Alinéa 14

Rétablir cet alinéa dans la rédaction suivante :

« f ter) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l’autorité nationale de sécurité des systèmes d’information mentionnée à l'article L. 2321-1 du code de la défense, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ; »

Le présent amendement vise à rétablir la labellisation facultative des objets connectés introduite par le Sénat en première lecture.

Alinéa 18

Remplacer les mots :

peut établir

par le mot :

établit

Le présent amendement rétablit l’établissement obligatoire par la CNIL d’une liste des traitements entrant dans le champ de la directive et susceptibles de créer un risque élevé un pour les droits et les libertés des personnes concernées (ces traitements devant alors faire l’objet d’une consultation préalable obligatoire de la CNIL).

Alinéa 20

Remplacer les mots :

, par le Président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire 

par les mots :

ou par le Président du Sénat 

Le présent amendement vise à revenir au texte adopté par le Sénat en première lecture concernant les autorités habilitées à consulter la CNIL pour avis sur certaines propositions de loi.

Une saisine directe de la CNIL par d’autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (à cet égard, la CNIL elle–même s’est montrée inquiète du risque que poserait à ses capacités de réponses un trop grand élargissement des autorités habilitées à la saisir).

Au demeurant, la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux diverses sollicitations voire donner spontanément son avis au Parlement sur un texte, sans qu’il soit besoin pour cela d’en formaliser la procédure.

Alinéa 20

Après les mots :

sur toute

insérer les mots :

disposition d'une

Le présent amendement vise rétablir, conformément au texte adopté par le Sénat en première lecture, par souplesse et par parallélisme avec les dispositions régissant la consultation de la CNIL sur les projets de loi, la possibilité d’une consultation pour avis de l'autorité sur certaines dispositions seulement d’une proposition de loi.

Alinéas 2 et 3

Supprimer ces alinéas.

Le présent amendement vise, comme le Sénat l'avait voté en première lecture, à supprimer la mention prévoyant de rendre public l’ordre du jour des réunions plénières de la CNIL.

Si louable soit-elle, cette exigence de transparence est manifestement de nature réglementaire. Elle aurait dès lors mieux sa place soit dans le décret relatif au fonctionnement de la CNIL, soit dans le règlement intérieur de l’autorité, et pourrait d’ailleurs être aisément satisfaite par un simple changement des pratiques.

Votre rapporteur regrette à cette occasion que l’Assemblée nationale ne procède à l’évidence pas, comme c’est le cas au Sénat, à un contrôle minimal des amendements au regard de l’article 41 de la Constitution.

Alinéas 16, 21 (première phrase) et 30

Après les mots :

par l’État

insérer les mots :

, par une collectivité territoriale ou par un groupement de collectivités territoriales

Le présent amendement, voté par le Sénat en première lecture, vise à réduire l’aléa financier pesant sur les collectivités territoriales en supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives.

Sourde aux arguments du Sénat (au point d’en faire un point bloquant lors de la commission mixte paritaire), l’Assemblée nationale a rétabli en nouvelle lecture la possibilité de sanctions pécuniaires (s’élevant jusqu’à 20 millions d’euros) et d’astreintes (100 000 d’euros par jour) à l’encontre des collectivités territoriales.

Votre rapporteur insiste sur le fait qu’il ne s’agit en rien d’exempter les collectivités du respect du RGPD. Toutes ses obligations s’appliqueront aux collectivités le 25 mai 2018, et tous les droits reconnus aux particuliers concernés par des traitements de données pourront naturellement s’exercer auprès d’elles.

La CNIL conserve naturellement à leur encontre toute la panoplie de ses mesures correctrices, dont l’inobservation peut constituer une infraction pénale. Les collectivités territoriales demeurent aussi évidemment soumises au respect du principe de légalité, de sorte que tout manquement aux règles du RGPD ou de la loi Informatique et libertés peut être annulé par le juge et engager leur responsabilité.

Il semble indispensable à votre rapporteur de reconnaître pleinement la spécificité des collectivités territoriales, qui :

– à la différence des acteurs privés, sont responsables de nombreux traitement sur lesquels elles n’ont aucune prise, car ils découlent d’obligations légales ou de compétences transférées (fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre…) ;

–  au même titre que l’État, exonéré d’amendes et d’astreinte par le texte, possèdent des prérogatives de puissance publique et exercent les missions de service public dont elles sont comme lui investies ;

– et qui disposent de budgets alimentés par le contribuable et souvent modestes pour la grande majorité d’entre elles (de sorte qu’en cas d’amende ou d’astreinte, c’est le public qui taxe le public, et l’État qui ponctionne le contribuable local).

Votre rapporteur souligne enfin qu’une telle possibilité est expressément prévue par le RGPD dont l’art. 83, §7, dispose que « chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire ».

Cette mesure de bon sens, unanimement adoptée au Sénat, a été soutenue par toutes les grandes associations d’élus et le  Gouvernement lui-même n’a pas souhaité revenir sur cette avancée en séance.

Après l'alinéa 43

Insérer un alinéa ainsi rédigé :

« Leur produit est destiné à financer l'assistance apportée par l'État aux responsables de traitement et à leurs sous-traitants, afin qu'ils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;

Le présent amendement propose, comme le Sénat l'avait voté en première lecture, que le produit des sanction pécuniaires et des astreintes prononcées par la CNIL serve à financer des actions destinées aux responsables de traitement publics et privés, afin de les aider à se conformer à la nouvelle réglementation.

Ces nouvelles obligations auront un coût élevé, difficilement supportable pour de petites structures, entreprises ou collectivités territoriales. L'aide actuellement apportée par la CNIL et par le secrétariat d'État à l'économie numérique est très loin de suffire. 

Alors que chacun s'accorde à dire qu'un grand nombre de responsables de traitement ne seront pas prêts, dès le 25 mai 2018, pour assumer leurs nouvelles obligations issues du RGPD, il s'agit de poser un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ». 

Rétablir cet article dans la rédaction suivante :

La Commission nationale de l’informatique et des libertés établit une charte énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

Le présent amendement vise à rétablir (au bénéfice de quelques précisions rédactionnelles) les dispositions introduites en première lecture en séance publique au Sénat à l’initiative de M. Alain Marc qui chargent la CNIL d'élaborer une charte énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

Rétablir cet article dans la rédaction suivante :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par une phrase ainsi rédigée : « En particulier, et dans toute la mesure du possible, les données sont chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

Le présent amendement vise à rétablir, comme le Sénat l'avait voté en première lecture, l’incitation au chiffrement des données comme technique permettant de remplir l’obligation de sécurité à laquelle sont tenus les responsables de traitements de données personnelles

L’article 10 bis est issu de l’adoption, en séance publique au Sénat, d’un amendement de Mme Marie-Thérèse Brugière (Les Républicains). Il tend à préciser la portée de l’obligation de sécurité à laquelle sont soumis les responsables de traitements (en application de l’article 34 de la loi Informatique et libertés et de l’article 32 du RGPD) en incitant « chaque fois que cela est possible » au chiffrement « de bout en bout » des données personnelles.

En nouvelle lecture, la rapporteure de l’Assemblée nationale a donné un avis favorable à l’adoption d’un amendement du Gouvernement qui a supprimé cet article.

Votre rapporteur regrette la position fermée de l’Assemblée nationale sur un sujet aussi important que le recours aux outils cryptographiques pour protéger les libertés fondamentales de nos concitoyens.

Elle rappelle la position de la CNIL sur ce sujet, fermement exprimée lors de la remise de son précédent rapport annuel, et aux termes de laquelle : « Dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ».

Le Conseil national du numérique, dans son avis de septembre 2017 (« prédictions, chiffrement et libertés ») prenait une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».

Alinéa 3

Remplacer les mots :

effectués que sous le contrôle de l'autorité publique ou

par les mots :

mis en œuvre, sous le contrôle de l'autorité publique, que

Alinéa 4

Remplacer les mots :

et appartenant à des catégories dont la liste est fixée

par les mots :

agréées à cette fin dans les conditions fixées

Concernant la faculté pour les personnes morales de droit privé collaborant au service public de la justice de mettre en œuvre de tels traitements, l’Assemblée nationale a considéré que les garanties apportées par le Sénat auraient pour conséquence d’exclure « les associations qui bénéficient d’un agrément du ministère de la justice sans que des dispositions législatives consacrent leur mission ». 

Cet amendement de compromis ne rétablit pas l'encadrement prévu en première lecture : dans une démarche constructive, il vise à autoriser ces personnes morales à mettre en œuvre de tels fichiers dès lors qu'elles auront été agréées à cette fin par le ministère de la justice.

Alinéa 6

 Compléter cet alinéa par deux phrases ainsi rédigées  :

Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ;

Rétablissant le texte adopté par le Sénat en première lecture, le présent amendement vise à préciser les modalités d’application du régime des fichiers d'infractions pénales mis en œuvre par des personnes physiques ou morales de droit privé afin leur permettre de préparer une action en justice.

Alinéa 9

Rétablir le 5° dans la rédaction suivante :

5° Il est ajouté un II ainsi rédigé :

« II. - Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

« La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée. »

Le présent amendement vise à maintenir, comme l'avait souhaité le Sénat en première lecture, le régime actuel d’autorisation préalable par la CNIL des fichiers d’infractions pénales non mis en œuvre par l’État, supprimé, par voie de conséquence, en raison de l’abrogation de l’article 25 de la loi n°78-17 du 6 janvier 1978 par l’article 9.

Alinéa 10

Rétablir les II et III dans la rédaction suivante :

II. - Le deuxième alinéa de l’article L. 111-13 du code de l’organisation judiciaire est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de ré-identification des magistrats, des greffiers, des parties et des agents de la police nationale ou de la gendarmerie nationale cités dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions. »

III. - Le troisième alinéa de l’article L. 10 du code de justice administrative est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de ré-identification des juges, des parties, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des juges et à l’impartialité des juridictions. »

Cet amendement vise à introduire, partiellement, dans le projet de loi les dispositions de l’article 6 de la proposition de loi n° 641 (2016-2017) d’orientation et de programmation pour le redressement de la justice, présentée par M. Philippe Bas et adoptée par le Sénat le 24 octobre dernier, visant à renforcer le cadre juridique de la mise à disposition du public des décisions de justice afin d’éviter tout risque d’atteinte à la liberté d’appréciation du magistrat et à l’impartialité des juridictions. 

Contrairement à l'encadrement prévu en première lecture, la protection de l'anonymat n'est pas prévue pour les avocats, ni pour l'ensemble des personnes citées dans les décisions. En revanche, l'anonymat des greffiers et surtout des agents de la police nationale ou de la gendarmerie nationale est expressément précisé dans cette disposition.

Alinéa 9

Compléter cet alinéa par les mots :

ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques

Le présent amendement reprend des dispositions adoptées en première lecture par le Sénat à l’initiative de notre collègue Mme Delmont-Koropoulis. Il prévoit que les traitements mis en œuvre par les régimes complémentaires d’assurance maladie ne puissent en aucun cas avoir pour finalité la détermination des choix thérapeutiques et médicaux ni la sélection des risques.

Si votre rapporteur note que certains textes législatifs applicables à ces organismes interdisent déjà la tarification en fonction de l’état de santé (art. L. 110-2 du code de la mutualité, par exemple) elle estime plus prudent de prévoir explicitement de telles garanties.

Supprimer cet article.

Le présent amendement maintient à 16 ans l’âge à partir duquel le responsable d’un traitement de données peut se fonder sur le consentement autonome d’un mineur dans le cadre d’une offre directe de services de la société de l’information.

Votre rapporteur est bien consciente du caractère extrêmement délicat du choix à opérer ici et rappelle qu’il s’agit de l’âge par défaut prévu par le RGPD, et auquel les États membres ne devraient déroger qu’après une analyse approfondie sur la pertinence des différents critères d’âge à prendre en compte, ce qui est loin d’être le cas.

En fixant cet âge à 16 ans, le Sénat rejoint ainsi la position défendue au niveau européen par la France lors des négociations sur le règlement, position de prudence défendue tant par la CNIL que par notre commission des affaires européennes. En tout état de cause, ces hésitations révèlent avant tout un problème de société qui doit être réglé par le développement d’une véritable éducation au numérique dotée de moyens à la hauteur des enjeux.

Votre rapporteur tient à souligner qu’elle n’a pas été convaincue non plus par l’introduction d’un double consentement, qui conditionne la licéité du traitement des données des mineurs de moins de 15 ans au consentement tant du représentant légal que du mineur concerné :

– d’un point de vue juridique, cet ajout ne semble pas compatible avec les termes du RGPD qui ne prévoit ni n’autorise une telle condition supplémentaire ;

– en pratique, votre rapporteur s’interroge concrètement sur la façon dont de telles dispositions trouveront à s’appliquer dans le cas de jeunes enfants incapables d’une manifestation de volonté éclairée et dont les représentants légaux souhaiteraient faire bénéficier de certains services en ligne…

Alinéa 4

1° Après les mots :

à condition

insérer les mots :

que l'intéressé en soit informé par le responsable de traitement et

2° Après les mots : 

mise en œuvre

rédiger ainsi la fin de cet alinéa :

lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ;

Amendement de précision.

Quelques doutes que l'on puisse avoir sur la pertinence de l'extension à la sphère privée du principe de communication des règles définitoires et caractéristiques de mise en œuvre des algorithmes employés par l'administration, cette disposition, inspirée par d'excellentes intentions, restera lettre morte si l'intéressé n'est pas informé du fait qu'une décision a été prise à son égard sur le fondement exclusif d'un algorithme.

I. – Alinéa 5

Rédiger ainsi cet alinéa :

« 2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l'objet est d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement que ledit traitement, à condition que celui-ci ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi et que l'intéressé puisse exprimer son point de vue et contester la décision ; 

II. – Alinéa 8

Rétablir le II dans la rédaction suivante : 

II. – Au premier alinéa de l'article L. 311-3-1 du code des relations entre le public et l'administration, après le mot : « comporte », sont insérés les mots : « , à peine de nullité, ».

L'automatisation des décisions individuelles prises par l'administration ne saurait être autorisée que sous des conditions strictes.

Seules les décisions n'appelant aucun pouvoir d'appréciation doivent pouvoir être prises sur le fondement exclusif d'un algorithme.

Il convient également de se prémunir contre le risque que le paramétrage des algorithmes par l'administration n'aboutisse à contourner les règles de forme et de fond qui régissent l’édiction des règlements.

Aussi est-il proposé de rétablir, sur ce point, la rédaction adoptée par le Sénat en première lecture, nettement plus protectrice des droits et libertés.

De même, il est proposé de rétablir la nullité de plein droit des décisions administratives individuelles fondées sur un traitement algorithmique, dès lors qu'elles ne comportent pas la mention prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration.

Alinéa 8

Cet amendement, adopté en première lecture au Sénat, propose de renforcer la transparence relative à l'élaboration et à l'évolution des traitements algorithmiques, en complément des garde-fous adoptés par la commission des lois de la Haute assemblée.

Alinéa 9

Rédiger ainsi cet alinéa :

III. – Le dernier alinéa du I de l'article L. 612-3 du code de l'éducation est supprimé.

Conformément aux engagements du Président de la République, cet amendement vise à rétablir la communicabilité ou la publication, selon le cas, des règles et caractéristiques de mise en œuvre des traitements algorithmiques utilisés par les établissements d'enseignement supérieur dans le cadre de la nouvelle procédure d'affectation en première année de licence, dite « Parcoursup ». 

La Commission nationale de l'informatique et des libertés, dans une délibération du 22 mars 2018, a d'ailleurs estimé que la dérogation, au bénéfice de « Parcoursup », aux règles de transparence des algorithmes prévues par le code des relations entre le public et l'administration était sans effet sur l'application des règles similaires prévues par la loi Informatique et liberté et par le règlement européen.

Alinéa 2

Remplacer le mot :

quinze

par le mot :

seize

Amendement de coordination (avec la suppression de l'article 14 A).

Alinéa 6

Remplacer la date :

24 mai 2018

par la date :

24 mai 2020

Par cohérence avec le report de deux ans de l'entrée en vigueur de l'action de groupe en réparation, proposée à l'article 24, le présent amendement diffère également de deux ans la date à compter de laquelle des manquements aux règles de protection des données personnelles pourront donner lieu à une action de groupe en réparation des dommages qu'ils auront occasionnés.

I. – Alinéa 7

Rétablir le 2° dans la rédaction suivante :

2° Le IV est ainsi modifié :

II. – Alinéa 8

Remplacer cet alinéa par quatre alinéas ainsi rédigés :

a) Le 1° est complété par les mots : « et agréées par l'autorité administrative » ;

b) Il est ajouté un alinéa ainsi rédigé :

« L'agrément prévu au 1° est notamment subordonné à l'activité effective et publique de l'association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions d'agrément et du retrait de l'agrément sont déterminées par décret en Conseil d'État. » ;

3° Il est ajouté un V ainsi rédigé :

III. – Alinéa 9

Rédiger ainsi le début de cet alinéa : 

« V.– Lorsque l'action...

Le présent amendement tend à rétablir l'agrément préalable obligatoire des associations ayant pour objet statutaire la protection de la vie privée et des données à caractère personnel, pour qu'elles puissent introduire une action de groupe en la matière.

Coordination.

Alinéa 2

Remplacer les mots :

indûment, sans justification d’ordre technique, économique ou de sécurité,

par les mots

sans motif légitime d’ordre technique ou de sécurité

Le présent amendement vise à corriger l’article 17 bis dont la rédaction actuelle fait paradoxalement obstacle à son propre objectif.

Cette mesure vise en effet à empêcher que des contrats passés par des entreprises puissent, au détriment de la protection des données personnelles des consommateurs, à la fois imposer une application préinstallée et interdire qu’un choix alternatif protégeant mieux les données personnelles des utilisateurs soit proposé aux consommateurs lors de la configuration initiale de leur terminal.

Ces accords sont toujours, par nature, contractés par les entreprises pour des raisons économiques. Dès lors, en permettant à ces entreprises d’arguer d’une simple « justification économique » pour interdire la proposition d’offres d’applications alternatives, l’article 17 bis rend son application impossible.

La rédaction actuelle instaurerait par ailleurs une hiérarchie indue entre la liberté contractuelle et le droit à la protection des données personnelles, au profit de la première, en permettant qu’une justification d’ordre économique fasse obstacle en toutes circonstances à la mise en œuvre des conditions du consentement telles que rappelées au premier alinéa.

Cet amendement assure donc l’effectivité de la mesure adoptée tout en permettant au juge d’apprécier les situations, en prenant en compte le cas échéant des motifs légitimes d’ordre technique ou de sécurité par lesquels des acteurs économiques concernés justifieraient de façon sérieuse et convaincante l’interdiction de donner le choix à l’utilisateur final d’applications protégeant mieux ses données personnelles.

Rétablir cet article dans la rédaction suivante :

Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420-2-3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur un marché de services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : « , L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».

Le présent amendement, qui rétablit cet article adopté en première lecture au Sénat, vise à renforcer les moyens offerts pour lutter contre les abus de position dominante mettant en jeu des interactions sur deux marchés distincts au sens du droit de la concurrence : le marché des services en ligne, d’une part, et celui des terminaux, d’autre part.

Il vise à prohiber les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants.

Alors que le ministère de l’économie et la direction générale de la concurrence, de la consommation et de la répression des fraudes ont assigné le 14 mars dernier Apple et Google devant le tribunal de commerce de Paris pour demander la cessation de certaines pratiques commerciales abusives concernant leurs « magasins d’applications », le présent amendement vise à élargir l’arsenal des mesures et permet de garantir au consommateur un réel choix.

Après l'alinéa 11

Insérer un alinéa ainsi rédigé :

« Tout autre traitement mis en œuvre par une autorité compétente pour au moins l'une des finalités prévues au premier alinéa de l'article 70-1 est autorisé par la Commission nationale de l'informatique et des libertés. La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Comme en première lecture, cet amendement vise à soumettre la création d'un traitement de données à caractère personnel mis en oeuvre à des fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales à l'autorisation préalable de la CNIL. Il vise ainsi à maintenir le droit actuellement en vigueur.

Comme le souligne l'article 1^er de la directive, celle-ci « n’empêche pas les États membres de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés » des personnes concernées. Son considérant 15 souligne que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent » et qu’il convient que les États « ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive. »

I. - Alinéas 24 et 31 (seconde phrase)

Supprimer les mots :

, dans la mesure du possible,

II. - Alinéa 34

Supprimer les mots : 

dans la mesure du possible et

Cet amendement vise à assurer une transposition exigeante du principe d’exactitude en imposant une distinction entre les données fondées sur des faits des données fondées sur des appréciations personnelles.

Il vise également à transformer en obligation de résultat une obligation de moyens concernant la vérification de la qualité des données avant transmission d’un fichier en obligation de résultats, au regard des enjeux en cas d’inexactitude des données. 

Il vise enfin à rendre impérative la distinction des données entre victimes, mises en causes, témoins et personnes condamnées.

Sur tous ces points, il rétablit ainsi le texte adopté par le Sénat en première lecture.

Alinéa 26

Remplacer les mots : 

destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée

par les mots : 

à caractère personnel

Cet amendement vise à transposer fidèlement la directive (UE) 2016/680.

Comme en premier lecture,  il vise à exclure la possibilité de prendre des décisions produisant des effets juridiques ou affectant de manière significative une personne sur le fondement exclusif d’un traitement automatisé de données. A fortiori en matière pénale, il apparaît contraire aux exigences constitutionnelles d'individualisation des peines d’accepter qu’une décision produisant des effets juridiques puisse être prise sur le fondement exclusif d’un traitement automatisé de données à caractère personnel.

Alinéa 61

Compléter cet alinéa par les mots :

et de ses sous-traitants

Alinéa 61

Compléter cet alinéa par une phrase ainsi rédigée :

Les stipulations du contrat de sous-traitance relatives à la protection des données personnelles sont communiquées à l'intéressé s'il en fait la demande.

Cet amendement reprend partiellement le dispositif d'un amendement adoptée en première lecture au Sénat, visant à renforcer la transparence des informations relatives aux contrats de sous-traitance de traitements de données personnelles, afin de garantir l'effectivité des droits des personnes concernées par ces traitements.

Par souci de pragmatisme, il restreint la communicabilité des seules stipulations du contrat de sous-traitance relatives à la protection des données personnelles traitées aux cas où l'intéressé en fait la demande. Il s'agit de s'assurer que dans les faits, le responsable du traitement fixe des obligations contractuelles de nature à offrir des garanties suffisantes en matière de traitement de données personnelles, en particulier lorsque son sous-traitant est établi hors de France et est soumis à un autre droit.

Alinéas 80 et 82

Après les mots :

meilleurs délais

insérer les mots :

, et au bout d’un mois maximum,

Cet amendement vise à fixer à un mois le délai de réponse des responsables de traitement aux demandes d’effacement ou de rectification, conformément à la position prise par le Sénat en première lecture.

Alinéa 103

I. - Première phrase

Compléter cette phrase par les mots :

et de former un recours juridictionnel

II. - En conséquence, seconde phrase

Supprimer cette phrase.

Amendement visant à rétablir la rédaction initiale du projet de loi et à maintenir le droit à l’information concernant la possibilité d’un recours juridictionnel en matière de traitements de données à caractère personnel, que l'Assemblée nationale a  restreint.

Rétablir cet article dans la rédaction suivante :

I. – Le code général des collectivités territoriales est ainsi modifié :

1° Le chapitre V du titre III du livre III de la deuxième partie est complété par une section 7 ainsi rédigée :

« Section 7

« Dotation pour la protection des données à caractère personnel

« Art. L. 2335-17. - À compter de l'exercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'elles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population des communes, est égale :

« - à 5 € par habitant compris entre le 1^er et le 999^e habitant ;

« - à 2 € par habitant compris entre le 1000^e et le 4 999^e habitant ;

« - à 1 € par habitant compris entre le 5 000^e et le 9 999^e habitant ;

« - à 0,1 € par habitant compris entre le 10 000^e et le 99 999^e habitant ;

« - à 0,01 € par habitant au-delà du 100 000^e habitant.

« Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code. » ;

2° Le I de l'article L. 3662-4 est complété par un 6° ainsi rédigé :

« 6° De la dotation prévue à l'article L. 5211-35-3 du présent code. » ;

3° Le livre II de la cinquième partie est ainsi modifié :

a) La sous-section 2 de la section 6 du chapitre I^er du titre I^er est complétée par un article L. 5211-35-3 ainsi rédigé :

« Art. L. 5211-35-3. – À compter de l'exercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale :

« - à 1 € par habitant compris entre le 1^er et le 14 999^e habitant ;

« - à 0,5 € par habitant compris entre le 15 000^e et le 49 999^e habitant ;

« - à 0,1 € par habitant compris entre le 50 000^e et le 99 999^e habitant ;

« - à 0,01 € par habitant au-delà du 100 000^e habitant.

« Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code. » ;

b) Après le 9° de l'article L. 5214-23, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l'article L. 5211-35-3 du présent code ; »

c) Le 14° de l'article L. 5215-32 est ainsi rétabli :

« 14° La dotation prévue à l'article L. 5211-35-3 du présent code ; »

d) Après le 9° de l'article L. 5216-8, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l'article L. 5211-35-3 ; ».

II. – La perte de recettes résultant pour l'État du I du présent article est compensée, à due concurrence, par le relèvement du taux de la taxe mentionnée à l'article 302 bis KH du code général des impôts.

Cet amendement vise à rétablir la dotation communale et intercommunale pour la protection des données à caractère personnel, adoptée par le Sénat en première lecture.

Supprimer cet article.

Le présent amendement, adopté par le Sénat en première lecture, vise à préserver le droit à la récupération et à la portabilité des données non-personnelles tel qu'il résulte de la loi pour une République numérique, et qui ne se confond pas avec le droit à la portabilité des données personnelles.

Alinéa 2, après la deuxième phrase

Insérer une phrase ainsi rédigée :

L’effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies par l’article 230-7.

Comme en première lecture, cet amendement vise à supprimer l'allongement d'un à deux mois du délai de réponse des magistrats compétents pour les demandes d'effacement, de mise à jour ou de rectification des données personnelles contenues dans le fichier TAJ. 

Comme en première lecture, cet amendement vise à clarifier le fait que, pour les personnes condamnées, la demande d'effacement ou de rectification peut être formée lorsque ne figure plus aucune mention de nature pénale dans le bulletin n°2 du casier judiciaire en lien avec la demande d'effacement. 

Alinéa 2, huitième phrase

Rédiger ainsi cette phrase :

En cas de décision de non-lieu ou de classement sans suite fondée sur l’absence de caractérisation de l’infraction ou une insuffisance de charges, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention.

Cet amendement vise à prévoir, en cas de décision de non-lieu ou de classement sans suite motivée par l’absence de caractérisation de l’infraction ou une insuffisance de charges, que les données personnelles concernant les mis en cause doivent être par principe, sauf décision contraire, effacées. Il serait paradoxal que les droits des personnes mises en cause mais n’ayant même pas fait l’objet de poursuites en raison de l'insuffisance de charges soient moindres que ceux des personnes mises en cause ayant fait l’objet de poursuites mais ayant été relaxées ou acquittées. 

Alinéa 2

Après le mot : 

Toutefois,

insérer les mots :

l'article 16 A entre en vigueur le 25 mai 2020 et

Comme l'avait prévu le Sénat en première lecture, sans que le Gouvernement s'y oppose, le présent amendement vise à différer de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles.

Alinéa 6

Supprimer cet alinéa.

Il serait paradoxal que l’administration, alors même qu’elle se verrait désormais autorisée à prendre des décisions sur le seul fondement d’un traitement algorithmique, ne soit pas en mesure de l’indiquer sur le texte de ces décisions et de respecter ainsi une obligation légale qui lui incombe depuis la loi du 7 octobre 2016 pour une République numérique.

Le présent amendement a pour objet de rendre immédiatement applicable la nullité de plein droit des décisions qui omettent cette mention, prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration.