Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-28

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 1ER


I. - Alinéa 4

Remplacer le mot :

personnalisée

par le mot :

adaptée

et après le mot :

aux

insérer les mots :

collectivités territoriales, à leurs groupements, et aux

II. - Alinéas 9 et 13, deuxièmes phrases,

Après les mots :

besoins spécifiques

insérer les mots :

des collectivités territoriales, de leurs groupements, et

Objet

Le présent amendement vise à réparer une surprenante lacune du projet de loi transmis : l'oubli des collectivités territoriales.

Absentes du projet de loi et des discussions à l'Assemblée nationale, elles sont pourtant concernées au premier chef par les nouvelles dispositions du règlement européen, car elles gèrent de nombreux fichiers sur lesquels elles n’ont d'ailleurs souvent pas prise (leur tenue découle d’obligations légales et réglementaires) et doivent assumer seules des coûts important de mise en conformité avec les nouvelles normes européennes (nomination d’un délégué à la protection des données et affectation des ressources correspondantes, adaptation de certaines applications existantes, renforcement de la sécurité en cas de données sensibles, réponse à l’exercice des nouveaux droits des particuliers, etc.)

Les dispositions proposées visent ici à s’assurer que l’action de la CNIL prendra bien spécifiquement en compte le cas des collectivités :

- dans sa mission d’accompagnement et d’information des responsables de traitements ;

- et dans son rôle normatif (notamment lors de l’édiction de certaines règles de "droit souple").






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-27

12 mars 2018


 

AMENDEMENT

présenté par

Satisfait ou sans objet

M. PATRIAT

et les membres du groupe Rassemblement des démocrates, progressistes et indépendants


ARTICLE 1ER


Alinéa 4

Après les mots :

et peut, à cette fin, apporter une information personnalisée aux

Insérer les mots :

collectivités territoriales 

Alinéa 9

A la deuxième phrase

Après les mots :

et des besoins spécifiques des 

Insérer les mots :

collectivités territoriales

Alinéa 13

A la deuxième phrase

Après les mots :

à cette fin, les besoins spécifiques des

Insérer les mots :

collectivités territoriales 

Objet

Cet amendement vise à améliorer l'information dont disposent les collectivités territoriales sur les obligations qui sont les leurs en matière de protection des données personnelles.

Les difficultés rencontrées par les élus locaux dans leur mise en conformité obligatoire avec les exigences nouvelles du RGPD ont été manifestement évacuées lors de la discussion du texte à l'Assemblée nationale. 

En vertu d'une logique de contrôle ex ante basée sur des formalités administratives auprès de la CNIL, à laquelle se substitue désormais une logique dite de "responsabilisation" ex post des acteurs privés et publics, les élus locaux se retrouvent en première ligne et sous la menace immédiate de conséquences pénales et de risques administratifs non négligeables en cas de non-conformité au règlement.

Le groupe LREM se propose d'ouvrir le débat sur les conséquences directes du RGPD pour nos territoires avant son entrée en application le 25 mai 2018. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-29

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 1ER


Alinéa 6

Rédiger ainsi cet alinéa :

aa) Le premier alinéa est complété par les mots : « et aux dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. » ;

Objet

Rédactionnel






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-23

12 mars 2018


 

AMENDEMENT

présenté par

Rejeté

M. RAYNAL


ARTICLE 1ER


Alinéa 11

Après le mot: 

techniques 

insérer le mot : 

relatives aux finalités

Objet

Les finalités déclarées pour l'utilisation des systèmes biométriques passent sous silence l'existence d'une fonction latente à la biométrie : la localisation des personnes physiques. En effet, le développement des systèmes biométriques est intimement lié à la volonté du responsable du traitement non pas de simplement authentifier un document ou identifier une personne, mais bien de localiser cette dernière.

Or cette finalité latente n'est jamais prévue par le droit, alors même qu'elle est recherchée. Ainsi, en rendant obligatoire la présentation de l'ensemble des finalités et en permettant à la CNIL de prescrire des mesures complémentaires concernant ces données, cet amendement a vocation à renforcer les droits fondamentaux des personnes ainsi que le respect du principe de finalité.

Tel est l'objet du présent amendement.

 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-30

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 1ER


Alinéa 19, seconde phrase

Rédiger ainsi cette phrase :

Elle peut également être consultée par le Président de l’Assemblée nationale ou par le Président du Sénat sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

Objet

Le présent amendement rétablit, dans l'esprit qui était celui du projet de loi initial, la disposition prévoyant une procédure de consultation facultative de la CNIL en la limitant aux présidents des assemblées parlementaires.

Formaliser une saisine directe de la CNIL par d’autres personnalités que les présidents des assemblées rigidifierait inutilement la procédure et romprait avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (et à cet égard, la CNIL elle–même s’est montrée inquiète du risque que poserait à ses capacités de réponses un trop grand élargissement des autorités habilitées à la saisir).

Par souplesse et par parallélisme avec les dispositions régissant la consultation de la CNIL sur les textes d’initiative gouvernementale, est en outre envisagée la possibilité d’une consultation sur certaines dispositions d’une proposition de loi.

En tout état de cause, votre rapporteur rappelle que la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux sollicitations ou solliciter directement le Parlement sans qu’il soit besoin pour cela d’en formaliser la procédure, et qu’à ce titre elle est d’ailleurs régulièrement entendue par les commissions permanentes  pour éclairer tant leurs travaux législatifs que leurs travaux de contrôle.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-15

12 mars 2018


 

AMENDEMENT

présenté par

Satisfait ou sans objet

M. RAYNAL


ARTICLE 1ER


Alinéa 19

Après la dernière phrase

Insérer une phrase ainsi rédigée : 

Par tout parlementaire,  à tout moment de la conception d'une proposition de loi. 

Objet

L'ouverture de la compétence de la CNIL doit aussi concerner les propositions de loi, non pas uniquement celles déjà déposées, mais aussi celles en train d'être écrites. Cette extension a pour fonction de permettre aux parlementaires de bénéficier de l'expertise de la CNIL. 

Tel est l'objet du présent amendement.  






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-31

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 1ER


Alinéa 21

Remplacer les mots :

du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi

par les mots :

de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l’Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France

Objet

Le présent amendement apporte une harmonisation entre  le champ donné à la mission d’intervention de la CNIL devant les juridictions (au 5° de l'article 11 de la loi Informatique et Libertés) et la nouvelle rédaction choisie pour décrire sa mission générale de veiller au respect du droit à la protection des données personnelles (au 2° du même article).






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-32

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 1ER


Compléter cet article par un alinéa ainsi rédigé :

…° L’avant-dernier alinéa est supprimé.

Objet

Amendement de cohérence rédactionnelle.

L’avant dernier alinéa de l’article 11 de la loi Informatique et Libertés autorise la CNIL à saisir pour avis l'ARCEP de toute question relevant de la compétence de celle-ci.

Cette disposition spéciale est désormais obsolète, la faculté de saisine d’une AAI/API par une autre étant désormais consacrée et généralisée par leur statut général (loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes), dont l’article 15 prévoit expressément qu’« une autorité administrative indépendante ou une autorité publique indépendante peut saisir pour avis une autre autorité de toute question relevant de la compétence de celle-ci ».






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-33

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 1ER BIS (NOUVEAU)


Supprimer cet article.

Objet

Le présent amendement vise, par cohérence avec l’amendement présenté à l'article 1er, à supprimer la procédure extrêmement rigide de consultation de la CNIL introduite à l'Assemblée nationale et calquée sur la consultation du Conseil d'Etat (délai d'opposition, transmission de l'avis uniquement à l'auteur de la proposition de loi...)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-34

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 2


Rédiger ainsi cet article :

Au 7° du I de l’article 13 de la loi n° 78-17 du 6 janvier 1978 précitée, après le mot : « numérique », sont insérés les mots : « ou des questions touchant aux libertés individuelles ».

Objet

Amendement rédactionnel.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-16

12 mars 2018


 

AMENDEMENT

présenté par

Satisfait ou sans objet

M. RAYNAL


ARTICLE 2


Alinéa 3

Supprimer le mot : 

individuelles 

Objet

Dans une définition restreinte, la liberté individuelle est prévue à l'article 66 de la Constitution qui en confie le monopole de la protection au juge judiciaire. Ainsi, la protection est alors restreinte à un certain type de liberté.

Même dans une acception large, qui inclurait d'autres libertés, notamment personnelles, cette formulation ne peut trouver à s'appliquer aux libertés collectives.

Partant, la suppression du mot "individuelles" entraînera une protection accrue des libertés.

Tel est l'objet du présent amendement.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-13

8 mars 2018


 

AMENDEMENT

présenté par

Satisfait ou sans objet

MM. Henri LEROY, PACCAUD et DALLIER, Mme EUSTACHE-BRINIO et MM. CHAIZE, LEFÈVRE, GROSDIDIER, MEURANT, DANESI et VASPART


ARTICLE 2


Compléter cet article par un paragraphe ainsi rédigé :

… – Le premier alinéa du II de l’article 13 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi rédigé :

« Le mandat des membres de la commission est de cinq ans ; il n’est pas renouvelable. »

Objet

Cet amendement a pour objet d’offrir la plus grande indépendance qui soit à la CNIL.

En effet, les membres des principales autorités administratives indépendantes ne peuvent être renouvelés dans leur fonction à l’issue de leur mandat. Ainsi en est-il du Conseil supérieur de l’audiovisuel ou encore de l’Autorité des marchés financiers.

Le caractère non-renouvelable constitue la garantie que le comportement des membres de la CNIL ne sera jamais commandé par une volonté de leur part d’être renouvelé dans leur fonction.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-35

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 2 BIS (NOUVEAU)


Rédiger ainsi cet article :

L'article 15 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par deux alinéas ainsi rédigés :

« - aux a et h du 3 de l’article 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

« Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature. »

Objet

Le présent amendement vise à introduire certaines souplesses dans l’organisation des travaux de la CNIL pour faire face, notamment, aux flux des nouvelles demandes provoquées par l'entrée en vigueur du règlement européen.

A ce titre :
– il supprime la mention, de nature manifestement réglementaire, qui prévoyait que l’ordre du jour des réunions plénières soit systématiquement rendu public ;
– il ajoute certaines attributions à celles pouvant être déléguées au président ou au vice-président délégué (conseils sur les études d’impact et  autorisations de clauses contractuelles aux fins de transferts) ;
– il ménage la possibilité pour le président et pour le vice-président délégué de la commission de déléguer leur signature.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-36

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 4


Alinéa 8, seconde phrase

Rédiger ainsi cette phrase :

La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l’autorité et en présence d’un médecin.

Objet

Amendement de clarification.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-17

12 mars 2018


 

AMENDEMENT

présenté par

Adopté avec modification

M. RAYNAL


ARTICLE 4


Alinéa 10

Compléter cet alinéa par les mots : 

L'utilisation d'une identité d'emprunt ne peut servir à inciter à commettre une infraction. 

Objet

L'utilisation d'une identité d'emprunt ne peut servir à l'incitation à commettre une infraction. Tout au plus, elle doit être limitée à la constatation d'une infraction ou de sa tentative. 

Tel est l'objet du présent amendement. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-91

14 mars 2018


 

SOUS-AMENDEMENT

à l'amendement n° COM-17 de M. RAYNAL

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 4


Amendement COM-17, alinéas 2 et 3

Rédiger ainsi ces alinéas :

Après la première phrase, insérer une phrase ainsi rédigée :

À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction.

Objet

Rédactionnel






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-37

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 5


Après l'alinéa 5

Insérer trois alinéas ainsi rédigés :

« La commission peut charger le bureau :

« - d’exercer ses prérogatives en tant qu’autorité concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

« - lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité compétente, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par ledit règlement et d’arrêter la décision au nom de la commission. » ;

Objet

Le présent amendement vise à donner à la CNIL certaines souplesses d'organisation pour participer avec la réactivité requise aux nouveaux mécanismes complexes de coopération entre autorités européennes.

Il autorise ainsi la formation plénière à déléguer au bureau certaines de ses attributions (ce qui assure le maintien de la collégialité des décisions)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-38

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 5


Alinéa 7, seconde phrase

Supprimer cette phrase.

Objet

Cet amendement de précision vise à corriger une ambiguïté du texte transmis.

En l’état, la seconde phrase du septième alinéa énonce que la procédure de coopération entre la CNIL et d’autres autorités européennes « ne s’applique pas » pour les traitements non soumis au droit de l’Union européenne.

Une telle précision n’est pas nécessaire : comme le rappelle la première phrase de cet article, la procédure de coopération est instaurée uniquement « pour l’application du règlement général », qui exclut justement de son champ d’application matériel les traitement non soumis au droit de l’Union européenne ;

Cette formulation redondante risquerait au contraire d’être source d’incertitudes (car certains traitement relevant pourtant bien du droit de l’Union sont pourtant exclus du champ d’application du RGPD).






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-39

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


I. – Alinéa 5

Après le mot :

peut

insérer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

II. – Alinéa 16

Supprimer le mot :

également

Objet

Le présent amendement, tout en préservant intégralement les pouvoirs de sanction de la CNIL, vise à rétablir une gradation pédagogique dans l’enchaînement des mesures susceptibles d'être prononcées. 

Le projet de loi ouvre en effet la possibilité, en cas de manquement aux règles régissant la protection des données personnelles, de faire l’objet :

- soit d’un simple avertissement par le président de la CNIL,

- soit d’une mise en demeure (éventuellement publique) par le président de la CNIL,

- soit directement d’une procédure contradictoire de sanction devant cette la formation restreinte.

Ce faisant, la rédaction du projet de loi :

– rompt avec la logique pédagogique, opportunément privilégiée lors de l’adoption de la loi pour une République numérique, d’une gradation des outils de sanctions ;

– et pose un problème juridique d’égalité devant la loi et de proportionnalité des sanctions, en instaurant simultanément trois procédures dont il n’est pas précisé si elles sont alternatives ou cumulatives, aucun critère n’explicitant les raisons qui présideront au choix de l’une ou de l’autre procédure.

L’article 58 du RGPD relatif aux sanctions prévoyant que « l'exercice des pouvoirs conférés à l'autorité de contrôle (…) est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte », le présent amendement vise à garantir le respect de ces principes élémentaires du droit processuel et à rétablir ainsi une certaine gradation et une meilleure pédagogie dans l’enchaînement des mesures susceptibles d’aboutir à une sanction de la CNIL.

Ces garanties semblent d’autant plus nécessaire au vu des nouveaux montants considérables des amendes et des astreintes que la CNIL peut désormais prononcer..






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-40

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Alinéas 7,  12 (première phrase) et 32

Après les mots :

par l’État

insérer les mots :

, par une collectivité territoriale ou par un groupement de collectivités territoriales,

Objet

Le présent amendement vise à exonérer les collectivités territoriales et leurs groupements, au même titre que l’État, en raison des prérogatives de puissance publique et des missions de service public dont ils sont comme lui investis, tant de l’amende administrative (en application de l’art. 83, §7, du règlement) que de l’astreinte (en modulant la marge de manœuvre utilisée par le Gouvernement au titre de l'art. 84 du règlement ).

Il entend répondre ainsi aux vives inquiétudes des élus locaux face aux sanctions auxquelles nos collectivités territoriales seraient exposées, et propose ainsi de « dédramatiser » chez les petits acteurs locaux les efforts de mise en conformité avec le règlement.

À ce titre, votre rapporteur rappelle l’extrême rareté des sanctions prononcées par la CNIL à l’encontre des collectivités territoriales : depuis près de 15 années que la CNIL dispose d’un pouvoir de sanction, elle a adopté en tout et pour tout seulement trois sanctions contre des collectivités : 3 avertissements, dont un seul a été rendu public ;

L’exemption proposée entend simplement traduire en droit cet état de fait, les collectivités restant soumises au prononcé de toutes les autres mesures correctives plus pédagogiques de la CNIL et, bien sûr, dans les cas extrêmement graves, au prononcé de sanction pénales.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-41

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Alinéas 7 et 32

Compléter ces alinéas par les mots :

de retard à compter de la date qu'elle a fixée

Objet

Amendement rédactionnel (choix d'une formulation plus classique pour définir une astreinte)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-42

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


I. – Alinéas 13 et 14

Supprimer ces alinéas.

II. – Après l’alinéa 42

Insérer trois alinéas ainsi rédigés :

« Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s'impute sur l'amende pénale qu'il prononce.

« L'astreinte est liquidée par la formation restreinte qui en fixe le montant définitif.

« Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine. » ;

Objet

Amendement de cohérence rédactionnelle visant à préciser les modalités de recouvrement et de liquidation des astreintes.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-43

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Alinéa 21

Après la référence :

insérer la référence :

du présent III

Objet

Rédactionnel.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-44

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Alinéa 26

Après la référence :

article 1er

insérer les mots :

de la présente loi

Objet

Rédactionnel.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-45

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Alinéa 32

Après les mots :

présente loi

insérer les mots :

ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits

Objet

Harmonisation du champ des pouvoirs d’injonction de la CNIL (entre procédure normale et urgence)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-47

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Avant l'alinéa 43

Insérer un alinéa ainsi rédigé :

« Leur produit est destiné à financer l'assistance apportée par l'État aux responsables de traitement et à leurs sous-traitants, afin qu'ils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;

Objet

Chacun s'accorde à dire qu'un grand nombre de responsables de traitement ne seront pas prêts, dès le 25 mai 2018, pour assumer leurs nouvelles obligations issues du RGPD. Ces nouvelles obligations auront un coût élevé, difficilement supportable pour de petites structures, entreprises ou collectivités territoriales. L'aide actuellement apportée par la CNIL et par le secrétariat d'État à l'économie numérique est très loin de suffire. 

C'est pourquoi votre rapporteur propose que le produit des sanction pécuniaires et des astreintes prononcées par la CNIL serve à financer des actions destinées aux responsables de traitement publics et privés, afin de les aider à se conformer à la nouvelle réglementation.

Il s'agit de poser un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ». 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-48 rect.

13 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Compléter cet article par un paragraphe ainsi rédigé :

… – Au deuxième alinéa de l’article 226-16 du code pénal, la référence : « I » est remplacée par le référence : « II ». Cet alinéa demeure applicable, dans sa rédaction résultant de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, aux faits commis avant la date d'entrée en vigueur du présent article pour lesquels l'action publique avait été valablement exercée avant cette même date.

Objet

Coordination et précision (Le deuxième alinéa de l’article 226-16 du code pénal renvoie au 3° du I de l'article 45 qui n'existe plus en raison de la refonte de l'architecture des sanctions de la CNIL)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-25

12 mars 2018


 

AMENDEMENT

présenté par

Rejeté

M. PATRIAT

et les membres du groupe Rassemblement des démocrates, progressistes et indépendants


ARTICLE 7


Alinéa 3

Rédiger ainsi cet alinéa :

« I. - Il est interdit de traiter des données à caractère personnel qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, les pratiques et croyances qu’un individu exerce ou manifeste dans le cadre de sa foi spirituelle, les convictions philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques tendant à désanonymiser une personne physique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne physique. » 

Objet

Cet amendement apporte des corrections rédactionnelles à la présente codification des dispositions relatives à certaines catégories de données. Il s'agit principalement de tenir compte de la jurisprudence de la Cour européenne des Droits de l’Homme en faisant la distinction entre la conviction religieuse d’une part, et, sa manifestation, d’autre part.

Par ailleurs, l'introduction du terme "désanonymiser" nous apparait pas totalement infondée au regard de l'objectif constitutionnel d'intelligibilité de la loi. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-18

12 mars 2018


 

AMENDEMENT

présenté par

Rejeté

M. RAYNAL


ARTICLE 7


Alinéa 3

Supprimer les mots: 

de manière unique 

Objet

L'identification biométrique se basant sur une correspondance statistique entre deux mesures corporelles, elle ne peut identifier de manière unique un individu. Même les systèmes biométriques les plus performants,s'ils peuvent discriminer deux personnes, ne peuvent de manière unique identifier un individu, puisque par nature, il ne s'agit là que d'une probabilité et non d'une certitude. 

Cette transformation des hypothèses scientifiques (les statistiques), en  une vérité juridique (le caractère unique de l'identité biométrique) peut entraîner des problèmes pour les personnes, notamment des identifications erronées, ou des rejets d'identification. 

L'objet de cet amendement est alors de préciser, par la suppression de l'expression de "manière unique" de mettre en adéquation les qualifications juridiques avec l'état des connaissances en ce qui concerne les sciences et les techniques.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-49

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 7


Alinéa 9

Remplacer les mots :

ou aux agents,

par les mots :

, aux agents, aux stagiaires ou aux prestataires

Objet

Le présent amendement vise à prendre en compte le cas des prestataires et des stagiaires pour les traitements mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques nécessaires aux contrôles de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre de leurs missions.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-19

12 mars 2018


 

AMENDEMENT

présenté par

Rejeté

M. RAYNAL


ARTICLE 7


Alinéa 9

Compléter cet alinéa par les mots : 

le responsable du traitement de données biométriques doit garantir le caractère subsidiaire de ce dernier en mettant à disposition de l'agent ou de l'usager un dispositif non biométrique remplissant la même finalité 

Objet

Quelque soit le système biométrique utilisé, il existe un pourcentage même minime de personnes dont les données biométriques ne peuvent être enregistrées. Ce taux d'impossibilité d’enrôlement est fonction soit de la nature des données capturées, soit des accidents de la vie des personnes (doigts coupés, brûlés ou mal formés). 

L'objet de cet amendement est de permettre à ces personnes d’accéder aux même services que les personnes enrôlées dans les systèmes biométriques. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-50 rect.

13 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 9


Compléter cet article par un paragraphe ainsi rédigé :

... - L'article 226-16-1 A du code pénal est abrogé. Il demeure applicable, dans sa rédaction résultant de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, aux faits commis avant la date d'entrée en vigueur du présent article pour lesquels l'action publique avait été valablement exercée avant cette même date.

Objet

Coordination et précision.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-51

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 11


I. - Après l'alinéa 1

Insérer un alinéa ainsi rédigé :

...° Au début du premier alinéa, est ajoutée la mention : « I. - » ;

II. - Alinéa 2

Supprimer cet alinéa.

III. - Alinéa 3

Remplacer les mots :

leur mission

par les mots :

l'exercice des missions qui leur sont confiées par la loi

IV - Alinéa 5

A. Après le mot :

durée

insérer le mot :

strictement

B. Remplacer les deux occurrences du signe de ponctuation :

;

par :

.

C. Compléter cet alinéa par deux phrases ainsi rédigées  :

Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, fixe les modalités d'application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ;

V. - Compléter cet article par deux alinéas ainsi rédigés :

5° Il est ajouté un II ainsi rédigé :

« II. - Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre qu’après autorisation de la Commission nationale de l'informatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

« La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée. »

Objet

Le présent amendement vise à :

- supprimer une modification inutile de l'article 9 de la loi n°78-17 fixant la liste des personnes autorisées à mettre en œuvre les fichiers concernant les infractions, les condamnations et autres mesures de sûreté (II) ;

- préciser que les personnes morales de droit privé collaborant au service public de la justice ne peuvent mettre en œuvre de tels fichiers que pour exercer les missions qui leur sont confiées par la loi (III) ;

- préciser que la durée de conservation des données relatives aux infractions pénales traités par des personnes physiques ou morales pour leur permettre de préparer une action en justice doit être strictement proportionnée à la finalité du traitement (IV A);

- préciser que les modalités d'application de ce régime dérogatoire fera l'objet d'un décret en Conseil d’État qui devra fixer les durées maximales de conservation des données, par catégorie, déterminer les personnes autorisées à se voir transmettre ces fichiers et les conditions de transmission de tels fichiers (IV B);

- maintenir le régime actuel d'autorisation préalable par la CNIL des fichiers d'infractions pénales non mis en œuvre par l’État, supprimé, par voie de conséquence, en raison de l'abrogation de l'article 25 de la loi n°78-17 du 6 janvier 1978 par l'article 9 (V).






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-52

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 11


A. - Compléter cet article par deux paragraphes ainsi rédigés :

II. - Le deuxième alinéa de l'article L. 111-13 du code de l'organisation judiciaire est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de ré-identification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions. »

III. - Le troisième alinéa de l'article L. 10 du code de justice administrative est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de ré-identification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des juges et à l'impartialité des juridictions. »

B. - En conséquence, faire précéder le premier alinéa de l'article de la mention :

I. -

Objet

Cet amendement vise à introduire dans le projet de loi les dispositions de l'article 6 de la proposition de loi n° 641 (2016-2017) d’orientation et de programmation pour le redressement de la justice, présentée par M. Philippe Bas et adoptée par le Sénat le 24 octobre dernier, visant à renforcer le cadre juridique de la mise à disposition du public des décisions de justice afin d’éviter tout risque d’atteinte à la liberté d’appréciation du magistrat et à l’impartialité des juridictions. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-87

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 12


Alinéa 3

Remplacer les mots : 

à dernier

par les mots : 

et cinquième

Objet

Correction d'une erreur légistique.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-54

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 12


Alinéa 5

Après les mots : 

la réalisation

rédiger ainsi la fin de cet alinéa :

de ces finalités. Un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine les conditions d'application du présent alinéa, ainsi que les garanties appropriées pour les droits et libertés des personnes concernées et les limitations à apporter à la diffusion des données traitées.

Objet

Il est légitime que les services publics d’archives, chargés de transmettre aux générations futures la mémoire de notre société – à des fins de recherche historique ou scientifique, mais aussi pour permettre l’établissement de droits – bénéficient d’un régime dérogatoire au droit commun de la protection des données personnelles. L'article 12 rappelle, conformément au règlement européen, que ces dérogations ne trouveront à s’appliquer que dans la mesure nécessaire à l’exercice de leurs missions de service public.

Toutefois, il paraît utile qu'un décret en Conseil d’État, pris après avis de la CNIL, précise la portée de ces dérogations et les modalités d’exercice des droits des personnes concernées, ainsi que les limitations à apporter à la diffusion des données traitées, par exemple en ce qui concerne l’indexation sur des moteurs de recherche externes.

Cet amendement suit une recommandation formulée par la CNIL dans son avis sur le projet de loi.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-55

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 12


Alinéa 5

Supprimer la référence :

, 16

Objet

Il ne paraît pas justifié de déroger au droit à la rectification de données inexactes, prévu à l'article 16 du règlement européen, en ce qui concerne les traitements de données mis en œuvre par les services publics d'archives. La loi « informatique et libertés », dans sa rédaction en vigueur, ne prévoit aucune dérogation de ce type.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-53

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 12


I.– Compléter cet article par un alinéa ainsi rédigé :

« Un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine dans quelles conditions et sous réserve de quelles garanties il peut être dérogé en tout ou partie aux droits prévus aux articles 15, 18 et 21 du même règlement, en ce qui concerne les autres traitements mentionnés au premier alinéa du présent article. » 

II.– En conséquence, alinéa 4

Rédiger ainsi cet alinéa :

3° Sont ajoutés deux alinéas ainsi rédigés :

Objet

Le règlement européen dispose que les données traitées à des fins archivistiques d'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques peuvent être conservées au-delà de la durée initialement nécessaire à leur utilisation. Il permet en outre aux États membres de déroger, en ce qui concerne ces traitements, aux droits reconnus aux personnes physiques sur leurs données personnelles. 

L'article 12 du projet de loi prévoit que les traitements mis en œuvre par les services publics d'archives bénéficient de telles dérogations, moyennant certaines garanties.

Il paraît utile, comme l'avait initialement prévu le Gouvernement, qu'un décret en Conseil d'État puisse étendre ces dérogations, en tout ou partie, aux autres traitements mis en œuvre à des fins archivistiques d'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. L'étude d'impact du projet de loi mentionne, parmi les responsables de tels traitements, le Mémorial de la Shoah, la fondation Jean-Jaurès, les services d'archives des églises, de partis politiques, d'associations, etc.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-56

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 13


I. – Alinéa 13

Après la référence :

b du 2°

insérer la référence :

du I

II. – Alinéa 16

Supprimer les mots :

premier alinéa du

III. – Alinéa 20

Après la référence :

livre IV

insérer les mots :

de la première partie 

Objet

Rédactionnel.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-1

7 mars 2018


 

AMENDEMENT

présenté par

Retiré

MM. DARNAUD et GENEST


ARTICLE 13


Alinéa 31

Compléter cet alinéa en insérant la phrase suivante ainsi rédigée:

« Pour l’exercice de ce droit, les titulaires précédemment cités doivent justifier de leur identité et de leur autorité parentale, de leur mission de représentation dans le cadre d’une tutelle, de leur habilitation familiale ou d’un mandat de protection future, ainsi que de leur identité. »

Objet

Cet amendement précise les conditions selon lesquelles les titulaires de l’autorité parentale et personnes assimilées sont destinataires des informations.

Il vise à mieux concilier la protection des données personnelles et l’exploitation des données disponibles afin d’améliorer les réponses à apporter aux personnes bénéficiaires des politiques sociales ou de santé.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-26

12 mars 2018


 

AMENDEMENT

présenté par

Rejeté

M. PATRIAT

et les membres du groupe Rassemblement des démocrates, progressistes et indépendants


ARTICLE 13


Alinéa 40

Première phrase

Après les mots :

le consentement éclairé

Insérer les mots :

, libre, spécifique, univoque 

Alinéa 43

Première phrase

Après les mots :

le consentement éclairé

Insérer les mots :

, libre, spécifique, univoque 

Objet

Déjà listées au sein de la Directive 95/46/CE, le  Règlement européen 2016/679 sur la protection des données personnelles définit et entérine les conditions légales du consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Par ailleurs, les qualificatifs libre et éclairé sont repris dans tous les attendus de jugement ayant trait aux problèmes de consentement. 

Cette précision rédactionnelle mérite par conséquent d'être intégrée au texte compte tenu de la sécurisation juridique qu'elle apporte. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-57

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 13


Alinéa 40

Supprimer cet alinéa.

Objet

Rédactionnel (suppression d’une redondance avec l'alinéa 43).






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-58

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 13


Compléter cet article par un paragraphe ainsi rédigé :

… – Le code de la santé publique est ainsi modifié :

1° Au 7° de l’article L. 1122-1, la référence : « 57 » est remplacée par la référence : « 58 » ;

2° Au treizième alinéa de l’article L. 1123-7, la référence : « au I de l'article 54 » est remplacée par la référence : « à l’article 61 » ;

3° Au second alinéa du IV de l’article L. 1124-1, la référence : « du II de l'article 54 » est remplacée par la référence : « de l’article 63 » ;

4° Au 6° de l'article L. 1461-7, la référence : « 56 » est remplacée par la référence : « 57 ».

Objet

Coordinations.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-59

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 14 A (NOUVEAU)


Supprimer cet article.

Objet

Cet amendement vise à maintenir à 16 ans, alors que l'Assemblée nationale a décidé de l'abaisser à 15 ans, l’âge à partir duquel le responsable d’un traitement de données peut se fonder sur le consentement autonome d’un mineur dans le cadre d’une une offre directe de services de la société de l’information.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-11

8 mars 2018


 

AMENDEMENT

présenté par

Adopté

MM. Henri LEROY, PACCAUD et DALLIER, Mme EUSTACHE-BRINIO et MM. CHAIZE, LEFÈVRE, GROSDIDIER et MEURANT


ARTICLE 14 A (NOUVEAU)


Supprimer cet article.

Objet

Le règlement (UE) 2016/679 fixe à seize ans l’âge à partir duquel un mineur peut consentir seul à un traitement des données qui le concernent dans le cadre des services de la société de l’information. Si le règlement laisse aux Etats la possibilité d’une dérogation, il ne semble pas pertinent d’y recourir. Dans un souci de protection des mineurs, il est légitime que des parents puissent expliquer à des adolescents ce qu’implique la diffusion de leurs données, notamment sur les réseaux sociaux. De plus, l’âge retenu a une signification particulière en droit français puisque c’est précisément à partir de seize ans que l’on peut créer seul une entreprise ou encore prendre la présidence d’une association. C’est aussi à cet âge que l’excuse atténuante de minorité ne joue plus en matière pénale.

Cet amendement a également pour objet de supprimer le double consentement numérique exercé à la fois par le mineur et les détenteurs de l’autorité légale. Désormais, seuls ces derniers seront habilités à consentir dans l’intérêt d’un mineur. En effet, le principe du double consentement tel qu’il figurait dans la loi n’avait aucun sens puisqu’il impliquait qu’un mineur, dès sa naissance (!), puisse autoriser l'utilisation de ses données personnelles. Or une telle disposition est une ineptie sur le plan juridique.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-60

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 14


Rédiger ainsi cet article :

I. – L'article 10 de la loi n° 78-17 du 6 janvier 1978 est ainsi rédigé : 

 « Art. 10. – Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4) de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

«  Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

« 1° Des cas mentionnés au a et c du 2 de l’article 22 du même règlement, sous les réserves mentionnées au 3 du même article et à condition, lorsque la décision produit des effets juridiques, que l'intéressé en soit informé par le responsable de traitement et que les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ;

« 2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l’objet est d’appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8 de la présente loi ;

« 3° Des actes pris par l’administration dans l’exercice de ses pouvoirs de contrôle ou d’enquête.

« Par dérogation au 2° du présent article, aucune décision par laquelle l’administration se prononce sur un recours administratif mentionné au titre Ier du livre IV du code des relations entre le public et l’administration ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel. »

II. – Au premier alinéa de l’article L. 311-3-1 du code des relations entre le public et l’administration, après le mot : «  comporte », sont insérés les mots : « , à peine de nullité, ».

III. – Le dernier alinéa du I de l'article L. 612-3 du code de l'éducation est supprimé.

Objet

Le présent amendement procède à une réécriture globale de l'article 14 du projet de loi, relatif aux décisions prises sur le fondement d'algorithmes.

1. Il a d'abord pour objet d’harmoniser la rédaction de la loi Informatique et libertés avec celle du RGPD, afin de viser également les décision « affectant une personne de manière significative » sans pour autant produire d'effets juridiques, et de couvrir l’ensemble des traitements automatisés de données personnelles et pas seulement le profilage.

2. S’agissant des décisions automatisées prises dans un cadre contractuel ou avec le consentement de la personne concernée (mentionnées aux a et c du 2 de l’article 22 du RGPD), l’amendement vise à parfaire la rédaction adoptée par l’Assemblée nationale, en distinguant les décisions qui produisent des effets juridiques (et qui seraient soumises à certaines des obligations de transparence actuellement prévues pour les décisions administratives par le code des relations entre le public et l’administration) de celles qui n’en produisent pas.

3. Le projet de loi tend à autoriser les décisions administratives individuelles prises sur le seul fondement d’un traitement automatisé de données, jusqu’ici prohibées.

Sans méconnaître les bénéfices liés à l’usage d’algorithmes par l’administration, il convient de se prémunir contre un triple risque :

- une décision automatisée risque d’être aveugle à des circonstances de l’espèce qui mériteraient d’être prises en compte, parce que l’algorithme n’a pas été programmé pour le faire. Le recours aux algorithmes doit donc être réservé à des cas qui n’appellent aucun pouvoir d’appréciation ;

- le deuxième risque, lié à l’essor de l’intelligence artificielle, est que des décisions administratives individuelles soient prises sans que personne ne sache suivant quels critères, l’algorithme ayant déterminé lui même les critères à appliquer et leur pondération : c’est le phénomène des « boîtes noires » ;

 - le troisième risque est que la programmation des algorithmes destinés à prendre des décisions individuelles n’aboutisse à contourner les règles de fond et de forme qui encadrent l’exercice du pouvoir réglementaire. Ainsi, dans la procédure dite « Admission post-bac », les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n’avaient jamais été explicités dans un texte réglementaire et qui n’étaient même pas rendus publics. On ne saurait admettre que l’administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d’infaillibilité des automates pour masquer ses propres choix.

Pour parer à ce triple risque, votre rapporteur propose de n’autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces traitements ont pour objet d’appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement. Sont exceptés les actes pris par l'administration dans l'exercice de ses pouvoirs de contrôle ou d'enquête.

4. La loi du 7 octobre 2016 pour une République numérique a imposé à l’administration, lorsqu’elle prend une décision individuelle sur le fondement d’un traitement algorithmique, d’en faire mention sur le texte de la décision. Afin d’inciter l’administration à se conformer à la loi, votre rapporteur propose que le non-respect de cette formalité soit une cause de nullité de la décision.

5. Enfin, il est proposé de corriger une première entorse aux règles de publicité des algorithmes employés par l’administration pour fonder des décisions individuelles, issue d’un amendement du Gouvernement au projet de loi relatif à l’orientation et à la réussite des étudiants.

Cet amendement, déposé tardivement en séance publique au Sénat sans que notre commission de la culture ait pu se prononcer, concerne les algorithmes qu’emploieront les établissements d’enseignement supérieur pour classer les candidatures qu’ils auront reçues.

Dans l’éventualité où ces algorithmes de classement conduiraient à accepter ou rejeter certains dossiers sans examen, il n’y a aucune raison pour que les établissements n’en fassent pas mention sur le texte de la décision, pour qu’ils ne communiquent pas à l’intéressé, à sa demande, les règles définissant l’algorithme et les principales caractéristiques de sa mise en œuvre (article L. 311 3-1 du code des relations entre le public et l’administration), ou pour qu’ils ne publient pas ces règles sur Internet s’ils emploient plus de cinquante agents (article L. 312-1-3 du même code). Il n’y a pas lieu de protéger le secret de délibérations inexistantes.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-20

12 mars 2018


 

AMENDEMENT

présenté par

Satisfait ou sans objet

M. RAYNAL


ARTICLE 14


Alinéa 10

Ajouter : 

Il tient à la disposition de l'usager le cahier des charges complet et le code source commenté de l'algorithme.  

Objet

Face au développement des algorithmes, il est important de permettre aux citoyens de connaître tant les impératifs qui ont conduit à son développement que les explications de son mode de fonctionnement. Partant, cet amendement se propose d'inscrire dans la loi un principe de transparence en matière d'algorithme en rendant obligatoire la transmission, sur demande, tant du cahier des charges que du code source avec ses commentaires. 

Tel est l'objet du présent amendement 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-61

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 14 BIS (NOUVEAU)


Alinéa 2

Remplacer le mot :

quinze

par le mot :

seize

Objet

Coordination (avec la suppression de l'article 14 A)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-12

8 mars 2018


 

AMENDEMENT

présenté par

Adopté

MM. Henri LEROY, PACCAUD et DALLIER, Mme EUSTACHE-BRINIO et MM. CHAIZE, LEFÈVRE, GROSDIDIER et MEURANT


ARTICLE 14 BIS (NOUVEAU)


Alinéa 2

Remplacer le mot :

quinze

par le mot :

seize

Objet

Le règlement (UE) 2016/679 fixe à seize ans l’âge à partir duquel un mineur peut consentir seul à un traitement des données qui le concernent dans le cadre des services de la société de l’information. Si le règlement laisse aux Etats la possibilité d’une dérogation, il ne semble pas pertinent d’y recourir. Dans un souci de protection des mineurs, il est légitime que des parents puissent expliquer à des adolescents ce qu’implique la diffusion de leurs données, notamment sur les réseaux sociaux. De plus, l’âge retenu a une signification particulière en droit français puisque c’est précisément à partir de seize ans que l’on peut créer seul une entreprise ou encore prendre la présidence d’une association. C’est aussi à cet âge que l’excuse atténuante de minorité ne joue plus en matière pénale.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-2

7 mars 2018


 

AMENDEMENT

présenté par

Retiré

MM. DARNAUD et GENEST


ARTICLE 15


Après l'alinéa 2

Insérer un nouvel alinéa ainsi rédigé :

IV. La documentation concernant la notification de violation de données à caractère personnel n’est pas considérée comme un document administratif au sens du Code des relations entre le public et l’Administration, elle n’est donc pas communicable sur la base des articles L 311 et suivants du Code de la Relation entre le Public et l’Administration.

Objet

Cet amendement précise les dispositions relatives à la limitation du droit à la communication d’une violation de données à caractère personnel auprès d’un usager, ou d’une autre institution voir d’une personne mal attentionnée.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-3

7 mars 2018


 

AMENDEMENT

présenté par

Retiré

MM. DARNAUD et GENEST


DIVISION ADDITIONNELLE AVANT ARTICLE 16 A (NOUVEAU)


Avant l'article 16 A (nouveau)

Insérer une division additionnelle ainsi rédigée :

Pour toute action engagée sur la base de l’article 43 ter de la loi n°78-17 du 6 janvier 1978, il sera possible de passer par une médiation. La médiation régie par le présent article s'entend de tout processus structuré, quelle qu'en soit la dénomination, par lequel deux ou plusieurs parties tentent de parvenir à un accord en vue de la résolution amiable de leurs différends, avec l'aide d'un tiers, le médiateur, choisi par elles ou désigné, avec leur accord, par la juridiction.

Une liste des médiateurs est établie par un décret en Conseil d’état.

Le médiateur accomplit sa mission avec impartialité, compétence et diligence.

Sauf accord contraire des parties, la médiation est soumise au principe de confidentialité. Les constatations du médiateur et les déclarations recueillies au cours de la médiation ne peuvent être divulguées aux tiers ni invoquées ou produites dans le cadre d'une instance juridictionnelle ou arbitrale sans l'accord des parties.

Les délais de recours contentieux sont interrompus et les prescriptions sont suspendues à compter du jour où, après la survenance d'un différend, les parties conviennent de recourir à la médiation ou, à défaut d'écrit, à compter du jour de la première réunion de médiation.

Ils recommencent à courir à compter de la date à laquelle soit l'une des parties ou les deux, soit le médiateur déclarent que la médiation est terminée. Les délais de prescription recommencent à courir pour une durée qui ne peut être inférieure à six mois.

Le médiateur informe la juridiction concernée du fait que les parties aient trouvé ou non un accord amiable.

Objet

Cet amendement propose la mise en place d’une médiation présentant plusieurs avantages :

-          Alléger la tâche de travail de la CNIL

-          Conduire des actions de pédagogie auprès des services non suffisamment informés de la législation existante

-          Mettre des garde-fous aux actions de groupe visant à désorganiser les services et à encourager systématiquement les usagers à faire des demandes en masse en vue de demande de dommages et intérêts.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-62

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 16 A (NOUVEAU)


Après l'alinéa 1

Insérer un alinéa ainsi rédigé :

...° Au II, après les mots : « aux dispositions », sont insérés les mots : « du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou » ;

Objet

Le règlement général sur la protection des données étant d'application directe, il convient de prévoir que l'action de groupe en matière de données personnelles peut être exercée en cas de manquement aux dispositions de ce règlement, et non seulement de la loi nationale.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-63

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 16 A (NOUVEAU)


Alinéa 2

Compléter cet alinéa par les mots : 

, qui en informe la Commission nationale de l'informatique et des libertés »

Objet

Afin que la CNIL puisse présenter ses observations devant une juridiction saisie d'une action de groupe, comme le projet de loi tend à le lui permettre, il convient qu'elle soit informée de l'introduction de l'instance par le demandeur.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-64

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 16 A (NOUVEAU)


Après l'alinéa 4

Insérer un alinéa ainsi rédigé :

« Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 25 mai 2020. » ;

Objet

Il convient de laisser aux responsables de traitement, et notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de se conformer aux nouvelles obligations issues du règlement général sur la protection des données, sans les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements. C'est pourquoi votre rapporteur proposera, à l'article 24, de différer de deux ans l'entrée en vigueur de l'article 16 A.

De la même façon, le présent amendement prévoit que seuls les manquements intervenus après le 25 mai 2020 pourront donner lieu à l'engagement de la responsabilité d'un responsable de traitement ou d'un sous-traitant dans le cadre d'une action de groupe.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-65

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 16 A (NOUVEAU)


I.– Alinéa 5

Remplacer cet alinéa par cinq alinéas ainsi rédigés :

2° Le IV est ainsi modifié :

a) Le 1° est complété par les mots : « et agréées par l'autorité administrative » ;

b) Il est ajouté un alinéa ainsi rédigé :

« L'agrément prévu au 1° est notamment subordonné à l'activité effective et publique de l'association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions d'agrément et du retrait de l'agrément sont déterminées par décret en Conseil d'État. » ;

3° Il est ajouté un V ainsi rédigé :

II.– Alinéa 6

Rédiger ainsi le début de cet alinéa : 

« V.– Lorsque l'action...

Objet

Si l'on peut saluer l'extension de l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices subis, il convient d'assortir cette innovation de garde-fous.

Afin d’éviter la multiplication de recours abusifs, le présent amendement prévoit que les associations ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel devront être agréées pour exercer une action de groupe en la matière. Un tel agrément est déjà requis pour exercer une action de groupe dans le domaine de la consommation, de l’environnement ou de la santé.

L'agrément serait subordonné à l’activité effective et publique de l'association en vue de la protection de la vie privée et des données personnelles, à la transparence de sa gestion, à sa représentativité et à son indépendance, dans des conditions précisées par décret en Conseil d'État.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-66

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 16


Compléter cet article par un alinéa ainsi rédigé :

« L'agrément prévu au 1° du IV de l'article 43 ter n'est pas requis pour qu'une association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. »

Objet

À l'initiative de votre rapporteur, l'exercice d'une action de groupe par une association active dans le domaine de la protection de la vie privée et des données personnelles a été subordonné à son agrément par l'autorité administrative.

En revanche, le droit européen ne permet pas que le mécanisme de mandatement prévu à l'article 16 soit réservé aux associations agréées.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-67

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 17


Alinéa 2

1° Première phrase

Remplacer les mots : 

du transfert de données en cause

par les mots :

d'un transfert de données

les mots : 

autorisant ou approuvant les garanties

par les mots : 

relativement aux garanties

et les mots : 

pris sur le fondement de l'article 46

par les mots : 

mentionnées à l'article 46

2° Seconde phrase

Remplacer les mots : 

pour ordonner

par les mots : 

aux fins d'ordonner

Objet

Amendement rédactionnel.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-90

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 17


Compléter cet article par un paragraphe ainsi rédigé : 

... – L'article 226-22-1 du code pénal est ainsi modifié :

1° Les mots : « , hors les cas prévus par la loi » sont supprimés ;

2° Les mots : «  la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 » sont remplacés par les mots : « l'Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ou des articles 70-25 à 70-27 ». 

Objet

Amendement de coordination.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-14

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

M. RAYNAL


ARTICLE ADDITIONNEL APRÈS ARTICLE 17


Après l'article 17

Insérer un article additionnel ainsi rédigé :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, toute clause contractuelle liant un responsable de traitement et un tiers est nulle lorsqu’elle a pour effet de contraindre ce tiers à ne pas mettre en œuvre, notamment lors de la configuration d’un terminal, toutes les conditions du consentement de l’utilisateur final tel qu’il est défini à l’article 4.11 du règlement (UE) 2016/679.

La mise en œuvre de ces conditions peut notamment consister à proposer à l’utilisateur final le choix entre différents services de communication au public en ligne de nature équivalente et dans des conditions d’utilisation équivalentes, pour lesquels peuvent différer les mesures techniques et organisationnelles de protection des données mises en œuvre par le responsable de traitement en application de l’article 25 du règlement (UE) 2016/679.

 

Objet

Cet amendement vise à garantir que les utilisateurs d’un terminal puissent avoir le choix de services équivalents offrant de meilleures garanties de protection des données personnelles, lorsque des services de communication au public en ligne sont préinstallés.

 

La définition du consentement donnée à l’article 4.11 du règlement général sur la protection des données (RGPD) rappelle que celui-ci doit être « libre », ce qui suppose l’existence d’un choix réel. Ainsi le considérant 42 du RGPD précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ». Le groupe de l’article 29 (G29) souligne également dans ses Lignes Directrices sur le Consentement adoptées le 28 novembre 2017 que « si les personnes concernées n’ont pas de véritable choix, se sentent contraintes de consentir, ou endureront des conséquences négatives si elles ne consentent pas, alors le consentement ne sera pas valide ».

 

Dans de nombreux cas, le choix proposé à l’utilisateur final est pourtant limité à l’acceptation ou au refus des traitements de données proposés, avec comme conséquence en cas de refus la désactivation totale ou partielle des fonctionnalités prévues, sous le prétexte d’une incapacité technique de rendre le service souhaité sans traitement de données personnelles. C’est notamment le cas de moteurs de recherche préinstallés sur les téléphones mobiles, qu’il est souvent impossible de désinstaller et de remplacer par une alternative.

En effet, la quasi-totalité des smartphones commercialisés en France et en Europe sont équipés d’un système d’exploitation mobile qui impose par défaut le même moteur de recherche à leurs utilisateurs à travers tous les points d’entrée de recherche (navigateur, barre de recherche, assistant vocal…).  Par l’effet de clauses insérées dans des contrats type liés au système Android, les fabricants et distributeurs de terminaux mobiles qui souhaitent utiliser ce système d’exploitation et donner accès à son indispensable écosystème d’applications n’ont pas d’autres choix que d’installer par défaut ce moteur de recherche sur tous les points d’entrée possibles, sans offrir la possibilité d’en choisir un autre.

 

Ce moteur de recherche collecte, conserve et analyse l’intégralité des requêtes de chaque individu. Or le niveau d’intrusion dans la vie privée que permet un tel traitement de données collectées par un moteur de recherche utilisé quotidiennement par des dizaines de millions de Français est considérable et impose d’offrir toutes les conditions d’un consentement véritable.

 

L’article 25 du RGPD demande aux responsables de traitement de prendre des mesures techniques et organisationnelles appropriées à une meilleure protection des données, tout en laissant en pratique une marge d’appréciation aux responsables de traitement. Des services proposant des fonctionnalités équivalentes peuvent donc être conçus avec des mesures techniques et organisationnelles différentes, notamment de minimisation des données. C’est déjà le cas par exemple de moteurs de recherche alternatifs qui offrent des fonctionnalités équivalentes mais ne collectent pas de données liées aux recherches de leurs utilisateurs, lesquelles peuvent souvent révéler des informations intimes et sensibles.

 

Afin d’assurer le caractère libre du consentement donné au traitement de données personnelles, il importe donc que de telles alternatives puissent être proposées aux utilisateurs lorsqu’elles existent. Il est impératif dès lors que des clauses contractuelles ne puissent pas faire obstacle à la proposition de choix offrant une meilleure protection des données personnelles.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-68

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


I. - Alinéa 9

Remplacer le mot :

prévu

par le mot :

autorisé

II. - Alinéas 10 et 11

Remplacer le mot :

réglementaire

par les mots :

législatif ou un acte réglementaire

Objet

Amendement de clarification.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-69 rect.

13 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Après l'alinéa 11

Insérer un alinéa ainsi rédigé :

« Tout autre traitement mis en œuvre par une autorité compétente pour au moins l'une des finalités prévues au premier alinéa de l'article 70-1 est autorisé par la Commission nationale de l'informatique et des libertés. La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Objet

Cet amendement vise à soumettre la création d'un traitement de données à caractère personnel mis en oeuvre à des fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales à l'autorisation préalable de la CNIL. Il vise ainsi à maintenir le droit actuellement en vigueur.

Comme le souligne l'article 1er de la directive, celle-ci « n’empêche pas les États membres de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés » des personnes concernées. Son considérant 15 souligne que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent » et qu’il convient que les États « ne soient pas empêchés de prévoir des garanties pus étendues que celles établies dans la présente directive. »






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-70

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéa 12

Compléter cet alinéa par les mots :

, dans les conditions prévues au 7 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité

Objet

Amendement de précision visant à renvoyer la description du contenu de l'analyse d'impact au 7 de l'article 35 du règlement (UE) 2016/679.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-5

7 mars 2018


 

AMENDEMENT

présenté par

Retiré

MM. DARNAUD et GENEST


ARTICLE 19


Alinéa 16

Insérer deux nouveaux alinéas ainsi rédigés:

La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président.

Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’avis est réputée acceptée.

Objet

Cet amendement prévoit les délais de réponse de la CNIL lorsque le responsable du traitement ou son sous-traitant a sollicité son avis.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-71

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéa 21

I. - Après le mot :

autorisés

insérer les mots :

s'ils sont nécessaires et proportionnés à cette finalité

II. - Remplacer les mots :

principes prévus

par les mots :

dispositions prévues

Objet

Amendement de précision visant à souligner que, conformément au 2 de l'article 4 de la directive, l’autorisation des traitements ultérieurs est soumise aux principes de nécessité et de proportionnalité de ces traitements et au respect des conditions prévues par les chapitres Ier et XIII de la loi n° 78-17 du 6 janvier 1978.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-72

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéas 25 à 27

Rédiger ainsi ces alinéas :

« Art. 70-9. – Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4) de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

«  Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

« Tout profilage qui entraine une discrimination, au sens de l'article 225-1 du code pénal et de l’article 1er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d'adaptation au droit communautaire dans le domaine de la lutte contre les discriminations, à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 de la présente loi est interdit.


Objet

Amendement de clarification.

Par coordination avec l'amendement présenté à l'article 14, cet amendement clarifie le fait qu’aucune décision de justice ne peut être fondée sur le profilage et qu’aucune décision produisant des effets juridiques ou affectant une personne de manière significative ne peut être prise sur le fondement exclusif d’un traitement automatisé de données.

Par ailleurs, l'amendement précise l'interdiction de profilage discriminatoire.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-4 rect.

13 mars 2018


 

AMENDEMENT

présenté par

Adopté

MM. DARNAUD et GENEST


ARTICLE 19


Alinéa 30, première phrase

I. - Remplacer les mots :

ainsi que

par le signe de ponctuation :

,

II. - Avant les mots :

et prévoit

insérer les mots :

ainsi que les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement

Objet

Afin de garantir la sécurité des données, les obligations incombant au sous-traitant doivent figurer dans le contrat ou acte juridique signé avec le responsable du traitement des données.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-74

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéa 33

Supprimer les mots :

, dans la mesure du possible,

Objet

Cet amendement vise à supprimer la mention « dans la mesure du possible » s'agissant d'une obligation de vérifier la qualité des données à caractère personnel avant leur transmission à un tiers.

En matière pénale, il apparaît indispensable de tout mettre en œuvre pour que les données soient exactes, complètes et mises à jour, a fortiori avant une transmission ou une mise à disposition d’un fichier. S'il est possible de conserver de la souplesse s'agissant d'autres obligations du responsable de traitement, il apparaît nécessaire de lui imposer une obligation claire concernant la qualité des données transmises.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-21

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

M. RAYNAL


ARTICLE 19


Alinéa 36

Supprimer les mots : 
dans la mesure du possible et le cas échéant

Objet

La jurisprudence de la Cour européenne des droits de l'Homme en ce qui concerne les fichiers de police est claire, en ce qu'elle prévoit une séparation entre le régime applicable aux victimes, mis en causes, témoins, personnes mises en examen et personnes condamnées. Cette séparation des régimes est un impératif conventionnel et non une simple faculté "dans la mesure du possible" qui s'offre au responsable du traitement. 

En outre, ne pas rendre impérative la distinction entre la victime et son agresseur, une personne déclarée innocente et une personne condamnée, peut créer des situations très anxiogènes pour les personnes honnêtes traitées numériquement comme des délinquants.

Tel est l'objet du présent amendement. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-6

7 mars 2018


 

AMENDEMENT

présenté par

Retiré

MM. DARNAUD et GENEST


ARTICLE 19


Alinéa 41

Rédiger ainsi le début de cet alinéa :

« Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et, ….. »

Le reste sans changement

Objet

Le responsable du traitement des données doit mettre en œuvre toutes les mesures appropriées, y compris celles qui existent déjà, afin de garantir la sécurité des données.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-7

7 mars 2018


 

AMENDEMENT

présenté par

Rejeté

MM. DARNAUD et GENEST


ARTICLE 19


Après l'alinéa 63

Insérer deux paragraphes nouveaux ainsi rédigés :

II - La désignation d’un Délégué à la protection des données est, préalablement à sa notification à la Commission nationale de l'informatique et des libertés, portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre remise contre signature.

La décision de désignation du Délégué à la Protection des données ainsi que les informations nécessaires permettant de se mettre en rapport avec lui sont portées à la connaissance des personnes concernées par tout moyen.

Pour les administrations, cette désignation fait l'objet d'une publication, selon le cas, dans un des bulletins, recueils ou registres mentionnés aux articles R. 312-3 &_224; R. 312-6 du code des relations entre le public et l'administration.

III - Dans les trois mois de sa désignation, le Délégué à la protection des données effectue le recensement des traitements dans le registre prévu à l’article 30 du règlement (UE) 2016/679.

Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission

IV - Lorsque le délégué à la protection des données est démissionnaire ou déchargé de ses fonctions, le responsable des traitements en informe la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie

La notification de cette décision mentionne en outre le motif de la démission ou de la décharge. Il y est annexé, le justificatif de la notification de la décision au Délégué à la protection des données.

Cette décision prend effet huit jours après sa date de réception par la Commission nationale de l'informatique et des libertés.

Le remplacement du Délégué à la Protection des données doit se faire dans un délai d’un mois par le responsable des traitements.

Objet

La loi doit préciser la désignation, la fonction et les missions du Délégué à la protection des données, ainsi que les modalités de fin de mission de celui-ci.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-75

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéas 71 et 82

Remplacer les mots :

ou celle d'une limitation du traitement

par les mots :

et du droit de demander une limitation du traitement

Objet

Amendement rédactionnel.

Cet amendement vise à préciser que la personne concernée par les données doit être informée non pas de l’existence d’une limitation du traitement des données, mais de son droit de demander une telle limitation.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-8

7 mars 2018


 

AMENDEMENT

présenté par

Adopté

MM. DARNAUD et GENEST


ARTICLE 19


Alinéa 86

Après les mots

« meilleurs délais »

Insérer les mots

«, et au bout d’un mois maximum, »

Objet

La loi doit prévoir le délai dans lequel s’inscrit le droit à rectification des données.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-9

7 mars 2018


 

AMENDEMENT

présenté par

Adopté

MM. DARNAUD et GENEST


ARTICLE 19


Alinéa 88

Après les mots

« meilleurs délais »

Insérer les mots

«, et au bout d’un mois maximum, »

Objet

La loi doit prévoir le délai dans lequel s’inscrit le droit à rectification des données.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-76

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéa 109

I. - Première phrase

Compléter cette phrase par les mots :

et de former un recours juridictionnel

II. - En conséquence, seconde phrase

Supprimer cette phrase.

Objet

Amendement rédactionnel visant à rétablir la rédaction initiale du projet de loi.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-10

7 mars 2018


 

AMENDEMENT

présenté par

Retiré

MM. DARNAUD et GENEST


ARTICLE 19


Alinéa 114

Compléter cet alinéa par la phrase suivante ainsi rédigée :

« En tout état de cause, ces frais devront respecter les montants définis par l’arrêté du 1er octobre 2001 relatif aux conditions de fixation et de détermination du montant des frais de copie d'un document administratif. »

Objet

Amendement de clarification






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-77

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 19


Alinéa 117, seconde phrase

Remplacer les mots :

ne peut

par les mots :

et les conditions de rectification ou d'effacement de ces données ne peuvent

Objet

Cet amendement vise à renvoyer également au code de procédure pénale l'organisation des conditions d'exercice du droit de rectification ou d'effacement des données lorsque celles-ci figurent dans une décision judiciaire ou dans un dossier judiciaire faisant l'objet d'un traitement lors d'une procédure pénale.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-78 rect.

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


I. – Après l’article 19

Insérer un article additionnel ainsi rédigé :

I. – Le code général des collectivités territoriales est ainsi modifié :

1° Le chapitre V du titre III du livre III de la deuxième partie est complété par une section 7 ainsi rédigée :

« Section 7

« Dotation pour la protection des données à caractère personnel

« Art. L. 2335-17. – À compter de l’exercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'elles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population des communes, est égale :

« - à 5 euros par habitant compris entre le 1er et le 999e habitant ;

« - à 2 euros par habitant compris entre le 1000e et le 4 999e habitant ;

« - à 1 euro par habitant compris entre le 5 000e et le 9 999e habitant ;

« - à 0,1 euro par habitant compris entre le 10 000e et le 99 999e habitant ;

« - à 0,01 euro par habitant au-delà du 100 000e habitant. 

« Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code. » ;

2° Le I de l’article L. 3662-4 est complété par un 6° ainsi rédigé :

« 6° De la dotation prévue à l’article L. 5211-35-3 du présent code. » ;

3° Le livre II de la cinquième partie est ainsi modifié :

a) La sous-section 2 de la section 6 du chapitre Ier du titre Ier est complétée par un article L. 5211-35-3 ainsi rédigé :

« Art. L. 5211-35-3. - À compter de l’exercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale :

« - à 1 euro par habitant compris entre le 1er et le 14 999e habitant ;

« - à 0,5 euro par habitant compris entre le 15 000e et le 49 999e habitant ;

« - à 0,1 euro par habitant compris entre le 50 000e et le 99 999e habitant ;

 « - à 0,01 euro par habitant au-delà du 100 000e habitant.

« Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code. » ;

b) Après le 9° de l’article L. 5214-23, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l’article L. 5211-35-3 du présent code ; »

c) Le 14° de l’article L. 5215-32 est rétabli dans la rédaction suivante :

« 14° La dotation prévue à l’article L. 5211-35-3 du présent code ; »

d) Après le 9° de l’article L. 5216-8, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l’article L. 5211-35-3 ; »

II. – La perte de recettes résultant pour l’État du I ci-dessus est compensée à due concurrence par le relèvement du taux de la taxe mentionnée à l’article 302 bis KH du code général des impôts.

II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigé :

Titre III bis

Dispositions visant à faciliter l'application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales

Objet

Chacun s'accorde à dire que la plupart des collectivités territoriales ne seront pas prêtes pour appliquer le règlement général sur la protection des données dès le 25 mai 2018, non plus que de nombreuses entreprises.

En outre, les nouvelles obligations incombant aux collectivités territoriales et à leurs groupements, en tant que responsables de traitements, auront un coût élevé. Il s'agit : 

-  des nouvelles procédures encadrant l’usage des traitements de données personnelles  (registre des activités de traitement pour les collectivités employant plus de 250 agents ou en cas de risque pour les droits et libertés, analyse d’impact éventuelle) ;

- de l’obligation de se doter d’un délégué à la protection des données, qui s’imposera même aux plus petites collectivités ;

- de l'obligation de satisfaire les nouveaux droits reconnus aux personnes concernées, principalement le droit à l’effacement.

Afin d'aider les plus petites collectivités à se mettre en conformité, il est proposé de créer, par prélèvement sur les recettes de l'État, une dotation communale et une dotation intercommunale pour la protection des données à caractère personnel, dont le montant par habitant serait décroissant en fonction de la taille de la population. 

Selon les estimations de votre rapporteur, cette dotation se monterait à environ 140 millions d'euros pour les communes et 30 millions d'euros pour les EPCI à fiscalité propre.

La perte de recettes qui en résulterait pour l'État serait gagée par un relèvement du taux de la taxe sur les services fournis par les opérateurs de communications électroniques (TOCE), qui pèse sur les opérateurs de téléphonie et les fournisseurs d'accès à Internet. La réflexion sur la fiscalité du numérique doit néanmoins se poursuivre, afin notamment d'instaurer une fiscalité incitative en matière de collecte et d'exploitation des données, comme y invitaient MM. Pierre Collin et Nicolas Colin dans le rapport de leur mission d'expertise en 2013.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-79

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE ADDITIONNEL APRÈS ARTICLE 19


Après l'article 19

Insérer un article additionnel ainsi rédigé :

Le code général des collectivités territoriales est ainsi modifié :

1° La deuxième phrase du troisième alinéa de l’article L. 5111-1 est ainsi modifiée :

a) Les mots : « ou entre » sont remplacés par le mot : « , entre » ;

b) Sont ajoutés les mots : « , ou, à défaut, entre une commune et un syndicat mixte » ;

2° La première phrase du III de l’article L. 5111-1-1 est ainsi modifiée :

a) Au début sont insérés les mots : « Les communes et leurs groupements, » ;

b) Les mots : « et les régions » sont remplacés par les mots : « les régions ».

Objet

Les bénéfices de la mutualisation des services « support » des collectivités territoriales et de leurs groupements sont unanimement salués. C’est notamment le cas en ce qui concerne les services informatiques offerts par des syndicats mixtes, agences départementales ou autres établissements publics, ainsi que par les centres de gestion de la fonction publique territoriale. Les modèles d’organisation varient grandement d’un territoire à l’autre, en fonction de l'histoire et des initiatives des élus.

De telles structures sont susceptibles de fournir un délégué à la protection des données commun à plusieurs collectivités ou organismes publics, comme le permet l’article 37 du RGPD.

Il convient donc de consolider la base légale des prestations de service offertes par les syndicats mixtes (informatiques ou autres) au bénéfice des communes et des intercommunalités. Notons que ces prestations ne sont pas soumises au droit des marchés publics.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-89

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 20


Supprimer cet article.

Objet

Le Gouvernement sollicite du Parlement une habilitation afin d'effectuer par ordonnance une « recodification » de la loi Informatique et libertés et de procéder aux nombreuses mises en cohérence qu'il affirme ne pas avoir eu le temps de faire dans le texte présenté.

Tout en reconnaissant la grande complexité légistique de la tâche à accomplir, le manque d’anticipation flagrant du Gouvernement est regrettable : le contenu du règlement et de la directive était connu dès avril 2016, il y a désormais près de deux ans !

Par le présent amendement, la commission des lois u Sénat entend signifier au Gouvernement sa vive désapprobation du procédé ; en supprimant à ce stade purement et simplement cette habilitation, elle laisse au Gouvernement le soin, s’il le souhaite, de venir en Séance expliquer les raisons de cette impréparation, rétablir l’habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-22

12 mars 2018


 

AMENDEMENT

présenté par

Satisfait ou sans objet

M. RAYNAL


ARTICLE 20


Alinéa 2

Insérer 

2° pour garantir un niveau de protection des droits fondamentaux équivalents aux plus hauts standards des pays membres de l'UE. 

Objet

L'autorisation donnée au Gouvernement de prendre des ordonnances dans le domaine de la loi ne peut se faire sans intégrer dans l'habilitation une obligation de protection des droits fondamentaux. Cette protection des droits fondamentaux qui découle directement du domaine de la loi prévu à l'article 34 de la Constitution doit être d'un niveau équivalent au meilleur système de protection. 

Cette volonté de protéger les droits fondamentaux a justifié en 1978 l'adoption de la loi informatique et libertés face au scandale SAFARI et il serait dommageable que cet aspect historique disparaisse dans cette refonte. 

Tel est l'objet du présent amendement. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-24

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

M. FRASSA


ARTICLE 20 BIS (NOUVEAU)


Supprimer cet article.

Objet

L’article 20 bis inséré par nos collègues députés supprime du droit national toutes les dispositions instaurant un droit à la portabilité, dont le principe est désormais régi par le RGPD en ce qui concerne la portabilité des données personnelles.

Mais, ce faisant, cet article supprime aussi le droit à la récupération et à la portabilité instauré en faveur des consommateurs pour les données non personnelles.

S’agissant des données n’ayant pas un caractère personnel, l’article L. 223-42-3 du code de la consommation définit en effet, un régime distinct, qui ne concerne que les fournisseurs de service de communication au public en ligne.

Ceux-ci doivent proposer aux consommateurs une fonctionnalité gratuite leur permettant la récupération :

– de tous les fichiers qu’ils ont mis en ligne ;

– de toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci (à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur du service) ;

– et de certaines données associées au compte utilisateur du consommateur facilitant le changement de fournisseur ou l’accès à de nouveaux services (définies par décret).

Les auteurs du présent amendement estiment utile de conserver un droit spécifique à la récupération et à la portabilité des données n’ayant pas un caractère personnel.

Comme je le soulignais déjà dans mon rapport lors de l’introduction de ces droits par la loi Republique numérique : « il s'agit moins d'anticiper le droit à la portabilité des données personnelles prévu par le futur règlement européen que d'assurer la régulation d'un secteur économique au bénéfice du consommateur et de la concurrence. [La portabilité des données non personnelles] est une chance de briser le quasi-monopole des grands opérateurs sur la concentration des données des utilisateurs des services en ligne, en permettant à des entreprises innovantes de proposer à ces derniers des services plus adaptés, exploitant directement la masse des données transférées. »






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-88

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 21


I. – Après l'alinéa 6

Insérer un alinéa ainsi rédigé : 

d) Le dernier alinéa est supprimé ;

II. – Alinéa 7

Rédiger ainsi cet alinéa :

2° Les avant-dernier et dernier alinéas de l'article 16 sont supprimés ;

III. – Alinéa 23

Remplacer les mots : 

ainsi modifié :

par le mot : 

abrogé ;

IV. – Alinéas 24 et 25

Supprimer ces alinéas.

Objet

La nouvelle rédaction de l'article 70 de la loi Informatique et Libertés, telle qu'elle résulterait du texte transmis par l'Assemblée nationale, serait tantôt redondante avec le règlement général sur la protection des données, tantôt contraire à celui-ci. Mieux vaut abroger cet article.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-80

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 21


Alinéa 27

Supprimer cet alinéa.

Objet

Amendement de cohérence (cette coordination est traitée à l'article 9)






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-81

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 23


I. - Alinéa 3, troisième phrase

Remplacer les mots :

de deux

par le mot :

d'un

II. - Alinéa 5

Supprimer cet alinéa.

Objet

Cet amendement vise à supprimer l'allongement d'un à deux mois du délai de réponse des magistrats compétents pour les demandes d'effacement, de mise à jour ou de rectification des données personnelles contenues dans le fichier TAJ. Certes, les magistrats ne respectent pas d'ores et déjà ce délai d'un mois. Néanmoins, alors que ces dépassements n'emportent aucune conséquence, l'allongement de ce délai enverrait un mauvais signal et ne serait justifié que par des considérations budgétaires. Il convient de maintenir le délai actuellement prévu par le code de procédure pénale.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-82

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 23


Alinéa 3, après la deuxième phrase

Insérer une phrase ainsi rédigée :

L’effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies par l’article 230-7.

Objet

Cet amendement vise à inscrire dans la loi l'interprétation du Conseil d'Etat concernant l'article 230-8 du code de procédure pénale : dans son avis n° 395119 du 30 mars 2016, le Conseil d’État a rappelé que « saisis d'une demande d'effacement de données qui ne sont pas au nombre de celles que l'article 230-7 du CPP autorise à collecter dans le traitement des antécédents judiciaires, le procureur de la République ou le magistrat référent mentionné à l'article 230-9 du même code, désignés par la loi pour contrôler le fichier, sont tenus d'en ordonner l'effacement. »

Le droit à l'effacement des données inexactes est très clairement affirmé par la directive (UE) 2016/680 : cette inscription permettrait de garantir les personnes concernées contre les préjudices d'une inscription prolongée dans le TAJ alors même que ces données sont erronées, collectées contrairement aux finalités du traitement et donc illégales.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-83 rect.

14 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 23


Alinéa 3, huitième phrase

Rédiger ainsi cette phrase :

En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention.

Objet

Cet amendement vise à prévoir, en cas de décision de non-lieu ou de classement sans suite, notamment ceux motivés par l’absence de caractérisation de l’infraction ou une insuffisance de charges, que les données personnelles concernant les mis en cause devraient être par principe, sauf décision contraire, effacées. Il serait paradoxal que les droits des personnes mises en cause mais n’ayant même pas fait l’objet de poursuites en raison de l'insuffisance de charges soient moindres que ceux des personnes mises en cause ayant fait l’objet de poursuites mais ayant été relaxées ou acquittées. 






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-84

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 23


Alinéa 3, cinquième phrase

I. - Après le mot :

personne

insérer le mot :

condamnée

II. - Remplacer le mot :

aucune

par les mots :

dans le bulletin n° 2 de son casier judiciaire de

III. - Remplacer les mots :

dans le bulletin n° 2 de son casier judiciaire

par les mots :

de nature pénale en lien avec la demande d'effacement

Objet

Cet amendement vise à clarifier le fait que, pour les personnes condamnées, la demande d'effacement ou de rectification peut être formée lorsque ne figure plus aucune mention de nature pénale dans le bulletin n°2 du casier judiciaire en lien avec la demande d'effacement. En effet, le casier judiciaire mentionne également des décisions disciplinaires, commerciales ou administratives qui n'ont pas vocation à empêcher une personne de demander l'effacement des données relatives aux infractions pénales.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-85

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 23 BIS (NOUVEAU)


Supprimer cet article.

Objet

Coordination.






Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-86

12 mars 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 24


I.– Après l'alinéa 1

Insérer un alinéa ainsi rédigé :

Toutefois, l'article 16 A de la présente loi entre en vigueur le 25 mai 2020.

II.– Alinéa 2

Supprimer le mot :

Toutefois,

Objet

Il convient de laisser aux responsables de traitement, et notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de conformer aux nouvelles obligations issues du règlement général sur la protection des données, sans les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements. Aussi le présent amendement prévoit-il de différer de deux ans l'entrée en vigueur de l'article 16 A.