En application de l’article 44, alinéa 5, du Règlement, le Sénat décide qu’il y a lieu de renvoyer à la commission l’article 14 du projet de loi relatif à la protection des données personnelles (n° 425, 2017-2018).

Les auteurs de cette motion considèrent nécessaire le renvoi en commission de l’article 14 de ce projet de loi, au vu :

- des positions contradictoires de l’Assemblée nationale et du Sénat concernant la transparence mise en œuvre en matière d’algorithmes mis en œuvre par les universités dans le but de sélectionner les candidats à l’inscription en première année de licence

- du calendrier particulièrement restreint dans lequel le projet de loi a été renvoyé pour nouvelle lecture au Sénat

- du manque de garanties fournies à ce jour concernant l’effectivité du contrôle exercé par le comité éthique et scientifique prévu à l’article L.612-3 du code de l’éducation

Ce délai nécessaire doit tout à la fois permettre de travailler à une solution satisfaisant les deux chambres parlementaires et le gouvernement, et à ce dernier de préciser ses intentions pour concilier à la fois le respect du droit au secret des délibérations tel que rappelé par le Conseil d’État et le droit d’information des usagers d’une part, et des parlementaires chargés du contrôle des politiques publiques d’autre part. Cette préoccupation est par ailleurs présente dans le cadre des données numériques des élèves du secondaire, évoquées dans l’article 14 bis A du projet de loi. Alors qu’un désaccord persiste entre l’Assemblée nationale et le Sénat, la communication par le Ministère de l’Education nationale du rapport (gardé sous embargo pour l’heure) commandé aux différentes inspections générales serait à même d’éclairer favorablement le débat.

I. – Alinéa 2

Supprimer cet alinéa.

II. – Alinéa 3

Remplacer le mot :

et

par le mot :

ou

Cet amendement vise à revenir à l’écriture initiale du projet de loi et concerne le champ des qualifications des trois personnalités nommées par décret ainsi que des deux personnalités désignées respectivement par le Président de l’Assemblée nationale et par le Président du Sénat qui siègent à la Commission nationale de l’informatique et des libertés (CNIL).

Dans la rédaction actuelle du texte, les membres de la CNIL doivent en effet posséder une expertise large dans les questions touchant au numérique et aux libertés individuelles. Nous proposons de maintenir ces deux qualifications sans les lier nécessairement entre-elles.

La présente rédaction du texte réduit en effet considérablement le champ des profils possibles pour le recrutement de ces personnalités désignées alors que notre proposition permettrait de recruter des profils plus larges.

Compléter cet article par trois alinéas ainsi rédigés :

…° Après le douzième alinéa, sont insérés deux alinéas ainsi rédigés :

« Tous les membres sont désignés eu égard à leurs compétences réelles, notamment en matière numérique et leur connaissance des droits et libertés fondamentales. Un décret en Conseil d’État précise les critères précis d’évaluation de ces compétences. L’évaluation précise de chaque candidat par son autorité de nomination est rendue publique.

« Les candidats font l’objet d’une audition devant un jury composé à parité de parlementaires du Sénat et de l’Assemblée nationale, d’experts issus de la société civile, et de membres d’organisations non-gouvernementales spécialisées en matière numérique et en matière de protection des libertés. Le jury émet à la suite des auditions un avis consultatif rendu public. »

Cet amendement précise les conditions de tenue d’un jury d’évaluation des compétences des candidats à la CNIL.

En effet, eu égard aux nouvelles compétences de cette commission, il est essentiel que les membres sélectionnés aient à la fois des compétences dans le champ du numérique et dans le champ des droits et libertés fondamentales, mais il est tout aussi essentiel que ces compétences soient jugées par un jury impartial.

Dans notre proposition, la composition de ce jury représente, à parité, l’Assemblée nationale, le Sénat, les experts issus de la société civile et les représentants des ONGs. 

Dans un souci de transparence, les auditions de ce jury seront publiques et l’avis consultatif final sur les candidatures sera également rendu public. Ce double critère vise à assurer la cohérence des nominations et à mettre à la disposition de chacun les raisons de la nomination des membres de la CNIL.

Alinéa 11, première phrase

1° Après le mot :

types

insérer le mot :

notamment

2° Après le mot :

assurer

insérer les mots :

la protection des données, à savoir par exemple le respect des droits en matière d’accessibilité, de finalité et de minimisation des données,

Cet amendement vise à élargir le cadre des règlements-types à la protection des données, par exemple au respect des droits en matière d'accessibilité, de finalité et de minimisation de la donnée. Dans la rédaction actuelle du texte, ces règlements-types portent uniquement sur : la sécurité du traitement des données à caractère personnel, biométrique, génétique ou de santé.

Cette nouvelle rédaction permettra à la CNIL d'édicter des règlements de fond en matière de protection de la donnée et de respect de la vie privée. En novembre 2017, dans un avis sur la transposition de la directive européenne, elle avait en effet fait la demande d'un élargissement du cadre des règlements-types pour pouvoir élargir son champ d'action au-delà du seul sujet de la sécurité des systèmes. Ces nouvelles responsabilités consacrent son rôle de protecteur de la vie privée.

Outre l'accessibilité et la finalité des données, cet amendement inscrit également dans le cadre des règlements-types la question de la minimisation des données collectées. Il semble en effet opportun que la CNIL s'exprime et mette en œuvre une règle de fond pour que la collecte et le traitement des données ne concernent que les données essentielles. Il s'agit d'une avancée essentielle pour le respect de la vie privée et des données personnelles.

Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. » ;

Cet amendement entend protéger les jeunes élèves en instituant une interdiction de traitement des données à caractère personnel collectées dans le cadre de l'utilisation de services numériques au sein de l'Éducation nationale. 

Il entend en effet inscrire dans le droit une obligation d'interdiction de traitement des données, souvent présente dans les conditions générales d'utilisation des services numériques de l'Éducation nationale. La protection de la vie privée et des données personnelles des élèves du premier et du second cycle est essentielle et ne peut être reléguée.

Ce débat doit donc instituer une véritable protection pour ces publics fragiles, souvent imprudents sur les supports numériques avec leurs données personnelles.

Il convient de préciser que cet amendement renforce les dispositions prévues par l'article 14 bis du présent projet de loi en inscrivant ces mesures à la fois dans le Code de l'Éducation et dans la loi du 6 janvier 1978.

Compléter cet article par un paragraphe ainsi rédigé : 

… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (Pour rappel, Article 8: "Ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement, en deux temps :

1/ Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

2/ Il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.

Compléter cet article par un paragraphe ainsi rédigé :

… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »

Amendement de repli.

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant"). 

Cette rédaction prévoit qu'n décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

Compléter cet article par un paragraphe ainsi rédigé :

… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :

« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.

« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.

« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. »

Amendement de repli.

Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (art 8: "ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant").

Cette rédaction prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.

En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".

Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ? 

La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental. 

Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement : un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).

Alinéa 20

Remplacer les mots :

ou par le Président du Sénat 

par les mots :

, par le Président du Sénat ou à la demande d’un président de groupe parlementaire 

Comme en première lecture, la commission des lois propose de supprimer la consultation de la CNIL par les commissions parlementaires compétentes et par les présidents des groupes politiques.

En première lecture, les membres du Groupe socialiste et républicain avaient déposé un amendement visant à rétablir l'élargissement des autorités habilitées à saisir la CNIL. L'extension de la faculté de saisine de la CNIL représente une avancée surtout pour la minorité car, compte tenu du fait majoritaire, les présidences des assemblées comme celles des commissions sont dévolues au camp qui représente la majorité de l’assemblée.

C’est donc une avancée démocratique qu’il serait regrettable de ne pas retenir d'autant qu'à l'Assemblée nationale, cette mesure a été unanimement soutenue et que les dispositions de l’avant-projet de loi constitutionnelle qui concernent le travail parlementaire et qui ont été portées à notre connaissance vont dans le sens d’une diminution du pouvoir du Parlement au profit du gouvernement.

Afin de prendre en compte les observations de notre rapporteur qui souhaite éviter un trop grand élargissement des autorités habilitées à saisir la CNIL,  le présent amendement ne propose pas de rétablir la faculté de saisine par les commissions parlementaires compétentes qui sont toujours en capacité de saisir la CNIL dans le cadre de leur compétence d'attribution ou dans l’exercice de leur mission de contrôle. En revanche, il propose de maintenir la saisine des présidents de groupe dans le souci de renforcer le pluralisme au sein de nos assemblées.

Alinéa 6

Compléter cet alinéa par une phrase ainsi rédigée :

Il détermine également les modalités de publicité de l'ordre du jour de la commission réunie en formation plénière.

Le présent amendement a pour objet de rétablir la publicité de l'ordre du jour de la CNIL réunie en formation plénière en renvoyant au décret le soin d'en définir les modalités.

La publicité des travaux de la CNIL représente un premier petit pas vers la transparence des travaux de l’autorité de contrôle dont le rôle va croitre considérablement avec l’entrée en vigueur du RGPD. Cette mesure recèle également une visée pédagogique car la CNIL veille à ce que le développement des technologies du numérique soit au service de chaque citoyen et ne porte atteinte ni à l'identité humaine, ni à la vie privée, ni aux libertés individuelles ou publiques.

Alinéa 6

Remplacer la date :

24 mai 2020

par la date :

24 mai 2018

La justification de la commission des lois pour reporter de deux ans l’entrée en vigueur de l’élargissement de l’action de groupe en réparation des préjudices matériels et moraux subis en matière de données personnelles n'étant pas suffisamment convaincante, le présent amendement rétablit l'entrée en vigueur de cette mesure à la date du 24 mai 2018.

Alinéas 7 à 11

Remplacer ces alinéas par un alinéa ainsi rédigé :

3° Le IV est complété par un alinéa ainsi rédigé :

Le présent amendement revient sur le choix fait par la commission des lois de soumettre à un agrément de l’autorité administrative la faculté pour une association d’exercer une action de groupe en matière de données personnelles.

En première lecture, les membres du Groupe socialiste et républicain avaient déposé un amendement identique afin de supprimer cette restriction qui repose sur un risque très aléatoire d’abus éventuels.

Soit la commission estime que l’article 16 A constitue une avancée réelle dans le renforcement de la protection des données personnelles ; dans ce cas, aucune raison ne justifie d’en limiter l’application pratique en ajoutant une condition supplémentaire d’agrément alors que le droit en vigueur apporte déjà des garanties en la matière. Soit l’abus de droit serait réel ; dans ce cas, en limiter l’application n’écartera pas le risque de dévoiement parce que la mesure de l’article 16 A serait intrinsèquement inadaptée.

Alinéa 2

Supprimer les mots :

l’article 16 A entre en vigueur le 25 mai 2020 et

Coordination. En cohérence avec notre amendement déposé à l’article 16 A, le présent amendement vise à revenir sur le choix opéré par la commission des lois de différer de deux années l’entrée en vigueur de l’action de groupe en réparation de préjudices en matière de données personnelles.

Alinéa 42, première phrase

Après les mots :

le consentement éclairé

insérer les mots :

, libre, spécifique, univoque 

Déjà listées au sein de la Directive 95/46/CE, le  Règlement européen 2016/679 sur la protection des données personnelles définit et entérine les conditions légales du consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Par ailleurs, les qualificatifs libre et éclairé sont repris dans tous les attendus de jugement ayant trait aux problèmes de consentement. 

Cette précision rédactionnelle mérite par conséquent d'être intégrée au texte compte tenu de la sécurisation juridique qu'elle apporte. 

Alinéa 14

Supprimer cet alinéa.

La labellisation facultative des objets connectés commercialisés, déjà introduite en première lecture, nous semble satisfait par l’alinéa 13 de l’article 1er, aux termes duquel la CNIL « peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures ». Les objets connectés sont effet inclus dans la catégorie des « produits ». Si bien qu'une telle précision serait peut-être même porteuse de confusion quant au périmètre d'action reconnue du pouvoir de certification de la CNIL.

En outre, comme l'avait rappelé le gouvernement, le prochain "règlement ePrivacy" sur la confidentialité des communications à l'échelle européenne intégrera dans son champ d'application les objets connectés.

Par conséquent, cet amendement se propose de revenir à la version de l'Assemblée nationale. 

Supprimer cet article.

La commission des lois a procédé au rétablissement de l’incitation au chiffrement des données comme technique permettant de remplir l’obligation de sécurité à laquelle sont tenus les responsables de traitements de données personnelles. L'amendement ainsi adopté tend à préciser la portée de l’obligation de sécurité à laquelle sont soumis les responsables de traitements (en application de l’article 34 de la loi Informatique et libertés et de l’article 32 du RGPD) en incitant « chaque fois que cela est possible » au chiffrement « de bout en bout » des données personnelles.

Cette obligation, incombant aux responsables de traitement ainsi qu'aux sous traitants, nous apparait excessive au regard des marges d'appréciation laissées par le RGPD et possiblement non pertinente pour certains types de traitements.

Alinéa 6, troisième et dernière phrases

Supprimer ces phrases.

La commission des lois a souhaité préciser les modalités d’application du régime des fichiers d'infractions pénales mis en œuvre par des personnes physiques ou morales de droit privé afin leur permettre de préparer une action en justice. Ce faisant, elle a introduite la référence à un décret en Conseil d’Etat pour définir les modalités du 3°, s'agissant du "traitement de données d’infraction par des personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités".

Le groupe LREM y est défavorable. Dans sa décision n° 2004-499 DC du 29 juillet 2004, le Conseil constitutionnel a en effet précisé, qu'en raison de l'ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en oeuvre et de la nature des informations traitées, les garanties appropriées et spécifiques répondant aux exigences de l'article 34 de la Constitution doivent être fixées par la loi. Les garanties qui figurent dans ce projet de loi en termes de durée de conservation et de proportionnalité de la finalité ne nécessitent donc pas d’être précisées dans un décret en Conseil d’Etat.

Alinéa 12

Supprimer cet alinéa.

La commission des lois a réintégré au texte l'autorisation préalable de la Commission nationale de l’informatique et des libertés pour tout traitement non mis en œuvre par l’Etat dans le champ de la directive.

Or, cette autorisation préalable n’est nullement exigée par l’article 28 de la directive qui prévoit des garanties suffisantes pour la protection des droits et des libertés des personnes concernées par ces traitements. Ainsi pour ces traitements, l’article 70-4 du projet de loi, qui transpose strictement la directive, impose la réalisation d’une analyse d’impact dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment chaque fois qu’il porte sur des données sensibles. La consultation de la Commission nationale de l’informatique et des libertés est en outre exigée dès lors que le traitement, au regard des conclusions de cette analyse d’impact ou en raison de l’utilisation de nouvelles technologies, est susceptible de présenter des risques élevés pour les libertés et droits des personnes concernés.

Alinéas 81 et 83

Supprimer les mots :

, et au bout d’un mois maximum,

Le groupe LREM est défavorable au délai d’un mois imposé au responsable de traitement pour rectifier ou effacer des données à caractère personnel qui a été ajouté par la Commission des lois.

L’article 16 §1 et §2 de la directive prévoit en effet que la personne concernée a le droit d’obtenir du responsable de traitement la rectification ou l’effacement de ses données dans les meilleurs délais, sans que ne soit fixé un délai butoir.

Par ailleurs, les délais de réponse aux demandes formées sur le fondement de la loi informatique et libertés ne sont pas prévus dans la loi mais par le décret du 20 octobre 2005.

Enfin, ce délai d’un mois risque de poser des difficultés pratiques, dès lors que son point de départ n’est nullement précisé, et qu’un mois paraît bien trop court pour permettre au responsable de traitement d’obtenir les informations nécessaires au traitement de la demande puis de procéder aux rectifications ou effacements nécessaires.

Ce délai d’un mois ne correspond du reste pas au délai imparti au responsable de traitement pour répondre aux demandes de rectification ou d’effacement adressées en application des articles 38 à 40 de la loi informatique et libertés, qui est de deux mois.

De même, un tel délai paraît incohérent au regard du délai de deux mois prévu de manière générale, par l’article 802-1 du code de procédure pénale, pour répondre à toute demande adressée au ministère public ou à une juridiction.Dans sa rédaction adoptée par l’Assemblée, l’article 70-20 correspondait à l’exacte transposition de la directive et il n’y avait donc pas lieu de le modifier. Le délai de réponse du responsable de traitement aux demandes formées pourra être fixé dans le décret.

Alinéa 2, sixième phrase

Supprimer les mots :

Le présent amendement vise à supprimer le principe d’un effacement des décisions de non-lieu et de classement sans suite au TAJ et à rétablir ainsi le principe d’une mention de ces décisions au traitement d'antécédents judiciaires (TAJ), sauf décision d’effacement du procureur.

En effet, la situation des personnes ayant fait l’objet d’un classement sans suite ou d’une décision de non-lieu ne peut pas être assimilée à celle des personnes ayant bénéficié d’une décision de relaxe ou d’acquittement.

Si une telle décision définitive de relaxe ou d’acquittement interdit toute nouvelle poursuite pour les mêmes faits, tel n’est pas le cas d’un classement sans suite ou d’un non-lieu. En effet, les poursuites peuvent toujours être entreprises tant que l’action publique n’est pas éteinte, notamment en cas de nouvelles charges découvertes après un non-lieu.

Le classement sans suite ne résulte pas nécessairement d’une absence d’infraction ou d’une insuffisance de charges. Il peut intervenir en opportunité, alors que l’infraction a bien été commise, notamment à la suite de l’exécution d’une mesure alternative aux poursuites, comme un rappel à la loi, une orientation sanitaire, un éloignement du domicile conjugal ou une médiation pénale.

Ainsi, des données liées à la commission de violences conjugales ayant donné lieu à un classement sans suite après exécution d’une médiation pénale doivent, par principe, rester inscrites au TAJ, et non pas être effacées comme le prévoit le texte dans sa version issue des travaux de la commission des lois.

Ces données ne seront cependant utilisées que pour des finalités judiciaires, car elles feront alors l’objet d’une mention qui en interdit l’accès, dans le cadre d’enquêtes administratives, ce qui garantit les droits de la personne.

Alinéa 2, troisième phrase

Supprimer cette phrase.

Le présent amendement vise à supprimer cette disposition introduite en commission des lois.

L’effacement des données est naturellement de droit, sans nécessiter d’autre fondement légal que la loi de 1978. Affirmer un droit à l’effacement spécifique au TAJ conduit à créer une disposition législative spéciale, alors qu’elle ne déroge en réalité pas au droit commun. Un tel ajout nous semble dès lors inutile et susceptible par ailleurs de générer un a contrario, sauf à devoir modifier l’ensemble des traitements autorisés pour rappeler ce principe.

Rétablir cette division et son intitulé dans la rédaction suivante :

TITRE IV

Habilitation à améliorer, dans le respect de la présente loi, l'intelligibilité de la législation applicable à la protection des données à caractère personnel

Amendement rédactionnel (qui tire les conséquences du rétablissement de l'article 20)