Projet de loi Protection des données personnelles
Direction de la Séance
N°151
20 mars 2018
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 351 , 350 )
AMENDEMENT
| C | Favorable |
|---|---|
| G | Favorable |
| Adopté | |
présenté par
Mme JOISSAINS
au nom de la commission des lois
ARTICLE 6
Consulter le texte de l'article ^
I. - Alinéas 5 à 22
Rédiger ainsi ces alinéas :
« II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :
« 1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
« 3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
« 4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.
« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
« III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I ou le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l'ordre ;
« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu'elle a fixée ;
« 3° À l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
« 4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
« 6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
« 7° À l'exception des cas où le traitement est mis en œuvre par l'État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement. » ;
II. - Alinéa 38, première phrase
Remplacer la référence :
II
par la référence :
III
Objet
Le présent amendement rend plus lisible l'enchaînement des mesures correctrices dont dispose la CNIL en rétablissant leur ordre logique dans la fil du texte:
- Avertissement en cas de simple risque de manquement,
- Mise en demeure, en cas de manquement encore susceptible de faire l’objet d’une mise en conformité,
- Procédure de sanction, enfin.
Après avoir consulté la CNIL, qui souhaitait conserver une marge d'appréciation et lpréserver les dispositifs de coopération avec ses homologues, il me semble être parvenu par mon amendement [LOIS.1] à une rédaction de compromis respectueuse de la liberté d’action de l’autorité mais plus claire et pédagogique que le texte proposé par le Gouvernement.