions et services participant à cette lutte. Les membres de la plateforme ne sont ni rémunérés ni défrayés à ce titre.

Sa composition et son fonctionnement sont précisés par décret.

Les membres de cette plateforme peuvent se communiquer les renseignements et documents utiles à la lutte contre la manipulation des compétitions sportives, y compris ceux couverts par le secret professionnel, sous réserve des dispositions de l'article 11 du code de procédure pénale.

Objet

Cet amendement vise à consacrer au niveau législatif l’existence de la plateforme de lutte contre la manipulation de compétitions sportives afin de légitimer la transmission d’informations ou de documents couverts par le secret professionnel. En effet, conformément à l’article 226-14 du code pénal, l’atteinte au secret professionnel n’est pas caractérisée dans les cas où la loi impose ou autorise la révélation du secret.

Créée il y a deux ans, et présidée par la Ministre des Sports, la Plateforme nationale de lutte contre la manipulation des compétitions sportives, regroupe le service central des courses et jeux de la police nationale, le Parquet national financier, Tracfin, la Ministère des Sports, le CNOSF, l’ARJEL et la Française des Jeux.

Cette plateforme s’inscrit dans un réseau international qui rassemble aujourd’hui 25 plateformes. En novembre dernier, la Fédération slovaque de Football, mandatée par l’UEFA pour faire un rapport sur la lutte contre la manipulation des compétitions sportives indiquait que « la plateforme française est aujourd’hui la plateforme nationale la plus inspirante ».

La plateforme française fonctionne bien, donc, et surtout, elle ne coûte pas un euro supplémentaire à l’Etat. Tous les moyens, aussi bien humains que techniques, sont mutualisés entre ses membres, pour gagner en efficacité.

Pour gagner en efficacité, les membres de la plateforme auraient besoin de transmettre des informations pouvant relever du secret professionnel, à l’exception des dispositions de l’article 11 du code de procédure pénale.



NB :La présente rectification porte sur la liste des signataires.
    Déclaré irrecevable au titre de l'article 45, alinéa 1, de la Constitution par la commission saisie au fond





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 78 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme MORIN-DESAILLY, MM. HENNO, KERN et LAUGIER, Mme DOINEAU, M. BONNECARRÈRE, Mmes de la PROVÔTÉ, GOY-CHAVENT et VULLIEN, M. DÉTRAIGNE, Mme GATEL, MM. MAUREY, MIZZON, CANEVET, CIGOLOTTI, DELCROS, Loïc HERVÉ

et les membres du groupe Union Centriste


ARTICLE ADDITIONNEL APRÈS ARTICLE 17 BIS


Après l’article 17 bis

Insérer un article additionnel ainsi rédigé :

Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420-2-3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : « , L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».

Objet

La vente liée de matériels informatiques et d’applications ou services préinstallés constitue un réel frein pour le libre choix par les consommateurs de leurs outils numériques, qu’il s’agisse d’un moteur de recherche sur internet ou d’un système d’exploitation pour un ordinateur ou un smartphone. De plus, elle ne permet pas aux utilisateurs de ces matériels de choisir de façon optimale des services de communication au public en ligne en fonction de leur impact en termes de collecte et d’utilisation de leurs données personnelles.

Les contrats liant les fabricants de matériels et les concepteurs d’applications ou les éditeurs de services de communication, apparemment visés par le présent article, sont certes à l’origine de ces ventes dites liées ou subordonnées.

Pour autant, au regard des principes constitutionnels de liberté contractuelle et de liberté du commerce et de l’industrie comme des règles du code civil en matière de droit des contrats, de tels contrats sont licites. De plus, depuis 2009, la Cour de justice de l’Union européenne considère que les procédés de vente liée sont licites et juge contraires au droit européen les règles nationales les interdisant par principe, dès lors que ces procédés ne figurent pas dans la liste des pratiques interdites en toutes circonstances fixée par la directive 2005/29/CE du 11 mai 2005 sur les pratiques commerciales déloyales.

Sur la base de cette jurisprudence européenne, la législation française a d’ailleurs dû évoluer, après mise en demeure par la Commission européenne. L’article L. 121-11 du code de la consommation dispose ainsi qu’est « interdit le fait de subordonner la vente d’un produit (…) à l’achat concomitant d’un autre produit (…) dès lors que cette subordination constitue une pratique commerciale déloyale ». Or, telle qu’elle est définie de façon rigoureuse par l’article L. 121-1 du même code, la pratique commerciale déloyale ne saurait s’appliquer de façon générale au type de contrat visé par le présent article : « une pratique commerciale est déloyale lorsqu’elle est contraire aux exigences de la diligence professionnelle et qu’elle altère ou est susceptible d’altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l’égard d’un bien ou d’un service ».

Dans ces conditions, le nouvel article 17 bis du projet de loi, tel qu’il est conçu, soulève de sérieuses difficultés de constitutionnalité et de conventionnalité, en prévoyant la nullité de certains contrats au motif qu’ils auraient pour effet d’imposer à un tiers au contrat, consommateur, l’achat d’un produit combiné à un autre produit. En outre, l’hypothèse selon laquelle de tels contrats pourraient en eux-mêmes méconnaître les principes du recueil du consentement pour la collecte et le traitement de données à caractère personnel, tels qu’ils résultent du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, paraît trop indirecte et incertaine pour être admise au regard du droit européen.

Si la question posée est légitime, une autre réponse doit donc lui être apportée, au-delà du seul droit de la consommation, qui n’offre pas de garanties suffisantes. 

Dans le domaine du droit de la concurrence, l’article L. 420-2 du code de commerce prohibe « l’exploitation abusive par une entreprise (…) d’une position dominante sur le marché intérieur », de tels abus pouvant notamment « consister (…) en ventes liées ».

L’Autorité de la concurrence est compétente pour connaître et sanctionner de telles pratiques. L’article L. 420-3 du même code ajoute qu’est « nul tout engagement, convention ou clause contractuelle se rapportant à une pratique prohibée ». La compétence appartient ici au juge civil.  Dès lors, il conviendrait de renforcer des moyens offerts par le droit de la concurrence pour lutter contre les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants, alors que le marché de ces services et celui des matériels constituent deux marchés distincts au sens du droit de la concurrence.

Tel est l’objet du présent amendement, qui propose d’introduire un nouvel article L. 420-2-3 dans le code de commerce pour prohiber l’exploitation abusive par une entreprise d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. Les sanctions encourues pour de telles pratiques seraient celles que peut prononcer l’Autorité de la concurrence en matière de pratiques anticoncurrentielles, en particulier des sanctions pécuniaires. De plus, la prohibition de telles pratiques permettrait également, en application de l’article L. 420-3 du même code, d’obtenir devant le juge l’annulation des contrats à l’origine de telles ventes liées abusives.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 79 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme MORIN-DESAILLY, MM. HENNO, KERN et LAUGIER, Mme DOINEAU, M. BONNECARRÈRE, Mmes de la PROVÔTÉ, GOY-CHAVENT et VULLIEN, M. DÉTRAIGNE, Mme GATEL, MM. MAUREY, MIZZON, CANEVET, CIGOLOTTI, DELCROS, Loïc HERVÉ

et les membres du groupe Union Centriste


ARTICLE 1ER


Après l’alinéa 13

Insérer un alinéa ainsi rédigé :

« …) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l’autorité nationale en matière de sécurité et de défense des systèmes d’information, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ; »

Objet

Les objets connectés sont de plus en plus présents dans la vie quotidienne et le développement de ces technologies représente un enjeu stratégique majeur pour l'ensemble des acteurs économiques dans les secteurs de la santé, de la protection de l'environnement, de la maîtrise de l'énergie ou encore des transports.

Ces objets connectés sont aujourd’hui insuffisamment sécurisés alors qu’ils recueillent des données personnelles (y compris des données sensibles comme des données de santé) en masse. 
Le présent amendement prévoit donc que soit mis en place un dispositif de labellisation pour les objets connectés. Cette labellisation, qui sera mise en ouvre par la CNIL, constituera une assurance pour les usagers que les objets répondent à des exigences élevées en matière de sécurité et de confidentialité de leurs données personnelles.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 80 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

M. Loïc HERVÉ

et les membres du groupe Union Centriste


ARTICLE ADDITIONNEL APRÈS ARTICLE 12


Après l’article 12

Insérer un article additionnel ainsi rédigé :

À la fin de la seconde phrase de l’article L. 212-4-1 du code du patrimoine, les mots : « à fiscalité propre » sont supprimés. 

Objet

Conformément à l’article L.212-4-1 du code du patrimoine, le service public d’archives (SPA) d’une collectivité peut mutualiser la conservation d’archives numériques avec un autre service public d’archives.

En pratique, cette possibilité ne concerne pas exclusivement les EPCI à fiscalité propre. Le présent amendement a pour objet d’adapter la rédaction de l’article susvisé, afin d’étendre son champ d’application à d’autres groupements qui interviennent également dans ce domaine : syndicats mixtes informatiques, groupement d’intérêt public… 



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 81

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Rejeté

M. Loïc HERVÉ


ARTICLE ADDITIONNEL APRÈS ARTICLE 19 TER


Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

Au deuxième alinéa de l’article L. 1425-2 du code général des collectivités territoriales est ainsi modifié :

1° À la première phrase, le mot : « peuvent » est remplacé par le mot : « doivent » ;

2° La dernière phrase est supprimée. 

Objet

Compte tenu de l’importance croissante du numérique dans notre société et des enjeux y afférents (dématérialisation des services et inclusion numérique, ouverture, sécurisation et protection des données...), il est surprenant que les collectivités locales, compte tenu de l’impact que l’économie du numérique va avoir sur l’action publique, ne soient pas tenues d’élaborer une stratégie de développement des usages et services numériques sur leur territoire, à l’échelon le plus adapté de leur point de vue.

En effet, au regard du droit en vigueur (article L.1415-2 du code général des collectivités territoriales), l'élaboration d’une telle stratégie n’est obligatoire que dans les zones de montagne, sur les territoires couverts par un schéma directeur territorial d'aménagement numérique.

Le présent amendement a donc pour objet d’étendre cette obligation sur l’ensemble du territoire.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 82

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


Alinéa 13

1° Troisième phrase

Après les mots :

l’article 43 du même règlement

insérer les mots :

ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément

2° Dernière phrase

Supprimer cette phrase.

Objet

L’article 43 du règlement 2016/679 (UE) prévoit trois options pour l’agrément des organismes certificateurs, lequel peut être délivré, soit par la CNIL (art. 43.1.a), soit par l’organisme national d’accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil (art. 43.1.b,  en France, le Comité français d'accréditation - COFRAC), soit par les deux.

 Le f bis de l’article 11 de la loi n°78-17, dans sa rédaction actuelle, prévoit que la CNIL est toujours l’autorité qui va agréer les tiers certificateurs. Elle peut certes agréer « sur la base d’une accréditation délivrée par l’organisme national d’accréditation », en fixant, le cas échéant, des exigences supplémentaires aux normes d’accréditation. Toutefois, cette rédaction ne permet pas au COFRAC d’agréer lui-même des tiers certificateurs. Or il apparaît opportun de permettre, au cas par cas, selon l’objet de certification, que l’agrément des tiers certificateurs puisse se faire alternativement par la CNIL ou par le COFRAC.

 Le présent amendement prévoit ainsi de modifier l’alinéa 13 de l’article 1er du projet de loi afin de prévoir cette possibilité, étant précisé que, tout comme dans l’esprit de la rédaction actuelle, la CNIL restera à l’initiative du choix de l’autorité chargée de cet agrément (elle-même ou le COFRAC), sans pouvoir pour autant imposer ce choix à l’organisme national d’accréditation ni lui déléguer véritablement une telle attribution, ce qui aurait des conséquences excessives en termes de responsabilité, eu égard à la compétence exclusive de la Commission en matière de référentiel d’agrément.

Il est également proposé la suppression de la dernière phrase de l'alinéa 13 selon laquelle la CNIL « peut établir des exigences supplémentaires  en matière de normes d’accréditation ». Cette mention qui est déjà prévue à l'article 43.1.b) du règlement 2016/679 (UE), n’apparaît nécessaire.

 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 83

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 4


Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« Les membres et agents mentionnés au premier alinéa du I du présent article peuvent, à la demande du président de la commission, être assistés par des experts. » ;

Objet

Cet amendement a pour objet de rétablir les dispositions du III de l’article 44 de la loi n° 78-17 du 6 janvier 1978 qui permet aux membres et agents de la Commission nationale de l’informatique et des libertés de recourir à des experts dans le cadre de ses contrôles. Ces dispositions prévoyaient que : « Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent. ». Il est proposé de réintroduire cette possibilité, qui a été supprimée par erreur de rédaction dans le projet de loi, en l’assouplissant.

En effet, cette rédaction permettra la désignation d’experts par leur autorité (par exemple la CNIL s’associe avec l’Autorité de régulation des jeux en ligne (ARJEL) pour contrôler les opérateurs de jeux en ligne) mais également permettre l’assistance des experts n’appartenant pas à une autorité comme par exemple, les experts inscrits sur une liste d'experts judiciaires.

L’absence de désignation préalable par une autorité existe déjà pour d’autres autorités administratives indépendantes. Ainsi, l’Autorité des marchés financiers peut recourir « pour ses contrôles et enquêtes, à des corps de contrôle extérieurs, à des commissaires aux comptes, à des experts inscrits sur une liste d'experts judiciaires ou à des personnes ou autorités compétentes » (art. 621-9-2 du code monétaire et financier). De même, le rapporteur général de l’autorité de la concurrence « peut décider de faire appel à des experts en cas de demande formulée à tout moment de l'instruction par le rapporteur ou une partie » (art. L.463-8 du code de commerce). Enfin, les agents de l'Autorité de régulation des communications électroniques et des postes (ARCEP) « peuvent recourir à toute personne compétente » qui peut « les accompagner lors de leurs contrôles et prendre connaissance de tout document ou élément nécessaire à la réalisation de sa mission ou de son expertise » (art. L.32-4 du code des postes et des communications électroniques).

Il est rappelé que le règlement intérieur de la CNIL précise les modalités de recours aux experts (art. 55 du règlement intérieur de la CNIL). Conformément à l’article 13 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, le règlement intérieur détermine également les règles déontologiques applicables aux experts dont l’autorité administrative indépendante a éventuellement recours pour l’exercice de ses missions.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 84

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Retiré

Le Gouvernement


ARTICLE 6


I. – Alinéa 5

Supprimer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

II. – Alinéa 14

Après le mot :

peut

insérer le mot :

également

Objet

Cet amendement vise à rétablir la rédaction de l’article 6 du projet de loi, dans sa rédaction antérieur à l’amendement CL39 adopté en commission des lois. Cet amendement avait pour objet, selon l’exposé des motifs, de « rétablir une gradation pédagogique dans l’enchaînement des mesures susceptibles d'être prononcées » par la CNIL en obligeant cette dernière à adresser au préalable un avertissement ou une mise en demeure avant la saisine de la formation restreinte.

Or, en premier lieu, cette nouvelle obligation est contraire à la lettre et à l’esprit du règlement (UE) 2016/679.

D’une part, l’article 83 du RGPD prévoit expressément que les autorités nationales doivent pouvoir choisir, alternativement ou cumulativement, entre le prononcé d’une amende pécuniaire et/ou une mise en demeure de se conformer au cadre juridique. L’article 58.2 prévoit ainsi que « chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes » sans qu’une gradation ne soit prévue.

D’autre part, le RGPD développe des systèmes de coopération et de cohérence avec des autorités de contrôle des Etats-membres que l’amendement voté met à mal. En effet, s’agissant par exemple d’un traitement transfrontalier, les autres autorités pourraient demander à la CNIL de prendre directement une sanction pécuniaire sans mise en demeure préalable et le comité européen à la protection des données pourrait même prendre une décision contraignante à cet effet. Un tel conflit de normes serait très dommageable pour la sécurité des procédures répressives nationales.

En second lieu, l’amendement voté a des conséquences importantes sur le fonctionnement de la CNIL.

Cette gradation imposée va susciter des alourdissements opérationnels conséquents, à la fois pour la CNIL, qui devra prendre en charge, pour le même manquement, une procédure de mise en demeure ou d’avertissement par le président de la Commission puis (éventuellement en parallèle) une procédure de sanction par sa formation restreinte. Les organismes incriminés auront également à gérer ces deux catégories de procédure, soit de manière simultanée si les manquements peuvent être distingués en deux catégories (procédure de sanction correspondant aux manquements pour des faits passés, qui ne sauraient en tout état de cause faire l’objet d’une mise en conformité, et mise en conformité par le biais d’une mise en demeure pour l’avenir), soit de manière successive si le manquement persiste. En pratique, ces deux pratiques devront en outre faire l’objet d’une articulation entre différentes formation de la CNIL (le président et la formation restreinte) avec un manque de lisibilité pour les acteurs économiques.

Enfin, l’impossibilité de prononcer, dans certains cas nécessaires, directement une sanction est susceptible de mettre à mal le pouvoir répressif de la CNIL à l’égard de certains acteurs et  l’effet dissuasif de la sanction. Il pourrait en résulter le risque que cette rigidification du pouvoir répressif de la CNIL conduise à l’inverse de l’effet recherché. Les organismes les mieux dotés juridiquement, qui ne sont pas les cibles principales de l’amendement voté en commission, sachant qu’une mise en conformité ne les rend plus éligibles à la sanction, n’ont pas d’incitation à corriger d’eux-mêmes un manquement qu’ils auraient constaté et sont au contraire incités à attendre une mise en demeure de la CNIL, qui leur permet de se protéger, au moins dans un premier temps, contre toute amende pécuniaire. L’absence de possibilité, pour la CNIL, de prononcer directement une sanction sans recourir préalablement à une mise en demeure ou un avertissement pourrait donc avoir un effet désincitatif à la mise en conformité pour certains organismes.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 85

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 6


Alinéa 44

Supprimer cet alinéa.

Objet

Cet amendement vise à supprimer l’alinéa 44 de l’article 6 introduit par l’amendement 48 de la commission des lois. Cet alinéa vise à ce que le produit des sanctions pécuniaires et des astreintes, prélevés sur des responsables de traitement condamnés, soit destiné à financer l'assistance apportée par l'État aux responsables de traitements et à leurs sous-traitants, afin qu'ils se conforment à leurs obligations.

A titre liminaire, il est rappelé que c’est à la CNIL qu’appartient la mission, au titre de l’article 57 (d) du RGPD, d’encourager la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent. Or l’article 36 de la loi organique relative aux lois de finances (LOLF) prévoit que : « L'affectation, totale ou partielle, à une autre personne morale d'une ressource établie au profit de l'Etat ne peut résulter que d'une disposition de loi de finances ».

Le principe d’universalité budgétaire ne permet pas davantage de verser un produit d’une ressource établie au profit de l’Etat à une dépense particulière, en l’occurrence le financement d’une assistance. En effet, ce principe interdit l’affectation d’une recette à une dépense déterminée en dehors du cas prévu par l’article 19 de la LOLF qui prévoit que « L'affectation d'une recette à un compte spécial ne peut résulter que d'une disposition de loi de finances ».






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 86

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 7


Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« 11° Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions du 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, après avis motivé et publié de la Commission nationale de l’informatique et des libertés délivré selon les modalités prévues à l’article 28. » ;

Objet

La recherche publique ne relève pas, en tant que telle, du champ d’application du II de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version en vigueur, qui autorise, par exception à l’interdiction de principe de traiter des données sensibles instituée au I du même article, les traitements portant sur de telles données. Dans le domaine de la recherche, seuls sont actuellement et spécifiquement couverts respectivement par le 7° et le 8° du II de l’article 8, d’une part, « les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels » et, d’autre part, « les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé ».

Les études menées par les établissements d’enseignement supérieur et de recherche et les organismes de recherche nécessitant le traitement de données dites sensibles, lorsqu’elles ne peuvent s’appuyer sur le consentement des personnes concernées, sont majoritairement soumises à l’autorisation préalable de la CNIL, en application des dispositions du IV de l’article 8 et de celles de l’article 25 de la loi du 6 janvier 1978. Tel est le cas en particulier d’un grand nombre d’études menées dans le champ de la sociologie et de la démographie (enquêtes portant par exemple sur les migrants ou bien encore sur les violences faites aux femmes).

En l’état actuel du projet de loi, la suppression de la procédure d’autorisation préalable de la CNIL par l’abrogation de l’article 25 a pour conséquence de soumettre ces traitements à un dispositif d’autorisation par décret en Conseil d’Etat pris après avis motivé et publié de la CNIL. Dans sa rédaction actuelle, les dispositions du IV de l’article 8 de la loi du 6 janvier 1978 prévoient en effet que ne sont pas soumis à l’interdiction de traiter des données sensibles les traitements justifiés par l’intérêt public « autorisés dans les conditions prévues au II de l’article 26 ». Or, cette formalité préalable n’est nullement adaptée, compte tenu notamment du calendrier qu’elle impose, aux études menées par les établissements d’enseignement supérieur et de recherche et les organismes de recherche.

Il est donc proposé d’inscrire, au titre des exceptions énumérées au II de l’article 8, un alinéa supplémentaire relatif à la recherche publique, prise au sens de l’article L. 112-1 du code de la recherche.

En effet, dans la mesure où les traitements à finalité de recherche publique doivent être regardés aussi bien comme des traitements répondant à des « motifs d’intérêt public importants » que des traitements à des fins de recherche scientifique ou historique, l’article 9.2 du RGPD en autorise la mise en œuvre, sur la base du droit de l’Etat membre, qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Pour ce dernier motif d’ailleurs, la mise en œuvre de ces traitements ne sera possible qu’après consultation de la CNIL, qui émettra un avis motivé et publié.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 87

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 11


I. – Alinéa 2

Supprimer cet alinéa.

II. – Alinéa 3

Rétablir le 1° dans la rédaction suivante :

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l’autorité publique ou » ;

III. – Alinéa 4

Remplacer les mots :

l’exercice des missions qui leur sont confiées par la loi

par les mots :

leur mission

IV – Alinéa 6, troisième et dernière phrases

Supprimer ces phrases.

V. – Alinéas 9 à 12

Supprimer ces alinéas.

Objet

L’amendement CL 51 adopté en commission a modifié sur plusieurs points l’article 11 du projet de loi qui concerne l’article 9 de la loi informatique et libertés relatif aux données d’infraction.

L’ajout du mot « strictement » au 3° de l’article 9 (par le IV.A de l’amendement CL51) est pertinent.

Le présent d’amendement a pour objet de rétablir la rédaction du projet de loi compte tenu des autres modifications apportées.

En premier, il rétablit la définition des données visées à l’article 10 du règlement (UE) 2016/679, à savoir les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté effectués sous le contrôle ou par l’autorité publique. La rédaction issue de l’amendement est contraire au RGPD sur ce point.

En deuxième lieu, le présent d’amendement rétablit la rédaction résultant du projet de loi adopté par l’Assemblée nationale qui permettait aux personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la CNIL, dans la mesure strictement nécessaire à leur mission, de traiter des données d’infraction. La commission des lois a estimé que ces missions doivent être confiées par la loi. Or cette précision apparaît trop restrictive dès lors que certaines associations, comme par exemple les associations d’aide aux victimes, ne remplissent pas cette condition, alors qu’elles ont besoin de traiter de ces données pour l’exercice de leur mission.

En troisième lieu, le présent amendement supprimer la référence à un décret en Conseil d’Etat pour définir les modalités du 3° (traitement de données d’infraction par des personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue. Dans sa décision n° 2004-499 DC du 29 juillet 2004, le Conseil constitutionnel a précisé que les garanties appropriées et spécifiques doivent être fixées dans la loi. Les garanties qui figurent dans le projet de loi en termes de durée de conservation et de proportionnalité de la finalité ne nécessitent pas d’être précisées dans un décret en Conseil d’Etat.

Enfin, le présent amendement supprime le régime d’autorisation préalable par la CNIL avec une possibilité de décision unique et déclaration de responsable de traitement qui a été réintroduit par la commission des lois. Il va à l’encontre de la logique de non surtansposition souhaitée par le Gouvernement et de la philosophie du règlement européen, retranscrite dans le projet de loi, qui allège les formalités préalables tout en permettant à la CNIL d’utiliser du droit souple et de sanctionner, le cas échéant, sévèrement les responsables de traitement.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 88

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 11


Alinéas 13 à 16

Supprimer ces alinéas.

Objet

L’amendement CL 52 a complété l’article 11 du projet de loi en modifiant l’article L. 111-3 du code de l’organisation judiciaire et l’article L. 10 du code de justice administrative pour prévoir que les modalités de la mise à disposition des décisions de justice préviennent tout risque de ré-identification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions.

La loi du 7 octobre 2016 pour une République numérique a introduit dans ces deux codes des dispositions relatives à la mise à disposition des décisions de justice (Open data) en fixant les grands principes de cette mise à disposition. Elle doit notamment être  faite à titre gratuit, dans le respect de la vie privée des personnes concernées et précédée d’une analyse du risque de réidentification des personnes. La loi a renvoyé à un décret en Conseil d’Etat le soin de fixer les conditions d’application de ces dispositions.

Au regard de la sensibilité et la complexité du sujet, une mission a été confiée au professeur Cadiet afin d’éclairer la rédaction de ces dispositions d’application. Ce dernier a remis le 29 novembre 2017 son rapport à la garde des Sceaux qui contient 20 recommandations. Certaines ont déjà été reprises dans le cadre du présent projet de loi. D’autres, ont fait l’objet d’un examen et ont servi à l’élaboration d’un décret d’application qui sera soumis prochainement au Conseil d’Etat.

La rédaction proposée par la commission impose que la diffusion des décisions de justice prévienne tout risque de ré-identification. Il s’agit là d’un objectif impossible à atteindre, sauf à enlever des parties entières des décisions de justice avant leur diffusion au public. Elles seraient alors complètement illisibles.

Cette analyse est confirmée par la mission qui rappelle dans son rapport que la prévention absolue de la ré-identification est totalement impossible à réaliser car les décisions de justice sont des documents très construits qui contiennent de nombreuses données ré-identifiantes. Si une prévention absolue du risque de ré-identification est imposée par la loi, l’open data des décisions de justice ne pourra tout simplement pas être réalisé.

Il faut donc aller vers une protection adaptée de la vie privée des personnes concernées par les décisions. Les mentions d’identification contenues dans les décisions doivent être supprimées et la ré-identification doit être rendue difficile à réaliser, et non totalement impossible. Cela permettra de réaliser l’équilibre en protégeant la vie privée des personnes sans empêcher la diffusion des décisions. La rédaction actuelle des articles L. 111-13 du code de l'organisation judiciaire et L. 10 du code de justice administrative est donc adaptée.

Enfin, s’agissant de la protection des identités des professionnels de justice, le décret en Conseil d’État qui doit être pris en application des articles L. 111-13 du code de l’organisation judiciaire et L. 10 du code de justice administrative permettra de trancher cette question. Il est actuellement en cours d’élaboration par les services de la Chancellerie.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 89

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 12


Alinéa 3

Rédiger ainsi cet alinéa :

2° Les deuxième à dernier alinéas sont supprimés ;

Objet

L’amendement COM-87 adopté en commission a modifié l’article 12 du projet de loi en rétablissant une partie de l’article 36 de la loi Informatique et Libertés supprimée par le projet de loi. Le présent amendement a pour objet de rétablir la rédaction du projet de loi, le texte issu de la commission n’étant plus conforme au RGPD.

En effet, le RGPD n’interdit pas de procéder à des traitements de données archivées à d’autres fins que les fins archivistiques dans l’intérêt public, les fins de recherche scientifique ou historique ou les fins statistiques. Les traitements en question sont en revanche soumis au régime de droit commun du RGPD et de la loi Informatique et Libertés et ne bénéficient pas des dispositions spécifiques attachées aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

 La nouvelle rédaction de l’alinéa qui impose certaines conditions spécifiques n’est pas conforme au RGPD et le présent amendement a pour objet de revenir à la rédaction initiale du projet de loi.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 90

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 12


Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Objet

L’amendement COM-55 adopté en commission a modifié l’article 12 du projet de loi en retirant aux traitements à des fins archivistiques dans l’intérêt public la dérogation au droit de rectification dont ils peuvent bénéficier. Le présent amendement a pour objet de rétablir la rédaction du projet de loi.

L’article 89 du RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger au droit de rectification prévu à l’article 16. La France a fermement défendu cette dérogation pendant les quatre années de négociation du Règlement. Elle était inscrite dans le projet de loi initial et la CNIL n’a pas émis de réserve sur cette dérogation circonscrite au champ des traitements à des fins archivistiques dans l’intérêt public.

 Les traitements mis en œuvre par les services publics d'archives doivent absolument déroger au droit de rectification. L'article 12 du projet de loi ne vise que les "archives définitives" ou « archives historiques » et non les "archives courantes" ou les "archives intermédiaires" (parfois appelées « archives vivantes »), qui restent soumises au droit de rectification. Mais, à l'issue de leur durée d'utilité administrative, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées par un service public d'archives (Archives nationales, régionales, départementales, communales) ne doivent plus être modifiées. C’est l’un des grands principes de l’archivistique, qui garantit des sources intègres, authentiques et non dénaturées nécessaires à l’écriture de l’Histoire.

Les informations que comportent les archives historiques sont souvent périmées et incomplètes en raison de leur ancienneté ; elles sont parfois volontairement inexactes par la volonté de l'auteur du document. Les modifier alors qu'elles sont devenues archives historiques reviendrait à porter atteinte à l'intégrité du document original, avec risque de falsification et d'atteinte à son caractère authentique. Il convient de distinguer le caractère original et authentique du document d’archives de la véracité de l'information qu'il contient : pour ne pas altérer ce caractère original et authentique, l'information erronée archivée comme « archive historique » ne doit pas être modifiée. Le constat de sa véracité relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés.

 Il est en conséquence absolument nécessaire de faire déroger les traitements archivistiques à l’article 16 du RGPD.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 91

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 12


Alinéa 5, dernière phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Objet

L’amendement COM-54 adopté en commission a modifié l’article 12 du projet de loi en substituant au riche corpus normatif régissant la gestion des archives publiques un décret en Conseil d’Etat pour apporter les garanties appropriées en matière de traitements à des fins archivistiques dans l’intérêt public. Le présent amendement a pour objet de rétablir la rédaction du projet de loi.

L’article 89 du RGPD autorise les traitements à des fins archivistiques dans l’intérêt public à déroger à certains droits en contrepartie de conditions et garanties appropriées. Ne sont visées que les archives « définitives » ou « historiques » et uniquement les traitements mis en œuvre par les services publics d’archives qui collectent les archives publiques à l’issue de leur durée d’utilité administrative (archives nationales, régionales, départementales, communales et intercommunales).

 La gestion de ces archives est encadrée par un corpus législatif et réglementaire extrêmement étoffé : plus de 150 dispositions dans le code du patrimoine (parties législative et réglementaire), des dizaines de dispositions dans d'autres textes, en particulier le code des relations entre le public et l’administration (CRPA), ainsi que des normes, notamment en matière d’archivage électronique. Ainsi, les règles de sélection, de traitement, de conservation et de communication (délais et modalités) des documents et données sont précisément définies et apportent des garanties fortes et suffisantes. Par ailleurs, la gestion des archives historiques visée par l’alinéa 5 de l’article 12 est assurée par les seuls services publics d'archives, qui forment un réseau homogène aux pratiques professionnelles harmonisées et qui sont placés sous le contrôle scientifique et technique de l'Etat. De nouvelles dispositions réglementaires ajouteraient une couche de droit supplémentaire et complexifieraient un droit déjà extrêmement dense à l’heure de la simplification et des efforts d’intelligibilité du droit.

 S'agissant de la diffusion sur Internet des documents d’archives comportant des données à caractère personnel, un décret d'application de l’article 6 de la loi pour une République numérique, pris après avis de la CNIL et en cours de finalisation, en déterminera précisément les conditions.

 Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques dans l’intérêt public mis en oeuvre par les services publics d'archives et relatifs aux seules archives « définitives » ou « historiques ».






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 92

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 12


Alinéa 6

Après la référence :

15,

insérer la référence :

16,

Objet

L’amendement COM-83 adopté en commission a introduit un sixième alinéa à l’article 12, relatif aux traitements à des fins de recherche scientifique et historique ou à des fins statistiques. Le présent amendement a pour objet de le compléter.

L’article 89 du RGPD permet aux traitements à des fins de recherche scientifique et historique ou à des fins statistiques de déroger à certains droits des personnes, en particulier au droit de rectification prévu à l’article 16. La France a fermement défendu cette dérogation pendant les quatre années de négociation du Règlement. Elle était inscrite dans le projet de loi initial.

Cette dérogation, qui garantit la liberté du travail de l’historien, est d’autant plus nécessaire que les grands services d’archives du secteur « privé » comme le Mémorial de la Shoah, les services d’archives des Eglises, de partis politiques, l’association Génériques sur l’histoire de l’immigration ou encore le service d’archives d’ATD-Quart-Monde relèvent de ce dispositif. Leurs traitements ne sont en effet pas assimilables aux traitements à des fins archivistiques dans l’intérêt public qui ne visent que les services d’archives qui ont l’obligation légale de collecter et de traiter des archives, soit, en France, les services publics d’archives (considérant 158 du RGPD).

Les traitements mis en œuvre à des fins de recherche scientifique et historique ou à des fins statistiques doivent déroger au droit de rectification, afin de préserver le caractère intègre et authentique des documents conservés à titre d’archives historiques.

Comme dans les autres fonds d’archives, les archives historiques conservées par les Eglises, les fondations, les partis politiques, les associations, sont souvent périmées et incomplètes en raison de leur ancienneté ; elles sont parfois volontairement inexactes par la volonté de l'auteur du document. Les modifier alors qu'elles sont devenues archives historiques reviendrait à porter atteinte à l'intégrité du document original, avec risque de falsification et d'atteinte à son caractère authentique. Il convient de distinguer le caractère original et authentique du document d’archives de la véracité de l'information qu'il contient : pour ne pas altérer ce caractère original et authentique, l'information erronée archivée comme « archive historique » ne doit pas être modifiée. Le constat de sa véracité relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés.

Il est en conséquence absolument nécessaire de faire déroger les traitements à des fins de recherche scientifique et historique ou à des fins statistiques à l’article 16 du RGPD, comme le permet son article 89.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 93

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Favorable
Adopté

Le Gouvernement


ARTICLE 13


Compléter cet article par deux alinéas ainsi rédigés :

…° Après les mots : « de la conférence médicale. », la fin du sixième alinéa de l’article L. 6113-7 du code de la santé publique est ainsi rédigée :

« Les conditions de cette désignation et les modes d’organisation de la fonction d’information médicale en particulier les conditions dans lesquelles des personnels placés sous l’autorité du praticien responsable ou des commissaires aux comptes intervenant au titre de la mission légale de certification des comptes mentionnée à l’article L. 6145-16 du présent code peuvent contribuer au traitement des données, sont fixés par décret. »

Objet

La tarification à l’activité (T2A) impose à chaque établissement de santé concerné par ce mode de financement de rendre compte de son activité par une remontée de données quantifiées et standardisées relatives à la prise en charge des patients : c’est l’objet du programme de médicalisation des systèmes d’information (PMSI). 

Le processus de codage, étapes par lesquelles les données propres à chaque patient sont retraitées en statistiques pseudonymisées, implique un accès à des données permettant, même indirectement, une identification. Au titre de l’article L.1110-4 du code de la santé publique (CSP), relatif au secret médical, seuls les professionnels de santé participant à la prise en charge d’un patient sont autorisés à accéder à ses données de santé. Pour mettre en œuvre le PMSI, et en dérogation à ce principe, l’article L.6113-7 CSP met cette production sous la responsabilité d’un médecin de l’information médicale nommé dans chaque établissement ; l’article R.6113-5 CSP étend la dérogation à l’ensemble des personnels travaillant auprès de lui ou placé sous son autorité, mais ne renvoie aucunement à des personnes salariées de sociétés prestataires autres que celles intervenant sur le matériel ou les logiciels.

Par ailleurs, face à la difficulté à recruter des médecins DIM (département d’information médicale) et à l’importance que revêt le codage pour le financement des établissements de santé par la T2A, ces derniers sont amenés à avoir recours à des prestataires extérieurs, soit pour la production initiale des données du PMSI, soit dans le cadre de procédures d’audit pour mettre en œuvre un contrôle des processus ou optimiser le codage, donc les ressources financières. Les audits sont en particulier réalisés dans le contexte de la certification des comptes des établissements publics de santé, dont la mission légale s’exerce selon les modalités fixées dans l’article L. 823-9, alinéa 1, du Code de commerce, et par les décrets n°1238 et n°1239 du 23 décembre 2013.

Au vu des enjeux, ce recours doit être garanti aux établissements publics comme privés.

Dans ce double cadre se pose la question des conditions réglementaires d’accès aux dossiers médicaux des patients par les prestataires extérieurs mandatés par l’établissement de santé, comme le soulignait la Commission nationale de l’informatique et des libertés.

Cet amendement vise à sécuriser le recours à des prestataires extérieurs pour le codage ou l’audit des données PMSI au travers d’un cadre juridique permettant de garantir la protection des données de santé à caractère personnel contenues dans des dossiers médicaux des patients. L’accès des prestataires extérieurs aux données de santé serait alors réalisé dans des conditions techniques renvoyant à la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), et ne serait autorisé que dans la stricte mesure de ce qui est nécessaire à leur mission.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 94

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE ADDITIONNEL APRÈS ARTICLE 13 BIS


Après l’article 13 bis

Insérer un article additionnel ainsi rédigé :

I. – L’article L. 4123-9-1 du code de la défense est ainsi rédigé :

« Art. L. 4123-9-1. – I. – Le responsable d’un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l’une des finalités du traitement. 

« À l’exclusion des traitements mis en œuvre pour le compte de l’État, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l’obligation posée au premier alinéa, la mention de la qualité de militaire.

« Les personnes accédant aux données personnelles de militaires peuvent faire l’objet d’une enquête administrative aux seules fins d’identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l’identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l’article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, selon les règles propres à chacun d’eux.

« Dans l’hypothèse où le ministre compétent considère, sur le fondement de l’enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l’accès aux données personnelles de militaires y figurant.

« II. – Sans préjudice des dispositions du 1 de l’article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d’accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai le ministre compétent.

« III. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les conditions d’application du présent article.

« IV. – Est puni :

« 1° D’un an d’emprisonnement et de 100 000 euros d’amende le manquement, y compris par négligence, à l’obligation prévue au deuxième alinéa du I du présent article ;

« 2° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l’accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;

« 3° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II. »

II. – Dans le délai d’un an suivant l’entrée en vigueur de la présente loi, les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire procèdent à sa suppression ou à son remplacement par celle de la qualité d’agent public, lorsque cette mention n’est pas strictement nécessaire à l’une des finalités du traitement.

III. – Le troisième alinéa de l’article 226-16 et le second alinéa de l’article 226-17-1 du code pénal sont supprimés.

IV. – L’article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale est abrogée.

Objet

L’entrée en vigueur du règlement européen de protection des données (RGPD) à compter du 25 mai 2018 rompt avec la logique des formalités préalables. Les hypothèses dans lesquelles une autorisation préalable de la Commission nationale de l’informatique et des libertés (CNIL) est requise sont désormais résiduelles et limitées aux traitements les plus sensibles tels que les fichiers dits de souveraineté ou ceux comportant des données génétiques ou biométriques. A cette aune, il convient de refondre le dispositif mis en œuvre par l’article 117 de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale.

 En effet, ce dispositif prévoit un régime d’autorisation auprès de la CNIL pour mettre en œuvre un traitement de données à caractère personnel dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent. Il prévoit également la réalisation d’une enquête administrative sur la personne responsable du traitement ainsi que sur les personnes accédant aux données comportant la qualité de militaire. Enfin, des prescriptions techniques peuvent être imposées aux opérateurs privés concernés par le dispositif.

 Dans un souci d’allègement des formalités préalables et des sujétions imposées aux opérateurs privés, le présent amendement remanie ce dispositif pour le rendre plus efficace et opérationnel.

 Conformément à l’article 5.1 du RGPD, le responsable d’un traitement ne pourra conserver la mention de la qualité de militaire des personnes dont les données sont traitées que si celle-ci est strictement nécessaire à l’une des finalités du traitement. Une campagne de sensibilisation des opérateurs privés sera à ce titre réalisée par le ministère des armées.

 Pour les traitements dont la mention de la qualité de militaire est strictement nécessaire à l’une des finalités de ces traitements, les responsables de traitement seront uniquement tenus d’informer le ministre compétent de leur mise en œuvre et ne seront plus soumis à un régime d’autorisation ou de déclaration auprès de la CNIL. En outre, et à la différence du dispositif actuel, l’obligation d’information ne pèsera pas sur les collectivités territoriales et leurs groupements, pas davantage que sur les associations à but non lucratif.

Par ailleurs, le ministère des armées pourra le cas échéant décider de s’assurer de la sécurité des traitements en cause en procédant à une enquête administrative sur les personnes accédant aux données personnelles de militaires, sans que cette enquête ne soit désormais une obligation.

Ce projet d’article entend ainsi concilier l’impératif de sécurité des militaires qui a prévalu à la mise en œuvre de ce dispositif et l’objectif d’allègement des obligations pesant sur les opérateurs privés.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 95

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Favorable
Adopté

Le Gouvernement


ARTICLE 14


Alinéa 2

Rédiger ainsi cet alinéa :

« Art. 10. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Objet

La commission des lois a modifié l’alinéa 2 de l’article 14 du projet de loi. La nouvelle rédaction prévoit qu’ « Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l'article 4 du règlement … ».

Or, interdire toute décision de justice fondée sur le profilage est plus restrictif que ce prévoit la loi actuelle qui indique qu’ : « Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité. »

Dès lors, la rédaction issue de la commission des lois est moins protectrice que le droit actuel à savoir interdire toute décision de justice fondée sur un traitement automatisé de données à caractère personnel. Le présent amendement se borne à reprendre l’alinéa 1er de l’article 10 en vigueur aujourd’hui.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 96

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 14


Alinéa 5

Rédiger ainsi cet alinéa :

« 2° Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des relations entre le public et l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard ;

Objet

Le présent amendement rétablit le texte dans la version équilibrée, issue de l’Assemblée nationale, permettant le recours à des décisions prises sur le fondement d’un traitement algorithmique tout en offrant les garanties nécessaires pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée.

Compte tenu de leur caractère déterminant, il est important que ces garanties de transparence et d’intervention humaine figurent explicitement dans le texte de la loi Informatique et libertés, y compris l’obligation de maîtrise ainsi que son explicitation, en lien avec l’avis rendu par la CNIL sur cet article.

Il n'est pas nécessaire de rappeler par la loi que les décisions doivent respecter strictement les dispositions légales ou règlementaires en vigueur et que, partant, ce doit être également le cas des traitements algorithmiques mis en œuvre pour prendre ces décisions.

 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 97

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 14


Alinéa 6

Supprimer cet alinéa.

Objet

Cet alinéa n’est pas conforme au règlement : pour les actes visés au 3°, aucune garantie n'est prévue alors même que ces actes affectent significativement les personnes.

En effet, l’article L. 311-3-1 du code des relations entre le public et l’administration qui impose l’information détaillée de la personne concernée est applicable sous réserve du 2° de l'article L. 311-5, qui prévoit la non communicabilité des documents administratifs dont l’accès porterait notamment atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature ou au déroulement des procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, sauf autorisation.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 98

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 14


Alinéa 8

Supprimer cet alinéa.

Objet

Si le Gouvernement partage pleinement l’objectif de faire appliquer l’article L. 311-3-1 du code des relations entre le public et l’administration, il n’est pas favorable à ce que l’absence de mention dans la décision conduise immédiatement à la nullité de cette dernière, ce qui serait disproportionné. Il lui semble, d’une part, que ce point doit être laissé à l’appréciation du juge et il note, d’autre part, qu’il n’existe pas de précédent de ce type, en matière d’obligations d’éditique.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 99

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 14


Alinéa 9

Supprimer cet alinéa

Objet

Le présent amendement a pour objet de supprimer l’alinéa 9 introduit en commission. Cet alinéa supprime le dernier alinéa du I de l’article L. 612-3 du code de l’éducation dans sa nouvelle rédaction issue de la loi n° 2018-166 du 8 mars 2018 relative à l’orientation et à la réussite des étudiants.

Cette disposition a été introduite par un amendement du Gouvernement en séance publique au Sénat. Il s’agit de garantir aux candidats à une formation de premier cycle un accès spécifique et individualisé aux documents administratifs qui, sans compromettre le principe du secret des délibérations de la commission d’examen des candidatures, lui permettra de comprendre les critères et les motifs de la décision prise par le chef d’établissement.

La commission des lois a considéré, au contraire, que cette disposition, à la lumière des autres dispositions du présent projet de loi, ouvre la voie à une prise de décision par des algorithmes locaux sans aucune intervention humaine.

Le Gouvernement ne partage pas cette position.

En premier lieu, les dispositions de la loi « orientation et réussite des étudiants » ont été conçues de manière à imposer une intervention humaine dans le traitement des dossiers des candidats dans le prolongement de la décision du 25 septembre 2017 de la CNIL sur le système APB.

En outre, la loi du 9 mars 2018 instaure, pour départager les candidats, un critère difficilement traduisible en masse par un algorithme : la cohérence entre le profil du candidat et les attendus de la formation demandée. Ce critère, qui a été reconnu comme objectif par le Conseil d’Etat puis par le Conseil constitutionnel n’est pas quantifiable dès lors qu’il laisse une large part à l’appréciation de la motivation des candidats dans le choix des équipes pédagogiques. Dans ces conditions, il ne saurait être mis en œuvre uniquement par un algorithme d’affectation. Une intervention humaine, en l’espèce la délibération de l’équipe pédagogique, est donc incontournable.

Ensuite, l’article L. 612-3, dans sa nouvelle rédaction, prévoit à la fois la personnalisation des cursus et l’instauration de dispositifs d’accompagnement pédagogique qui doivent être adaptés aux profils des candidats. Là encore, un algorithme ne saurait se substituer à l’appréciation portée par les équipes pédagogiques sur le profil du candidat et sur l’utilité des dispositifs proposés dans chaque établissement, ces accompagnements pouvant évoluer d’une année sur l’autre selon la politique conduite par ces établissements. Dans ces conditions, les établissements ne peuvent faire l’économie, au profit d’un traitement automatisé, d’une appréciation personnelle des candidatures transmises.

Le recours, le cas échéant, à des algorithmes locaux, par les équipes pédagogiques est néanmoins possible afin de les assister dans le travail d’examen des candidatures mais il ne saurait pour autant exclure toute délibération des équipes pédagogiques. C’est d’ailleurs précisément l’objet du dernier alinéa du I de l’article L. 612-3 que de vouloir consacrer l’intervention systématique des équipes pédagogiques dans le traitement des candidatures des bacheliers tout en préservant le secret qui s’attache traditionnellement et nécessairement à leurs délibérations. 

Par ailleurs, cette disposition se borne en effet à tirer les conséquences du principe général du secret des délibérations que le Conseil d’Etat a consacré dans sa décision du 17 février 2016. L’alinéa dont la suppression a été votée en commission des lois a donc pour objectif d’instaurer un équilibre entre l’existence d’une délibération des équipes pédagogiques qui ne se confond pas avec le recours à un traitement automatisé local et la protection du secret de leurs délibérations. Dans ces conditions, la suppression de cet alinéa est contraire à son intention puisqu’il supprime également la mention du rôle joué par les équipes pédagogiques. 

Enfin, et en vue de se prémunir contre d’éventuelles dérives, la loi du 9 mars 2018 a institué un comité éthique et scientifique qui a vocation à prévenir ce type de risque et à garantir un traitement humain des dossiers et un haut niveau de protection des candidats.

Dans ces conditions et malgré la faculté ouverte par le présent projet de loi de prendre des décisions sur le fondement d’un traitement automatisé, il apparait que la procédure de traitement des dossiers des candidats pour l’accès aux formations dans le premier cycle ne saurait exclure toute intervention humaine et ouvrir ainsi la voie à la constitution d’un « nouvel APB ».

En outre, la suppression du dernier alinéa du I de l’article 612-3 du code de l’éducation fragiliserait le rôle de la délibération des équipes pédagogiques.

Dès lors, la suppression de cet alinéa qui a été votée en commission des lois ne répond pas à l’objectif que leurs auteurs entendent poursuivre.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 100

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Retiré

Le Gouvernement


ARTICLE 16


Alinéa 3

Supprimer cet alinéa.

Objet

Amendement de cohérence avec l’amendement du Gouvernement concernant l’article 16 A (suppression de l’agrément des associations).






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 101

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 16 A


I. - Alinéas 7 à 10

Supprimer ces alinéas.

II. – Alinéa 11

Rédiger ainsi cet alinéa :

2° Le IV est complété par un alinéa ainsi rédigé :

III. – Alinéa 12

Rédiger ainsi le début de cet alinéa :

« Lorsque l’action …

Objet

Le présent amendement a pour objet de supprimer la condition d’agrément, introduite par la commission, pour les associations souhaitant exercer une action de groupe en matière de protection des données personnelles.

Subordonner l’exercice d’une action de groupe à un agrément permettant d’attester par exemple la représentativité d’une association constitue une exigence supplémentaire contraire à la lettre du règlement (UE) 2016/679. Son article 80.1 qui mentionne les organismes, organisations ou associations à but non lucratif qui ont été « valablement constitué conformément au droit d'un État membre » ne conditionne pas le mandatement en vue de l’exercice d’une action de groupe aux seules associations agréées.

Par ailleurs, cette condition supplémentaire a pour effet d’entraver la possibilité d’exercer des actions de groupe alors même que la pratique a montré que très peu d’action de groupe avait été initiée. La crainte d’un déferlement d’actions en réparation n’est pas fondée.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 102

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 17 BIS


Rédiger ainsi cet article :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

Objet

Le présent amendement concilie le souhait des parlementaires de donner sa pleine efficacité au consentement prévu par le Règlement, dans le cas notamment des terminaux mobiles, et le respect des normes européennes et nationales.

En effet, la rédaction actuelle du 17 bis porte atteinte à la liberté contractuelle puisqu’elle interdirait à tout éditeur d’application de conclure un accord avec un fabricant de smartphone pour une exposition préférentielle de son application (affichage par défaut), notamment des accords avec partage de rémunération, présentant un intérêt pour les deux parties. Elle est également susceptible, par les charges qu’elle ferait peser sur les entreprises de porter atteinte à la libre prestation des services.

En outre, au plan concurrentiel, cette rédaction qui a une portée générale et symétrique, s’appliquerait aux applications de Google comme à celle d’un éditeur nouvel entrant, qui ne pourrait conclure un accord d’exposition préférentielle avec un fabricant de smartphone, alors même que cet accord pourrait l’aider à entrer sur le marché et aurait donc des effets pro-concurrentiels.

Le présent amendement s’appuie sur le considérant 78 du règlement selon lequel : « La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. (…) Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. »

En délimitant clairement le champ d’application (traitements fondés sur le consentement et responsable de traitement, couvert par le règlement, à l’exclusion des tiers), la rédaction s’inscrit aussi dans la logique de responsabilisation du Règlement, en abandonnant la sanction a priori du contrat, au profit de l’obligation pour le responsable d’être en mesure de démontrer les mesures qu’il prend pour se conformer aux obligations en matière de consentement.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 103

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19


Alinéa 12

Supprimer cet alinéa.

Objet

Le présent amendement vise à supprimer l’obligation, ajoutée en commission des lois, d’une autorisation préalable de la Commission nationale de l’informatique et des libertés pour tout traitement non mis en œuvre par l’Etat dans le champ de la directive.

En effet, cette autorisation préalable n’est nullement exigée par l’article 28 de la directive qui prévoit des garanties suffisantes pour la protection des droits et des libertés des personnes concernées par ces traitements.

Ainsi pour ces traitements, l’article 70-4 du projet de loi, qui transpose strictement la directive, impose la réalisation d’une analyse d’impact dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment chaque fois qu’il porte sur des données sensibles.

La consultation de la Commission nationale de l’informatique et des libertés est en outre exigée dès lors que le traitement, au regard des conclusions de cette analyse d’impact ou en raison de l’utilisation de nouvelles technologies, est susceptible de présenter des risques élevés pour les libertés et droits des personnes concernés.

Dès lors, le présent projet de loi n’affaiblit nullement la protection des données à caractère personnel.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 104

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 19


Alinéa 13

Supprimer les mots :

, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité

Objet

Le présent amendement vise à supprimer le renvoi opéré au règlement pour définir le contenu de l’analyse d’impact devant être réalisée préalablement au traitement par le responsable.

En effet, le contenu de l’analyse d’impact exigé par l’article 27 de la directive diffère de celui prévu par le règlement.

Ainsi la directive n’impose pas une description systématique des finalités du traitement, ni une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de ces finalités.

Le contenu de l’analyse d’impact, de nature réglementaire, sera précisé dans le décret.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 105

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19


Alinéas 26 à 28

Rédiger ainsi ces alinéas :

« Art. 70-9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.

« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.

Objet

Pour les mêmes motifs que l’amendement portant sur l’article 14 du projet, le Gouvernement souhaite revenir au texte initial sur les traitements automatisés.

Interdire toute décision de justice fondée sur le profilage est en effet plus restrictif, et dès lors moins protecteur, qu’interdire toute décision de justice fondée sur un traitement automatisé de données à caractère personnel.

En outre, les précisions apportées au profilage discriminatoire apparaissent à la fois insuffisantes, car elles ne renvoient pas à la totalité des dispositions pénales applicables aux discriminations, et peu lisibles du fait de la multiplication des renvois.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 106

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19


Alinéa 34, seconde phrase

Après le mot :

vérifie

insérer les mots :

, dans la mesure du possible,

Objet

Le présent amendement vise à rétablir l’obligation de moyen, et non de résultat, imposée par la directive aux autorités compétentes en matière de vérification des données avant de transmettre celles-ci à un tiers.

En effet, l’article 7§2 de la directive prévoit expressément que chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Lors d’une telle transmission de données, sont également ajoutées, dans la mesure du possible, toute information permettant au destinataire de juger de leur fiabilité et de leur niveau de mise à jour.

Imposer une obligation de résultat aux autorités compétentes est incontestablement disproportionné. Elle implique par exemple que la transmission de bonne foi d’une donnée qui ne serait plus à jour, y compris dans les cas où l’autorité compétente ne pouvait le savoir, pourrait faire l’objet de sanction de la Commission nationale de l’informatique et des libertés et de sanctions pénales.

Du reste, l’article 70-11 du projet de loi prévoit, conformément à la directive, que dès qu’elle prend connaissance de l’inexactitude de la donnée transmise, l’autorité compétente doit en aviser le destinataire.

Dans sa rédaction adoptée par l’Assemblée, cet article correspondait à l’exacte transposition de la directive et il n’y avait donc pas de raison de le modifier.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 107

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19


Alinéa 37

Après le mot :

établit

insérer les mots :

dans la mesure du possible et le cas échéant

Objet

Pour les mêmes motifs que l’amendement précédent, le présent amendement vise à rétablir dans l’article 70-12 l’obligation de moyen, et non de résultat, imposée aux responsables de traitement dans la distinction des données en fonction de différentes catégories de personnes concernées.

Lors du traitement de ces données, le responsable du traitement devra ainsi tout mettre en œuvre pour les distinguer selon que la personne concernée est mise en cause dans une procédure pénale, coupable, victime ou tiers à une infraction pénale.

En effet, l’article 6 de la directive prévoit expressément que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées.

En outre, il apparaît excessif de pouvoir reprocher un manquement à un responsable de traitement qui n’aurait pas été immédiatement informé de ce que la personne initialement mise en cause dans une procédure était en réalité, après des investigations plus poussées, tiers à l’infraction pénale.

Dans sa rédaction adoptée par l’Assemblée, l’article 70-12 correspondait à l’exacte transposition de la directive et il n’y avait donc pas de raison de le modifier.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 108

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19


Alinéas 87 et 89

Supprimer les mots :

, et au bout d’un mois maximum,

Objet

Le présent amendement vise à supprimer dans l’article 70-20 le délai d’un mois imposé au responsable de traitement pour rectifier ou effacer des données à caractère personnel qui a été ajouté par la Commission des lois.

En effet, l’article 16 §1 et §2 de la directive prévoit que la personne concernée a le droit d’obtenir du responsable de traitement la rectification ou l’effacement de ses données dans les meilleurs délais, sans que ne soit fixé un délai butoir.

Par ailleurs, les délais de réponse aux demandes formées sur le fondement de la loi informatique et libertés ne sont pas prévus dans la loi mais par le décret du 20 octobre 2005.

Enfin, ce délai d’un mois risque de poser des difficultés pratiques, dès lors que son point de départ n’est nullement précisé, et qu’un mois paraît bien trop court pour permettre au responsable de traitement d’obtenir les informations nécessaires au traitement de la demande puis de procéder aux rectifications ou effacements nécessaires.

Ce délai d’un mois ne correspond du reste pas au délai imparti au responsable de traitement pour répondre aux demandes de rectification ou d’effacement adressées en application des articles 38 à 40 de la loi informatique et libertés, qui est de deux mois.

De même, un tel délai paraît incohérent au regard du délai de deux mois prévu de manière générale, par l’article 802-1 du code de procédure pénale, pour répondre à toute demande adressée au ministère public ou à une juridiction.

Dans sa rédaction adoptée par l’Assemblée, l’article 70-20 correspondait à l’exacte transposition de la directive et il n’y avait donc pas lieu de le modifier. Le délai de réponse du responsable de traitement aux demandes formées pourra être fixé dans le décret.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 109

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19


Alinéa 110

Remplacer les mots :

et de former un recours juridictionnel

par une phrase ainsi rédigée :

Hors le cas prévu au 1° du II, il l’informe également de la possibilité de former un recours juridictionnel.

Objet

Cet amendement vise à rétablir la stricte transposition de la directive dans le cadre de l’information donnée par le responsable de traitement sur la possibilité de former un recours.

En effet, la directive n’impose au responsable du traitement d’informer la personne concernée de cette possibilité de former un recours juridictionnel que dans le cadre des droits d’accès et de rectification ou d’effacement aux termes des articles 15§3 et 16§4, et non dans le cadre du droit à l’information prévu par l’article 13.

Une telle précision ne vient par ailleurs nullement réduire les garanties offertes à la personne concernée en cas de restriction de son droit à l’information.

Dans ce cas, la personne concernée pourra en effet exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés puis en cas de refus de sa demande par cet intermédiaire, former un recours juridictionnel.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 110

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19 BIS


Supprimer cet article.

Objet

Le présent amendement supprime l’article 19 bis, introduit lors de l’examen en commission et créant une dotation à destination de toutes les communes et de tous les établissements publics de coopération intercommunale à fiscalité propre au titre des charges supportées pour se mettre en conformité avec les obligations qui leur incombent en application du règlement européen sur la protection des données.

En premier lieu, rien ne permet d’assurer qu’une telle dotation répondrait aux objectifs ayant présidé à sa création. En effet, il est difficile, en l’absence d’études préalables dédiées, d’estimer avec précision les éventuels coûts supportés par les collectivités locales en application du règlement européen ni de savoir comment les besoins d’accompagnement – et la nature concrète de ces derniers - seront répartis entre elles. Ainsi, cette nouvelle dotation, d’un montant financier élevé estimé à 170 millions d’euros, n’apporte aucune garantie quant à une prise en charge effective des besoins des collectivités. De plus, ses critères d’attribution – à l’ensemble du bloc communal et en fonction de seuls critères de population – suscitent des doutes quant à l’équité d’un versement de cette nature.

En second lieu, cette dotation entrerait dans le périmètre des concours financiers tel défini à l’article 16 de la loi de programmation des finances publiques pour les années 2018 à 2022 et qui comprend les prélèvements sur recettes. Or, ce même article a prévu un plafond annuel du montant de l’ensemble des concours financiers de l’Etat aux collectivités locales. Ce plafond est globalement stable jusqu’en 2022. Dès lors, la création d’un concours financier d’un montant de 170 millions d’euros conduirait mécaniquement à devoir baisser d’un montant similaire les autres concours financiers de l’Etat aux collectivités et ce afin de pouvoir respecter le plafond prévu par la loi de programmation.

Les concours susceptibles d’être baissés à ce titre sont, par exemple, les dotations de soutien à l’investissement local, la dotation globale de fonctionnement ou bien encore la dotation de compensation de la réforme de la taxe professionnelle. Il s’agit soit de supports de priorités gouvernementales et nationales, à l’instar du soutien à l’investissement local, soit de dotations libres d’emploi et garantes de la libre administration des collectivités locales.

L’accompagnement par l’Etat dans la mise en œuvre du règlement européen relatif à la protection des données doit être adapté aux besoins de chaque collectivité. Il n’implique dès lors pas nécessairement un soutien financier, a fortiori si ce dernier devait se faire au détriment du soutien par l’Etat d’autres politiques publiques prioritaires portées par le secteur local.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 111

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 20 (SUPPRIMÉ)


Rétablir cet article dans la rédaction suivante :

I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires :

1° À la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ;

2° Pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;

3° À l’adaptation et à l’extension à l’outre-mer des dispositions prévues aux 1° et 2° ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la même loi du 6 janvier 1978 relevant de la compétence de l’État.

II. – Cette ordonnance est prise, après avis de la Commission nationale de l’informatique et des libertés, dans un délai de six mois à compter de la promulgation de la présente loi.

III. – Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l’ordonnance.

Objet

La commission des lois a supprimé l’article d’habilitation proposé par le Gouvernement et adopté par l’Assemblée nationale.

Le présent amendement a pour objet de rétablir cet article.

Dans le respect des prérogatives du Parlement, le Gouvernement a décidé de déposer un projet de loi permettant de mettre en œuvre le règlement européen et de transposer la directive, sans solliciter d’ordonnance pour ce faire. Les assemblées sont donc saisies des dispositions législatives nécessaires pour assurer la conformité de notre droit national à cette nouvelle réglementation européenne et aucun des choix politiques ou juridiques pour ce faire n’est ainsi soustrait à l’appréciation du Parlement.

Le Gouvernement souhaite naturellement que soit respectée l’échéance du 25 mai 2018, date à laquelle le règlement européen est applicable. C’est pourquoi, il a fait le choix d’un texte le resserré et non une réécriture de l’ensemble de la loi de 1978, pour ne procéder qu’aux seuls ajustements rendus nécessaires par la mise en conformité.

Le présent projet de loi procède par ailleurs d’une problématique légistique nouvelle et complexe : il s’agit de tirer les conséquences d’un règlement (UE) 2016/679 d’application directe, et d’une directive (UE) 2016/680, dont les dispositions doivent être transposées dans la loi, alors que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, intrinsèquement liées.

C’est la raison pour laquelle le Gouvernement sollicite du parlement une habilitation pour « codifier » les modifications apportées à notre droit par le projet de loi, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique. Il ne s’agira aucunement de revenir sur les choix que le Parlement sera amené à faire lors du vote du texte. Non seulement le Gouvernement s’y engage mais cet engagement résulte des termes mêmes de l’habilitation. Le Conseil d'Etat, dans son avis sur le projet de loi, a validé cette démarche, tout en réduisant le délai d'habilitation à six mois.

L’habilitation sollicitée permettra d’adopter un plan clair, avec un titre premier rappelant les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre deuxième consacré au champ du règlement (UE) 2016/679, un titre troisième à la directive (UE) 2016/680 et un titre quatrième aux dispositifs hors du champ de l’Union.

L’ordonnance permettra également de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel afin d‘« apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ».

La démarche adoptée par le Gouvernement consiste donc à soumettre au Parlement les questions posées par la transcription dans notre droit des nouvelles règles européennes sans avoir à employer son temps que l’on sait précieux à opérer une codification qui ne pourra qu’intervenir à droit constant compte tenu de l’habilitation et de la nécessité d’offrir aux citoyens un cadre juridique stable et lisible.

 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 112

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 20 BIS (SUPPRIMÉ)


Rétablir cet article dans la rédaction suivante :

I. – Le livre II du code de la consommation, dans sa rédaction résultant de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, est ainsi modifié :

1° La sous-section 4 de la section 3 du chapitre IV du titre II est abrogée ;

2° Au premier alinéa de l’article L. 242-20, la référence : « L. 224-42-3 » est supprimée.

II. – Le II de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique est abrogé.

Objet

L’amendement CL 24 adopté en commission des lois revient sur l’article 20 bis voté à l’Assemblée nationale. Cet article avait pour objet d’abroger les dispositions insérées dans le code de consommation par l’article 48 de la loi du 7 octobre 2016 pour une République numérique.

Cet article 48, qui devait entrer en vigueur le 25 mai 2018, vise à permettre au consommateur de récupérer les fichiers qu’il a mis en ligne, les données résultant de l’utilisation de son compte d’utilisateur et consultables en ligne par celui-ci, ainsi que d’autres données associées à son compte utilisateur sous certaines conditions.

Ces dispositions sont devenues sans objet et sources de confusion.

En effet, une telle portabilité des données a été instaurée par l’article 20 du RGPD. Ce nouveau droit européen, qui couvre les données personnelles, couvre toutes les données qui avaient été visées par le législateur dans le cadre de l’article 48 de la loi du 7 octobre 2016.

Cette a été confirmé les lignes directrices relatives au droit à la portabilité des données qui ont été adoptées par le Groupe de travail « article 29 » sur la protection des données (organe consultatif européen sur la protection des données).

En outre, le RGPD prévoit des modalités de portabilité plus aisées pour les consommateurs que celles prévues par le droit national.

Les dispositions issues de l’article 48 de la loi du 7 octobre 2016 doivent donc être supprimées pour des raisons de cohérence et de sécurité juridique, notamment pour les opérateurs économiques. Une telle suppression ne vise aucunement à priver les consommateurs d’un droit dès lors que celui-ci est désormais consacré au niveau européen.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 113

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 22


Compléter cet article par un paragraphe ainsi rédigé :

... – Par dérogation au I de l’article 22 de la loi n° 78-17 du 6 janvier 1978 précitée, la mise en œuvre des traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques qui ont été autorisés avant le 25 mai 2018 en application des articles 25 et 27 de la même loi, dans leur rédaction antérieure à la présente loi, ne sont pas soumis à l’obligation d’être mentionnés dans le décret prévu au premier alinéa de l’article 22 précité, sauf modification de ces traitements et au plus tard jusqu’au 25 mai 2020. Ces traitements restent soumis à l’ensemble des autres obligations découlant de ladite loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Objet

L’article 87 du règlement 2016/679 (UE) prévoit que les Etats membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national, ce dernier pouvant être utilisé sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. Dans ce cadre, l’article 9 du projet de loi instaure une formalité préalable particulière pour les traitements qui nécessitent l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR). Ce type de traitements est ainsi autorisé par un décret, pris après avis motivé et publié de la CNIL, qui définit des catégories de responsables de traitement et les finalités pour lesquelles les traitements peuvent être mis en œuvre.

Ce décret-cadre a vocation à recenser l’ensemble des traitements existants utilisant le NIR. Le présent amendement prévoit, dans un objectif de sécurité juridique, que les traitements qui n’auraient pas été repris dans le décret-cadre ne deviendront pas illégaux au 25 mai 2018 de ce seul fait. Ainsi, les traitements qui ont été autorisés par acte règlementaire (article 27) ou par la CNIL (article 25) avant le 25 mai 2018, ne sont pas soumis, jusqu'à leur modification et au plus tard jusqu’au 25 mai 2020, à l'obligation d'être mentionnés dans le décret-cadre.

L’amendement précise enfin que, quand bien même ces traitements auraient été autorisés avant le 25 mai 2018, ils restent soumis, en tout état de cause, à l’ensemble des autres obligations découlant de la loi et du règlement (UE) 2016/679.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 114

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 23


Alinéa 3, troisième phrase

Supprimer cette phrase.

Objet

Le principe de l’effacement de droit des données dont la conservation est interdite est posé par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Son article 6 dispose notamment que les données à caractère personnel sont collectées et traitées de manière loyale, licite et pour des finalités déterminées. Son article 40 prévoit que toute personne physique peut exiger du responsable du traitement que soient effacées les données à caractère personnel la concernant dont la collecte, l’utilisation, la communication ou la conservation est interdite.

L’article 230-7 du code de procédure pénale (CPP) précise de manière limitative, les catégories de données qui sont susceptibles de figurer au TAJ, et qui sont relatives soit aux personnes mises en cause comme auteur ou complice,  aux victimes, aux personnes disparues ou décédées. Par suite, les données qui ne relèvent pas de ces catégories ne peuvent être inscrites dans le TAJ.

L’effacement des données relevant d’autres catégories que celles prévues à cet article est évidemment de droit, sans nécessité d’autre fondement légal que la loi du 6 janvier 1978. Comme l’a rappelé le Conseil d’État dans son avis n° 395119 du 30 mars 2016, « saisis d'une demande d'effacement de données qui ne sont pas au nombre de celles que l'article 230-7 du CPP autorise à collecter dans le traitement des antécédents judiciaires, le procureur de la République ou le magistrat référent mentionné à l'article 230-9 du même code, désignés par la loi pour contrôler le fichier, sont tenus d'en ordonner l'effacement. »

Affirmer un droit à l’effacement spécifique au traitement des antécédents judiciaires (TAJ) conduit à créer une disposition législative spéciale alors qu’elle ne déroge pas au droit commun qui pose déjà le principe selon lequel les données collectées sans lien avec le traitement dans lequel elles sont enregistrées doivent être effacées.

Procéder à un tel ajout est par ailleurs inopportun et est susceptible de générer un a contrario, sauf à devoir modifier l’ensemble des traitements autorisés pour rappeler ce principe.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 115

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 23


I. – Alinéa 3, quatrième phrase

Remplacer les mots :

d’un

par les mots :

de deux

II. – Alinéa 5

Rétablir le I bis dans la rédaction suivante :

I bis. – À la dernière phrase du deuxième alinéa de l’article 230-9 du code de procédure pénale, les mots : « d’un » sont remplacés par les mots : « de deux ».

Objet

Cet amendement vise à rétablir l’allongement d’un à deux mois du délai de réponse des magistrats compétents pour traiter des demandes de rectification ou d’effacement des données inscrites au Traitement des antécédents judiciaires (TAJ).

En effet, la plupart des parquets ne sont actuellement pas en mesure de respecter le délai d’un mois.

En outre, comme le rappelle l’étude d’impact, cette extension du délai se justifie par la très probable augmentation du nombre de demandes qui résultera des possibilités nouvelles d’effacement anticipé permises par le projet de loi en l’absence de mention au bulletin n°2 du casier judiciaire.

Enfin, ce délai de deux mois correspond au délai imparti au responsable de traitement pour répondre aux demandes d’accès et d’effacement fondées sur les articles 38 à 40 de la loi informatique et libertés de 1978 par l’article 94 du décret du 20 octobre 2005.

Il correspond également au délai de réponse prévu de manière générale par l’article 802-1 du code de procédure pénale pour toute demande adressée au ministère public ou à une juridiction.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 116

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 23


Alinéa 3, neuvième phrase

Remplacer les mots :

sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention

par les mots :

font l’objet d’une mention, sauf si le procureur de la République ordonne l’effacement des données personnelles

Objet

Le présent amendement vise à supprimer le principe d’un effacement des décisions de non-lieu et de classement sans suite au Traitement des antécédents judiciaires (TAJ), sauf décision contraire du procureur de la République en faveur d’une mention.

Il tend ainsi à rétablir le principe d’une mention de ces décisions au TAJ, sauf décision d’effacement du procureur.

En effet, la situation des personnes ayant fait l’objet d’un classement sans suite ou d’une décision de non-lieu ne peut pas être assimilée aux personnes ayant bénéficié d’une décision définitive de relaxe ou d’acquittement.

Si une telle décision définitive de relaxe ou d’acquittement interdit toute nouvelle poursuite pour les mêmes faits, tel n’est pas d’un classement sans suite ou d’un non-lieu.

Le classement sans suite ne résulte pas nécessairement d’une absence totale d’infraction ou d’une insuffisance de charges, mais peut aussi résulter de l’exécution d’une mesure alternative aux poursuites, y compris une médiation ou une composition pénale, autrement dit être décidé en présence d’éléments à charge.

De plus, dans le cas d’un classement sans suite, même motivé par l’absence d’infraction ou par une insuffisance de charges, le procureur de la République peut, à tout moment tant que l’action publique n’est pas prescrite, réengager des poursuites.

De même, aux termes de l’article 188 du code de procédure pénale, la personne mise en examen ayant bénéficié d’un non-lieu à l’issue de l’instruction peut être recherchée à l'occasion du même fait s’il survient de nouvelles charges.

Enfin, le dispositif proposé n’obère pas la situation de la personne concernée, dès lors que l’inscription d’une mention au fichier exclut l’accès à ses données personnelles dans le cadre d’enquêtes administratives et le restreint aux seules finalités judiciaires.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 117

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Favorable
Adopté

Le Gouvernement


ARTICLE 13


Après l’alinéa 46

Insérer douze alinéas ainsi rédigés :

« Art. 64 – Dans le respect des missions et pouvoirs de la Commission nationale de l’informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d’audit du système national des données de santé est institué. Ce comité d’audit définit une stratégie d’audit puis une programmation dont il informe la commission. Il fait réaliser des audits sur l’ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d’étude ou d’évaluation et sur les systèmes composant le système national des données de santé.

« Le comité d’audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale de l’assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l’Institut national des données de santé, ainsi qu’une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l’informatique et des libertés, ou son représentant, peut y assister en tant qu’observateur.

«  Les audits, dont le contenu est défini par le comité d’audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d’audit de systèmes d’information et de leur indépendance à l’égard de l’entité auditée.

« Le prestataire retenu soumet au président du comité d’audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

« Les missions d’audit s’exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l’autorité et en présence d’un médecin, s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé.

« Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d’audit, le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l’informatique et des libertés.

« Si le comité d’audit a connaissance d’informations de nature à révéler des manquements graves en amont ou au cours d’un audit ou en cas d’opposition ou d’obstruction à l’audit, un signalement est adressé sans délai par le président du comité d’audit au président de la Commission nationale de l’informatique et des libertés.

« Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d’information audités.

« Si la mission constate, à l’issue de l’audit, de graves manquements, elle en informe sans délai le président du comité d’audit qui informe sans délai le président de la Commission nationale de l’informatique et des libertés et le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique.

« En cas d’urgence, le directeur général de la Caisse nationale d’assurance maladie peut suspendre temporairement l’accès au système national des données de santé avant le terme de l’audit s’il dispose d’éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la Commission. Le rétablissement de l’accès ne peut se faire qu’avec l’accord de ce dernier au regard des mesures correctives prises par l’entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l’informatique et des libertés.

« Le rapport définitif de chaque mission est transmis au comité d’audit, au président de la Commission nationale de l’informatique et des libertés et au responsable du traitement audité.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement, ainsi que les modalités de l’audit.

Objet

Les systèmes réunissant, organisant et mettant à disposition tout ou partie des données du Système national des données de santé (SNDS) et de ses composantes à des fins de recherche, d'étude ou d'évaluation représentent, à ce jour, près de 300 bases. En l’état actuel de la législation, la seule autorité de contrôle habilitée à auditer toutes ces bases est la Commission nationale de l’informatique et des libertés. Au regard des enjeux de sécurité qui pèsent sur ces données, l’objectif de l’article 64 du projet de loi relatif à la protection des données personnelles est de développer une politique d’audit pilotée par l’Etat, complémentaire aux contrôles pilotés par la Commission, permettant ainsi de démultiplier le nombre des contrôles visant la sécurisation du processus de mise à disposition des données de santé.

La mise en place d’une politique d’audit propre aux traitements réalisés avec le SNDS à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé participe directement de la crédibilité de l’ensemble du dispositif. Les opérations de contrôle ne sont que la juste contrepartie de l’ouverture de l’accès à des données sensibles. Elles doivent permettre de garantir le bon usage et la sécurité de ces données, en vérifiant notamment que la règlementation est respectée, que la finalité des traitements est conforme à ce qui a été annoncé, et que le référentiel de sécurité est appliqué.

Pour ce faire, dans le cadre de la gouvernance du système national des données de santé, le comité stratégique « données de santé » a décidé la création d’un comité d’audit piloté par le Haut fonctionnaire de défense et de sécurité des ministères sociaux. Ce comité d’audit est chargé d’établir un programme de contrôle et d’en suivre l’exécution.

Il convient de préciser qu’en cas d’urgence, le directeur de la CNAM, responsable du traitement du SNDS en vertu de l’article L.1461-1-II du code de la santé publique, peut suspendre temporairement l’accès au SNDS.

 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 118

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 19 TER


Supprimer cet article.

Objet

Le présent amendement supprime l’article 19 ter, introduit lors de l’examen en commission, lequel modifie la rédaction des articles L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales (CGCT).

Le Gouvernement est naturellement favorable au développement des formes de mutualisation entre les collectivités territoriales et leurs groupements. Néanmoins la rédaction de l’article 19 ter présente plusieurs inconvénients au regard de l’objectif louable poursuivi.

A titre liminaire, il convient de relever que cet article modifie l’économie des dispositifs de mutualisation entre des collectivités territoriales et leurs groupements. On peut s’interroger sur le lien qu’il présente avec le texte en discussion relatif à la protection des données.

Sur le fond, il opère des modifications qui posent des difficultés au regard des objectifs d’intégration communautaire.

Premièrement, ce nouvel article vient modifier la deuxième phrase du troisième alinéa de l’article L. 5111-1 du CGCT afin de permettre la conclusion, d’une part, de conventions de prestations de services entre des communes et des syndicats intercommunaux, et, d’autre part, entre une commune et un syndicat mixte.

L’article 19 ter concourt ainsi au maintien d’un syndicat inclus dans un EPCI à fiscalité propre, au lieu de privilégier des transferts de compétences du syndicat au bénéficie de l’EPCI à fiscalité propre dont sont membres les communes contractantes. Ainsi, par cet article, la loi encouragerait de telles formules alors qu’au travers des schémas départementaux de coopération intercommunale, des lois de réforme des collectivités territoriales (RCT) de 2010 et Nouvelle organisation territoriale de la République (NOTRe) de 2015, le législateur a souhaité à l’inverse renforcer l’intégration communautaire et la diminution du nombre de syndicats.  

Deuxièmement, ce nouvel article 19 ter vient modifier la première phrase du III de l’article L. 5111-1-1, en en étendant le bénéfice aux communes et à leurs groupements.

Cet alinéa débuterait désormais ainsi : « Les communes et leurs groupements, les départements, la métropole de Lyon, les régions, leurs établissements publics et les syndicats mixtes visés à l'article L. 5721-2 auxquels ils appartiennent peuvent, notamment par la création d'un syndicat mixte, se doter d'un service unifié ayant pour objet d'assurer en commun des services fonctionnels. Les services fonctionnels se définissent comme des services administratifs ou techniques concourant à l'exercice des compétences des collectivités intéressées sans être directement rattachés à ces compétences ».

Ces assouplissements envisagés sont également de nature à aller à l’encontre de la logique de l’intégration communautaire, les transferts de compétences constituant le mode de relation privilégié entre les communes et les intercommunalités, de nature à sécuriser les actes et interventions. Or, le conventionnement en vue de réaliser des prestations de service est considéré comme une exception aux principes de spécialité et d’exclusivité. La modification du III de l’article L.5111-1-1 du CGCT va donc à l’encontre des principes de rationalisation des intercommunalités, en permettant la création d’un syndicat mixte ouvert (SMO) associant des communes et les EPCI dont ils sont membres (à fiscalité propre ou non).

 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 119

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 1ER


I. – Alinéa 4

Supprimer cet alinéa.

II. - Après l’alinéa 19

Insérer un alinéa ainsi rédigé :

…° Le b du 4° est complété par les mots : « et peut à cette fin, soumettre les mesures adaptées aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;

Objet

La commission des lois a proposé de façon opportune que la situation des collectivités territoriales soit prise en compte afin de mieux les accompagner dans la mise en œuvre de leurs nouvelles obligations.

D’ores et déjà, la CNIL assure pleinement sa mission d’information. Il suffit de consulter son site internet : https://www.cnil.fr/fr/collectivites-territoriales

A destination des PME et PMI qui forment le « maillon faible » en termes de population d’entreprises, car elles ne disposent pas nécessairement des conseils juridiques dont bénéficient les grands groupes, la présidente de la CNIL Madame Falque-Pierrotin a annoncé la publication prochaine d’une interface clef en main coproduit avec la BPI sous forme d’un pack de conformité RGPD simplifié à destination de ces acteurs.

De manière générale, la mission d’information de la CNIL ne fait pas défaut. Le 37ème rapport annuel 2016 de la CNIL en témoigne. Sur la période examinée, elle a été destinataire de 166 565 courriers ; elle a reçu 21 718 appels sur sa permanence téléphonique et recueilli 12 231 requêtes par voie électronique.

Il serait inapproprié de commencer à compartimenter la mission générale d’information de la CNIL à ce stade. Il s’agit de la première mission de la CNIL dont l’article 11 de la loi du 6 janvier 1978, particulièrement délayé, dresse minutieusement l’inventaire.

Cette préoccupation est déjà prise en considération. La mission générale d'information de la CNIL intéresse toutes les personnes concernées, qu’elles soient physiques ou morales, publiques ou privées.

Il serait plus utile pour le Parlement et notamment le Sénat qui détient une responsabilité particulière de représentation des collectivités territoriales dont le constituant a tiré la conséquence lors de la révision constitutionnelle du 28 mars 2003, de se saisir de la force de proposition de la CNIL de préconiser au Gouvernement les mesures législatives et règlementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques en prévoyant que cette mission particulière doit prendre en compte la situation des collectivités territoriales et celle des petites et moyennes entreprises.

La représentation nationale sera alors en capacité de les traduire rapidement dans la loi afin d’apporter les réponses pratiques aux difficultés soulevée par la CNIL.

C’est la raison pour laquelle, au regard de ces observations, le présent amendement propose de compléter le 4° b de l’article 11 de la loi du 6 janvier 1978.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 120

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 1ER


Alinéa 19

Remplacer les mots :

ou par le Président du Sénat

par les mots :

par le Président du Sénat, par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire

Objet

Le présent amendement rétablit, dans l'esprit qui était celui du texte adopté par l’Assemblée nationale, la disposition prévoyant une procédure de consultation facultative de la CNIL en l’étendant aux commissions parlementaires compétentes ainsi qu’au président d'un groupe parlementaire.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 121

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme Sylvie ROBERT, MM. DURAIN, SUTOUR, SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 1ER


Alinéa 17

Remplacer les mots :

peut établir

par le mot :

établit

Objet

Le présent amendement a pour objet de rendre effectif et non facultatif l’établissement de la liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de la CNIL.

Rappelons qu’il s’agit des traitements de données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

L’article 9 du règlement prévoit que Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 122 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

Mme Sylvie ROBERT, MM. DURAIN, SUTOUR, SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE ADDITIONNEL APRÈS ARTICLE 1ER


 Après l’article 1er

Insérer un article additionnel ainsi rédigé :

Après l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article ainsi rédigé :

« Art. … - Le délégué à la protection des données institué par l'article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE peut signaler à la Commission nationale de l’informatique et des libertés les difficultés qu’il rencontre dans l’exercice de ses missions.

« Lorsque le délégué à la protection des données révèle ou signale, de manière désintéressée et de bonne foi, une violation grave, manifeste et répétée des droits et libertés mentionnés à l'article 1er de la présente loi, les dispositions du chapitre II du titre Ier de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique s’appliquent. »

Objet

Le présent amendement a pour objet d’octroyer le statut de lanceur d’alerte au délégué à la protection des données qui révèlerait des pratiques continues entraînant des violations graves et manifestes en matière de protection des données à caractère personnel, droit fondamental dans l’ordre juridique européen. Outre que ce statut protégerait les délégués à la protection des données, il permettrait de mieux lutter contre les atteintes aux droits et libertés rappelés à l’article 1er de la loi fondatrice de 1978.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 123 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Sagesse du Sénat
Rejeté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 1ER BIS (SUPPRIMÉ)


Rétablir cet article dans la rédaction suivante :

L’article 4 bis de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires est ainsi modifié :

1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :

« Le président d’une assemblée parlementaire peut également saisir la Commission nationale de l’informatique et des libertés d’une proposition de loi ou d’une ou plusieurs dispositions d’une proposition de loi dans les mêmes conditions. » ;

2° Au deuxième alinéa, après les mots : « Conseil d’État », sont insérés les mots : « ou à la Commission nationale de l’informatique et des libertés » ;

3° Au troisième alinéa, après les mots : « Conseil d'État », sont insérés les mots : « ou de la Commission nationale de l’informatique et des libertés » ;

4° Au dernier alinéa, le mot : « trois » est remplacé par le mot : « quatre ».

Objet

Le présent amendement inscrit par coordination avec les dispositions prévues à l'article 1er, la possibilité pour le président  d'une assemblée parlementaire  de saisir la CNIL sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel dans l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement  des assemblées parlementaires. 






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 124

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE ADDITIONNEL APRÈS ARTICLE 1ER BIS (SUPPRIMÉ)


Après l’article 1er bis

Insérer un article additionnel ainsi rédigé :

Après l’article 5 ter de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, il est inséré un article 5 … ainsi rédigé :

« Art. 5 ... – Les commissions permanentes compétentes de l’Assemblée nationale et du Sénat ainsi que les présidents des groupes politiques peuvent saisir la Commission nationale de l’informatique et des libertés sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection des données à caractères personnel ou au traitement de telles données.

« Les règlements des assemblées fixent les conditions dans lesquelles cette saisine s’exerce. »

Objet

Coordination dans l'ordonnance du 17 novembre 1958 relative au fonctionnement  des assemblées parlementaires avec notre amendement déposé à l’article 1er visant à prévoir la possibilité pour les commissions permanentes compétentes des assemblées et pour les présidents des groupes politiques de saisir la CNIL sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 125

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 4


Alinéa 8, seconde phrase

Rédiger ainsi cette phrase :

Seul un médecin peut requérir la communication de données médicales individuelles incluses dans cette catégorie de traitement.

Objet

L’article 4 du projet de loi relatif aux moyens de contrôle des agents de la CNIL reprend les règles spécifiques actuelles encadrant la communication des données médicales relevant de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé, réalisée dans le cadre de ce contrôle. 

Toutefois, il prévoit que la communication de ces données médicales ne pourra être requise, non plus obligatoirement par un médecin, comme le prévoit le droit en vigueur, mais sous son autorité et en sa présence. 

Cet assouplissement dans la procédure de requête représente un recul par rapport au droit existant. Compte tenu de la nature même des données médicales qui leur confère une sensibilité particulière, il convient de conserver le premier rôle au médecin.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 126 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 4


Alinéa 7

Compléter cet alinéa par les mots :

y compris lorsque ces informations sont stockées et gérées par une entreprise sous-traitante

Objet

Le présent amendement a pour objet de se saisir de la faculté offerte aux États membres en matière de secret professionnel par l’article 90 du règlement . 

L'article 90 autorise l’adoption de règles spécifiques afin de définir les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants qui sont soumis à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret. 

Le présent amendement a pour objet de prendre en compte le cas des données couvertes par le secret professionnel, lorsque ces dernières sont stockées et traitées par un fournisseur de service dans le cadre d’un contrat de cloud computing (informatique en nuage),  le problème étant que les données ne sont pas stockées dans les serveurs eux-mêmes objets du contrôle.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 127 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

M. DURAIN, Mme Sylvie ROBERT, MM. SUTOUR, SUEUR, KANNER, ASSOULINE

et les membres du groupe socialiste et républicain


ARTICLE 4


Après l'alinéa 10

Insérer deux alinéas ainsi rédigés :

…° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque les traitements mentionnés au premier alinéa du présent IV ne sont pas soumis aux dispositions du présent article, la conformité de ces traitements est contrôlée, en coopération avec la Commission nationale de contrôle des techniques de renseignement, par un ou plusieurs membres de la Commission nationale de l’informatique et des libertés désignés par le président parmi les membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes. Le contrôle est effectué dans des conditions permettant d’en assurer la confidentialité. Les conclusions du contrôle sont remises au seul ministre compétent. Les conditions de mise en œuvre de cette procédure sont précisées par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. » ;

Objet

Dans une démocratie avancée et responsable, le contrôle de l’activité des services de renseignement et notamment des fichiers qu’ils produisent, qu’il s’agisse de l’usage des techniques de renseignement comme de son résultat en termes de données collectées et traitées répond à une exigence légitime pour tous ceux qui sont attachés au respect des droits de l’homme. 

Bien que ces fichiers ne sont soumis ni au RGPD, ni à la directive que le présent projet de loi entend transcrire, les modalités de leur contrôle présentent un lien direct avec le texte que nous examinons dès lors que l’article 4 du projet de loi modifie l’article 44 de la loi de 1978 dont le IV prévoit, en l’état du droit, que les pouvoirs de contrôle général des fichiers reconnus à la CNIL ne s’appliquent pas à certains traitements intéressant la sûreté de l’État.

En conséquence, pour un certain nombre de fichiers, considérés comme stratégiques, la possibilité pour la CNIL d’opérer un contrôle a posteriori sur pièces et sur place, plein et entier, est exclue à ce jour. 

Certes, il s’agit de données sensibles au sens où elles intéressent directement la sûreté de l’État, la défense et la sécurité publique. Elles bénéficient déjà d’un régime largement dérogatoire et tout à fait justifié. 

Par ailleurs, des garde-fous ont été institués par la loi du 24 juillet 2015 relative au renseignement. La Commission nationale de contrôle des techniques de renseignement (CNCTR), autorité administrative indépendante, est appelée à émettre un avis préalablement à la mise en œuvre d’une technique de renseignement susceptible d’alimenter ces fichiers. Elle procède également à des contrôles a posteriori. 

Mais la CNCTR ne s’occupe que des techniques par le biais desquelles les fichiers sont alimentés et n’exerce son contrôle qu’au regard du cadre juridique rigoureux élaboré par le législateur dans la loi du 24 juillet 2015. Telle est sa mission et c’est déjà beaucoup. En revanche, la CNCTR n’a pas les compétences suffisantes pour juger du respect de la protection des données personnelles dans le champ de la loi du 6 janvier 1978 car ce n’est pas sa vocation première. 

Actuellement, il existe bien un vide juridique dès lorsqu’aucun contrôle a posteriori de ces fichiers, permettant de garantir qu’ils sont mis en œuvre dans le respect de la protection des données personnelles et des textes applicables en la matière, auxquels ils sont pourtant soumis n’est prévu. Cette situation est incompatible avec la nécessité d’assurer la protection des libertés individuelles dans un État de droit qui est devenu dans nos sociétés contemporaines une « véritable contrainte axiologique, dont dépend la légitimité politique » selon les termes employés par le professeur Jacques Chevallier. Il convient de combler cette lacune légale. 

Tel est l’objet du présent amendement qui vise à aménager les conditions dans lesquelles ces fichiers peuvent être contrôlés, de manière globale et a posteriori, en associant les deux autorités administratives indépendantes compétentes, selon des modalités adaptées. 

Cette proposition n’entend pas insuffler une révolution copernicienne en matière de contrôle du renseignement. La CNIL est déjà associée à ce processus par le biais de ce que l’on appelle le droit d’accès indirect, défini à l’article 41 de la loi Informatique et libertés. 

En outre, le présent amendement précise que le contrôle est effectué dans des conditions permettant d’en assurer la confidentialité afin que cette nouvelle faculté ne nuise pas à la coopération internationale ni à nos services de renseignement. 

L’adoption de cette mesure permettra de poursuivre l’amélioration du dispositif juridique d’encadrement et de contrôle des services de renseignement. Elle s’inscrit dans le prolongement de la loi du 24 juillet 2015 relative au renseignement dont la rédaction a été enrichie grandement par notre assemblée. 

Rappelons que c’est à l’initiative de son rapporteur que le Sénat a posé pour principe liminaire que les activités des services de renseignement s'exercent dans « le respect de la vie privée, dans toutes ses composantes, notamment le secret des correspondances, la protection des données personnelles et l'inviolabilité du domicile […], garanti par la loi. L'autorité publique ne peut y porter atteinte, sauf nécessité légalement constatée. Dans ce cas, les mesures prises sont adaptées et proportionnées aux objectifs poursuivis par l'autorité publique. » 

L’adoption de cet amendement contribuera à accroître la confiance des citoyens dans l’action des services de renseignement, à diffuser et conforter la culture du renseignement que nous souhaitons promouvoir fortement et, in fine, à renforcer la sécurité de tous dans le respect des libertés publiques.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 128

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 5


Alinéa 12, seconde phrase

Après les mots :

sous son autorité

insérer les mots :

et son contrôle

Objet

Le RGPD renforce la coopération européenne en matière de protection des données personnelles. Il instaure un système d’action cohérente et d’assistance mutuelle entre les différentes autorités compétentes. Dans ce cadre, la CNIL pourra être amenée à réaliser des opérations conjointes avec les autorités de contrôle des autres Etats membres. 

Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, les membres et agents de la CNIL sont présents aux côtés des membres et agents des autres autorités de contrôle participant à l’opération. Le droit national s’impose. Il ressort en effet de la négociation du RGPD le souci des Etats membres de veiller au respect de la souveraineté nationale. A cet égard, le règlement prévoit une marge de manœuvre laissée aux Etats membres concernant les pouvoirs d’enquêtes confiés aux membres et agents associés aux opérations conjointes. 

En conséquence, lorsque le président de la CNIL habilite les membres et agents de ces autorités à participer à des opérations qui se déroulent sur le territoire national, il convient de préciser que ces derniers exercent, sous son autorité mais également sous son contrôle, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les agents de la CNIL.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 129

19 mars 2018


 

AMENDEMENT

présenté par

C Avis du Gouvernement
G Défavorable
Retiré

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 9


Compléter cet article par un paragraphe ainsi rédigé :

… – Sauf changement survenu sur la portée, les finalités, les données à caractère personnel collectées, l’identité des responsables du traitement ou des destinataires des données, la durée de conservation des données, les mesures techniques et organisationnelles, les traitements autorisés antérieurs au 25 mai 2018 et toujours en cours bénéficient d’une présomption de conformité aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Objet

Le règlement est applicable à partir du 25 mai 2018. L’ensemble des traitements existants devront être conformes au règlement à cette date. 

Le présent amendement a pour objet de prendre en compte la situation des traitements en cours dans une optique de sécurité juridique et de simplification, en particulier pour les acteurs économiques récents et de petites tailles. 

Cet amendement s’inscrit dans l’esprit du considérant 171 qui prévoit déjà une série d’exceptions pour garantir le maintien des traitements en cours, lorsqu’ils ont été déclarés ou a fortiori autorisés avant l’entrée en application du RGPD, dans les mêmes conditions.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 130

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

M. DURAIN, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 16 A


Alinéas 7 à 10

Supprimer ces alinéas.

Objet

L’Assemblée nationale a introduit la possibilité d’exercer une action de groupe tendant à la réparation des préjudices subis en raison d’un manquement aux dispositions de la loi du 6 janvier 1978. Cette disposition constitue un progrès significatif. L’action de groupe en matière de données personnelles était la seule action de groupe pour laquelle l’action en réparation n’était pas ouverte. 

Néanmoins, tout en se félicitant de l’introduction de cette nouvelle disposition dans le projet de loi, la commission des lois entend soumettre à un agrément de l'autorité administrative la faculté pour une association d'exercer une action de groupe en matière de données personnelles afin de se prémunir contre « la multiplication de recours abusifs ». Cet agrément serait subordonné à l'activité effective et publique de l'association en vue de la protection des données personnelles, à la transparence de sa gestion, à sa représentativité et à son indépendance. 

A ce stade, la crainte soulevée par la commission des lois semble excessive. Elle risque de limiter la portée de la mesure dont l’exercice n’est pas spécialement ouvert à « des plaideurs virulents ou animés par des visées politiciennes » au regard du droit en vigueur. 

Cette action de groupe s’exercera dans le cadre de la procédure introduite à l’article 43 ter de la loi informatique et libertés par la loi du 28 novembre 2016 de modernisation de la justice du XXIème siècle. 

Cet article détermine précisément les associations et organisations pouvant exercer seules cette action. Il s'agit :

- des associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;

- des associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

- des organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre. 

Considérant le caractère récent de l’article 43 ter ainsi que les restrictions visant les personnes susceptibles de se saisir de cette action qu’il comprend déjà et au regard du fait qu’aucune action de groupe en matière de données personnelles n'a été engagée depuis l'entrée en vigueur de la loi n° 2016-1547 du 18 novembre 2016, assortir cette avancée de « garde-fous » parait une prévention superflue.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 131

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 18


Alinéa 4

Rédiger ainsi cet alinéa :

IV. - L'article 42 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.

Objet

Le paragraphe IV de l’article 18 supprime à l’article 42 de la loi du 6 janvier 1978 le caractère indirecte de l’exercice des droits d’accès, de rectification et d’effacements pour les traitements de police judiciaire. 

Le caractère indirect est maintenu pour les seuls traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de recouvrer des impositions. 

Le maintien de l’accès indirect pour cette catégorie de traitements n’est pas justifié. Il convient de prévoir que la personne intéressée peut directement exercer ses droits d'accès direct auprès du responsable du traitement de l’administration fiscale, sans passer par l’intermédiaire de la Commission nationale de l’informatique et des libertés.

Tel est l'objet du présent amendement qui propose d'abroger l'article 42 de la loi n° 78-17 du 6 janvier 1978.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 132

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Défavorable
Adopté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 19


Alinéa 25

Supprimer les mots :

, dans la mesure du possible,

Objet

Le nouvel article 70-8 inséré dans la loi 6 janvier 1978 par l’article 19 du projet de loi prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en œuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles. 

Plus qu’un principe général, le principe d’exactitude des données est un principe fondateur du droit de la protection des données personnelles. 

Le 4° de l’article 6 de la loi informatique et libertés qui définit les conditions de licéité d’un traitement de données à caractère personnel précise qu’un traitement ne peut porter que sur des données à caractère personnel exactes, complètes et, si nécessaire, mises à jour et impose que des mesures appropriées soient prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées. 

Il est impératif en matière pénale, pour les traitements mis en œuvre par la police et les autorités judiciaires de distinguer les données à caractère personnel fondées sur des faits de celles reposant sur une appréciation subjective.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 133

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 14


Alinéa 6 

Supprimer cet alinéa.

 

Objet

L’article 14 du projet de loi est relatif aux décisions prises sur le fondement d'algorithmes. Il a fait l’objet d’une nouvelle rédaction globale par la commission des lois qui a défini un principe général, accompagné des garanties nécessaires et apporté un certain nombre de clarifications. 

Désormais, cet article prévoit qu’aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage. 

A cette règle d’application générale, l’article 14 introduit trois exceptions. Outre les dérogations inscrites dans le règlement auxquelles des garde-fous ont été ajoutés, il autorise les décisions administratives individuelles reposant sur une base juridique explicite et exhaustive dont sont exclus les traitements portant sur des données sensibles. Il sera donc interdit de prendre une décision sur le seul fondement d'un algorithme « auto-apprenant ». 

La troisième dérogation vise les actes pris par l'administration dans l'exercice de ses pouvoirs de contrôle ou d'enquête. Cette dernière exception retenue pour les seuls besoins de l’administration fiscale soulève une interrogation de principe. Elle revient à instaurer une forme de justice automatisée et prédictive alors que les contrôles et enquêtes exigent nécessairement une intervention humaine et qu’il apparaît évident de laisser à l'autorité administrative une latitude d'appréciation dans l’exercice de ses missions.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 134 rect.

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Défavorable
Tombé

MM. DURAIN et SUTOUR, Mme Sylvie ROBERT, MM. SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 14


Après l'alinéa 8

Insérer un paragraphe ainsi rédigé :

... - À la seconde phrase du premier alinéa de l’article L. 311-3-1 du code des relations entre le public et l’administration, les mots : « à l’intéressé s’il en fait la demande », sont remplacés par les mots : « aux intéressés ».

Objet

L’article L. 311-3-1 du code des relations entre le public et l’administration, dans sa rédaction actuelle, prévoit que les informations concernant le fonctionnement de l’algorithme sont communiquées par l’administration à l’intéressé « s’il en fait la demande.

Le présent amendement propose que cette information soit systématique dès lors que ce mode de programme informatique tend à se multiplier dans tous les services. L’objectif principal est d’assurer l’information des administrés qui sans devoir en faire la demande, se verront communiquer le degré et le mode de contribution du traitement algorithmique à la prise de décision, les données traitées et leurs sources, les paramètres de traitement et, éventuellement, leur pondération, appliqués à la situation de l'intéressé ainsi que les opérations effectuées par le traitement.

Les conditions d'application de l'article L. 311-3-1 précité sont fixées par décret en Conseil d'Etat. Il reviendra donc au pouvoir règlementaire le soin de traduire cette obligation dans les faits.



NB :La rectification consiste en un changement de place (d'un article additionnel après l'article 14 A vers l'article 14).
La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 135 rect.

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Mmes Sylvie ROBERT et VAN HEGHE, MM. DURAIN, FÉRAUD et FICHET et Mme BLONDIN


ARTICLE 12


Alinéa 5, seconde phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.

Objet

Par son article 89, le RGPD permet aux traitements à des fins archivistiques dans l’intérêt public de déroger à certains droits en contrepartie de conditions et garanties appropriées. Cette disposition ne concerne que les archives « définitives » ou archives « historiques » et seulement les traitements des services publics d’archives (archives nationales, régionales, départementales, communales et intercommunales), qui ont pour mission de collecter les archives publiques à l’issue de leur durée d’utilité administrative.

 La gestion de ces archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. On dénombre ainsi plus de 150 dispositions dans le code du patrimoine, des dizaines de dispositions inscrites dans d'autres textes, notamment dans le code des relations entre le public et l’administration (droit d’accès aux documents administratifs et droit de la réutilisation des informations publiques) et plus d’une centaine d’instructions ministérielles. Toutes les étapes de la « chaîne archivistique » (tri et sélection, traitement, conservation, communication) sont ainsi juridiquement très encadrées. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes. Une nouvelle couche de droit n’est pas nécessaire et apporterait une complexité inutile. 

Par ailleurs, le décret d'application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche. 

Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques mis en œuvre par les services publics d’archives.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 136

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

Mmes Sylvie ROBERT et VAN HEGHE, MM. DURAIN, FÉRAUD et FICHET et Mme BLONDIN


ARTICLE 12


Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Objet

Par son article 89 le RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger à certains droits des personnes concernées par les traitements, et en particulier à son article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial. 

En effet, il est nécessaire que les traitements mis en œuvre par les services publics d'archives dérogent au droit de rectification. Les traitements visés par l'article 12 ne portent que sur les "archives définitives" ou « archives historiques » et en aucun cas sur les archives « courantes » et « intermédiaires », également appelées « archives vivantes » qui sont, quant à elles, bel et bien soumises au droit de rectification. Mais, à l'issue de la durée d'utilité administrative des documents, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées à titre définitif par un service public d'archives ne doivent plus être modifiées. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique. 

Les informations que comportent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés. L’archiviste doit quant à lui en garantir l’authenticité. 

Un droit à rectification sur des archives historiques générerait de surcroît une charge de travail extrêmement lourde pour les agents des services d’archives nationales, régionales, départementales et communales qui conservent des milliers de km de documents et des centaines de teraoctets de données et qui devraient vérifier le bien-fondé des corrections demandées sur des documents parfois vieux de plusieurs décennies et en seraient souvent incapables.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 137

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme Sylvie ROBERT, MM. DURAIN, SUTOUR, SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 7


Alinéa 3

Après le mot :

révèlent

Insérer les mots :

directement ou indirectement

Objet

Cet amendement vise à corriger une omission et à reprendre la formulation qui figure actuellement à l’alinéa 1er de l’article 8 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 138

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme Sylvie ROBERT, MM. DURAIN, SUTOUR, SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 14


Alinéa 5 

Compléter cet alinéa par les mots :

et que l’intéressé puisse exprimer son point de vue et contester la décision

Objet

Cet amendement reprend en partie les garanties apportées par le paragraphe 3 de l’article 22 du règlement 2016/679 en matière de protection des droits et des libertés de l’individu. Il s’agit ainsi de prévoir que dans le cadre de décisions administratives individuelles, prises sur le fondement d’un algorithme, l’intéressé puisse exprimer son point de vue et surtout, contester la décision qui en résulte.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 139

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

Mme Sylvie ROBERT et MM. DURAIN, SUTOUR, SUEUR et KANNER


ARTICLE 15


Alinéa 2, première phrase

Après le mot : 

risque

insérer le mot : 

élevé 

 

Objet

Amendement rédactionnel qui a pour finalité d’encadrer davantage les dérogations prévues au droit à la communication d’une violation de données.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 140

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Retiré

Mme Sylvie ROBERT, MM. DURAIN, SUTOUR, SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 15


Au début de cet article

Insérer un paragraphe ainsi rédigé :

... – À la première phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les mots : « lorsque la personne concernée était mineure au moment de la collecte » sont supprimés.

Objet

La loi du 7 octobre 2016 pour une République numérique a représenté une avancée, dans la mesure où elle a créé un droit à l’oubli « lorsque la personne concernée est mineure au moment de la collecte » des données. L’objectif de cet amendement est d’étendre la portée de ce droit essentiel en permettant à toute personne d’en bénéficier, indépendamment du moment de la collecte des données. En effet, il est difficile de justifier d’une ouverture que partielle de ce droit ; à l’ère du numérique, l’ensemble des individus doivent pouvoir en faire usage au nom du principe d’autodétermination informationnelle et de la protection des données à caractère personnel.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 141

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Sylvie ROBERT, MM. DURAIN, SUTOUR, SUEUR, KANNER

et les membres du groupe socialiste et républicain


ARTICLE 15


Au début de cet article

Insérer un paragraphe ainsi rédigé :

… – À la seconde phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, après la première occurrence des mots : « celles-ci » sont insérés les mots : « sur l’ensemble des extensions du traitement ».

Objet

Le présent amendement vise à conférer une pleine portée territoriale au droit au déréférencement, en précisant que les moteurs de recherche responsables de traitements sont tenus de l’appliquer en effaçant tout lien sur l’ensemble de leurs extensions, conformément à la doctrine de la CNIL. Aujourd’hui, un lien déréférencé sur un moteur de recherche en .fr peut très bien être accessible en effectuant la recherche à partir d’une extension en .com. En d’autres termes, le droit au déréférencement n’est pas pleinement effectif. Il s’agit donc de le renforcer pour mieux concrétiser le droit à l’oubli.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 142

19 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 143

19 mars 2018




Cet amendement a été retiré avant séance.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 144

19 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G  
Non soutenu

M. PATIENT


ARTICLE 12


Alinéa 6

Après la référence :

15,

insérer la référence :

16,

Objet

Comme le soulignait Madame la rapporteur dans l'objet de l'amendement qui a inséré cet alinéa dans l'article 12, « Il paraît utile, comme l'avait initialement prévu le Gouvernement, qu'un décret en Conseil d'État puisse étendre ces dérogations, en tout ou partie, aux autres traitements mis en œuvre à des fins archivistiques d'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. L'étude d'impact du projet de loi mentionne, parmi les responsables de tels traitements, le Mémorial de la Shoah, la fondation Jean-Jaurès, les services d'archives des églises, de partis politiques, d'associations, etc. » Or exclure des dérogations le droit de rectification (art. 16 du RGPD) c'est prendre le risque de voir modifier et dénaturer les archives et par la même leur enlever tout intérêt historique et scientifique. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique.

Les informations que contiennent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 145

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Défavorable
Adopté

Mme Maryse CARRÈRE


ARTICLE 14


Alinéa 8

Remplacer cet alinéa par trois alinéas ainsi rédigés :

II. – Le premier alinéa de l’article L. 311-3-1 du code des relations entre le public et l’administration est ainsi modifié :

1° À la première phrase, après le mot : « comporte », sont insérés les mots : « , à peine de nullité, » ;

2° À la seconde phrase, les mots : « communiquées par l'administration à l'intéressé s'il en fait la demande » sont remplacés par les mots : « publiées, ainsi que les modifications ultérieures relatives à ces règles ou caractéristiques ».

Objet

Cet amendement propose de renforcer la transparence relative à l'élaboration et à l'évolution des traitements algorithmiques, en complément des garde-fous adoptés en commission des lois.

La loi pour une République numérique du 7 octobre 2016 avait déjà introduit une obligation de communication de ces règles et caractéristiques, sur demande des usagers concernés. Compte-tenu des difficultés survenues lors de la mise en œuvre de traitements automatisés, comme celui d'APB, il est proposé de faciliter l'accès à ces informations, afin que chaque usager puisse disposer de l'ensemble des paramètres pris en compte par l'administration dans l'élaboration de décisions individuelles.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 146

19 mars 2018


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Défavorable
Rejeté

Mme Maryse CARRÈRE


ARTICLE 19 BIS


I. – Alinéa 6

Rédiger ainsi cet alinéa :

« Cette dotation, composée d'une part fixe s'élevant à 5 000 euros, est complétée d'une part variable, déterminée en fonction de la population des communes s'élevant :

II. – Pour compenser la perte de recettes résultant du I, compléter cet article par un paragraphe ainsi rédigé :

... – La perte de recettes résultant pour l’État du présent article est compensée, à due concurrence, par la création d’une taxe additionnelle aux droits prévus aux articles 575 et 575 A du code général des impôts.

Objet

Cet amendement vise à déterminer une part fixe dans la dotation spéciale prélevée sur les recettes de l'Etat à destination des communes pour leur mise en conformité aux règles européennes relatives à la protection des données personnelles.

Cette mise en conformité induit des coûts fixes importants non proportionnels à la taille de la population, c'est pourquoi il est proposé un effort particulier en direction des plus petites communes.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 147

19 mars 2018


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE


ARTICLE 19


Après l’alinéa 89

Insérer un alinéa ainsi rédigé :

« …° Que soient effacées dans le délai de quarante-huit heures les données biométriques la concernant légalement stockées sur des serveurs distants.

Objet

Cet amendement vise à permettre aux personnes ayant accepté que leurs données biométriques soient stockées sur un serveur distant ("Cloud") à des fins technologiques : le déverrouillage d'un téléphone portable par exemple. Compte-tenu de la sensibilité de ces données et des risques liés au stockage à distance, il est nécessaire de prévoir un droit de rétractation des personnes concernées et des délais particulièrement courts.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 148

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme Maryse CARRÈRE


ARTICLE 19


Alinéa 68

Compléter cet alinéa par les mots :

et de ses sous-traitants, ainsi que les stipulations du contrat de sous-traitance relatives à la protection des données personnelles

Objet

Cet amendement vise à renforcer la transparence des informations relatives aux sous-traitants des responsables de traitement, afin de garantir l'effectivité des droits des personnes concernées par ces traitements.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 149 rect. bis

20 mars 2018


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Adopté

MM. DELCROS, KERN, HENNO, JANSSENS et LAUGIER, Mme VERMEILLET, M. BONNECARRÈRE, Mme BILLON, MM. MIZZON, LONGEOT et CANEVET, Mme FÉRAT, M. DÉTRAIGNE, Mme LOISIER et MM. BOCKEL et CIGOLOTTI


ARTICLE 12


Alinéa 5, première phrase

Après la référence :

15

insérer la référence :

, 16

Objet

L'article 89 du RGPD permet aux traitements archivistiques des services publics d'archives de déroger à certains droits des personnes concernées, et notamment à l'article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial.

En effet, il est nécessaire que les traitements mis en œuvre par les services publics d'archives dérogent au "droit de rectification" puisque les traitements visés par le présent article ne portent que sur les "archives définitives" et non sur les "archives vivantes" qui sont, elles, effectivement soumises au droit de rectification.

Accorder un droit de rectification aux archives historiques reviendrait à porter atteinte à leur authenticité, dont l'archiviste est le garant. La véracité des informations, elle, relève de l'analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés.

Aussi, le présent amendement a pour but de rétablir cette dérogation au "droit de rectification" prévue à l'article 16 du RGPD.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 150

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

M. Loïc HERVÉ


ARTICLE 5


I. – Alinéa 24

Remplacer la référence :

III

par la référence :

II

II. – Alinéa 25, première phrase

Remplacer la référence :

II

par la référence :

III

Objet

Amendement de coordination






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 151

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme JOISSAINS

au nom de la commission des lois


ARTICLE 6


I. - Alinéas 5 à 22

Rédiger ainsi ces alinéas :

« II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :

« 1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;

« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

« 3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

« 4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.

« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.

« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.

« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.

« III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I ou le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

« 1° Un rappel à l'ordre ;

« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu'elle a fixée ;

« 3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;

« 4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

« 6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;

« 7° À l'exception des cas où le traitement est mis en œuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement. » ;

II. - Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

Objet

Le présent amendement rend plus lisible l'enchaînement des mesures correctrices dont dispose la CNIL en rétablissant leur ordre logique dans la fil du texte:

- Avertissement en cas de simple risque de manquement,

- Mise en demeure, en cas de manquement encore susceptible de faire l’objet d’une mise en conformité,

- Procédure de sanction, enfin.

Après avoir consulté la CNIL, qui souhaitait conserver une marge d'appréciation et lpréserver les dispositifs de coopération avec ses homologues, il me semble être parvenu par mon amendement [LOIS.1] à une rédaction de compromis respectueuse de la liberté d’action de l’autorité mais plus claire et pédagogique que le texte proposé par le Gouvernement.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 152

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Rejeté

Mme JOISSAINS

au nom de la commission des lois


ARTICLE 12


Alinéa 5, après la première phrase

Insérer une phrase ainsi rédigée : 

En outre, par dérogation à l'article 16 du même règlement, lorsqu'un document conservé par un service public d'archives comprend des données à caractère personnel inexactes, la personne concernée a le droit d'obtenir de ce service qu'il soit fait mention de cette inexactitude, soit en marge du document, soit dans un document spécialement annexé à cet effet.

Objet

Le présent amendement a pour objet de préciser les modalités d'application du droit de rectification de données inexactes aux archives publiques et privées conservées par les services publics d'archives.

D'ores et déjà, la rectification de données inexactes n'impose pas d'effacer ces dernières : la rectification peut prendre la forme d'une mention en marge du document ou de l'ajout d'un document rectificatif en annexe.

Il s'agit ici de donner une base légale explicite à cette pratique, qui concilie la protection des droits des personnes physiques sur les données qui les concernent et l'intégrité des documents conservés par les services publics d'archives.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 153

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme JOISSAINS

au nom de la commission des lois


ARTICLE 12


Compléter cet article par un paragraphe ainsi rédigé : 

II. – Au 4° du IV de l'article L. 1461-1 du code de la santé publique, le mot  : « deuxième » est remplacé par le mot : « premier ».

Objet

Coordination.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 154

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme JOISSAINS

au nom de la commission des lois


ARTICLE 5


I. – Alinéa 24

Remplacer la référence :

III

par la référence :

II

II. – Alinéa 25, première phrase

Remplacer la référence :

II

par la référence :

III

Objet

Coordinations avec l'amendement [LOIS.1] à l'article 6.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 155

20 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme JOISSAINS

au nom de la commission des lois


ARTICLE 2 BIS


Après l'alinéa 2

Insérer un alinéa ainsi rédigé :

« - au 4 de l’article 34 du même règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34.

Objet

Le présent amendement vise à introduire plus de souplesses dans l’organisation interne des travaux de la CNIL.

Il permet à la formation plénière de la commission de déléguer (au président ou au vice-président délégué) certaines décisions touchant aux nouvelles obligations de notification des violations de données.

Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications, examiner si la violation est susceptible d’engendrer un risque élevé afin :

- soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées

- soit de décider que cette communication n’est pas nécessaire.

Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation de notification existe déjà en droit positif (6 500 notifications par an, pour un pays évidemment bien plus petit que la France). Il convient d'aider la CNIL à ménager ses moyens en lui offrant cette "agilité" organisationnelle.






Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 156

21 mars 2018


 

SOUS-AMENDEMENT

à l'amendement n° 111 du Gouvernement

présenté par

C Favorable
G Défavorable
Adopté

Mme JOISSAINS

au nom de la commission des lois


ARTICLE 20 (SUPPRIMÉ)


Amendement n° 111

I. – Alinéa 2

Après le mot :

Constitution

insérer les mots :

et dans le respect des dispositions prévues aux titres Ier à III bis de la présente loi

II. – Alinéa 6

Remplacer le mot :

six

par le mot :

quatre

Objet

Le présent sous-amendement prend acte des engagements donnés au Sénat et encadre, à double titre, l'habilitation sollicitée :

- sur le fond, il précise expressément que l'ordonnance ne pourra modifier les équilibres auxquels sera parvenu le Parlement ;

- dans le temps, il réduit à quatre mois le délai pour prendre cette ordonnance ; le ministère nous ayant rassurés sur le fait que l'ordonnance était "presque prête", un délai plus court devrait permettre de limiter au minimum la période transitoire séparant entre l'entrée en vigueur du RGPD, le 25 mai 2018, d'une part, et l'entrée en vigueur de l'ordonnance de clarification, d'autre part.