Projet de loi Lutte contre le crime organisé et le terrorisme
Direction de la Séance
N°255 rect.
31 mars 2016
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 492 , 491 , 474, 476)
AMENDEMENT
| C | Favorable |
|---|---|
| G | Favorable |
| Adopté | |
présenté par
Le Gouvernement
ARTICLE ADDITIONNEL APRÈS ARTICLE 32 TER
Après l’article 32 ter
Insérer un article additionnel ainsi rédigé :
I. – La section 2 du chapitre III du titre II du livre Ier de la partie 4 du code de la défense est complétée par un article L. 4123-9-1 ainsi rédigé :
« Art. L. 4123-9-1 – I. – Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés et dans les conditions prévues à l’article 25 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, sauf lorsqu’ils le sont par une association à but non lucratif ou pour le compte de l’État, les traitements automatisés ou non dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent.
« L’autorisation ne peut être délivrée si le comportement ou les agissements de la personne responsable du traitement sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat.
" A cet effet, la Commission nationale de l'informatique et des libertés peut préalablement à son autorisation recueillir l'avis du ministre compétent. Cet avis est rendu à la suite d'une enquête administrative qui peut donner lieu à la consultation, selon les règles propres à chacun d'eux, de certains traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 précitée.
« La Commission nationale de l’informatique et des libertés informe le ministre compétent des autorisations délivrées sur le fondement du premier alinéa du présent I.
« Les traitements automatisés dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent et qui sont mis en œuvre par une association à but non lucratif font l’objet d’une déclaration auprès de la Commission nationale de l'informatique et des libertés qui en informe le ministre compétent.
« II. – La personne responsable des traitements mentionnés au I ne peut autoriser l’accès aux données contenues dans ces traitements qu’aux personnes pour lesquelles l'autorité administrative compétente, consultée aux mêmes fins que celles prévues au deuxième alinéa du I, a donné un avis favorable.
« III. – Les traitements mentionnés au I sont exclus du champ d’application de l’article 31 de la loi du 6 janvier 1978.
« IV. – Des arrêtés des ministres compétents, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au I pour préserver la sécurité des données.
« Le contrôle du respect de ces prescriptions techniques est assuré par le ministre compétent, en complément de celui prévu par la loi du 6 janvier 1978.
« V. – En cas de divulgation ou d’accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai la Commission nationale de l’informatique et des libertés qui en informe le ministre compétent. Après accord du ministère compétent, le responsable du traitement avertit les personnes concernées.
« VI. – Les obligations prévues au II et le contrôle prévu au deuxième alinéa du IV ne sont pas applicables aux traitements mis en œuvre par les associations visées au 3° du II de l’article 8 de la loi du 6 janvier 1978.
« VII. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les modalités d’application du présent article, notamment la désignation des ministres compétents, la liste des fichiers mentionnés au paragraphe II pouvant faire l’objet d’une consultation et les garanties d’information ouvertes aux personnes concernées ainsi que les modalités et conditions du contrôle prévu au IV.
II. – Le code pénal est ainsi modifié :
1° L’article 226-16 est complété par un alinéa ainsi rédigé :
« Est puni des mêmes peines le fait de permettre l’accès aux données contenues dans un traitement mentionné à l’article L. 4123-9-1 du code de la défense sans avoir recueilli l’avis favorable mentionné au II de cet article. » ;
2° L’article 226-17-1 est complété par un alinéa ainsi rédigé :
« Est puni des mêmes peines le fait pour un responsable de traitement de ne pas procéder à la notification à la Commission nationale de l’informatique et des libertés d’une divulgation ou d’un accès non autorisé de données à un traitement mentionné à l’article L. 4123-9-1 du code de la défense. »
III. – Les traitements entrant dans le champ des premier et quatrième alinéas du I de l’article L. 4123-9-1 du code de la défense doivent faire l’objet respectivement d’une autorisation ou d’une déclaration dans le délai d’un an courant à compter de l’entrée en vigueur de la présente loi.
À l’issue de ce délai toute mise en œuvre d’un tel traitement sans qu’ait été accomplie la formalité préalable est punie de cinq ans d’emprisonnement et de 300 000 euros d’amende.
IV. – À la demande des intéressés, les responsables des traitements qui ne relèvent pas du I de l’article L. 4123-9-1 du code de la défense mais dans lesquels figurent des militaires sont tenus de procéder à la suppression de la mention de leur qualité ou à la substitution à la qualité de militaires de la seule qualité d’agent public.
Le refus de procéder à une telle modification est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Objet
Les démarches et intentions d’organisations terroristes visant à dérober des données personnelles sensibles de militaires constituent une menace très grave et crédible. Les vols de données aux Etats-Unis confirment ces craintes. Ces attaques seraient de nature informatique ou physique (vols d’ordinateurs). La malveillance interne représente un facteur aggravant.
Cette menace concerne plus particulièrement des organismes détenteurs de données, externes au ministère de la défense, compte tenu de l’absence de liens d’autorité sur ces organismes et des faibles niveaux de protection mis en place par ces organismes dont certains sont de simples associations.
Les garanties de sécurité apportées par la loi informatique et liberté du 6 janvier 1978 doivent être complétées par un régime spécifique adapté à la réalité de la menace pesant sur les militaires et donc sur la sécurité des fichiers qui les recensent. Ce régime spécifique consiste en un mode de création particulier (autorisation de la CNIL pour les fichiers des opérateurs privés à but lucratif, déclaration auprès du ministère de la défense pour les fichiers des associations à but non lucratif), en une possibilité de « criblage » des personnes responsables et accédant aux données pour évaluer leur éventuelle dangerosité, en l’application de prescriptions techniques particulières pour assurer la sécurité des données, en une interdiction de toute publicité de ces fichiers, enfin en un régime de coexistence du contrôle exercé par la CNIL avec celui que pourrait exercer le ministère de la défense, dans des conditions fixées par décret.
L’amendement prévoit aussi des mesures transitoires, pour couvrir le stock des fichiers existantes et permettre aux militaires de faire supprimer la mention de cette qualité dans les fichiers qui les recensent sans que cette qualité de militaires soit exigée du fait de la finalité poursuivie.