Allez au contenu, Allez à la navigation



Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

 

EXAMEN DES ARTICLES
TITRE PREMIER
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE A L'INFORMATIQUE, AUX FICHIERS
ET AUX LIBERTÉS

Article 1er
(art. 2 à 5 du chapitre 1er de la loi n° 78-17 du 6 janvier 1978)
Détermination du champ d'application de la loi

Le présent article vise à transposer en droit interne les dispositions des articles 2 à 4 de la directive communautaire 95/46 CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui déterminent les principales définitions, le champ d'application et le droit national applicable.

L'article 2 de la directive énonce huit définitions concernant les données à caractère personnel, les traitements de données à caractère personnel, les fichiers de données à caractère personnel, les responsables du traitement, les sous-traitements, les tiers, les destinataires et le consentement de la personne concernée.

Sur proposition du rapport de M. Guy Braibant, seules les définitions les plus importantes ont été reprises dans l'article 1er, les autres étant précisées lors de leur première occurrence dans le texte.

Le présent projet de loi bouleversant l'architecture de la loi du 6 janvier 1978, les dispositions des articles 2 à 5 actuels de la loi du 6 janvier 1978 relatives aux règles de fond applicables aux traitements des données personnelles sont transférées dans le chapitre II nouveau, inséré dans la loi du 6 janvier 1978 par l'article 2 du présent projet de loi.

Article 2 modifié de la loi du 6 janvier 1978
Champ d'application matériel et définitions

Le premier alinéa de l'article 2 (modifié) de la loi du 6 janvier 1978 définit le champ d'application matériel de ces dispositions, en transposant l'article 3 de la directive 95/46 CE.

Ainsi, la loi s'applique aux traitements, automatisés ou non, de données à caractère personnel contenues ou appelées à figurer dans des fichiers, dès lors que le responsable du traitement est établi en France ou utilise des moyens situés en France.

Cette définition extensive permet d'inclure des traitements qui ne sont pas délibérément structurés comme des fichiers mais qui, du fait même des applications technologiques collectant des données, peuvent être exploités comme tels.

De même, les traitements non automatisés sont désormais inclus. La directive vise aussi bien les traitements automatisés que les traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne soumet actuellement ces derniers qu'à des obligations restreintes.

Une exception est prévue s'agissant des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles. Cette exclusion, prévue par le dernier alinéa de l'article 3 de la directive 95/46 CE, reprend et étend celle figurant dans l'actuel article 45 de la loi du 6 janvier 1978 excluant de certaines prescriptions de la loi les fichiers manuels « dont l'usage relève du strict exercice du droit à la vie privée ».

Le deuxième alinéa du texte prévu pour le nouvel article 2 de la loi du 6 janvier 1978 substitue la notion de « données à caractère personnel » à celle « d'informations nominatives ».

L'actuel article 4 de la loi du 6 janvier 1978 définit les informations nominatives comme celles permettant « sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».

L'article 2 de la directive évoque pour sa part les données à caractère personnel, définies comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Le projet de loi reprend donc ce nouveau terme, défini comme « toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

Sur proposition de M. Gérard Gouzes, rapporteur de la commission des Lois, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a précisé, conformément aux dispositions de la directive et à la définition actuelle, que la personne concernée par le traitement peut être identifiée « directement ou indirectement ».

Cette nouvelle définition étend le champ de la protection aux domaines de la voix et de l'image et résulte de la prise en compte des progrès des techniques d'identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion de « donnée à caractère personnel » paraît donc plus pertinente compte tenu du développement des mesures d'identification indirecte.

En pratique d'ailleurs, la CNIL adopte déjà une conception large des informations nominatives, qui inclut par exemple les numéros de téléphone, les plaques d'immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d'identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, devrait permettre d'éviter l'obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d'Etat entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public, qui a pour effet de restreindre la liberté d'accès aux documents administratifs12(*).

La directive prévoit des critères permettant de délimiter le champ des données concernant une personne identifiable et de les distinguer des données rendues anonymes qui tombent en dehors du champ de la protection.

Ainsi, l'article 2 a) énumère, à titre d'exemples, une liste d'éléments permettant d'identifier une personne, telles que la référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Le considérant 26 précise que doivent être pris en considération pour déterminer si une personne est identifiable les moyens susceptibles d'être raisonnablement mis en oeuvre pour parvenir à l'identification de la personne concernée, ainsi que la personne susceptible de mettre en oeuvre ces moyens (le responsable du traitement ou une personne tierce).

Votre commission des Lois vous propose de reproduire ce considérant pour assurer une meilleure sécurité juridique aux traitements d'anonymisation.

En effet, si les données anonymes ne sont pas soumises à la directive, celles faisant l'objet d'un traitement en vue d'une anonymisation le sont.

Cet amendement tend donc à préciser la distinction entre données anonymes et données indirectement nominatives, une interprétation littérale de la loi pouvant aboutir à ce que des données issues de l'anonymisation soient encore soumises à la loi dès lors que les individus demeurent identifiables au moyen d'efforts exceptionnels.

Il convient donc d'apporter une définition pragmatique des données rendues anonymes, ainsi que l'ont déjà fait d'autres Etats de l'Union européenne.

Ainsi, en Allemagne, la loi fédérale sur la protection des données à caractère personnel du 23 mai 2001 précise, dans le 6 de l'article 3, que « la dépersonnalisation signifie la modification des données à caractère personnel effectuée de telle sorte que l'information relative à des caractéristiques personnelles ou matérielles ne peut plus, ou seulement au prix de délais et de moyens financiers et humains disproportionnés, être rattachée à un individu identifié ou identifiable ».

Le troisième alinéa de l'article 2 (modifié) de la loi du 6 janvier 1978 définit la notion de « traitement automatisé » de données personnelles comme « toute opération portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ».

Cette définition, qui reprend celle figurant à l'article 5 actuel de la loi du 6 janvier 1978, la complète par référence à l'apparition de procédés techniques liés au développement des technologies de l'information, comme ceux de « communication par transmission », de « consultation » ou de « diffusion » des données à caractère personnel.

Cette notion recouvre donc un champ plus vaste que celle de « traitement automatisé d'informations nominatives ».

Tout d'abord, la directive vise aussi bien les traitements automatisés que les traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne soumet ces derniers qu'à des obligations restreintes.

En outre, la directive s'applique à toutes les formes de traitements automatisés, qu'ils se rapportent ou non à l'exploitation de fichiers ou de bases de données, la Commission européenne ayant jugé dépassée la notion de « fichier ». La seule référence à la notion de traitement doit permettre d'appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en oeuvre d'une seule des opérations énoncées par l'article 2,b) de la directive suffit à caractériser le traitement de données.

Pour prendre en compte les spécificités d'Internet et des réseaux numériques, sont exclues du champ d'application de la loi, en vertu des dispositions de l'article 4 (modifié) de la loi du 6 janvier 1978, les copies temporaires faites dans le cadre des activités techniques, de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données, et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

Cette dérogation, non prévue par la directive, vise en fait notamment le recours, par les fournisseurs d'accès, aux serveurs « proxys » -ou « mandataires »-, qui visent à économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés en vue d'une nouvelle requête. Ces opérations d'optimisation et de régulation du trafic impliquent nécessairement le stockage temporaire de données à caractère personnel, mais leur exclusion du champ d'application de la loi se justifie, compte tenu de leur effacement rapide.

L'Assemblée nationale a rejeté un amendement présenté par M. Patrice Martin-Lalande, tendant à supprimer cette référence à des techniques susceptibles d'obsolescence rapide, le rapporteur, M. Gérard Gouzes, suivi par le Gouvernement, ayant souligné qu'il n'était en pratique pas envisageable de soumettre l'activité de stockage temporaire de données à caractère personnel à l'ensemble des dispositions de la loi du 6  janvier 1978 - droits de rectification, de communication et d'opposition notamment-.

Les deux derniers alinéas de l'article 2 (modifié) de la loi du 6 janvier  1978 disposent respectivement qu'un fichier de données à caractère personnel est un ensemble structuré et stable de ces données accessible selon des critères déterminés et que la personne concernée par ledit traitement est celle à laquelle se rapportent les données à caractère personnel.

Ce terme n'est repris qu'aux articles 3 et 32 de la directive, s'agissant des fichiers manuels.

En outre, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 3 modifié de la loi du 6 janvier 1978
Responsable du traitement et destinataire

La définition du responsable du traitement est essentielle, puisqu'il s'agit de la personne physique ou morale sur laquelle pèsent les obligations prévues par la directive, et que son lieu d'établissement constitue le premier critère de détermination de la loi nationale applicable.

La loi du 6 janvier 1978 ne le définit actuellement pas, alors même qu'en cas d'omission de déclaration du traitement auprès de la CNIL, il encourt des sanctions pénales, en application des dispositions de l'article 226-16 du code pénal.

La notion de personne responsable n'apparaît implicitement qu'à l'article 19 de la loi, où il est indiqué que la demande d'avis ou de déclaration précise « la personne qui présente la demande et celle qui a le pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ». Dans la pratique, la CNIL exige déjà, en application de sa délibération n° 87-25 du 10 février 1987, la signature du formulaire de déclaration d'un traitement relevant du secteur privé par la personne physique, ou son représentant, ou par le représentant de la personne morale, ayant le pouvoir de décider de la mise en oeuvre du traitement.

L'article 2 paragraphe d) de la directive 95/46 et le présent projet de loi définissent le responsable du traitement comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Le responsable ne doit pas être confondu avec les personnes qui, tels les employés ou les sous-traitants, mettent en oeuvre des traitements pour son compte.

L'Assemblée nationale a adopté, sur proposition de son rapporteur de la commission des Lois, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement supprimant les termes « seul ou conjointement avec d'autres », estimant imprécise cette notion de co-responsabilité. En effet, la notion de responsable détermine notamment le droit national applicable ; or, il s'agit d'éviter des conflits de lois en cas de pluralité des responsables, ou la répartition d'office de la présomption de responsabilité entre plusieurs personnes.

La directive prévoit une définition dérogatoire du responsable dans le cas où les finalités du traitement sont fixées par des dispositions législatives ou réglementaires nationales ou communautaires. Cette formule exclut les dispositions réglementaires prises par les collectivités locales.

Par ailleurs, le paragraphe II de l'article 3 (modifié) définit le destinataire du traitement des données à caractère personnel comme la « personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données ».

En outre le paragraphe II précise que les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données -comme la CNIL- ne constituent pas des destinataires. A cet égard, l'Assemblée nationale a ensuite adopté, toujours sur proposition de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, un amendement rédactionnel.

Article 5 modifié de la loi du 6 janvier 1978
Compétence territoriale

La loi du 6 janvier 1978 ne comporte aucune disposition spécifique relative à la compétence territoriale applicable aux opérations de traitement de données à caractère personnel, la circulation des fichiers au niveau mondial étant encore embryonnaire à la fin des années 70. Les règles de droit international privé de droit commun sont donc actuellement applicables.

Le paragraphe I de l'article 5 (modifié) de la loi du 6 janvier 1978 transpose donc les dispositions de l'article 4 de la directive 95/46 CE afin d'éviter des conflits de lois, et de clarifier le régime applicable aux traitements et à leurs responsables. Il prévoit deux critères alternatifs d'applicabilité de la loi française :

- un critère de territorialité de la personne : si le responsable est établi sur le territoire français, c'est-à-dire qu'il y exerce une activité « effective » dans le cadre d'une « installation durable » quelle que soit sa forme juridique, simple succursale ou filiale.

La notion d' « installation stable » prévue par le considérant 19 n'existe pas en droit français, même si certaines dispositions fiscales s'en rapprochent13(*).

Par conséquent, l'Assemblée nationale a supprimé, à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, ces termes jugés imprécis et a choisi de faire référence à la seule « installation », dans un souci de clarification.

Dans le cas où le responsable du traitement dispose de plusieurs établissements situés dans différents Etats membres, la directive (éclairée par son considérant 19) précise que celui-ci doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable aux activités qu'il poursuit. Chaque établissement sera donc soumis à la seule loi de l'Etat sur le territoire duquel il est implanté ;

un critère de territorialité des moyens utilisés : relève du droit français le responsable qui, à défaut d'être installé sur le territoire français ou sur celui d'un autre Etat membre de l'Union européenne, recourt à des moyens de traitement situés sur le territoire français. La directive ne précise pas la notion de « moyens », mais elle devrait recouvrir tant les moyens en matériel qu'en personnel.

Le responsable situé à l'étranger doit désigner à la CNIL un représentant établi sur le territoire français, chargé d'accomplir les obligations prévues par la présente loi, des actions pouvant toujours être introduites à l'encontre du responsable. En l'absence de désignation de représentant par le responsable du traitement sis à l'étranger, malgré les obligations lui incombant en application de l'article 30 (modifié) de la loi du 6 janvier 1978 (article 4 du présent projet), il encourt les sanctions pénales prévues par l'article 226-16 (nouveau) du code pénal (cf. infra article 14 du projet de loi).

Ce critère subsidiaire tend à éviter une délocalisation des établissements responsables dans des « paradis informatiques ».

Une exception est prévue pour les traitements utilisés aux seules fins de transit, comme ceux des réseaux numériques.

Votre rapporteur s'interroge sur la possibilité d'appliquer la loi française à des responsables de traitements extérieurs à l'Union européenne, qui procéderaient à des traitements sur des personnes ne présentant aucun rattachement avec la France ou l'Union européenne, du seul fait qu'ils auraient recours à des moyens de traitement situés en France pour de la prestation de services.

Il serait extrêmement difficile de garantir aux personnes concernées l'exercice de droits comme le droit d'accès et de rectification, alors même qu'elles se trouvent dans des pays tiers.

Enfin, certains Etats, comme la Grèce, incluent dans le champ d'application de leur loi nationale l'ensemble des traitements concernant des personnes établies sur leur territoire.

Une telle clause de sauvegarde permettrait de soumettre à la loi française tout traitement mis en oeuvre à partir d'une enquête sur la population française, quel que soit le lieu d'établissement de son responsable ou les moyens mis en oeuvre.

Ces dispositions aboutiraient cependant à des conflits de lois, alors même que les Etats membres doivent, en vertu de la directive, assurer un niveau de protection équivalent, et que les dispositions relatives aux transferts de données vers des pays tiers, prises en application des articles 25 et 26 de la directive, les subordonneront à la garantie d'un niveau de protection adéquat.

Une telle extension ne paraît donc ni utile, ni conforme aux dispositions de la directive.

Votre commission des Lois vous propose donc d'adopter deux amendements, dont un rédactionnel, puis d'adopter l'article 1er ainsi modifié.

Article 2
(Chapitre II de la loi n° 78-17 du 6 janvier 1978)
Conditions de licéité des traitements
de données à caractère personnel

Cet article vise à transposer en droit interne les dispositions des articles 6 et 7 de la directive 95/46 CE relatifs aux conditions générales de licéité des traitements de données à caractère personnel, et de ses articles 8 et 15, qui précisent les conditions particulières applicables aux traitements des données dites « sensibles » en raison de la nature des informations concernées.

A cet effet, il remplace l'actuel chapitre II de la loi du 6 janvier 1978 relatif à la CNIL par un nouveau chapitre « Conditions de licéité des traitements de données à caractère personnel ». La section 1 de ce chapitre nouveau, intitulée « Dispositions générales », regroupe les articles 6 et 7 (modifiés). La section 2 concerne les « Disposions propres à certaines catégories de données » et comprend les articles 8 à 10 (modifiés).

La loi du 6 janvier 1978 détermine déjà, dans ses chapitres IV et V, les règles fondamentales de licéité des traitements des informations nominatives en imposant, notamment, le respect des principes de loyauté et d'exactitude.

Ainsi, l'actuel article 25 de la loi « informatique et libertés » interdit la collecte de données « par tout moyen frauduleux, déloyal ou illicite ».

En outre, l'article 37 prévoit que le responsable est tenu de veiller à l'exactitude des données : « Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier ».

Article 6 modifié de la loi du 6 janvier 1978
Conditions de collecte et de traitement

L'article 6 (modifié) reprend l'essentiel de ces dispositions, qui figurent dans les trois premiers paragraphes.

Néanmoins, l'Assemblée nationale, à l'initiative de son rapporteur M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, a adopté un amendement tendant à supprimer la mention selon laquelle il incombe au responsable du traitement de faire respecter ces dispositions, l'estimant inutile.

En outre, le 2° de l'article consacre un nouveau principe de finalité en précisant, ce qui ne ressortait pas explicitement du texte antérieur, que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l'article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l'Europe. La loi du 6 janvier 1978 ne se réfère en effet à la finalité des traitements que de manière incidente, dans les dispositions relatives aux obligations de déclaration.

Celle-ci doit donc être déterminée dès le stade de la collecte, une exigence de compatibilité entre la finalité de la collecte et celle des traitements ultérieurs étant également prévue.

Le texte proposé apporte donc une innovation importante en évoquant la question de l'utilisation future des données collectées. Pour écarter le risque d'un usage injustifié, même décalé dans le temps, il pose d'abord le principe de l'interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu'ils respectent les conditions de licéité définies par le présent chapitre, les formalités préalables à la mise en oeuvre des traitements prévus au chapitre IV et les obligations imposées aux responsables de traitements définies à la section 1 du chapitre V. En outre, ils ne doivent pas être utilisés pour prendre des décisions à l'égard des personnes concernées.

De plus, les collectes de données doivent désormais également respecter un principe de proportionnalité. Ainsi, le 3° de l'article 6 (modifié) prévoit que le traitement ne doit porter que sur des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».

Si ce principe connaît ainsi sa première consécration formelle, la CNIL le respectait déjà largement en pratique.

Sur proposition de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté un amendement tendant à regrouper l'ensemble des dispositions relatives au respect du principe de finalité des traitements, y compris celles concernant les traitements à des fins historiques et statistiques.

Enfin, est repris au 4° le principe d'exactitude des données, qui figure déjà à l'article 37 de la loi du 6 janvier 1978.

Le point d) du paragraphe 1) et le paragraphe 2) de l'article 6 de la directive précisent les prescriptions imposées au responsable du traitement :

- prendre toutes les mesures raisonnables -le projet de loi parle de mesures appropriées, la notion de « reasonableness » étant propre au droit anglo-saxon- pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

- respecter les principes énoncés au paragraphe 1.

S'agissant de la conservation des données, le 5° de l'article 6 (modifié) dispose qu'elles ne peuvent l'être que « pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». L'actuel article 37 prévoit déjà que « les informations ne doivent pas être conservées sous une forme nominative au-delà de la durée prévue à la demande d'avis ou de déclaration, à moins que leur conservation ne soit autorisée par la commission ».

L'article 6, 1 de la directive comporte en outre dans ses points b) et e) des dispositions :

- reprenant le principe du « droit à l'oubli » posé par l'article 28 de la loi du 6 janvier 1978 ;

- prévoyant une exception pour le traitement de données « à des fins historiques, statistiques ou scientifiques [qui] n'est pas réputé incompatible [avec les finalités pour lesquelles les données ont été collectées] pour autant que les Etats membres prévoient des garanties appropriées ».

Le considérant 29 précise que ces garanties « doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne ».

C'est donc ce que prévoit le projet de loi.

L'Assemblée nationale a en outre adopté, à l'initiative du rapporteur, M. Gérard Gouzes, un amendement rédactionnel au 3° de l'article 6 (modifié).

Le non respect de ces prescriptions relatives à la collecte et au traitement des données est passible de sanctions pénales prévues par l'article 226-18 du code pénal. Le quantum des peines encourues est, par ailleurs, modifié par l'article 14 du projet de loi (cf. infra).

Votre commission des Lois vous propose d'adopter deux amendements rédactionnels.

Article 7 modifié de la loi du 6 janvier 1978
Conditions de licéité du traitement

L'article 7 (modifié) de la loi du 6 janvier 1978 précise ensuite les conditions relatives à la licéité des traitements de données à caractère personnel.

L'article 7 de la directive pose pour sa part six conditions alternatives :

- le consentement de la personne concernée ;

- les conditions procédant d'une nécessité objective : obligation légale ou contractuelle, sauvegarde de l'intérêt vital d'une personne ou exécution d'une mission d'intérêt public ;

- la mise en balance des intérêts légitimes du responsable du traitement et des tiers auxquels les données sont communiquées avec les droits et libertés fondamentaux des personnes fichées.

En conséquence, le projet de loi pose d'abord le principe selon lequel le consentement des personnes concernées par un traitement de données à caractère personnel est nécessaire. Actuellement ce consentement n'est pas requis, la seule disposition protectrice résultant de l'article 26 de la loi du 6 janvier 1978, qui permet à toute personne de s'opposer « pour des raisons légitimes » à ce que des informations la concernant fassent l'objet d'un traitement, ce qui peut se révéler d'application délicate. Cette disposition est d'ailleurs reprise par l'article 5 du projet de loi dans l'article 38 (modifié) de la loi.

Cependant, cette exigence étant extrêmement restrictive, l'article 7 (modifié) énumère, de manière limitative, et conformément à la directive, différentes exceptions à l'exigence de consentement des personnes lorsque le traitement est nécessaire :

- au respect d'une obligation légale à laquelle le responsable du traitement est soumis, par exemple les traitements imposés par les obligations déclaratives pesant sur les employeurs en matière fiscale et sociale (1°) ;

- à la sauvegarde de la vie de la personne concernée, ce qui correspond, notamment, aux traitements de données dans le domaine de la santé. Ce terme a été préféré à la notion d'« intérêt vital » employée dans la directive, qui est un anglicisme résultant de la traduction littérale de « vital interest ». Ce terme anglais était d'ailleurs ambigu dans la mesure où il peut désigner un intérêt essentiel ne se rattachant pas à la survie de la personne concernée (2°) ;

à l'exécution d'une mission de service public -la directive évoquant l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique- dont le responsable ou le destinataire du traitement est investi. Ceci vise notamment les fichiers de police ou de justice, sous réserve qu'ils ne comprennent pas de données sensibles, ce qui les soumettrait au régime dérogatoire prévu par l'article 8 (modifié). Ce terme de mission de service public, qui figure à l'actuel article 15 de la loi du 6 janvier 1978 a été préféré à celui de mission d'intérêt public employé par la directive. Le considérant 32 précise à cet égard « qu'il appartient aux législations nationales de déterminer si le responsable du traitement investi d'une telle mission doit être une administration publique ou une autre personne soumise au droit public ou au droit privé, telle qu'une association professionnelle » (3°) ;

à l'exécution soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à sa demande (4°). Ceci doit permettre par exemple la collecte de données dans le cadre des formulaires bancaires que doit remplir la personne demandant l'ouverture d'un compte ;

à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire « sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée » (5°).

Cette dernière exception, d'une portée exceptionnellement générale, reprend fidèlement les termes du paragraphe f) de l'article 7 de la directive 95/46 CE. La directive ne donnait aucun critère et le considérant 30 se bornait à donner des exemples pouvant fonder la licéité de traitements -les activités de gestion courante des entreprises et autres organismes, la prospection commerciale, la prospection par une association à but caritatif ou par d'autres associations ou fondations, par exemple à caractère politique- en précisant que les traitements devront être mis en oeuvre dans le respect des dispositions visant à permettre aux personnes concernées de s'opposer sans devoir indiquer leurs motifs et sans frais au traitement de données les concernant.

L'énumération donnée par le considérant 30 est loin d'épuiser toutes les finalités possibles. Elle omet par exemple de viser les fichiers-témoins ou cookies, mis en place par les serveurs sur le réseau Internet pour conserver la trace des sites visités par leurs clients.

Cette clause de sauvegarde pourrait à terme recouvrir la majorité des traitements du secteur privé et il appartiendra à la CNIL de veiller au respect d'un équilibre, par son contrôle a priori ou a posteriori, sans préjudice de l'éventuelle appréciation ultérieure du juge en cas de contentieux.

Cette dérogation, de par son caractère très général, fragilise substantiellement la portée du principe du consentement de la personne, qui ne saurait donc être considéré comme constituant la règle en matière de traitement des données.

L'Assemblée nationale a, à l'initiative du rapporteur, M. Gérard Gouzes, adopté, avec l'avis favorable du Gouvernement, quatre amendements rédactionnels.

Les motifs de la directive invitent les législateurs nationaux à prévoir des garanties renforcées pour les personnes concernées.

L'article 14 b) et le considérant 30 de la directive prévoient une définition large du droit d'opposition s'agissant des traitements de données à des fins de prospection. En outre, de tels traitements ne devraient, en application des articles 11, paragraphe 2 et 13 de la directive, pas pouvoir bénéficier de dérogations à l'obligation d'information prévue par les articles 10 et 11, paragraphe 1, ou au droit d'opposition garanti par l'article 14.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 8 modifié de la loi du 6 janvier 1978
Interdiction de la collecte
et du traitement des « données sensibles »

L'article premier de la loi du 6 janvier 1978 (non modifié par le présent projet de loi), affirme solennellement que l'informatique « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Par conséquent, le premier alinéa de l'actuel article 31 de la loi du 6 janvier 1978 interdit « de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes », considérées comme des « données sensibles ».

Toutefois, son deuxième alinéa autorise les « églises ou les groupements à caractère religieux, philosophique, politique ou syndical » à tenir registre de leurs membres sous forme automatisée.

Par ailleurs, le dernier alinéa introduit une autre exception pour « des motifs d'intérêt public », sous réserve que l'autorisation en soit donnée sur proposition ou avis conforme de la CNIL et par décret en Conseil d'Etat. En pratique sont visés à titre principal les traitements mis en oeuvre par les ministères de la défense ou de l'intérieur. A titre d'exemple, la CNIL a estimé par sa délibération n° 82-205 du 7 décembre 1982 que le recueil d'informations sur le « type racial » d'individus par la direction centrale des renseignements généraux était d'intérêt public, dès lors que ces informations constituaient des éléments de signalisation des personnes.

L'article 8 de la directive reprend six catégories de données visées par la convention n° 108 du conseil de l'Europe dont le traitement est en principe interdit, car « susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée », ainsi que le précise le considérant 33.

L'article 8 (modifié) de la loi du 6 janvier 1978 reprend dans un paragraphe I la liste des données dites sensibles actuellement en vigueur tout en la complétant, conformément à la directive, par une référence aux données relatives à la santé et à l'orientation sexuelle.

Cette dernière disposition s'inscrit dans le prolongement de la réglementation européenne interdisant toute discrimination fondée sur ce motif. La loi du 6 janvier 1978 modifiée par la loi du 16 décembre 1992 parle actuellement de moeurs. Le terme d' « orientation sexuelle » proposé par le projet de loi étant moins large que celui de « vie sexuelle » utilisé par la directive car évoquant principalement la question de l'homosexualité, votre commission des Lois vous propose d'adopter un amendement reprenant le terme de « vie sexuelle ».

Par ailleurs, les données de santé sont dorénavant considérées comme des données sensibles.

Contrairement aux autres catégories citées, les données relatives à la santé ont vocation à faire l'objet d'un traitement systématique pour les fins de la médecine, de l'administration du système de santé et d'assurance-maladie et de la santé publique. Néanmoins, détourné de ces finalités, le traitement des données de santé représente des risques considérables pour les libertés publiques. L'apport de la directive est donc d'encadrer le traitement de ces données dans les strictes limites des finalités qui viennent d'être énoncées et de restreindre les catégories de destinataires habilités à y accéder (paragraphes 3 et 4 de l'article 8 modifié).

La directive et le projet de loi omettent en revanche les données génétiques, alors même que le rapport présenté par M. Guy Braibant proposait de les inclure, par référence à la déclaration universelle sur le génome humain, adoptée par la conférence générale de l'UNESCO en 199714(*).

Néanmoins, il est possible de rattacher le génome humain aux données relatives à la santé. De plus, le considérant 33 vise de façon globale et sans les énumérer les données « susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ».

Le paragraphe 7 de l'article 8, prévoyant que les Etats membres déterminent « les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement » aurait pu fournir une base juridique. Tel n'a pas été le choix opéré par le Gouvernement.

Néanmoins, on notera que ces données sont soumises à la procédure d'autorisation par la CNIL prévue par l'article 25 modifié de la loi du 6 janvier 1978.

Le projet de loi prévoit que le consentement exprès de la personne concernée permet de déroger à l'interdiction de traitement des données sensibles.

Or, le paragraphe 2, a) de l'article 8 de la directive indique que les Etats membres peuvent prévoir que le consentement exprès de la personne concernée ne suffit pas. Votre commission des Lois vous propose donc d'adopter un amendement reprenant cette possibilité, afin d'éviter que des organismes tels que des compagnies d'assurance ou des employeurs puissent, au seul motif qu'ils auraient obtenu le consentement de l'intéressé, procéder à la collecte et au traitement de données sensibles. Il est en effet à craindre qu'ils exercent une certaine pression sur les personnes.

Néanmoins, une telle restriction ne pourrait intervenir que dans l'hypothèse d'une loi ultérieure. Ceci pourrait trouver à s'appliquer s'agissant des données génétiques. Le législateur est d'ailleurs déjà intervenu afin d'encadrer cette dérogation à l'interdiction de procéder à des traitements de données sensibles : pour la constitution des fichiers de recherche médicale (loi du 1er juillet 1994) ou encore pour les conditions de collecte et de traitement, par les entreprises d'assurance, des données médicales des personnes exposées à un risque aggravé (article L. 1142-2 du code de la santé publique), qui perdurent donc grâce à cet amendement.

Le paragraphe II de l'article 8 (nouveau) de la loi du 6 janvier 1978 définit ensuite les exceptions à cette interdiction de principe de collecte et de traitement des données sensibles.

L'article 8 de la directive énonce dans ses paragraphes 2 à 5 huit catégories de dérogations, certaines devant obligatoirement être transposées et d'autres étant optionnelles.

a- Il reprend d'abord les dispositions de l'actuel article 31 pour exclure du dispositif les associations ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical.

Cependant, il précise désormais que les informations traitées doivent concerner leurs seuls membres « ou, le cas échéant », des personnes entretenant avec ceux-ci des contacts réguliers, que ces données ne doivent pas être communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément (2°).

Si l'actuel article 31 de la loi du 6 janvier 1978 fait prévaloir une conception extensive de la liberté d'opinion et de conscience, les traitements en cause ne pouvant être soumis à aucun contrôle a priori, un contrôle a posteriori, seul à même de garantir le respect du cadre de la dérogation s'agissant notamment des traitements mis en oeuvre, à des fins de prospection, est dorénavant autorisé.

La directive ajoutait en outre que ces traitements devaient être effectués dans le cadre de leurs activités légitimes et avec les garanties appropriées (d), tandis que le projet de loi se contente de préciser que les traitements doivent concerner les seules données correspondant à l'objet dudit organisme.

L'interdiction de communiquer les données à des tiers sans le consentement des personnes concernées est reprise dans le projet de loi.

Cependant, l'article 22 (modifié) précise que les traitements effectués par ces organismes ne sont pas soumis à une déclaration préalable.

Par ailleurs, la faculté de collecter et de traiter des données sensibles pour un motif « d'intérêt public » est également maintenue. Le paragraphe III le prévoit ainsi expressément, mais le subordonne à l'autorisation de la CNIL, selon la procédure particulière prévue aux articles 25 et 26 (modifiés) de la loi du 6 janvier 1978.

Le point 4 de l'article 8 de la directive 95/46 CE permet, sous réserve de garanties appropriées, aux Etats membres de prévoir, pour un motif d'intérêt général important, d'autres dérogations, soit par leur législation nationale, soit sur décision de l'autorité de contrôle. En France, la voie législative a été choisie.

Les considérants 34 à 36 précisent que sont susceptibles de constituer un motif d'intérêt public important :

- les traitements intervenant dans des domaines tels que la santé publique et la protection sociale (particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans les régimes d'assurance-maladie) ;

- la recherche scientifique et les statistiques publiques (considérant 34), des garanties appropriées devant être prévues ;

- le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public au profit d'associations à caractère religieux officiellement reconnues (considérant 35) ;

- la collecte par les partis politiques de données relatives aux opinions des personnes, si requis pour le fonctionnement du système démocratique (considérant 36).

b- Au-delà de la reprise des dispositions existantes, le paragraphe II de l'article 8 (modifié) retient, conformément à l'article 8 de la directive 95/46 CE, un champ de dérogations plus large que celui prévu actuellement.

En effet, l'interdiction ne concerne pas les traitements :

- portant sur des données rendues publiques par la personne concernée (3°). Ceci permet de remédier à une lacune de l'article 31 de la loi du 6 janvier 1978, qui interdit donc en théorie de conserver des données relatives aux engagements d'hommes politiques ou de dirigeants syndicaux. L'étendue de cette dérogation doit cependant être appréciée à la lumière du principe de finalité : elle ne signifie nullement que toute donnée sensible rendue publique par la personne concernée peut faire l'objet de n'importe quel traitement ;

nécessaires :

 à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle (1°, c) du 2 de l'article 8 de la directive). Ce nouveau cas vise les fichiers des organisations humanitaires sur les personnes arrêtées ou disparues, ainsi que les situations d'urgence -notamment en matière de santé- dans lesquelles le consentement de la personne concernée ne peut être recueilli, alors que sa survie ou celle d'une autre personne est en jeu ;

 aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé, sous réserve qu'ils soient mis en oeuvre par un membre d'une profession de santé ou une personne soumise à l'obligation de secret professionnel (5°, 3 de l'article 8 de la directive).

Il s'agit de l'exception la plus importante à l'interdiction du traitement des données sensibles. Elle permettra de compenser l'effet de l'ajout des données de santé à la liste des données sensibles, tout en encadrant strictement le traitement de ces données, désormais restreint à des finalités et à des destinataires étroitement définis. La limitation par la directive des personnes autorisées à effectuer le traitement des données constitue une garantie essentielle, et intégrée au projet français de « réseau santé-social » à travers la mise en place d'une « carte des professionnels de santé » permettant de différencier les niveaux d'habilitation des personnes ayant accès au réseau.

Le rapport de M. Guy Braibant prévoyait comme garanties appropriées :

- la soumission des personnes ayant accès aux traitements à une obligation de secret professionnel, même si les agents en cause (agents de l'Etat et des caisses d'assurance-maladie) ne sont pas des personnels de santé soumis au secret professionnel ;

- une restriction de l'information accessible aux agents en cause aux données strictement nécessaires aux traitements qu'ils ont vocation à mettre en oeuvre, dont le périmètre pourra être précisé par décret.

Ces préconisations ont donc été suivies. Finalement, le projet de loi choisit la mise en oeuvre par un membre d'une profession de santé ou par une autre personne soumise à l'obligation de secret professionnel.

 à la constatation, à l'exercice ou à la défense d'un droit en justice (4°, e) de l'article 8 de la directive). Si l'article 4 exclut la justice du champ d'application de la directive, les professions juridiques -qui entrent dans le champ de la compétence communautaire- traitent des informations concernant leurs clients ou leurs adversaires pouvant être sensibles. Ainsi un cabinet d'avocats traitant de responsabilité médicale ou d'atteinte aux droits de salariés protégés est-il amené à effectuer des traitements de données sensibles.

L'Assemblée nationale a adopté avec l'avis favorable du Gouvernement quatre amendements présentés par le rapporteur, M. Gérard Gouzes, dont trois rédactionnels, le quatrième autorisant le secteur de la recherche médicale à procéder à des traitements de données dites sensibles selon les modalités prévues au chapitre IX de la loi du 6 janvier 1978 conformément au considérant 35 de la directive. Il s'agit en effet d'un des « motifs d'intérêt public important » prévus par le paragraphe 4 de la directive, qui permet à l'autorité de contrôle de prévoir d'autres dérogations, sous réserve de garanties appropriées.

Enfin, le troisième paragraphe (III) du texte proposé pour l'article 8 dispose que « lorsque l'intérêt public l'impose », d'autres traitements ne sont pas soumis à cette interdiction de traitement des données sensibles.

Le paragraphe 6 de l'article 8 de la directive prévoit que les dérogations pour des motifs d'« intérêt public important » devront être notifiées à la Commission.

La directive indique plusieurs autres cas dans lesquels des dérogations sont possibles, mais qui n'ont pas été repris par le projet de loi :

- la directive permet aux lois nationales de prévoir que dans certains cas, l'interdiction ne peut être levée par le consentement de la personne concernée ;

- la directive prévoit également une dérogation à l'interdiction du traitement de données sensibles pour les traitements nécessaires au respect d'obligations du responsable du traitement en matière de droit du travail. Ceci vise notamment les cas dans lesquels la législation nationale prévoit le prélèvement à la source par l'employeur des cotisations syndicales ou des contributions fiscales aux Eglises. Tel n'étant pas le cas en France, leur transposition n'était pas requise.

Votre commission des Lois vous propose d'adopter un amendement tendant à autoriser des traitements d'anonymisation portant sur des données sensibles, tout en les entourant d'un certain nombre de garanties.

Il s'agit d'une nouvelle application de l'article 8-2-4 de la directive, qui autorise les Etats membres à prévoir des conditions légales dérogatoires pour le traitement de catégories spéciales de données, y compris les données de santé, pour des motifs d'intérêt public important.

Les traitements d'anonymisation permettant de protéger la vie privée, il convient donc de les encourager, d'autant plus qu'ils peuvent contribuer au développement de la recherche en matière de santé.

Cet amendement entoure de garanties importantes ces possibilités de dérogations. En effet, la mise en oeuvre de celles-ci sera suivie et encadrée par la Commission nationale de l'informatique et des libertés, à laquelle il appartiendra de déterminer les catégories de traitements pouvant en bénéficier eu égard à leur finalité.

En outre, cette dérogation ne sera applicable qu'aux traitements d'anonymisation dont les procédés d'anonymisation auront été préalablement homologués par la CNIL, en vertu de l'article 11 modifié de la loi du 6 janvier 1978.

Par ailleurs, si ces règles pourront provenir d'organisations professionnelles, la CNIL pourra également reconnaître des règles proposées par des entreprises. En effet, l'homologation de règles professionnelles peut prendre plusieurs années et il convient d'encourager dès à présent le développement de l'anonymisation.

De plus, ces traitements d'anonymisation devront intervenir à bref délai.

Votre commission des Lois vous propose en outre d'adopter un amendement prévoyant une dérogation supplémentaire pour les traitements statistiques réalisés par l'INSEE dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière statistique. Ces traitements seront soumis à autorisation de la CNIL après avis du Conseil national de l'information statistique.

En outre, votre commission des Lois vous propose d'adopter deux amendements rédactionnels.

Article 9 modifié de la loi du 6 janvier 1978
Traitements relatifs aux infractions,
condamnations et mesures de sûreté

Par ailleurs, l'article 9 (modifié) reprend quasiment à l'identique les dispositions de l'article 30 de la loi en vigueur et prévoit des garanties spécifiques pour le traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté.

Ainsi, ils ne peuvent être mis en oeuvre que par :

- les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

- les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi. Rappelons qu'il s'agit des avocats, des avocats au Conseil d'Etat et à la Cour de cassation, des avoués près les cours d'appel, des commissaires priseurs, des experts judiciaires, des greffiers de commerce, des huissiers de justice, des notaires, des syndics et administrateurs judiciaires.

Le point 5 de l'article 8 de la directive prévoit que le traitement de ces données ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve de dérogations pouvant être accordées à l'Etat membre. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Actuellement, l'article 30 de la loi du 6 janvier 1978 est plus restrictif puisque seules les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales et, sur avis conforme de la CNIL, les personnes morales gérant un service public sont habilitées à traiter ces données, sauf dispositions légales contraires.

Si l'article 30 de la loi du 6 janvier 1978 a ouvert une dérogation provisoire au bénéfice des entreprises d'assurance, elle a été levée par la loi du 4 janvier 1980 relative à l'automatisation du casier judiciaire. De plus, une mission de service public, même lorsqu'elle est gérée par un organisme de droit privé, est toujours placée « sous le contrôle de l'autorité publique ».

La disposition de la directive permettant aux Etats membres d'étendre aux traitements des données relatives aux sanctions administratives ou aux jugements civils le contrôle de l'autorité publique n'a pas été retenue par le projet de loi.

L'Assemblée nationale a par ailleurs adopté, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement rédactionnel.

Votre commission des Lois vous propose d'adopter un amendement permettant aux victimes d'infractions, pour les besoins de la lutte contre la fraude et dans des conditions prévues par une loi ultérieure, de mettre en oeuvre des traitements portant sur les auteurs d'infractions dont elles ont été victimes. Seraient exclus de cette possibilité les traitements comportant des données mutualisées pour les raisons exposées lors de l'examen de l'article 10 modifié de la loi du 6 janvier 1978 (voir infra).

En l'absence d'un tel élargissement, on pourrait craindre en effet de voir se développer des traitements clandestins sur lesquels la CNIL ne pourrait exercer aucun contrôle. Il convient donc que la CNIL, dans une démarche pragmatique, puisse s'assurer de la justification de la poursuite d'un intérêt général et du respect de certaines garanties.

Cinq Etats membres ont déjà adopté cette attitude réaliste en autorisant des fichiers privés d'infractions : Autriche, Danemark, Italie, Portugal et Pays-Bas.

Article 10 modifié de la loi du 6 janvier 1978
Fondement de décisions

Au refus d'être identifié par un simple numéro s'est ajouté celui d'être réduit à un « profil » de personnalité dans les relations avec l'administration et avec des organismes privés dont les décisions peuvent significativement affecter la situation d'une personne.

Le droit administratif prévoit déjà certaines garanties en faveur des administrés. Ainsi, toute personne faisant l'objet d'une décision négative a droit à un examen particulier de son cas, à être informée des motifs de la décision prise à son encontre, à pouvoir demander un réexamen de son cas en dehors de tout cadre mécanique et à présenter ses observations.

En revanche, dans le cadre privé, les règles manquent encore, même si des lois particulières sont intervenues pour encadrer le fonctionnement de fichiers destinés à protéger les personnes contre elles-mêmes -comme le Fichier des incidents de remboursement de crédit aux particuliers (FICP) mis en place par la Banque de France pour prévenir les cas de surendettement- ou visant à protéger les personnes contre les comportements de tiers -comme le Fichier central des chèques (FCC), recensant les chéquiers volés et cartes bancaires en opposition afin d'en prévenir tout usage-.

Or, se développe la prestation par des groupements professionnels ou des sociétés privées de services de repérage ou de recensement des clients dits « à risques » par la constitution de « listes noires » comportant des personnes jugées indésirables ou dont certains comportements appellent à la vigilance, au motif que les professionnels doivent se protéger contre la fraude ou le risque d'impayé.

Cette mutualisation d'informations doit permettre à des professionnels de connaître le « profil » de certaines personnes et de décider en toute connaissance de cause de contracter, le cas échéant en fixant des conditions particulières, ou de ne pas contracter.

Ces décisions produisent des effets juridiques ou affectent significativement des personnes -comme celles des employeurs relatives à la situation de leurs salariés, celles des établissements bancaires en matière de crédit ou certaines décisions des compagnies d'assurances- et doivent donc être encadrées.

En effet, l'inscription d'une personne dans un tel fichier a un effet stigmatisant et peut quelquefois revêtir un caractère disproportionné par rapport aux fait reprochés. En outre, de tels fichiers dérogent aux principes de la protection des données personnelles puisque loin de demeurer confidentielles, les informations en cause sont alors partagées. De plus, elles vont à l'encontre du droit à l'oubli.

La loi du 6 janvier 1978 interdit que ces listes puissent constituer des « casiers judiciaires parallèles » non contrôlés, en prévoyant le droit d'information, d'accès et de rectification.

Par ailleurs, la directive cite parmi les « traitements susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées » et appelés, à ce titre, à pouvoir faire l'objet d'un examen préalable par l'autorité de contrôle avant toute mise en oeuvre, les traitements ayant pour « finalité d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat ».

La CNIL est régulièrement saisie de traitements d'évaluation du risque d'insolvabilité des demandeurs de crédit, des antécédents des incidents de paiements pour les professionnels de l'immobilier, de l'assurance ou de la téléphonie. La loi du 6 janvier 1978 ne soumettant pour l'instant pas les fichiers informatisés du secteur privé à un examen préalable, mais à un régime de simple déclaration contre délivrance d'un récépissé, elle ne peut qu'alerter les pouvoirs publics et organiser systématiquement des vérifications sur place.

L'article 10 (modifié) de la loi du 6 janvier 1978 doit donc permettre de remédier à cette situation.

Son premier paragraphe prévoit ainsi qu'aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Par ailleurs, le deuxième paragraphe précise qu'aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur ce seul fondement.

Néanmoins, le troisième paragraphe prévoit, conformément aux dispositions du deuxième alinéa de l'article 15 de la directive 95/46 CE, qu'une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat « n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé » si la personne a été mise à même de présenter ses observations. En pratique, il s'agit notamment de garantir que les entreprises d'assurance ou les établissements bancaires, qui autorisent le crédit par des méthodes d'évaluation du profil du client dites de « credit scoring », ne fondent pas leurs décisions sur le seul examen de fichiers de données à caractère personnel en leur possession, mais procèdent à un examen de la situation individuelle de la personne en lui permettant de faire valoir son point de vue.

A l'initiative du rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a rétabli la référence mentionnée à l'actuel article 2 de la loi du 6 janvier 1978 à la notion de « profil » de l'intéressé, alors que le projet de loi initial ne retenait que sa personnalité.

Votre commission des Lois vous propose de compléter cet article. En effet, si l'article 15 de la directive interdit de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité, la protection des droits et libertés des personnes n'implique que de viser les seules décisions de refus. Les décisions ayant satisfait les demandes des personnes ne doivent donc pas être concernées.

Votre commission des Lois vous propose donc d'adopter onze amendements, dont cinq rédactionnels, puis d'adopter l'article 2 ainsi modifié.

Article 3
(Chapitre III de la loi n° 78-17 du 6 janvier 1978)
Dispositions relatives à la CNIL

Cet article déplace dans un chapitre III les dispositions relatives à la CNIL figurant actuellement au chapitre II de la loi du 6 janvier 1978 et insère donc neuf articles (11 à 21 modifiés) à la place des articles 6 à 13 actuels.

L'article 28 de la directive prévoit l'institution dans chaque Etat membre « d'une ou plusieurs autorités de contrôle » chargées de surveiller l'application des nouvelles dispositions. En France, la CNIL, déjà chargée de la protection des informations nominatives depuis près de 25 ans et devenue familière aux citoyens, aux entreprises privées et aux autorités publiques, sera chargée de ces missions.

Pour ce faire, sa composition, son rôle et ses méthodes doivent être revus.

Article 11 modifié de la loi du 6 janvier 1978
Missions de la CNIL

La Commission nationale de l'informatique et des libertés conserve son nom, en dépit de l'évolution de ses modes d'intervention, afin de marquer une continuité et alors même qu'on aurait pu parler de Commission nationale de l'informatique, « des fichiers » et des libertés, puisque les fichiers manuels seront bientôt soumis aux mêmes dispositions.

L'article 28 de la directive prévoit que la CNIL doit être une « autorité administrative indépendante », précision qui figurait déjà à l'article 8 de la loi du 6 janvier 1978. C'était d'ailleurs la première fois que ce terme était employé en droit français, donnant ainsi naissance à une nouvelle catégorie d'institutions administratives.

La CNIL compte en 2002 74 agents, contre 55 en 1995. Ses effectifs sont donc en forte progression. Il est prévu de porter les effectifs budgétaires de la CNIL à 92 agents dès 2004 et 97 en 2005. L'autorité britannique, aux compétences moins étendues, comprend déjà 110 personnes et l'autorité allemande plus de 250 personnes. En France, le Conseil supérieur de l'audiovisuel ou l'Autorité de régulation des télécommunications sont également des organismes beaucoup mieux dotés que la CNIL.

Les missions de la CNIL sont précisées dans les 1° A, 1°, 2° et 3° de cet article, et reprennent les nouvelles formes de protection préconisées par la directive, outre les mentions figurant déjà aux articles 21, 22 et 23 de la loi du 6 janvier 1978.

Ses missions évoluent fortement puisque les traitements du secteur privé et du secteur public seront désormais soumis aux mêmes règles et que le régime de contrôle -contrôle a priori réduit, contrôle a posteriori appelé à se développer- change de nature.

L'Assemblée nationale, à l'initiative du rapporteur, M. Gérard Gouzes, a tout d'abord complété la liste des attributions de la CNIL par la mission d'information générale des personnes de leurs droits et obligations qu'assure d'ores et déjà la CNIL.

Votre commission des Lois vous propose d'adopter un amendement précisant que la CNIL doit non seulement informer les personnes concernées par des traitements de données à caractère personnel, mais également les responsables de traitements, afin que s'instaure une véritable collaboration entre la CNIL et eux.

La CNIL assure en outre trois catégories de missions : assurer le respect des dispositions de la loi, conseiller les professionnels et assurer une veille technologique et juridique.

- Le 1° reprend la disposition générale de l'article 6 de la loi de 1978 prévoyant que la CNIL veille aux dispositions de la loi, référence étant ici faite aux traitements de données à caractère personnel, objet de la directive. A ce titre, elle exerce neuf missions.

a) Conformément au nouveau régime de protection instauré par la directive, la CNIL :

autorise les traitements relevant de l'article 25, c'est-à-dire ceux portant sur des données sensibles lorsqu'un intérêt public l'impose, ceux portant sur des données génétiques, des infractions, condamnations ou mesures de sûreté, ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, de procéder à des interconnexions de fichiers, portant sur le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, comportant des appréciations sur les difficultés sociales des personnes, ou des données biométriques ;

donne un avis sur les traitements mentionnés aux articles 26 et 27. Il s'agit des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique, ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales ou des mesures de sûreté (article 26), ainsi que les traitements mentionnés à l'article 27, mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, et portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou portant sur la totalité ou la quasi-totalité de la population de la France ;

reçoit les déclarations relatives aux autres traitements, la simple déclaration devenant ainsi le principe, alors que le contrôle préalable absorbe actuellement 75 % de l'activité de la CNIL.

b) La CNIL établit et publie des normes simplifiées (article 24 modifié) pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. Une telle disposition est déjà prévue par l'article 17 de la loi du 6 janvier 1978. Sur les 803.765 avis préalables à la mise en oeuvre des traitements au 31 décembre 2001, 67,5 % ont été déclarés selon une procédure simplifiée.

La CNIL peut également édicter des règlements types en vue d'assurer la sécurité des systèmes, possibilité déjà existante.

c) La CNIL reçoit également les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données ;

d) La CNIL joue également un rôle consultatif auprès des pouvoirs publics et, le cas échant, des juridictions. La même disposition figure à l'article premier du décret d'application de la loi de 197815(*).

La CNIL peut donc intervenir en amont de l'avis qu'elle sera amenée à donner, par exemple sur les projets de loi ou de décret (mission prévue au a) du 3° de cet article), comme elle l'a souvent fait. Elle conseille également les personnels ou organismes mettant en oeuvre des traitements automatisés de données à caractère personnel ou envisageant de le faire. Depuis sa création, la CNIL a ainsi reçu plus de 11.500 demandes de conseil, dont 973 pour l'année 2001, qui ont concerné, par ordre décroissant d'importance, le travail, la santé, l'immobilier et la fiscalité ;

- La CNIL informe sans délai le procureur de la République des informations dont elle a connaissance (e), ainsi que le prévoient déjà le point 4° de l'article 21 de la loi de 1978 et l'article 40 du code de procédure pénale.

La mise en mouvement de l'action publique appartient au ministère public sous réserve des constitutions de parties civiles. Le rapport de M. Guy Braibant n'a pas jugé opportun de doter la CNIL de ce pouvoir, la CNIL n'ayant que rarement fait usage de sa faculté de saisir le ministère public. Il estimait néanmoins que la CNIL devait pouvoir se constituer partie civile ou du moins présenter des observations écrites et orales dans la procédure d'appel de ses décisions prononçant des sanctions pécuniaires, ainsi que dans les procédures pénales, et qu'elle devait pouvoir former des recours pour excès de pouvoir contre les actes portant atteinte à son statut ou à ses prérogatives.

Le projet de loi prévoit désormais la possibilité de présenter des observations dans les procédures pénales relatives aux infractions informatiques, dans les conditions prévues à l'article 52 nouveau de la loi. Ainsi, le procureur de la République avise le président de la CNIL de toutes les poursuites en ce domaine et peut l'appeler (ou son représentant) à déposer ses observations ou à les développer oralement lors des audiences.

Cette nouvelle possibilité découle du point 3 de l'article 28 de la directive, qui prévoit pour les autorités de contrôle « le pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou [le] pouvoir de porter ces violations à la connaissance de l'autorité judiciaire ». Cette mission pourra être exercée par le président ou le vice-président délégué conformément à l'article 15 modifié de la loi du 6 janvier 1978.

- la possibilité de charger un ou plusieurs de ses membres de procéder à des vérifications et, le cas échéant, d'obtenir des copies de tous documents utiles (f).

La loi du 6 janvier 1978 prévoit déjà une disposition analogue dans le 2° de son article 21.

La référence à des experts pouvant assister les membres ou agents de la CNIL, qui figure à l'article 21 précité, est transposée au deuxième alinéa du III de l'article 44 modifié de la loi, lequel détaille les nouveaux pouvoirs d'investigation et de contrôle sur place de la CNIL. Alors que l'actuel article 11 de la loi de 1978 lui permet de demander l'aide de magistrats délégués pour des mesures d'investigation et de contrôle, il appartiendra dorénavant à la CNIL seule d'exercer pleinement ce pouvoir de contrôle a posteriori.

La directive va entraîner un bouleversement des modalités d'intervention de la CNIL. Alors que son activité se concentre à près de 75 % sur le contrôle a priori, elle devra désormais réorienter son action sur le contrôle a posteriori, mieux à même de garantir effectivement la protection des droits fondamentaux et libertés individuelles.

Le président ou le vice-président pourront procéder à la désignation de ces membres ou agents préposés aux vérifications, conformément à l'article 15 modifié de la loi du 6 janvier 1978.

Le point 3 de l'article 28 de la directive prévoit en effet que l'autorité de contrôle détient des pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle.

- La CNIL est également investie d'un pouvoir de sanction (g) par l'article 45 modifié de la loi inséré par l'article 7 du présent projet de loi. Ainsi, la CNIL pourra prononcer un avertissement à l'égard du responsable du traitement, ou le mettre en demeure de faire cesser le manquement. S'il n'obtempère pas, elle pourra prononcer à son encontre, après une procédure contradictoire, une sanction pécuniaire, une injonction de cesser le traitement ou, en cas d'urgence, décider l'interruption de la mise en oeuvre du traitement pour une durée maximale de trois mois ou saisir le Premier ministre, s'agissant des traitements de souveraineté, si la mise en oeuvre du traitement ou l'exploitation des données entraîne une violation des droits et libertés.

Par ailleurs, en cas d'atteinte grave et immédiate et immédiate aux droits et libertés, le président de la CNIL pourra demander par voie de référé au juge compétent d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire.

Ces différentes sanctions seront décidées par la formation restreinte de la CNIL, conformément à ce que prévoit l'article 17 modifié de la loi du 1978, inséré par le présent article.

- La CNIL traite également les demandes d'accès indirect (h) prévues par les articles 41 et 42 modifiés de la loi de 1978 (insérés par l'article 5 du présent projet de loi), portant respectivement sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ceux constitués à des fins de recherche et de constatation des infractions ou à des fins fiscales.

Les demandes d'accès seront alors adressées à la CNIL, qui désignera l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Si les données ne mettent pas en cause les finalités poursuivies par ces traitements, ces données ou résultats seront communiqués au requérant. Dans le cas contraire, la CNIL informera le requérant qu'il a été procédé aux vérifications.

La disposition de l'article 40 actuel de la loi de 1978 prévoyant que les informations à caractère médical ne peuvent être communiquées à l'intéressé que par l'intermédiaire d'un médecin n'est pas reprise, la loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé ayant réformé les modalités d'information des malades en organisant un droit d'accès direct aux dossiers médicaux (nouvel article L. 1111-7 du code de la santé publique).

Un deuxième type de missions dévolues à la CNIL (2° de l'article 3 du projet de loi) comprend celles d'ailleurs déjà exercées par la CNIL « à la demande des organismes professionnels regroupant les responsables de traitements » :

Votre commission des Lois vous propose d'adopter un amendement pour permettre à des organismes, qui ne regroupent pas forcément que des responsables de traitements (par exemple des associations de chercheurs ou d'informaticiens), de demander des avis à la CNIL ou de faire homologuer des règles. Il s'agit en effet de développer la coopération entre la CNIL et tous les organismes susceptibles de détenir des données à caractère personnel.

- la CNIL donne un avis sur la conformité des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel.

Votre commission des Lois vous propose d'adopter un amendement tirant les conséquences des amendements proposés aux articles 8 et 32 modifiés de la loi et tendant à inciter les responsables de traitements à procéder à une anonymisation des données collectées par un allègement des formalités.

Il précise donc que ces règles professionnelles homologuées par la CNIL pourront également avoir pour objet l'anonymisation des données ;

- elle porte une appréciation sur les garanties offertes par ces règles professionnelles ;

- elle délivre un label à des produits ou à des procédures ; c'est ainsi que la CNIL a élaboré un code de déontologie à l'usage des professionnels du marketing qui a incontestablement eu de fortes répercussions sur ces activités.

Enfin, la CNIL joue un rôle de veille tant technologique que juridique (3° de l'article 11 modifié par l'article 3 du présent projet de loi) en s'inspirant de l'actuel article 21 de la loi de 1978, qui prévoit qu'elle se tient informée « de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés », en précisant qu'elle « se tient informée des activités industrielles et de services qui concourent à la mise en oeuvre de l'informatique ».

Votre commission des Lois vous propose d'adopter un amendement reconnaissant à la CNIL le droit d'informer le public des risques que peuvent présenter de nouvelles technologies, ainsi qu'elle le fait d'ailleurs déjà actuellement. On peut par exemple citer son récent rapport sur la cybersurveillance au travail. Il s'agit d'éviter que se reproduise le défaut d'anticipation des bouleversements provoqués par de nouvelles technologies comme l'internet.

A ce titre, la CNIL :

- est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques (a). Votre commission des Lois vous propose d'adopter un amendement rédactionnel remplaçant le mot « informatiques » par « automatisés ».

Le point 2) de l'article 28 de la directive prévoit d'ailleurs que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

L'Assemblée nationale a adopté, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement tendant à lever toute ambiguïté sur l'étendue de cette consultation ;

- La CNIL propose au Gouvernement des mesures législatives ou réglementaires d'adaptation à l'évolution de la technologie. Cette disposition figure déjà à l'article premier du décret d'application de 1978 ;

Par ailleurs, votre commission des Lois vous propose d'adopter un amendement prévoyant que la CNIL peut apporter son concours à d'autres autorités administratives indépendantes en matière de protection des données, une telle collaboration pouvant s'avérer particulièrement fructueuse, qu'il s'agisse de l'Autorité de régulation des télécommunications (ART), de la Commission d'accès aux documents administratifs (CADA) ou du Conseil supérieur de l'audiovisuel (CSA) ;

- elle peut être associée, à la demande du Premier ministre, à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel. La formule de l'association répond au statut particulier de la CNIL qui, autorité administrative indépendante, ne peut recevoir d'injonction du Gouvernement, ni le représenter, celui-ci étant seul responsable de la conduite de la politique étrangère.

Le rapport de M. Guy Braibant, ainsi que l'avis de la CNIL16(*), déploraient que la France soit représentée dans ses relations avec les institutions internationales (Conseil de l'Europe, Union européenne, OCDE) sur la protection des données à caractère personnel par le commissaire du Gouvernement auprès de la CNIL. Ils estimaient cette situation équivoque, le commissaire du Gouvernement étant à tort considéré comme le représentant de la CNIL, alors même que la CNIL a noué des relations avec ses homologues étrangers et que certains de ses membres ou agents sont entendus comme experts par des institutions internationales.

Votre commission des Lois vous propose d'adopter un amendement permettant l'association de la CNIL à la définition de la position française et sa participation, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes. Il s'agit d'assurer l'information de la CNIL sur le déroulement des négociations internationales relatives à la protection des données à caractère personnel, afin d'éviter sa mise à l'écart, qui constitue aujourd'hui trop souvent la règle.

Par ailleurs, l'avant-dernier alinéa de l'article 11 modifié de la loi de 1978 reprend les dispositions figurant actuellement aux articles 6 et 21 et prévoit que la CNIL peut prendre « des décisions individuelles ou réglementaires ». Les décisions individuelles peuvent porter sur des problèmes d'organisation ou de fonctionnement de la commission (constatation des incompatibilités par exemple) ou concerner des tiers (notamment s'agissant des pouvoirs de sanction et d'investigation). Parmi les mesures réglementaires figurent le règlement intérieur, l'élaboration de normes simplifiées ou de règlements types visant à assurer la sécurité des systèmes. La CNIL peut également procéder par voie de recommandations, sans effet contraignant, mais destinées à orienter l'action et les méthodes des pouvoirs publics et des responsables de traitements.

Enfin, la CNIL présente chaque année au Président de la République et au Parlement un rapport public rendant compte de l'exécution de sa mission. Il s'agit de la simple reprise des dispositions du premier alinéa de l'article 23 actuel de la loi du 6 janvier 1978. Ce rapport devrait avoir davantage une valeur pédagogique et dénoncer les abus constatés.

Votre commission des Lois vous propose d'adopter un amendement tendant à prévoir que ce rapport sera également remis au Premier ministre, ce qui est déjà le cas en pratique.

En revanche, n'a pas été repris le deuxième alinéa de l'actuel article 23 de la loi, qui prévoit que ce rapport décrit notamment les procédures et méthodes de travail suivies par la commission et contient en annexe toutes informations sur l'organisation de la commission et de ses services, propres à faciliter les relations du public avec celle-ci. Il apparaît en effet trop restrictif et peu législatif.

En outre, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 12 modifié de la loi du 6 janvier 1978
Crédits

Actuellement, l'article 7 de la loi de 1978 prévoit que la CNIL est financée par des crédits inscrits au budget du ministère de la Justice et que les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion, les comptes de la commission étant présentés a posteriori à la Cour des comptes, conformément à ce qui est prévu, par exemple, pour le Médiateur de la République.

L'article 12 modifié de la loi reprend ces dispositions à l'exception de la mention de l'inscription des crédits au budget du ministère de la Justice. En effet, tous les crédits des autorités administratives sont désormais regroupés17(*).

N'est pas non plus repris le dernier alinéa de l'article 7 de la loi de 1978 prévoyant la possibilité pour la CNIL de percevoir des redevances pour certains actes -notamment l'accomplissement des formalités de déclaration- cette disposition n'ayant en fait jamais été mise en oeuvre.

Article 13 modifié de la loi du 6 janvier 1978
Dispositions relatives aux membres de la CNIL

Cet article comporte trois paragraphes fixant respectivement le nombre et l'origine des membres de la CNIL, la durée de leur mandat et le règlement intérieur de la commission.

1- Composition et origine des membres de la CNIL

Le nombre de membres de la CNIL, fixé à dix-sept par la loi du 6 janvier 1978, demeure inchangé.

S'il est supérieur à celui d'autres autorités administratives indépendantes, comme la Commission des opérations de bourse ou le Conseil de l'audiovisuel -neuf- ou des autres pays européens18(*), la CNIL a cependant bien fonctionné, M. Guy Braibant la qualifiant dans son rapport de « petit parlement ou académie des libertés ».

Néanmoins, pour des raisons pratiques, des formations plus restreintes sont désormais prévues par les articles 16 et 17 modifiés de la loi de 1978.

L'article 8 actuel de la loi du 6 janvier 1978 prévoit que la CNIL est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :

- deux députés et deux sénateurs élus respectivement par l'Assemblée nationale et par le Sénat ;

- deux membres du Conseil économique et social, élus par leur assemblée ;

- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade au moins égal à celui de conseiller, élus par leur assemblée générale ;

- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par leur assemblée générale ;

- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par leur assemblée générale ;

- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;

- trois personnalités désignées en raison de leur autorité et de leur compétence par décret en Conseil des ministres.

Il est en outre précisé que la commission élit en son sein pour cinq ans un président et deux vice-présidents.

Le projet de loi propose divers aménagements.

Compte tenu de la technicité croissante de l'informatique, le projet de loi initial proposait de laisser plus de place aux praticiens de l'informatique. En effet, les représentants du secteur public occupent une place prépondérante et la société civile une place trop réduite. De même, les juristes sont en quasi-monopole et les informaticiens absents. On compte ainsi actuellement quatre membres du Conseil d'Etat dont l'actuel président et trois membres de la Cour des comptes (au lieu des deux pour chaque catégorie formellement prévus en 1978).

Le présent projet de loi proposait que le Conseil économique et social ne désigne plus qu'un seul membre (au lieu de deux).

M. Gérard Gouzes, rapporteur, a néanmoins rétabli leur nombre, jugeant cette diminution peu opportune et soulignant que cette institution pouvait apporter à la CNIL le point de vue des consommateurs, des salariés, des associations familiales et des travailleurs indépendants. Il a en outre douté que des informaticiens très spécialisés soient à même de protéger les libertés individuelles.

Par ailleurs, le profil des personnalités désignées en raison de leur compétence ou de leur autorité est modifié. Ainsi, les deux personnes « qualifiées pour leur connaissance des applications de l'informatique et nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat » seront désormais qualifiées « pour leur connaissance de l'informatique », cette formulation plus large devant permettre de ne pas nommer uniquement des techniciens. Leur désignation se fera désormais directement par le président du Sénat ou celui de l'Assemblée nationale, ainsi que c'est déjà le cas en pratique.

Le projet de loi initial prévoyait en outre que le nombre de personnalités désignées en raison de leur compétence par décret en Conseil des ministres devait passer de trois à quatre, que leur nomination ne requerrait plus qu'un décret simple, et que deux d'entre elles devraient désormais être « qualifiées pour leur connaissance de l'informatique ».

Du fait de l'adoption par l'Assemblée nationale de l'amendement de M. Gérard Gouzes, rapporteur, rétablissant le nombre de membres du Conseil économique et social, l'augmentation du nombre de personnalités est supprimée.

Votre commission des Lois vous propose d'adopter un amendement prévoyant que les trois personnalités doivent être qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles, dans un souci de cohérence.

A l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté un amendement de précision, les parlementaires siégeant dans des organismes extérieurs étant nommés par la commission compétente de l'assemblée et non pas élus par celle-ci19(*).

En outre, le projet de loi confirme l'élection du président et de deux vice-présidents par la Commission, tout en institutionnalisant la fonction de « vice-président délégué » pouvant être chargé de fonctions spécifiques, conformément aux dispositions de l'article 15 modifié de la loi de 1978.

Conformément aux orientations retenues par le rapport de M. Guy Braibant, il apparaîtrait souhaitable que l'exécutif du collège soit renforcé et qu'à l'instar d'autres autorités administratives indépendantes, le président et les deux vice-présidents exercent leur activité à plein temps, quitte éventuellement à faire une exception pour les députés et sénateurs.

2- Durée du mandat des membres de la CNIL

L'article 8 actuel de la loi prévoit que les membres de la CNIL sont élus pour cinq ans ou pour la durée de leur mandat -ceci concernant les parlementaires et les membres du Conseil économique et social-.

Le paragraphe II de l'article 13 modifié de la loi de 1978 conserve cette durée de 5 ans. Néanmoins, est introduite une limitation à un renouvellement du mandat, suivant la suggestion du rapport de M. Guy Braibant.

La désignation des parlementaires et des membres du Conseil économique et social se fera après chaque renouvellement de l'assemblée à laquelle ils appartiennent20(*), le projet de loi indiquant qu'ils ne peuvent être membres de la Commission plus de dix ans.

Votre commission des Lois vous propose d'adopter un amendement supprimant cette disposition qui aboutirait à ce que les sénateurs ne soient désignés que pour une durée de trois ans, durée insuffisante pour appréhender pleinement les questions liées à l'informatique et aux libertés.

La situation des membres actuels de la CNIL est réglée par l'article 17 du présent projet de loi, qui prévoit qu'ils demeurent en fonction jusqu'au terme normal de leur mandat.

La suggestion émise par le rapport de M. Guy Braibant de porter la durée du mandat de cinq à six ans, comme c'est le cas dans nombre d'autorités administratives indépendantes, n'a pas été reprise.

Par ailleurs, il est précisé qu'un membre de la CNIL cessant d'exercer ses fonctions en cours de mandat est remplacé dans les mêmes conditions pour la durée du mandat restant à courir. Ainsi, cette formulation clarifie le texte actuel qui pouvait laisser penser qu'un président empêché serait remplacé directement par le nouveau membre désigné, pour la durée restant à courir de son mandat. Ce n'est qu'après la désignation du nouveau membre que la CNIL sera amenée à élire un nouveau président, pour une durée de cinq ans.

Afin de conserver à la CNIL son indépendance, il est en outre réaffirmé que « sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la Commission dans les conditions qu'elle définit ».

3- Le règlement intérieur de la CNIL

La disposition prévue actuellement à l'article 8 de la loi donnant à la CNIL le pouvoir d'établir un règlement intérieur est reprise, étant précisé que ce règlement porte sur les « règles relatives à l'organisation ou au fonctionnement de la Commission » et qu'y figurent notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.

La CNIL n'a établi de règlement intérieur qu'en 198721(*). Le présent projet de loi conduira probablement à le modifier en profondeur, s'agissant notamment des pouvoirs d'investigation, de contrôle et de vérification sur place.

En outre, votre commission des Lois vous propose d'adopter deux amendements rédactionnels ainsi qu'un amendement de précision.

Article 14 modifié de la loi du 6 janvier 1978
Incompatibilités

Pour garantir son caractère d'autorité administrative indépendante, l'actuel article 8 de la loi de 1978 prévoit que la qualité de membre de la CNIL est incompatible :

- avec la qualité de membre du Gouvernement ;

- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.

C'est à la CNIL qu'il appartient d'apprécier dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.

Le projet de loi reprend l'incompatibilité avec la fonction de membre du Gouvernement, tout en assouplissant le dispositif concernant les membres susceptibles d'exercer une compétence dans le secteur de l'informatique.

Il est désormais prévu un simple déport, un membre de la Commission ne pouvant participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, un mandat ou exerce des fonctions. Cette interdiction est étendue aux fonctions ou participations intervenues au cours des dix-huit mois précédant la délibération ou les vérifications en cause.

Cet assouplissement, qui résulte de la volonté du Gouvernement de voir siéger au sein de la Commission des professionnels de l'informatique, afin de renforcer sa technicité, devait compléter l'augmentation du nombre de personnalités qualifiées.

Le régime s'apparente à celui retenu depuis la loi n° 96-597 du 2 juillet 1996 par l'article L. 621-4 du code monétaire et financier pour les membres de la Commission des opérations de bourse, qui prévoit qu'ils ne peuvent participer à une délibération concernant une affaire dans laquelle ils détiennent (ou ont détenu moins de 36 mois auparavant) un intérêt.

Votre commission des Lois vous propose d'adopter deux amendements tendant à aligner la durée prise en compte sur celle établie pour la COB, ainsi qu'à préciser qu'il peut s'agir d'un intérêt direct ou indirect.

Le paragraphe III rend effective cette disposition en obligeant tout membre de la CNIL à informer le président des intérêts et mandats qu'il détient ou vient à détenir, ainsi que des fonctions qu'il exerce ou vient à exercer.

Ces informations sont tenues à la disposition des membres de la Commission et le président « prend les mesures appropriées » pour en assurer le respect.

Votre commission des Lois vous propose d'adopter un amendement élargissant le rôle du président.

En contrepartie du maintien du nombre élevé de membres de la CNIL, le projet de loi crée une formation retreinte et institutionnalise un bureau chargé de fonctions spécifiques.

Votre commission des Lois vous propose pour des raisons rédactionnelles de déplacer les dispositions relatives à la composition de ces deux organes à cet article.

Article 15 modifié de la loi du 6 janvier 1978
Rôle de la formation plénière

La réunion en formation plénière demeure la règle.

Comme actuellement, la voix du président est prépondérante en cas de partage égal des voix.

L'actuel article 10 de la loi de 1978 prévoit que la commission peut charger le président ou le vice-président délégué :

- de la réception des déclarations de traitements automatisés émanant de personnes privées (article 16) ;

- de l'établissement de normes simplifiées pour les catégories les plus courantes de traitements à caractère public ou privé ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés (article 17) ;

- d'avertir les intéressés et de dénoncer au parquet des infractions dont elle a connaissance (article 32-4) ;

- de veiller au respect du droit d'accès et de rectification (article 21-5) ;

- de recevoir les réclamations, pétitions et plaintes (article 21-6) ;

- de vérifier les demandes de traitements de données à caractère personnel de santé, de les interdire le cas échéant et de déterminer leur durée de conservation (article 40-13) ;

- d'instruire dans les deux mois les demandes de traitement de données à caractère personnel de santé (article 40-14).

Le projet de loi adapte ces dispositions en prévoyant des délégations s'agissant de :

- la délivrance d'un récépissé lors de la déclaration d'un traitement (troisième alinéa du I de l'article 23) ;

- l'information du Procureur de la République des infractions dont elle a connaissance, de la présentation d'observations dans les procédures pénales, de la désignation de certains membres de la CNIL pour vérifications portant sur tous traitements ou obtention de copies (e et f du 1° de l'article 11).

A l'initiative de M. Gérard Gouzes, rapporteur, l'Assemblée nationale a étendu le champ de ces délégations :

- à celles relatives au droit d'accès indirect (articles 41 et 42 modifiés introduits par l'article 5 du présent projet de loi) : c'est à dire relatives aux traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou les traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public, du contrôle ou du recouvrement des impositions ;

- à l'agrégation des données de santé communiquées à des fins statistiques d'évaluation des pratiques de soins et de prévention en vue de garantir la non-identification des patients et à la vérification par la CNIL au regard de la finalité des traitements de l'anonymisation des données (articles 63 et 64 nouveaux -anciennement articles 40-12 et 40-13 créés par la loi n° 99-641 du 27 juillet 1999 portant création d'une couverture maladie universelle-) ;

- à l'avis du Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé sur la méthodologie de la recherche, la nécessité du recours à des données à caractère personnel et la pertinence de celles-ci par rapport à l'objectif de la recherche (article 54 nouveau -ancien article 40-2 de la loi créé par la loi n° 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé-) ;

Mme Marylise Lebranchu, précédent Garde des Sceaux, avait émis des réserves sur cette délégation des autorisations en matière de recherche dans le domaine de la santé et de l'évaluation des activités de soins, cette matière constituant le seul domaine dans lequel serait déléguée l'appréciation même à porter sur un traitement, et s'en était par conséquent remise à la sagesse de l'Assemblée nationale.

- à l'interdiction d'un transfert vers un Etat tiers dont la Commission des Communautés européennes constate qu'il n'assure pas un niveau de protection suffisant (article 70, 1er alinéa).

Le projet de loi initial prévoyait que l'examen des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique (article 41 modifié), des transmissions d'information à des fins d'évaluation des pratiques de soins (articles 63 et 64 modifiés) serait délégué, non au président ou au vice-président délégué, mais au bureau de la commission.

L'Assemblée nationale a cependant transféré ces compétences au président de la CNIL, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement.

Votre commission des Lois vous propose d'adopter un amendement tendant à étendre les compétences du président ou du vice-président délégué :

à la réception des réclamations, plaintes et pétitions relatives à la mise en oeuvre des traitements de données à caractère personnel, ainsi que l'information de leurs auteurs sur les suites à donner. En pratique tel est déjà le cas (article 11-1° c ) ;

à l'association à la préparation de la position française aux négociations internationales (article 11-3° c ) ;

à l'information délivrée par la CNIL à la Commission des Communautés européennes et aux autorités de contrôle des autres Etats membres des décisions d'autorisation de transfert de données à caractère personnel qu'elle prend (dernier alinéa de l'article 69).

Article 16 modifié de la loi du 6 janvier 1978
Bureau de la commission

Le projet de loi institue formellement un bureau de la CNIL, composé du président et de deux vice-présidents. L'article 9 du règlement intérieur de la CNIL le prévoyait déjà, mais il apparaissait comme une simple instance d'information intervenant préalablement à une décision de la Commission concernant, par exemple, une incompatibilité ou un empêchement d'un membre.

Le bureau pourra désormais se voir déléguer par la commission :

- l'habilitation des agents de la commission à participer à la mise en oeuvre de missions de vérification (troisième alinéa de l'article 19) ;

-  lorsque la CNIL estime qu'un Etat tiers n'assure pas un niveau de protection suffisant, l'information de la Commission européenne et l'injonction au responsable du traitement de suspendre le transfert de données. En fonction de la réponse de la Commission européenne, elle lèvera la suspension ou prononcera l'interdiction du transfert (deuxième alinéa de l'article 70).

Comme il a déjà été précisé à l'article précédent, le projet de loi initial prévoyait que les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique (article 41 modifié) et les transmissions d'information à de fins d'évaluation des pratiques de soins (articles 63 et 64 modifiés), seraient délégués au bureau de la commission. Du fait des modifications apportées par l'Assemblée nationale, ils relèvent désormais du président ou du vice-président délégué.

Enfin, le bureau peut aussi, en cas d'urgence, prononcer un avertissement à l'égard du responsable du traitement ne respectant pas les obligations découlant du présent projet de loi, et peut le mettre en demeure de faire cesser le manquement constaté dans un certain délai (premier alinéa du paragraphe I de l'article 45 modifié de la loi du 6 janvier 1978 introduit par l'article 7 du présent projet de loi).

Votre commission des Lois vous propose d'adopter un amendement tendant à prévoir que la Commission peut déléguer au bureau l'autorisation de certains traitements en cas d'urgence, la CNIL devant le prononcer de manière expresse dans un délai de deux mois renouvelable une fois, ce qui peut faire craindre un engorgement de ses services.

En outre, votre commission des Lois vous propose d'adopter un amendement de coordination à l'amendement proposé à l'article 13 modifié.

Article 17 modifié de la loi du 6 janvier 1978
Pouvoirs de la formation restreinte

Le deuxième alinéa de cet article prévoit que la formation restreinte de la commission est composée du président, des vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat, la voix du président étant prépondérante en cas de partage égal des voix.

Le projet de loi initial n'incluait qu'un vice-président délégué dans sa composition mais l'Assemblée nationale, à l'initiative de son rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, a décidé d'inclure également l'autre vice-président.

Le premier alinéa charge la formation restreinte de prononcer les sanctions prévues aux paragraphes I et 1° du II de l'article 45 modifié de la loi de 1978 (à l'exclusion du cas d'urgence où le bureau peut intervenir), conformément aux préconisations du rapport de M. Guy Braibant.

- Elle pourra donc prononcer un avertissement à l'égard du responsable d'un traitement ne respectant pas les obligations de la loi du 6 janvier 1978, voire le mettre en demeure de faire cesser le manquement constaté.

S'il persiste, la CNIL pourra prononcer à son encontre, après une procédure contradictoire, une sanction pécuniaire, voire une injonction de cesser le traitement ou de procéder à sa destruction si celui ci était soumis à

déclaration. Elle pourra également retirer l'autorisation prévue à l'article 2522(*).

- La formation restreinte pourra également, dans le cadre du 1° du paragraphe II de l'article 45 modifié, décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines données, pour une durée maximale de trois mois en cas d'urgence et, après une procédure contradictoire, lorsque la mise en oeuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés protégés par la CNIL.

Cette possibilité est toutefois exclue s'agissant des traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

S'agissant de ces traitements ainsi que de ceux portant sur des données sensibles, il appartiendra à la formation plénière de saisir le Premier ministre afin de faire cesser la violation constatée.

Article 18 modifié de la loi du 6 janvier 1978
Commissaire du Gouvernement

L'actuel article 9 de la loi du 6 janvier 1978 prévoit qu'un commissaire du Gouvernement, désigné par le Premier ministre et rattaché au Secrétariat général du Gouvernement, siège auprès de la commission. Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération, mais cette faculté n'a jamais été utilisée.

Selon une circulaire de 1993 du Premier ministre, il assure la coordination de l'application de la loi de 1978 au sein des différentes administrations. A cet effet, des correspondants CNIL sont désignés dans chaque ministère.

Le rapport de M. Guy Braibant s'interrogeait sur l'opportunité de son maintien, soulignant que la coordination n'était pas toujours assurée compte tenu de l'ampleur de la tâche et que l'activité de la CNIL allait être consacrée en grande partie au secteur privé, qui ne peut être contraint de s'adresser à la CNIL par l'intermédiaire du Gouvernement.

Il appelait, en cas de maintien, à ce qu'il soit doté d'une autorité nécessaire -notamment en étant issu d'un grand corps de l'Etat et situé à un niveau élevé de la hiérarchie- et qu'il dispose d'adjoints et de services suffisants pour nouer des relations approfondies avec toutes les administrations, mais également avec le secteur privé.

L'article 18 modifié réaffirme la présence d'un commissaire du Gouvernement tout en la précisant. Des commissaires adjoints pourront être désignés dans les mêmes conditions, ainsi que le prévoit d'ailleurs déjà l'article 4 du décret modifié d'application de la loi n° 78-774 du 17 juillet 1978 « en cas d'absence ou d'empêchement ».

Pour tenir compte de l'insertion dans la loi de toutes les formations de la CNIL (bureau, formation restreinte), il est désormais précisé que le commissaire du Gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations. Il est rendu destinataire de tous ses avis et décisions.

Votre commission des Lois vous propose d'adopter un amendement excluant le commissaire du Gouvernement du bureau, dont les compétences portent essentiellement sur l'organisation interne.

Le dernier alinéa lui conserve la possibilité de provoquer une seconde délibération, sauf en matière de sanctions.

Article 19 modifié de la loi du 6 janvier 1978
Services de la CNIL

L'actuel article 10 de la loi prévoit que la CNIL dispose de services dirigés par le président ou, sur délégation, par un vice-président, et placés sous son autorité. Votre commission des Lois vous propose de supprimer cette possibilité de délégation au vice-président et de procéder à quelques modifications rédactionnelles.

Les agents de la commission sont nommés par le président ou le vice-président délégué.

Le Chapitre II du règlement intérieur de la CNIL mentionne en outre un secrétaire général chargé de coordonner et d'animer les services.

Actuellement, 70 personnes travaillent à la CNIL, au sein de cinq directions : de l'administration et de la communication ; de l'expertise informatique et des contrôles ; des affaires européennes, internationales et de la prospective ; des affaires publiques et sociales ; des affaires économiques ainsi que d'un service des plaintes et des requêtes générales.

Outre la reprise de ces dispositions, l'article 19 modifié, introduit par l'article 3 du projet de loi, prévoit que les agents de la commission peuvent être appelés à participer à la mise en oeuvre des missions de vérification prévues à l'article 44 nouveau de la loi. Il est cependant précisé qu'une telle habilitation « ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi ».

Le développement du contrôle a posteriori, et en particulier des vérifications sur place, nécessitera un renforcement des moyens de la CNIL, notamment en personnel.

Article 20 modifié de la loi du 6 janvier 1978
Secret professionnel des membres et agents de la CNIL

Le dernier alinéa de l'article 28 de la directive 95/46 précise que « les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès ».

Actuellement, l'article 12 de la loi de 1978 indique déjà que cette astreinte porte sur « les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel » (...) aux articles 226-13 et 226-14 du code pénal ».

L'article 413-10 du code pénal punit de sept ans d'emprisonnement et de 100.000 euros d'amende le fait de détruire, détourner, soustraire, reproduire ou porter à la connaissance du public ou d'une personne non qualifiée un renseignement ou un document ayant le caractère de secret de la défense nationale.

L'article 226-13 du code pénal prévoit, quant à lui, que l'atteinte au secret professionnel est punie d'un an d'emprisonnement et de 15.000 euros d'amende. L'article 226-14 du code pénal prévoit cependant des dérogations afin de permettre de révéler des sévices sexuels ou envers des mineurs ou des personnes n'étant pas en mesure de se protéger.

L'article 20 nouveau reprend donc ces dispositions à l'exception de la référence inutile à l'article 226-14 du code pénal.

Article 21 modifié de la loi du 6 janvier 1978
Collaboration des personnes contrôlées

Le premier alinéa de cet article reprend le premier alinéa de l'actuel article 13 de la loi prévoyant que, dans l'exercice de leurs attributions, les membres de la CNIL ne reçoivent d'instruction d'aucune autorité. Ceci découle de la nature d'autorité administrative indépendante de la CNIL.

Le second alinéa de l'actuel article 13 prévoit que « les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion ».

Le projet de loi élargit cette obligation de coopération puisqu'il ne fait plus référence aux seuls informaticiens, mais prévoit au contraire que « sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre de[s] vérifications [...] sont tenues de fournir les renseignements demandés par [la CNIL] pour l'exercice de ses missions ».

Votre commission des Lois vous propose d'adopter un amendement tendant à réintégrer des précisions figurant à l'article 21 de la loi actuelle et permettant aux membres et agents de la CNIL de procéder effectivement à des contrôles a posteriori.

Il paraît en effet particulièrement opportun de rappeler que les ministres, autorités publiques, dirigeants d'entreprises -publiques ou privées-, responsables de groupements divers, et plus généralement les détenteurs ou utilisateurs de traitements à caractère personnel ne peuvent s'opposer à l'action de la CNIL et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Votre commission des Lois vous propose donc d'adopter 22 amendements, dont sept rédactionnels, puis d'adopter l'article 3 ainsi modifié.

Article 4
(Chapitre IV de la loi n° 78-17 du 6 janvier 1978)
Formalités préalables à la mise en oeuvre des traitements
- Régimes de la déclaration et de l'autorisation -

La loi du 6 janvier 1978 visait prioritairement à empêcher une utilisation attentatoire aux libertés des traitements automatisés d'informations nominatives par les pouvoirs publics. La loi prévoit donc actuellement deux procédures distinctes en fonction de la nature juridique du responsable des traitements.

A ce critère organique est substitué par les articles 18 et 20 de la directive 95/46 CE un critère matériel, différenciant les obligations imposées au responsable du traitement en fonction de la nature des données concernées et du risque que leur traitement peut représenter pour les libertés individuelles.

Là vont intervenir les plus grands changements. La directive prévoit en effet, d'une part, la diminution du contrôle a priori au profit du contrôle a posteriori et, d'autre part, l'égalité entre les secteurs public et privé.

En conséquence, cet article du projet de loi substitue au chapitre IV en vigueur un nouveau chapitre relatif aux « formalités préalables à la mise en oeuvre des traitements » comprenant trois sections traitant respectivement du contenu de la déclaration, qui constitue le régime de droit commun (articles 23 et 24 modifiés), du champ d'application et de la procédure d'autorisation préalable applicable à certains types de traitement (articles 25 à 29 modifiés) et des dispositions communes aux deux régimes (articles 30 et 31 modifiés).

Actuellement, la loi du 6 janvier 1978 distingue les traitements publics et privés :

les traitements « opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public » sont soumis à une procédure originale qui commence par un « avis motivé » de la CNIL (article 15). Si l'avis est favorable, la décision est prise par un acte réglementaire. S'il est défavorable, « il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ». Cette deuxième disposition n'ayant jamais joué, la CNIL détient en fait un pouvoir de refus d'autorisation ;

- les traitements effectués pour le compte d'autres personnes ne sont soumis qu'à une déclaration qui « comporte l'engagement que le traitement satisfait aux exigences de la loi ». Le récépissé doit être délivré « sans délai », le demandeur pouvant alors mettre en oeuvre le traitement sans être toutefois « exonéré d'aucune de ses responsabilités » (article 16).

Le Conseil d'Etat ayant condamné en 1997 la pratique de la CNIL consistant en cas de doute à procéder à un examen de fond de la déclaration, celle-ci doit se borner à vérifier sa régularité formelle. La différence de régime entre les secteurs public et privé s'en trouve encore renforcée.

Cette distinction est donc organique et simple.

Néanmoins, dans les deux secteurs sont prévues des déclarations simplifiées pour les traitements courants et non dangereux faisant l'objet de normes simplifiées (article 17).

La directive, au contraire, soumet les deux secteurs -à l'exception des traitements de souveraineté, exclus de son champ d'application- aux mêmes procédures.

La déclaration, devenue « notification », est érigée en procédure de droit commun. Toutefois, des possibilités de déclaration simplifiée, voire même de dispense de déclaration sont prévues dans certains cas (articles 18 et 19).

Au contraire, les « traitements susceptibles de présenter des risques particuliers au regard des lois et libertés des personnes concernées » donnent lieu à des « contrôles préalables ». Cette notion restant très large, de grandes différences peuvent apparaître entre les Etats membres lors de la transposition, comme l'avaient craint le Conseil d'Etat et l'Assemblée nationale.

Tableau récapitulatif des formalités préalables
prévues par le projet de loi

 

Articles

Traitements

Dispense d'office par la loi

22-III

- Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu des dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

- Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical.

Dispense
par la CNIL

24-II

Certains traitements courants non susceptibles de porter atteinte à la vie privée ou aux libertés (en fonction de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, et de la durée de conservation).

Déclaration simplifiée

24-I

Les catégories les plus courantes de traitements dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Autorisation de la CNIL

25

- Les traitements automatisés ou non contenant des données sensibles ;

- Les traitements automatisés contenant des données génétiques (sauf ceux mis en oeuvre par les médecins ou biologistes) ;

- Les traitements automatisés ou non, portant sur les données relatives à des infractions, condamnations ou mesures de sûreté (sauf ceux mis en oeuvre par les auxiliaires de justice pour la défense des personnes concernées) ;

- Les traitements automatisés ayant pour finalité de sélectionner des personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;

- Les traitements automatisés ayant pour objet :

l'interconnexion de fichiers relevant d'une ou plusieurs personnes morales gérant un service public et dont les finalités correspondant à des intérêts publics différents,

l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes.

- Les traitements portant des données parmi lesquelles figurent le NIR, ceux requérant la consultation du RNIPP, et ceux portant sur la totalité ou quasi totalité de la population française ;

- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

- Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Autorisation par arrêté ministériel après avis motivé et publié de la CNIL

26 I

Les traitements mis en oeuvre pour le compte de l'Etat :

- intéressant la sûreté de l'Etat, la défense ou la sécurité publique ;

- ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

(sauf dispense de publication par décret en Conseil d'Etat)

Autorisation par décret en Conseil d'Etat après avis motivé et publié de la CNIL

26 II

_________

27 I

- Les traitements mis en oeuvre pour le compte de l'Etat contenant des données sensibles :

soit intéressant la sûreté de l'Etat, la défense ou la sécurité publique,

soit ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté (26-II). (sauf dispense de publication par décret en Conseil d'Etat )

_______________________________________________________________________________

- Les traitements mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

portant sur des données parmi lesquelles figurent le NIR ;

portant sur la totalité ou la quasi totalité de la population française (27-I).

Autorisation par arrêté ministériel après avis motivé et publié de la CNIL

27 II

- Les traitements requérant la consultation du RNIPP sans inclure le NIR ;

- Les traitements mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant une service public :

ne comportant aucune donnée sensible ou relative à des condamnations, infractions, etc...

n'ayant pas pour objet une interconnexion entre fichiers ayant des fins correspondant à des intérêts publics différents ;

et mis en oeuvre pour la mise à jour des données traitées ou le contrôle de leur exactitude par des services ayant pour mission soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer les impositions et taxes, soit d'établir des statistiques.

Autorisation de la CNIL après avis d'un comité consultatif

V bis

Les traitements de recherche en matière de santé

Autorisation de la CNIL

V Ter

Evaluation des pratiques de soins

Déclaration à la CNIL

22

Tous les autres traitements

A- Le régime de la déclaration

Article 22 modifié de la loi du 6 janvier 1978
Régime de droit commun de la déclaration

Le point 1 de l'article 18 de la directive indique que « les Etats membres prévoient que le responsable du traitement ou le cas échéant son représentant doit adresser une notification à l'autorité de contrôle préalablement à la mise en oeuvre d'un traitement entièrement ou partiellement automatisé ».

L'article 22 modifié de la loi du 6 janvier 1978 reprend donc dans son paragraphe I ce régime de droit commun de la déclaration auprès de la CNIL.

Le 5 de l'article 18 de la directive indiquait que les Etats membres « peuvent prévoir » que les traitements non automatisés ou certains d'entre eux font également l'objet d'une notification. Le rapport de M. Guy Braibant ne souhaitait pas utiliser cette faculté, afin de ne pas augmenter encore le nombre de déclarations ainsi que les formalités pesant sur les citoyens et les entreprises. Il préconisait en outre que la question soit revue à l'expiration de la période transitoire de douze ans autorisée par l'article 32 de la directive pour la mise en conformité des fichiers manuels, et a donc été suivi.

Cependant, le paragraphe II dispense de toute formalité préalable les traitements :

- ayant pour seul objet la tenue d'un registre destiné à l'information du public en vertu de dispositions législatives ou réglementaires. Cette dérogation, nouvelle, concerne notamment les registres du cadastre ou des hypothèques. Cette possibilité était ouverte par l'article 18-3 de la directive ;

- ceux mis en oeuvre par les organismes à caractère religieux, philosophique, politique ou syndical visés par le 2° du II de l'article 8 modifié de la loi.

Cette dernière exception, déjà étudiée à l'article 8 modifié, règle un conflit de libertés, l'interdiction de collecter et de traiter des données sensibles ne devant pas empêcher les partis, les syndicats, les églises de recenser leurs propres membres à usage interne.

Néanmoins, le responsable n'est dispensé que des formalités préalables liées au contrôle a priori, prévues par le chapitre IV de la loi. En effet, la situation particulière des associations et organismes en cause ne saurait justifier l'exemption de tout contrôle a posteriori.

Votre commission des Lois vous propose d'adopter un amendement tendant à dispenser de toute formalité préalable les traitements dont la finalité se limite à assurer la conservation à long terme des documents d'archives, qui ne sont pas susceptibles de présenter de risques pour les personnes physiques.

Votre commission des Lois vous propose de prévoir une troisième exception et de dispenser de déclaration les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer d'une manière indépendante l'application des obligations prévues au présent chapitre et de tenir un registre des traitements effectués.

Il s'agit de la transposition du point 2 de l'article 18 de la directive 95/46 qui précise que les Etats membres peuvent prévoir une simplification de la notification ou une dérogation à cette obligation pour les traitements qui « compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées », ainsi qu'en cas de présence d'un tel correspondant.

Cette disposition a été insérée dans la directive à la demande expresse de l'Allemagne, où existent déjà de tels correspondants.

Le rapport de M. Guy Braibant n'était pas favorable à leur introduction en France, soulignant que si elle se rattachait en Allemagne à une certaine culture de cogestion, l'institution de ces correspondants se heurterait en France à des difficultés, la directive exigeant en effet leur indépendance. Qu'ils soient membres du personnel ou extérieur à l'entreprise, ils seraient de toute façon rémunérés par celle-ci. Il indiquait que si la situation n'était pas sans précédents -médecins du travail ou experts-comptables-, ces professions étaient réglementées, protégées par un ordre et un code de déontologie, alors que le correspondant se trouverait sans doute dans une situation inconfortable vis à vis du chef d'entreprise.

Par conséquent, le rapport de M. Guy Braibant suggérait de ne retenir cette institution que pour la presse, où elle pourrait concilier liberté d'expression et protection de la vie privée.

Si votre commission des Lois est sensible à ces arguments, il apparaît cependant nécessaire d'instituer un véritable réseau de correspondants de la CNIL comparables aux « Company privacy officers ».

Aux Etats-Unis, près de 500 entreprises disposent d'ores et déjà de tels correspondants. En Corée du Sud, leur institution est d'ailleurs obligatoire, ainsi qu'en République slovaque, s'agissant des entreprises dans lesquelles des contrôleurs de systèmes supervisent plus de cinq personnes. En Allemagne, les entités tant publiques que privées de plus de quatre employés doivent avoir un « data protection officer ». En Finlande, le « Data Protection Ombudsman » a recommandé que les compagnies emploient un correspondant à la protection des données, ainsi que les autorités de protection en Norvège, Suisse et Grande-Bretagne. Certains Etats, comme l'Allemagne, les Pays-Bas et la Suède, exemptent les entreprises employant un délégué à la protection des données de certaines obligations légales (comme la déclaration des traitements de données à l'autorité de protection).

Ceci constitue d'ailleurs une recommandation de l'OCDE.

Votre commission des Lois vous propose donc d'introduire en droit français cette institution.

Leur mise en place doit permettre à la CNIL de disposer d'un réseau de correspondants, ainsi que cela existe déjà dans le secteur public. En effet, une seule autorité de contrôle ne peut pas tout assurer.

Ces correspondants ont prouvé leur contribution à une meilleure collaboration entre les entreprises et la CNIL puisque certaines entreprises, une fois privatisées, ont choisi de les conserver.

Cette possibilité pourrait d'ailleurs s'avérer particulièrement utile pour les collectivités territoriales, qui souffrent parfois d'un manque d'expertise pour les plus petites d'entre elles.

Votre commission des Lois vous propose cependant d'encadrer les allègements de formalités préalables.

La désignation du correspondant sera notifiée à la Commission nationale de l'informatique et des libertés et portée à la connaissance des instances représentatives du personnel.

Il ne pourra faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions, et pourra saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses attributions. En cas de manquement constaté à ses devoirs, le correspondant pourra être révoqué, sur demande ou après consultation de la Commission nationale de l'informatique, et le responsable du traitement pourra être enjoint à procéder à la déclaration prévue à l'article 23 en application des dispositions de l'article 45-I.

En outre, un décret en Conseil d'Etat précisera les modalités d'application de cet article.

Le dernier paragraphe de cet article précise toutefois qu'en l'absence de déclaration préalable, le responsable du traitement doit communiquer à toute personne en faisant la demande certaines informations : dénomination et finalité du traitement, identité et adresse du responsable ou de son représentant s'il est établi hors de l'Union européenne, personne ou service auprès duquel s'exerce le droit d'accès, données à caractère personnel faisant l'objet du traitement, les destinataires habilités à en recevoir communication, ainsi que les transferts de données à caractère personnel envisagés à destination d'un Etat tiers (2° à 6° de l'article 31).

Article 23 modifié de la loi du 6 janvier 1978
Déclaration

En vertu de l'article 23 modifié de la loi réitérant l'obligation prévue par l'article 16 actuel, la déclaration doit comporter l'engagement que le traitement satisfait aux exigences de la loi.

Le deuxième alinéa la complète en prévoyant qu'elle peut être adressée à la CNIL par voie électronique, celle-ci délivrant alors sans délai un récépissé, le cas échéant par voie électronique. C'était une préconisation du rapport de M. Guy Braibant, qui rappelait que des lois récentes avaient prévu la transmission par « voie télématique », par « voie informatique » ou encore par « voie électronique »23(*) et qu'il s'agissait d'une revendication des entreprises.

Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé mais il n'est exonéré d'aucune de ses responsabilités. Le défaut de déclaration est passible des sanctions prévues par l'article 226-16 du code pénal, modifié par l'article 14 du présent projet de loi.

Le paragraphe II de l'article 23 modifié prévoit en outre que les traitements relevant d'un même responsable et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique.

Actuellement, une déclaration est requise pour chaque traitement. Les représentants des entreprises entendus par votre rapporteur ont souhaité que puisse être faite une déclaration unique pour l'ensemble des traitements d'un même organisme « ayant une même finalité ou des finalités liées », ainsi que l'autorise la directive. Il s'agit d'une mesure de simplification afin de permettre une déclaration unique s'agissant d'entreprises comprenant de nombreuses filiales.

Il s'agissait d'ailleurs d'une préconisation du rapport de M. Guy Braibant.

Votre commission des Lois vous propose donc d'adopter un amendement en ce sens.

Article 24 modifié de la loi du 6 janvier 1978
Normes simplifiées

L'article 17 actuel de la loi du 6 janvier 1978 prévoit que la CNIL établit et publie des normes simplifiées pour les catégories les plus courantes de traitements, qu'ils soient à caractère public ou privé, ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés. Seule une déclaration simplifiée de conformité à l'une de ces normes doit alors être déposée auprès de la commission.

Cette disposition avait été introduite à l'initiative de M. Raymond Forni. La première norme simplifiée a été élaborée par la CNIL le 22 janvier 1980 et concerne les traitements automatisés d'informations nominatives relatifs à la liquidation et au paiement des rémunérations des personnels de l'Etat. Une cinquantaine de normes simplifiées sont aujourd'hui en vigueur24(*). Seule l'une d'entre elles fut annulée par le Conseil d'Etat.

L'article 18-2 de la directive s'est inspirée de cette disposition en précisant que les Etats membres peuvent prévoir une simplification de la notification ou une dérogation à cette obligation pour les traitements qui « compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées », les Etats membres devant préciser « les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données ».

La directive n'indique pas quelle autorité doit en fixer le champ et apporter ces précisions.

Le projet de loi précise que ces normes sont établies par la CNIL, « après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs », et reprend fidèlement les précisions exigées par la directive.

Le dernier alinéa du paragraphe I prévoit enfin que les traitements correspondant à l'une de ces normes font l'objet d'une déclaration simplifiée de conformité envoyée à la CNIL, le cas échéant par voie électronique.

Le paragraphe II du texte prévu pour l'article 24 modifié indique, en outre, que la CNIL peut définir, parmi les catégories de traitements dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée et aux libertés, celles qui sont dispensées de déclaration, du fait de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.

La CNIL l'a d'ailleurs déjà fait au moins fois, sans y être expressément autorisée, sous l'empire de la loi du 6 janvier 1978. En effet, la rédaction de normes simplifiées lui permet d'apprécier si la dérogation doit se limiter à permettre une déclaration simplifiée ou peut aller jusqu'à une dispense totale de déclaration.

Le rapport de M. Guy Braibant préconisait d'ailleurs qu'un grand nombre de traitements soit dispensé de déclaration, afin de recentrer l'action de la CNIL sur le contrôle a posteriori25(*).

De même, la CNIL peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique lorsqu'ils relèvent d'un même responsable et ont des finalités identiques ou liées entre elles.

Enfin, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

B- les traitements soumis à autorisation préalable

1- la situation actuelle

Actuellement, la loi du 6 janvier 1978 prévoit deux types d'autorisation préalable :

- hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public sont décidés par un acte réglementaire pris après avis motivé de la CNIL (article 15).

Si cet avis est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat ;

- il peut, pour des motifs d'intérêt public, être fait exception à l'interdiction de traitement des données dites sensibles sur proposition ou avis conforme de la CNIL par décret en Conseil d'Etat (dernier alinéa de l'article 31).

2- la directive

Le 1° de l'article 20 de la directive 95/46 CE ne fixe pas de liste de traitements devant être soumis à l'examen préalable de l'autorité de contrôle, ceci étant laissé à la discrétion des Etats membres qui « précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre ».

Par conséquent, sa transposition par les différents Etats membres s'est faite de manière très hétérogène.

Pour la détermination de ces catégories de fichiers, le précédent Gouvernement a largement tenu compte des propositions contenues dans le rapport de M. Guy Braibant26(*), mais également des observations émises par la CNIL dans son avis sur le présent projet de loi27(*).

La directive emploie l'expression de « contrôles préalables » dans le titre de l'article, celle d' « examens préalables » dans son texte tandis que le considérant 54 énonce qu'« à la suite de cet examen préalable, l'autorité de contrôle peut émettre un avis ou autoriser le traitement ». C'est la seule mention d'une autorisation.

Dans son avis, le Conseil d'Etat avait souhaité que la notion de « traitements présentant des risques particuliers au regard des droits et libertés des personnes [soit] précisée par une énumération des principaux traitements ainsi visés ». En effet, le considérant 53 de la directive n'évoque que la nature, la portée ou les finalités du traitement et renvoie aux Etats membres le soin « s'ils le souhaitent, de préciser dans leur législation de tels risques », en ne citant à titre d'exemples que l'exclusion des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat et l'usage particulier d'une technologie nouvelle.

Le Conseil d'Etat dans son avis en avait évoqué d'autres : « les traitements portant sur les identifiants nationaux, des données sensibles ou des données recueillies en l'absence de consentement de la personne ».

Le rapport de M. Guy Braibant rappelait qu'un certain nombre de traitements et de fichiers relèvent par eux-mêmes et directement du domaine de la loi -grands fichiers nationaux de police et de sécurité, traitements mettant en jeu des secrets particulièrement protégés par la loi, interconnexions de traitements à finalités différentes comme la protection sociale et la police et enfin ceux se rattachant aux procédures pénales ou aux principes fondamentaux de la sécurité sociale-.

Le considérant 54 de la directive dispose que le nombre de traitements pouvant être soumis à autorisation « devrait être très restreint », le considérant 52 rappelant que « le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante ».

La CNIL a élaboré dans une délibération du 14 mai 1996 une liste de traitements à risques particuliers comprenant onze rubriques : les matières ne relevant pas du droit communautaire (sécurité publique, défense et sûreté de l'Etat ; droit pénal ; contrôle de l'immigration et de la régularité du séjour et du travail des ressortissants de l'Union européenne) ; la mise en oeuvre de nouvelles technologies ; les données sensibles ; les dérogations aux principes protecteurs des personnes prévues à l'article 13 de la directive (qualité des données, droit d'information, droit d'accès, publicité des traitements) ; le recours au numéro national d'identification ou à tout autre identifiant de portée générale ; l'interconnexion entre fichiers distincts ; les traitements conduisant à des décisions individuelles automatisées ; l'exclusion des personnes d'un droit, d'une prestation ou d'un contrat ; les enquêtes statistiques obligatoires ; les traitements concernant la totalité de la population ou une partie largement majoritaire de la population et les flux transfrontières.

Le rapport de M. Guy Braibant préconisait pour sa part de retenir les matières ne relevant pas du domaine communautaire, les données sensibles (sous réserve des données de santé -les secteurs public et privé étant désormais placés sous le même régime, il ne saurait être question de soumettre à autorisation les traitements de 100.000 médecins de ville- et de l'exonération pour les membres des groupements politiques, syndicaux et religieux), le recours aux identifiants de portée générale, l'exclusion des personnes d'un contrat, d'une prestation ou d'un droit, ainsi que les traitements concernant l'ensemble de la population.

Il constatait qu'il était en effet en pratique impossible de définir une technologie nouvelle.

De plus, le champ des autorisations devait, selon lui, être limité aux interconnexions de traitements à finalités différentes gérées par des organismes distincts, les interconnexions à l'intérieur d'une même administration ou entreprise étant multiples et souvent inoffensives.

Par ailleurs, il n'envisageait pas de soumettre à autorisation les enquêtes statistiques obligatoires, dans la mesure où elles sont fondées sur l'anonymat et soumises à la loi de 1951 relative au secret statistique.

Enfin, il considérait qu'il n'était pas possible de soumettre tous les flux transfrontières à autorisation du fait de leur nombre et de leur différentiel de dangerosité.

Article 25 modifié de la loi du 6 janvier 1978
Régime général d'autorisation

Le dispositif proposé par l'article 25 modifié de la loi du 6 janvier 1978 distingue huit catégories de traitements soumis à l'autorisation préalable de la CNIL en se fondant, d'une part, sur la nature des données concernées et, d'autre part, sur la finalité des traitements :

1- les traitements, automatisés ou non, concernant des données dites sensibles faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou relatives à leur santé ou à leur orientation sexuelle, lorsque l'intérêt public l'impose (III de l'article 8) (1°) ;

2- les traitements automatisés portant sur des données génétiques, sauf ceux mis en oeuvre par des médecins ou des biologistes et nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements (2°) ;

3- les traitements, automatisés ou non, portant sur les infractions, condamnations ou mesures de sûreté, sauf ceux mis en oeuvre par des auxiliaires de justice (c'est à dire les avocats, avocats au Conseil d'Etat et à la Cour de cassation, avoués près les cours d'appel, commissaires priseurs, experts judiciaires, greffiers de commerce, huissiers de justice, notaires, syndics et administrateurs judiciaires) (3°) ;

4- les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui des personnes et ceux portant sur la totalité ou la quasi-totalité de la population de la France (6°).

Votre commission des Lois vous propose de supprimer le critère de contrôle préalable lié à la totalité ou la quasi-totalité de la population, l'appréciation des risques envers la vie privée devant être qualitative et non quantitative, et la notion de quasi-totalité de la population étant juridiquement imprécise ;

5- les traitements de données portant des appréciations sur les difficultés sociales des personnes (7°) ;

6- les traitements portant sur des données biométriques nécessaires au contrôle de l'identité des personnes (8°) ;

Ces deux dernières catégories ne figuraient pas dans l'avant-projet de loi et ont été introduites à la suite des observations formulées par la CNIL.

Votre commission des Lois vous propose d'adopter un amendement de coordination à l'amendement proposé à l'article 8 modifié de la loi de 1978 prévoyant que les traitement réalisés par l'INSEE doivent être autorisés par la CNIL.

Par ailleurs, certains traitements sont également soumis à l'autorisation préalable de la CNIL en raison de leur finalité :

7- les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire (4°). Ce cas était d'ailleurs expressément prévu par la directive.

Votre commission des Lois vous propose d'adopter un amendement soumettant à autorisation les seuls traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire.

La directive, tout en reconnaissant dans son considérant 52 que le contrôle a posteriori par les autorités compétentes doit en général être considéré comme une mesure suffisante, indique dans un considérant 53 que les Etats membres peuvent prévoir un contrôle préalable, s'agissant de traitements susceptibles de présenter des « risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat » .

Alors que la directive parle donc d'un système de liste noire, le projet de loi soumet en fait à autorisation préalable l'ensemble des fichiers de clients et/ou prospects qui intègrent des outils de ciblage, et donc de sélection des personnes concernées.

La rédaction positive adoptée par le projet de loi inverse donc le sens de la rédaction de la directive et transforme ainsi l'exception en règle.

Une telle mesure paraissant disproportionnée, paralysante, et contraire à l'esprit de la directive, cet amendement tend à la renverser ;

8- les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents, et l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes (5°).

Ne sont pas concernés par cette procédure d'autorisation par la CNIL les traitements mentionnés aux articles 26 et 27 modifiés, c'est-à-dire ceux susceptibles de mettre en cause la souveraineté nationale (intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la poursuite ou la recherche des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté), comportant des éléments d'identification particuliers ou d'une exceptionnelle ampleur (traitements pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou qui portent sur la totalité ou la quasi-totalité de la population de la France).

Votre commission des Lois vous propose d'adopter un amendement de coordination précisant que les traitements mis en oeuvre dans une finalité d'archivage ne sont pas non plus concernés.

Le paragraphe III de cet article prévoit enfin la procédure d'autorisation.

La directive laisse une large marge de manoeuvre aux Etats membres pour déterminer selon quelle procédure et par quelle institution les autorisations seront accordées.

Le rapport de M. Guy Braibant préconisait de confier à la CNIL le pouvoir d'autorisation s'agissant de certains traitements. La loi de bioéthique du 1er juillet 1994 a d'ailleurs déjà confié à la CNIL le pouvoir d'autoriser elle-même les « traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé ».

Il est donc prévu que la CNIL se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision du président de la CNIL lorsque la complexité du dossier le justifie. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Cette disposition a été introduite par l'Assemblée nationale, avec l'avis favorable du Gouvernement, à l'initiative de M. Gérard Gouzes, rapporteur, et tend à regrouper toutes les règles relatives à l'autorisation au sein d'un même article, et non plus à l'article 28 modifié de la loi du 6 janvier 1978, qui concernera donc uniquement la procédure d'avis.

Votre commission des Lois vous propose d'adopter un amendement précisant que cette décision de renouvellement doit être motivée. La prolongation du délai peut avoir d'autres motifs que la complexité du dossier et l'obligation de motivation constitue un progrès. L'appréciation de la complexité du dossier pourrait être source de contentieux.

Il faut noter que votre commission a proposé à l'article 16 modifié de la loi de 1978 d'autoriser la commission à déléguer au bureau la possibilité de délivrer des autorisations en cas d'urgence. En effet, il est probable que la CNIL aura des difficultés pour respecter ces délais, alors même que l'absence de réponse de la CNIL dans les deux mois pourrait avoir des conséquences très graves.

Le projet de loi définit également des procédures d'autorisation particulières pour les traitements de données les plus susceptibles de porter atteinte aux droits fondamentaux des citoyens.

Article 26 modifié de la loi du 6 janvier 1978
Traitements mis en oeuvre pour le compte de l'Etat -
Traitements portant sur des données sensibles

Les traitements de souveraineté sont exclus du champ de la directive.

L'article 26 modifié de la loi du 6 janvier 1978 maintient donc un régime spécifique s'agissant des traitements de données à caractère personnel mis en oeuvre au profit de l'Etat et relevant de sa souveraineté -traitements concernant la sûreté de l'Etat, la défense ou la sécurité publique, ou ayant pour objet la prévention, la recherche ou la répression des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté-.

Le paragraphe I du projet de loi prévoit qu'ils doivent être autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la CNIL.

Votre commission des Lois vous propose d'adopter un amendement de précision afin d'inclure les traitements ayant pour objet la constatation des infractions pénales.

Le paragraphe II prévoit par ailleurs que les traitements portant sur des données sensibles (c'est à dire ceux mentionnés au I de l'article 8 nouveau de la loi : données religieuses, raciales, politiques, philosophiques, portant sur les appartenances syndicales, l'orientation sexuelle...) doivent être autorisés par décret en Conseil d'Etat pris après avis motivé de la CNIL, qui doit être publié avec le décret.

Actuellement, ces traitements sont régis par les dispositions de l'article 31 de la loi du 6 janvier 1978 qui prévoient un avis conforme de la CNIL. La CNIL elle-même, dans son avis sur cette disposition, avait estimé que « la publication de l'avis rendu par la CNIL paraît de nature à assurer le maintien d'un haut niveau de garanties et, en tout état de cause, à préserver la portée qui doit s'attacher aux interventions d'une autorité administrative indépendante à l'égard de traitements particulièrement sensibles ».

Parallèlement à la suppression de la procédure de l'avis conforme de la CNIL, celle qui permettait au Gouvernement de passer outre l'avis défavorable de la CNIL par un décret pris sur avis conforme du Conseil d'Etat est également supprimée, conformément aux préconisations du rapport de M. Guy Braibant28(*).

Il en soulignait en effet les difficultés de fonctionnement : conflits répétés entre la CNIL et certaines administrations, fonctionnement de certains fichiers importants sans autorisation, défaut de recours et d'arbitrage juridictionnel, les avis défavorables n'étant pas susceptibles de recours, même lorsqu'ils ont des effets juridiques sur le pouvoir de décision.

Le rapport suggérait donc, pour les traitements de souveraineté, exclus de la directive, un décret en Conseil d'Etat, pris sur l'avis motivé de la CNIL. Un tel avis ne bloquerait plus la procédure, mais sa publication devrait lui assurer une certaine autorité.

Ceci permettrait d'éviter de contraindre le Gouvernement à saisir le Conseil d'Etat et à se conformer à son avis.

Il faisait observer que plusieurs lois spécifiques relatives à la protection des données personnelles prévoyaient déjà que le texte d'application serait pris après un avis simple de la CNIL. La loi du 6 janvier 1978 elle-même prévoit une telle procédure dans son article 18 s'agissant de l'utilisation du répertoire national d'identification des personnes physiques.

Le paragraphe III constitue la reprise des dispositions du dernier alinéa de l'actuel article 20, qui prévoit qu'un décret en Conseil d'Etat peut dispenser de publication l'acte réglementaire autorisant les traitements relevant de la souveraineté de l'Etat. Néanmoins, si cette dispense ne concerne actuellement que certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique (correspondant aux traitements mentionnés à l'article 26 I-1° modifié), le projet de loi étend cette possibilité aux traitements ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté (article 26 I-2°) ou portant sur des données dites sensibles (article 8-I).

Il est cependant désormais prévu qu'est publié concomitamment à la publication du décret autorisant la dispense de publication de l'acte réglementaire « le sens de l'avis émis » par la CNIL.

Cette mesure permet donc une plus grande transparence s'agissant des traitements de souveraineté, mais n'en constitue pas moins une extension de la dispense de publication pour des traitements potentiellement dangereux (s'agissant notamment des traitements portant sur des données sensibles).

Les modalités de la publication de l'avis de la CNIL ne sont pas précisées, mais il devrait paraître au Journal officiel.

Le paragraphe IV du texte proposé pour l'article 26 modifié de la loi du 6 janvier 1978 reprend la disposition selon laquelle les traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, le responsable du traitement adressant alors à la CNIL un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Article 27 modifié de la loi du 6 janvier 1978
Traitements publics -
Traitements requérant une consultation du RNIPP

Actuellement, l'article 18 de la loi du 6 janvier 1978 prévoit que l'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la CNIL.

L'article 27 modifié de la loi reprend ces dispositions en les complétant et en les précisant.

Le paragraphe I précise que sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

- portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

- ou portant sur la totalité ou la quasi-totalité de la population en France.

En réponse à l'interrogation manifestée par M. Gérard Gouzes, rapporteur, quant à la définition de la totalité ou de la quasi-totalité de la population de la France, la précédente garde des Sceaux avait indiqué lors de la discussion à l'Assemblée nationale que l'article 13 du projet de loi prévoyait une habilitation générale du pouvoir réglementaire.

Actuellement, l'article 4 du projet de loi soumet à deux procédures de contrôle préalable différentes les responsables d'un traitement portant sur la totalité ou la quasi-totalité de la population suivant que celui-ci relève d'une finalité privée ou publique.

Ainsi, les traitements à finalité purement privée relèvent d'une décision directe de la CNIL (prévue par le 6° du I de l'article 25 modifié), alors que ceux à finalité publique sont soumis à la publication d'un arrêté, pris après avis motivé et publié de la CNIL (2° du I de l'article 27).

Par coordination avec l'amendement de suppression de ce critère quantitatif à l'article 25 modifié, votre commission des Lois vous propose de supprimer ces dispositions.

Par ailleurs, le paragraphe II prévoit que sont autorisés par simple arrêté pris après avis motivé et publié de la CNIL :

- les traitements requérant une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

Votre commission des Lois vous propose d'adopter un amendement de précision afin de bien différencier ce régime de celui prescrit pour les traitements privés par l'article 25-6°.

- les traitements mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public (traitements publics) portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou portant sur la totalité ou la quasi-totalité de la population en France (votre commission des Lois proposant la suppression de ces derniers traitements), mais :

 ne comportant pas de données dites sensibles (article 8, I) ou relatives aux infractions, condamnations ou mesures de sûreté (article 9) ;

 n'ayant pas pour objet une interconnexion entre fichiers dont les finalités correspondent à des intérêts publics différents.

Votre commission des Lois vous propose d'adopter un amendement précisant que sont appréhendés les traitements donnant lieu à une interconnexion et non ceux qui ont pour objet une interconnexion ;

et tendant à la mise à jour ou le contrôle de l'exactitude de données permettant de déterminer les droits des administrés, ou d'établir l'assiette, de contrôler ou de recouvrer des impositions, ou d'établir des statistiques.

Cette dernière hypothèse recouvre par exemple le cas des caisses d'allocations familiales qui ont recours au NIR des allocataires éventuels afin de déterminer leurs prestations grâce notamment à l'évolution de leurs revenus ainsi qu'au nombre de personnes à charge.

Votre commission des Lois vous propose d'adopter un amendement tendant à supprimer la mention de la mise à jour ou du contrôle de l'exactitude des données, celle-ci apparaissant source d'ambiguïté.

Enfin, votre commission des Lois vous propose d'adopter un amendement tendant à prévoir que les traitements relatifs au recensement de la population devront être autorisés par arrêté ministériel pris après avis motivé et publié de la CNIL.

Le paragraphe III du texte proposé pour l'article 27 prévoit une nouvelle fois que les traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, le responsable du traitement adressant alors à la CNIL un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Article 28 modifié de la loi du 6 janvier 1978
Procédures et délais

Cet article précise que la CNIL rend ses avis dans les deux mois à compter de la réception de la demande.

Ceci concerne les traitements de données qui lui sont soumis en vertu des articles 26 et 27 modifiés de la loi, c'est-à-dire lorsqu'une autorisation est nécessaire, ce délai pouvant être renouvelé une fois sur décision du président lorsque la complexité du dossier l'exige.

L'Assemblée nationale a adopté un amendement de coordination avec l'amendement de clarification adopté à l'article 25 modifié de la loi du 6 janvier 1978 présenté par M. Gérard Gouzes, rapporteur, avec l'avis favorable du Gouvernement.

La demande d'avis d'un traitement présenté à la CNIL qui n'a pas fait l'objet d'une décision expresse à l'expiration du délai prévu est réputée favorable. Ceci constitue une solution logique puisqu'il s'agit d'une simple consultation et non plus d'une autorisation.

Par cohérence avec l'amendement proposé à l'article 25 modifié, votre commission des Lois vous propose d'adopter un amendement précisant que la décision de renouvellement du délai pour prendre la décision doit être motivée.

Article 29 modifié de la loi du 6 janvier 1978
Mentions obligatoires dans les autorisations

L'article 29 nouveau précise les informations devant figurer dans les actes autorisant les traitements mentionnés aux articles 25, 26 et 27 modifiés.

Il reprend en les complétant les dispositions figurant au premier alinéa de l'actuel article 20 de la loi du 6 janvier 1978, qui prévoit que l'acte réglementaire doit préciser « notamment » la dénomination et la finalité du traitement, le service auprès duquel s'exerce le droit d'accès et les catégories d'informations nominatives enregistrées, ainsi que les destinataires ou les catégories de destinataires habilités à recevoir communication de ces informations.

Le texte proposé pour l'article 29 modifié le complète en prévoyant que doivent être précisées le cas échéant les dérogations à l'obligation d'information incombant aux responsables de traitements ouvertes par le III de l'article 32 modifié.

Ainsi, des dérogations sont possibles à ces obligations d'information de la personne prévues lorsque des données à caractère personnel la concernant n'ont pas été recueillies auprès d'elle, lorsque ces données sont utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des finalités poursuivies par le traitement.

SECTION 3
Dispositions communes à la déclaration
et à l'autorisation préalables

La section 3 de ce chapitre IV regroupe les dispositions communes concernant les régimes de déclaration et d'autorisation.

Article 30 modifié de la loi du 6 janvier 1978
Informations requises

L'article 30 modifié reprend pour l'essentiel les dispositions de l'actuel article 19 de la loi du 6 janvier 1978 et précise les informations que doivent contenir les déclarations, demandes d'autorisation et demandes d'avis adressées à la CNIL :

- l'identité et l'adresse (précision nouvelle) du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire de l'Union européenne (actuellement il est fait mention de l'étranger sans discerner entre les Etats membres et les Etats tiers), de son représentant ;

- la finalité du traitement et, le cas échéant, sa dénomination, ainsi que, pour les traitements nécessitant une autorisation (précision nouvelle), ses caractéristiques. Votre commission des Lois vous propose d'adopter un amendement rédactionnel, la notion de « caractéristiques » étant assez imprécise  ;

- le cas échéant, les interconnexions avec les autres traitements ;

- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

- la durée de conservation des informations traitées ;

- le ou le services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements soumis à autorisation (précision nouvelle), les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

- les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

- l'identité et l'adresse de la personne ou du service auprès duquel s'exerce le droit d'accès, ainsi que les mesures relatives à l'exercice de ce droit (précision nouvelle). Votre commission des Lois vous propose d'adopter un amendement rédactionnel ;

- les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ;

Votre commission des Lois vous propose d'adopter un amendement complétant la liste des informations par, le cas échéant, l'indication du recours à un sous-traitant ;

- le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat tiers (et non plus l'étranger).

Votre commission des Lois vous propose d'adopter un amendement tendant à prendre en compte la non application de ces dispositions aux traitements en transit vers des Etats tiers prévue par l'article 1er du projet de loi.

Le paragraphe II de l'article 30 modifié reprend le deuxième alinéa de l'article 19 actuel de la loi et prévoit donc que le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la CNIL de tout changement affectant ces informations et de toute suppression de traitement, afin de permettre une mise à jour.

Article 31 modifié de la loi du 6 janvier 1978
Mise à la disposition du public de listes de traitements

Cet article précise les documents que la CNIL tient à la disposition du public.

Le paragraphe I prévoit que la CNIL met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27 modifiés (déclaration, demande d'avis ou d'autorisation), à l'exception des traitements dits de souveraineté et ceux portant sur des données sensibles (mentionnés au III de l'article 26 modifié).

Ceci doit permettre à tout citoyen de prendre connaissance des traitements de données à caractère personnel existants.

L'actuel article 22 de la loi prévoit déjà certaines informations. Le projet de loi complète cette obligation en prévoyant que cette liste doit préciser pour chacun des traitements : l'acte décidant de la création du traitement ou la date de la déclaration de ce traitement, la dénomination et la finalité du traitement, l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire de l'Union européenne, celles de son représentant (précision nouvelle), la personne ou le service auprès duquel s'exerce le droit d'accès, les données à caractère personnel faisant l'objet du traitement ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication, le cas échéant les transferts de données à caractère personnel envisagés à destination d'un Etat tiers (précision nouvelle).

Le paragraphe II reprend les dispositions du dernier alinéa de l'actuel article 22 de la loi prévoyant que la CNIL tient à la disposition du public ceux de ses avis, décisions ou recommandations dont la connaissance est utile à l'application ou à l'interprétation de la loi. La mention d'un décret fixant les conditions de cette mise à disposition n'est plus reprise, la CNIL le faisant elle-même, puisqu'elle constitue une autorité administrative indépendante.

Votre commission des Lois vous propose d'adopter un amendement érigeant en principe la communication au public des avis, décisions et recommandations de la CNIL, dont une bonne partie est déjà disponible sur son site internet.

L'article 14 du projet de loi, modifiant l'article 226-22-1 du code pénal, sanctionne les transferts vers des pays n'offrant pas un niveau de protection suffisant de cinq ans d'emprisonnement et de 300.000 euros d'amende.

Il est donc indispensable de prévoir un mode d'information officielle des responsables de traitement, grâce à la CNIL en liaison avec la Commission européenne.

Votre commission des Lois vous propose donc d'adopter un amendement prévoyant que la CNIL publie la liste des Etats dont la Commission des communautés européennes a établi qu'ils assurent un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel.

En effet, si les transferts vers des pays n'assurant pas un niveau de protection suffisant sont interdits, le projet de loi ne prévoit pas de mettre à la disposition des responsables de traitement la liste de ces pays. Or cette information est connue puisque que la directive prévoit dans ses articles 25 et suivants un mécanisme d'information mutuelle des Etats membres en la matière.

Cette absence d'information entraîne une insécurité juridique d'autant plus forte qu'il peut exister des situations intermédiaires. Ainsi, certains pays peuvent disposer de législations de protections sectorielles et dans ce cas seuls les transferts vers ces secteurs sont autorisés.

En outre, votre commission des Lois vous propose d'adopter un amendement de précision.

*

* *

Votre commission des Lois vous propose donc d'adopter vingt-deux amendements, dont six rédactionnels, puis d'adopter l'article 4 ainsi modifié.

Article 5
(Chapitre V de la loi n° 78-17 du 6 janvier 1978)
Obligations des responsables des traitements
et droits des personnes concernées

Le Chapitre V actuel de la loi du 6 janvier 1978 traite de l'exercice du droit d'accès des personnes à l'égard des traitements comportant des informations à caractère nominatif les concernant.

L'article 5 du projet de loi regroupe ces dispositions -dans une section 2, articles 38 et 42 modifiés de la loi de 1978- avec les dispositions relatives aux obligations des responsables de traitements -dans une première section, articles 32 à 37 modifiés de la loi de 1978-.

SECTION 1
Obligations incombant aux responsables des traitements
Article 32 modifié de la loi du 6 janvier 1978
Obligation d'information

L'article 32 modifié transpose les dispositions des articles 10 et 11 de la directive 95/46 CE et modifie l'actuel article 27 de la loi du 6 janvier 1978 relatif au droit d'information des personnes.

Actuellement, l'article 27 prévoit que les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées : du caractère obligatoire ou facultatif des réponses ; des conséquences à leur égard d'un défaut de réponse ; des personnes physiques ou morales destinataires des informations, ainsi que de l'existence d'un droit d'accès et de rectification.

Son deuxième alinéa prévoit en outre que lorsque de telles informations sont recueillies par questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Le dernier alinéa de l'article 27 actuel indique enfin que ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.

1- Informations requises lorsque les données sont recueillies directement auprès de la personne

a- L'article 10 de la directive précise que les Etats membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne concernée au moins :

- l'identité du responsable et le cas échéant de son représentant ;

- les finalités du traitement auquel les données sont destinées ;

- toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, le caractère obligatoire ou facultatif de la réponse, ainsi que les conséquences éventuelles d'un défaut de réponse, l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où compte tenu des circonstances particulières de collecte, ces informations sont nécessaires à un traitement loyal des données.

Néanmoins, la directive prévoit une exception si la personne a déjà été informée.

b- Le paragraphe I de l'article 32 modifié reprend donc les dispositions de l'actuel article 27 en les complétant : la personne auprès de laquelle sont recueillies les données doit être informée :

- de l'identité du responsable du traitement et, le cas échéant de celle de son représentant; de la finalité de ce dernier (cette précision nouvelle résultant de la transposition de la directive) ;

- du caractère obligatoire ou facultatif des réponses ; des conséquences éventuelles à son égard d'un défaut de réponse ;

- de l'identité du destinataire du traitement ; L'Assemblée nationale a adopté, avec l'avis favorable du Gouvernement, un amendement présenté par M. Gérard Gouzes, rapporteur, tendant à parler de destinataires ou de catégories de destinataires, afin de préserver les droits des personnes et d'harmoniser les différentes rédactions dans le projet de loi ;

- de l'ensemble de ses droits définis par la section 2 du présent chapitre, qu'il s'agisse du droit d'accès, d'opposition ou de rectification.

Votre commission des Lois vous propose de compléter cette liste d'informations en prévoyant la mention, le cas échéant, des transferts de données à caractère personnel envisagés vers des Etats tiers.

Il s'agit encore d'assurer une meilleure information des personnes concernées en élargissant les obligations incombant aux responsables de traitements.

2- La question des « témoins de connexion » ou « cookies »

L'Assemblée nationale a en outre adopté un amendement présenté par M. Gérard Gouzes, rapporteur, M. Jean Codognès, du groupe socialiste et M. Alain Vidalies, du groupe socialiste, concernant les « cookies » ou « témoins de connexion ».

Le développement des réseaux numériques s'appuie en effet sur des technologies conçues pour faciliter la navigation des utilisateurs, comme ces lecteurs identifiants qui permettent par exemple de ne pas répéter des mots de passe, en stockant des informations ou en accédant à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur, mais peuvent donc constituer un danger pour la protection de la vie privée.

Cet amendement subordonne leur utilisation à une information claire, complète et préalable des personnes, sur les finalités du traitement et sur les moyens dont elles disposent pour s'y opposer. Il appartient donc à l'internaute de décider lui-même de l'installation ou non des cookies.

Néanmoins, il est précisé que ces dispositions ne font pas obstacle au stockage ou à l'accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication, ou strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur.

Afin d'assurer l'effectivité de ce choix, il est interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement terminal.

Cet amendement a également prévu un dispositif pénal concomitant. Ainsi, le non respect de cette obligation d'information ou la subordination de l'accès à l'acceptation du traitement des informations stockées dans le terminal est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende.

Lors de la discussion à l'Assemblée nationale, cette question faisait l'objet d'une négociation au niveau communautaire, le débat opposant les partisans du consentement exprès à ceux du droit d'opposition. Pour les premiers, l'internaute doit expressément consentir au téléchargement de ces petits logiciels sur son ordinateur. Pour les seconds, la possibilité qui lui est donnée, sur la base d'une information claire, de prendre l'initiative de s'opposer à ce téléchargement constitue une garantie suffisante.

La France s'est ralliée à la position commune en faveur du droit d'opposition, qui permet de concilier les droits des utilisateurs et la fluidité des réseaux numériques, ce principe de non-opposition moyennant une information éclairée constituant la base depuis 25 ans de la législation française sur les traitements automatisés de données personnelles.

Rappelant que la position commune communautaire n'envisageait pas d'interdire de subordonner l'accès à un site à l'acceptation par l'utilisateur d'un témoin de connexion, le Gouvernement s'était interrogé sur l'opportunité de limiter autant la liberté contractuelle et avait donné un avis de sagesse.

La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications électroniques est finalement intervenue le 12 juillet 2002.

Son considérant 25 précise que les témoins de connexion peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, faciliter la fourniture de services de la société de l'information, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne.

Dans de tels cas, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur leur équipement terminal.

Les utilisateurs devraient ainsi avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal, ce point étant particulièrement important lorsque des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé stockées.

Le point 3 de l'article 5 de la directive relatif à la confidentialité des communications précise ainsi que les Etats membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permise qu'à la condition que l'abonné ou l'utilisateur soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du stockage des données.

Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

Le considérant 25 précise encore que l'information relative à l'utilisation de ces dispositifs ainsi que le droit de les refuser peut être offerte en une seule fois et couvrir aussi l'utilisation future qui pourrait en être faite lors de connexions ultérieures.

Il indique également que les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles.

Néanmoins, le considérant 25 prévoit que l'accès au contenu d'un site spécifique peut être subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes. Ceci constitue donc une différence importante par rapport au texte voté par l'Assemblée nationale.

Votre commission des Lois vous propose donc d'adopter un amendement mettant en conformité le projet de loi avec la directive sur ce point.

Il tend ainsi à supprimer :

la disposition interdisant de subordonner l'accès à un service de la société de l'information à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal ;

- le caractère préalable de l'information, cette obligation n'étant plus prévue par la directive ;

- la contravention de cinquième classe introduite par l'Assemblée nationale, l'article 1er du décret n° 81-1142 du 23 décembre 1981 sanctionnant déjà les défauts d'information par le responsable d'un traitement automatisé et pouvant s'appliquer au manquement spécifique à l'obligation d'information sur les cookies.

Il procède en outre à diverses modifications rédactionnelles.

3- Informations requises lorsque les données n'ont pas été recueillies auprès de la personne concernée

Le paragraphe II de l'article 32 modifié prévoit en outre que lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit lui fournir les mêmes informations en cas de collecte directe dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. Il s'agit d'une transposition fidèle de l'article 11 de la directive.

Actuellement, la loi du 6 janvier 1978 ne prévoit pas le cas de collectes indirectes.

Les obligations du I sont donc étendues aux cas de collecte indirecte, qui sont de plus en plus nombreux. En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte sans que les personnes concernées en soit informées. Ceci constitue donc une innovation protectrice.

Toutefois, quatre exceptions à cette nouvelle obligation sont prévues par les paragraphes II à IV :

- lorsque le traitement est nécessaire à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives lorsque ces données ont été initialement recueillies pour un autre objet (II) ;

- lorsque l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche (II) ;

Ces deux premières exclusions sont prévues par le point 2 de l'article 11 de la directive.

- lorsque les données recueillies indirectement sont utilisées au profit d'un traitement dit « de souveraineté » mis en oeuvre pour l'Etat (intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté), dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement ; Actuellement, le deuxième alinéa de l'article 19 prévoit déjà que les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique peuvent ne pas comporter certaines de ces informations ; cette possibilité est d'ailleurs prévue par l'article 13 de la directive ;

- enfin, le paragraphe IV de l'article 32 modifié prévoit une dérogation s'agissant des traitements de données ayant pour objet, la prévention, la recherche ou la poursuite d'infractions pénales. Cette possibilité d'exclusion est prévue par le point d) de l'article 13 de la directive.

Votre commission des Lois vous propose d'adopter un amendement de précision.

Par ailleurs, votre commission des Lois vous propose d'adopter un amendement transposant l'exception prévue tant par le considérant 40 que par l'article 11 de la directive à l'obligation d'information de la personne en cas de collecte indirecte de données la concernant si la personne concernée est déjà informée.

En outre, votre commission des Lois vous propose d'alléger les formalités requises pour les traitements d'anonymisation des données préalablement homologués par la CNIL, en restreignant le champ des informations à fournir aux personnes concernées, afin de promouvoir le développement de l'anonymisation.

L'article 32 modifié de la loi prévoit en effet la délivrance de six catégories d'informations aux personnes concernées par le traitement de leurs données.

Néanmoins, la directive du 24 octobre 1995 permet un régime d'autorisation allégé au bénéfice des traitements collectant des données en vue de l'anonymisation à brève échéance de celles-ci. Son article 13-1-g autorise en effet les Etats membres à adopter des dispositions législatives limitant l'obligation d'information préalable prévue aux articles 10 et 11 lorsque cette limitation constitue une mesure nécessaire pour assurer « la protection de la personne concernée ou les droits et libertés des autres ». Or l'anonymisation représente une garantie pour la vie privée des personnes.

Cet amendement propose donc de n'exiger la communication que de l'identité du responsable du traitement et de la nature de sa finalité, certaines des garanties prévues par l'article 32 modifié ne pouvant en effet matériellement pas être apportées par le responsable du traitement une fois les données anonymisées (droit d'accès et de rectification notamment).

En outre, vous commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 33 modifié de la loi du 6 janvier 1978
Certification électronique des signatures électroniques

L'article 33 est modifié pour introduire un régime spécifique de collecte de données à caractère personnel pour les prestataires de services de certification électronique des signatures électroniques.

Il assure la transposition du paragraphe 2 de l'article 8 de la directive 99/93 du 13 décembre 199929(*) concernant les règles applicables à la collecte de données. Ce dispositif dérogatoire au régime de droit commun découlant de la directive 95/46 CE impose aux prestataires de services de certification de ne recueillir les données à caractère personnel nécessaires à la délivrance des certificats que directement auprès de la personne concernée ou avec son consentement exprès. Il prévoit en outre que les données ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

Article 34 modifié de la loi du 6 janvier 1978
Obligation de sécurité

L'article 29 actuel de la loi du 6 janvier 1978 prévoit que « toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ».

Le paragraphe 1 de l'article 17 de la directive 95/46 CE relatif à la sécurité des traitements précise que les Etats membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Les dispositions de l'actuel article 29 sont reprises par l'article 34 modifié de la loi du 6 janvier 1978, qui ajoute que des décrets, pris après avis de la CNIL, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements nécessaires à la sauvegarde de la vie humaine pour lesquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle (1° du II de l'article 8 modifié) et les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé ou par une autre personne astreinte au secret professionnel (5° du II de l'article 8 modifié).

Votre commission des Lois vous propose d'adopter un amendement tendant à élargir la protection à garantir aux personnes concernées. En effet, des tiers non autorisés peuvent avoir accès à des données sans qu'elles leur soient communiquées alors que le projet de loi ne prévoit que l'hypothèse d'une communication à des tiers. Le responsable des données doit véritablement oeuvrer en faveur de mesures de sécurité effectives, sans pouvoir dégager sa responsabilité en cas de négligence, et veiller à ce que des tiers non autorisés n'y aient pas accès.

Article 35 modifié de la loi du 6 janvier 1978
Sous-traitance

L'article 35 modifié reprend les dispositions des paragraphes 2 et 3 de l'article 17 de la directive relatifs à la sous-traitance.

Le paragraphe 2 de l'article 17 de la directive indique ainsi que les Etats membres prévoient que le responsable du traitement, lorsque celui-ci est effectué pour son compte, doit choisir un sous-traitant apportant des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer, et qu'il doit veiller au respect de ces mesures.

Le paragraphe 3 précise que la réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique liant le sous-traitant au responsable du traitement et prévoyant notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement et que les obligations de sécurité des traitements, telles que définies par la législation de l'Etat membre dans lequel le sous-traitant est établi, lui incombent également.

Le paragraphe 4 prévoit enfin qu'aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences de sécurité sont consignés par écrit ou sous une autre forme équivalente.

L'article 35 modifié de la loi du 6 janvier 1978 prévoit ainsi que les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, que sur instruction du responsable du traitement (point 3 de l'article 17 de la directive).

L'Assemblée nationale a adopté un amendement purement rédactionnel présenté par M. Gérard Gouzes, rapporteur, définissant le sous-traitant comme « toute personne traitant des données à caractère personnel pour le compte  du responsable du traitement ». Il s'agissait de renforcer les garanties en matière de sous-traitance afin, notamment, de tenir compte de l'externalisation des tâches de saisie chez un sous-traitant pouvant être localisé dans un pays étranger, comme l'Inde par exemple.

Le troisième alinéa prévoit ainsi que le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité prévues à l'article 34 modifié de la loi.

Le projet de loi innove en prévoyant expressément que les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Tout manquement de sa part le rend passible des sanctions prévues par l'article  226-17 nouveau du code pénal, modifié par l'article 14 du projet de loi.

De plus, le dernier alinéa précise que le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Article 36 modifié de la loi du 6 janvier 1978
Durée de conservation

Actuellement, c'est l'article 28 de la loi du 6 janvier 1978 qui précise la durée pendant laquelle les informations nominatives peuvent être conservées.

L'article 6-1 e) de la directive indique que les Etats membres prévoient que les données à caractère personnel ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

L'article 36 modifié de la loi du 6 janvier 1978 prévoit donc que les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées que pour être traitées à des fins historiques, statistiques ou scientifiques.

Le choix des informations conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives, qui précise que les informations nominatives contenues dans les traitements automatisés sont triées à l'expiration de la durée nécessaire au traitement, les informations présentant un intérêt scientifique, statistique ou historique étant conservées et les autres détruites. Les catégories d'informations destinées à la destruction ainsi que les conditions de leur destruction sont fixées par accord entre l'autorité qui les a produites ou reçues et l'administration des archives.

Votre commission des Lois vous propose d'adopter un amendement tendant à dispenser les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre de la loi n° 79-18 du 3 janvier 1979 sur les archives de formalités préalables, ces traitements n'entraînant aucune diffusion à l'extérieur du service des archives et donc aucun risque pour les personnes physiques.

Par ailleurs, votre commission des Lois vous propose d'adopter un amendement rédactionnel (parlant de « données » et non d'informations).

Le deuxième alinéa de l'article 36 modifié de la loi du 6 janvier 1978 prévoit toutefois qu'il peut être procédé à un traitement à d'autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées et traitées, sans même que cela soit fait à des fins historiques, statistiques ou scientifiques à condition :

- soit que la personne concernée ait donné son accord exprès ;

- soit que la CNIL l'ait autorisé ;

- soit qu'il s'agisse de données dites sensibles (relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses ou à l'appartenance syndicale des personnes ou à leur santé ou leur orientation sexuelle) quand l'intérêt public l'impose (pour les traitements soumis à autorisation de la CNIL -article 25 I- ou autorisés par décret en Conseil d'Etat après avis publié et motivé de la CNIL -article 26 II-), comme par exemple en matière de terrorisme.

Votre commission des Lois vous propose d'adopter un amendement étendant ces possibilités aux traitements de recherche en matière de santé.

Article 37 modifié de la loi du 6 janvier 1978
Tiers non autorisé

L'article 37 modifié de la loi du 6 janvier 1978 prévoit que les dispositions de la loi du 6 janvier 1978 modifiée ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, ni des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 sur les archives.

Par conséquent, le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques en vertu de ces deux lois ne peut être regardé comme un tiers non autorisé.

SECTION 2
Droits des personnes à l'égard des
traitements de données à caractère personnel
Les droits d'opposition, d'accès et de rectification
Article 38 modifié de la loi du 6 janvier 1978
Droit d'opposition

L'actuel article 26 de la loi du 6 janvier 1978 prévoit que toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement.

Ce droit ne s'applique pas aux traitements devant être autorisés par un acte réglementaire pris après avis motivé de la CNIL (article 15), c'est-à-dire les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public.

L'article 38 modifié reprend la mention faite au premier alinéa des « motifs légitimes », mais complète les dispositions actuelles en prévoyant que la personne physique a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

C'était en effet l'une des deux préconisations alternatives prévues par le b) de l'article 14 de la directive 95/46 CE. Outre ce droit d'opposition aux traitements à des fins de prospection, la personne concernée pouvait être informée avant la première communication à des tiers ou la première utilisation pour le compte de tiers à des fins de prospection et se voir expressément offrir le droit de s'y opposer, gratuitement.

C'est donc la première solution qui a été choisie par le présent projet de loi.

Cependant, le dernier alinéa de l'article 38 modifié de la loi précise que la personne ne peut s'opposer à un traitement la concernant lorsque le traitement répond à une obligation légale ou quand une disposition expresse de l'acte autorisant le traitement le prévoit. Ce dernier cas vise les traitements dits de souveraineté autorisés par un acte réglementaire, pris après avis de la CNIL conformément aux dispositions des articles 26 et 27 modifiés de la loi du 6 janvier 1978.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 39 modifié de la loi du 6 janvier 1978
Droit d'accès

L'article 39 modifié traite du droit d'accès des personnes physiques aux données à caractère personnel les concernant.

Actuellement, c'est l'article 35 de la loi du 6 janvier 1978 qui en prévoit les modalités.

Celui-ci précise ainsi que le titulaire du droit d'accès (défini à l'article 34 comme étant la personne justifiant de son identité) peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.

Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations, et même avant l'exercice d'un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

L'article 39 modifié reprend sensiblement les dispositions de l'actuel article 35 en les précisant, afin de transposer l'article 12 de la directive, puisqu'il prévoit que toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir la confirmation que des données la concernant font ou ne font pas l'objet d'un traitement ; des informations relatives aux finalités du traitement, aux catégories de données traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; la communication, sous une forme accessible, des données la concernant ainsi que de toute information disponible sur leur origine ; les informations permettant de connaître et de contester la logique sous-tendant le traitement automatisé lorsque ses résultats lui sont opposés.

Votre commission des Lois vous propose d'adopter un amendement prévoyant que la personne faisant une demande d'accès doit pouvoir savoir si des données la concernant ont été transférées à des Etats tiers.

A l'initiative de M. Gérard Gouzes, rapporteur, l'Assemblée nationale a, avec l'avis favorable du Gouvernement, adopté un amendement tendant à s'assurer que les informations communiquées à la personne concernée ne portent pas atteinte aux droits d'auteur, notamment aux droits des créateurs de logiciels et des producteurs de bases de données, ainsi que le préconise la directive.

L'article 39 modifié précise également qu'une copie des données est délivrée à l'intéressé à sa demande. Dorénavant, la délivrance de cette copie pourra être subordonnée au paiement d'une somme qui ne peut excéder le coût de la reproduction, alors qu'actuellement, il est exigé une redevance forfaitaire variable selon la catégorie de traitement et dont le montant est fixé par décision de la CNIL et homologué par arrêté du ministre de l'économie et des finances.

En outre, le dernier alinéa du paragraphe I reprend les dispositions de l'actuel article 35 en prévoyant qu'en cas de risque de dissimulation ou de disparition des données, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette disparition ou cette dissimulation.

Le juge compétent peut être soit le juge administratif, si le responsable du traitement est l'Etat, une personne morale de droit public ou une personne morale de droit privé gérant un service public, soit le juge judiciaire dans les autres cas.

Le paragraphe II de l'article 39 modifié reprend la disposition actuelle prévoyant que le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. Actuellement, ces trois situations constituent une liste exhaustive d'exceptions, mais le projet de loi ne les cite désormais plus qu'à titre d'exemples afin d'en élargir le champ. En effet, une demande pourrait également être abusive par son étendue, parce qu'elle porterait par exemple sur une période de quinze ans. Cette modification a été opérée par l'Assemblée nationale à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement.

La directive retenait, quant à elle, la notion d'intervalles raisonnables.

La disposition de la loi actuelle selon laquelle la CNIL peut accorder au responsable du fichier des délais de réponse n'est pas reprise.

Le projet de loi complète les dispositions actuelles en prévoyant qu'en cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auquel elles sont adressées. Cette précision a été introduite par l'Assemblée nationale à l'initiative de M. Gérard Gouzes, rapporteur, et M. Jean Codognès, du groupe socialiste, avec l'avis favorable du Gouvernement. Il s'agit d'établir un parallélisme avec le droit de rectification énoncé à l'article 40 modifié de la loi.

Le dernier alinéa du paragraphe II de l'article 39 modifié de la loi du 6 janvier 1978 exclut cependant du bénéfice du droit d'accès les données à caractère personnel conservées pendant une durée n'excédant pas celle nécessaire à l'établissement de statistiques dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 portant sur l'obligation, la coordination et le secret en matière de statistiques.

Votre commission des Lois vous propose d'adopter un amendement élargissant la possibilité de limitation des droits d'accès, de rectification et d'effacement dans le cadre de la recherche scientifique, tout en l'entourant de garanties, ainsi que le permet le paragraphe 2 de l'article 13 de la directive.

Ainsi, cette dérogation devra être appréciée par la CNIL, en particulier au vu de la finalité statistique du traitement, de la nature plus ou moins personnelle des données traitées et des mesures de sécurité prévues.

En outre, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 40 modifié de la loi du 6 janvier 1978
Droit de rectification

L'article 40 modifié de la loi traite du droit de rectification.

Actuellement, l'article 36 prévoit que le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations inexactes, incomplètes, équivoques, périmées le concernant ou dont la collecte, ou l'utilisation, la communication ou la conservation est interdite.

Le b) de l'article 12 de la directive 95/46 CE prévoit que les Etats membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

L'article 40 modifié reprend donc la liste actuelle en la complétant avec la notion de verrouillage.

Son deuxième alinéa prévoit en outre que lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé à ces opérations.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès, sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord, ce qui n'était pas prévu par la directive, mais constitue la reprise du deuxième alinéa de l'actuel article 36.

Par ailleurs, il est actuellement prévu, lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement que la redevance versée pour le droit d'accès est remboursée, ce que l'article 40 modifié reprend.

En outre, le cinquième alinéa de l'article 40 modifié précise que si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations effectuées.

Actuellement, l'article 38 de la loi du 6 janvier 1978 prévoit dans un tel cas une obligation de résultat, la rectification ou l'annulation des données devant être notifiées au tiers, sauf dispense accordée par la CNIL.

Il ne s'agira plus désormais que d'une obligation de moyens, conformément au point c) de l'article 12 de la directive 95/46 CE, qui prévoit une telle mesure uniquement si elle ne s'avère pas impossible ou ne suppose pas un effort disproportionné. Cette disposition paraît marquée du sceau du réalisme.

L'Assemblée nationale a en outre adopté avec l'avis favorable du Gouvernement deux amendements, dont un rédactionnel, présentés par M. Gérard Gouzes, rapporteur, afin de prendre en compte les droits des héritiers.

Ainsi, les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable du traitement qu'il prenne en compte le décès et procède aux mises à jour. Ils peuvent alors interroger le responsable du traitement afin d'obtenir la confirmation de l'existence ou non de traitements relatifs à des données à caractère personnel concernant le défunt. Néanmoins, les héritiers ne pourront effacer des précisions que, de son vivant, la personne décédée avait laissé figurer dans un fichier.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 41 modifié de la loi du 6 janvier 1978
Droit d'accès indirect en matière de traitements de souveraineté

Les garanties prévues par le régime général s'agissant du droit d'accès et de rectification sont incompatibles avec les traitements de données à caractère personnel dits de souveraineté, c'est-à-dire ceux intéressant la défense de l'Etat, la sûreté et la sécurité publiques.

Actuellement, l'article 39 de la loi du 6 janvier 1978 prévoit une procédure d'accès indirect aux données intéressant la sûreté de l'Etat, la défense et la sécurité publique. La demande est adressée à la CNIL, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la CNIL.

La directive admet tout à fait de telles dérogations, puisque son article 13, relatif aux exceptions et limitations, dispose que les Etats membres peuvent prendre des mesures législatives pour limiter la portée du droit d'accès lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder la sûreté de l'Etat, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées, un intérêt économique ou financier important d'un Etat membre, y compris dans les domaines monétaire, budgétaire et fiscal, une mission de contrôle, d'inspection et de réglementation, la protection de la personne concernée ou des droits et libertés d'autrui.

Le point 4 de l'article 28 de la directive prévoit également que chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande. Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales ont prévu des exceptions au droit d'accès en vertu de l'article 13 de la directive. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

Par ailleurs, la directive prévoit également que, sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les Etats membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits d'accès lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

Cette dernière hypothèse n'a pas été reprise par le présent projet de loi.

Cependant, alors que l'actuel article 39 prévoit uniquement qu'il est notifié au requérant qu'il a été procédé aux vérifications, l'article 41 modifié distingue deux cas, afin de renforcer les garanties offertes aux personnes concernées par des données figurant dans un fichier protégé.

La CNIL avait en effet rappelé dans son avis sur le présent projet de loi que le décret du 14 octobre 1991 relatif aux fichiers des renseignements généraux permettait, dans certaines circonstances et sous certaines conditions, au titulaire du droit d'accès d'avoir communication de tout ou partie de son dossier, cette consultation ne mettant pas nécessairement en danger les intérêts vitaux de l'Etat.

Dorénavant, l'article 41 modifié prévoit que lorsque la CNIL constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou de leurs rectifications ne met pas en cause les finalités poursuivies par ces traitements, ces données ou rectifications sont communiquées au requérant. Dans les autres cas, la CNIL informe le requérant qu'il a été procédé aux vérifications.

Ceci constitue une avancée importante en matière de transparence.

Notons que ces dispositions ont été parallèlement modifiées lors de l'examen en première lecture par l'Assemblée nationale du projet de loi relatif à la sécurité intérieure, à l'initiative de M. Estrosi, rapporteur dudit projet de loi, le Gouvernement ayant présenté un sous-amendement.

Ainsi, la rédaction retenue par la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure de l'article 39 de la loi du 6 janvier 1978 anticipe sur les dispositions prévues par le présent projet de loi en permettant à la CNIL, avec l'accord du responsable du traitement, de communiquer aux personnes mentionnées dans ces fichiers des données les concernant y figurant dès lors que cette communication ne met pas en cause la sûreté de l'Etat.

Elle inclut le sous-amendement adopté à l'initiative du Gouvernement et auquel s'était rallié le rapporteur de l'Assemblée nationale, qui introduit de nouvelles garanties très intéressantes. Ainsi, l'acte réglementaire portant création du fichier peut prévoir la communication d'informations au requérant par le gestionnaire du fichier directement saisi si le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées.

Tout en regrettant que cette modification intervienne parallèlement à l'examen du présent projet de loi par la commission des Lois, votre rapporteur se félicite des avancées apportées.

Article 42 modifié de la loi du 6 janvier 1978
Droit d'accès indirect en matière d'infractions et d'impositions

L'article 42 modifié de la loi du 6 janvier 1978 prévoit également un accès indirect s'effectuant selon les mêmes modalités qu'à l'article 41 modifié s'agissant des traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public ayant pour objet de prévenir, rechercher ou constater des infractions ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation délivrée par la CNIL, par arrêté ou par décret (articles 25, 26 et 27 modifiés).

Le rapport de M. Guy Braibant s'inquiétait de l'ampleur de ces dérogations potentielles, notamment s'agissant des traitements fiscaux. Il soulignait néanmoins que seuls les traitements ayant pour but de lutter contre la fraude fiscale (ce qui exclut la plupart des traitements fiscaux, qui ont pour finalité d'établir et de percevoir l'impôt) pourraient bénéficier de cet article, et que la pratique de l'administration fiscale en matière de droit d'accès aboutissait déjà en fait à priver les personnes d'un droit d'accès direct.

L'article 42 tel que formulé par le projet de loi permettrait aux administrations et services publics ayant pour mission de prévenir, rechercher, constater des infractions ou recouvrer des impositions de s'opposer à l'exercice du droit d'accès, lorsqu'elles estiment que celui-ci risquerait de porter atteinte à l'accomplissement de leurs missions. Il reviendrait à reconnaître un pouvoir décisionnel au seul organisme destinataire des données, dont l'exercice serait placé sous le seul contrôle du juge administratif.

Ce régime concernerait en particulier des données régulièrement transmises non pas par la personne concernée, mais par des tiers, sur le fondement d'obligations déclaratives, comme les déclarations fiscales à la charge des employeurs. Il s'agit de données très différentes de celles inscrites dans les autres traitements soumis au droit d'accès indirect puisque les données ainsi traitées concernent la quasi-totalité de la population et n'ont pas en elles-mêmes de caractère sensible.

Néanmoins, la référence faite à l'article 41, parallèlement modifié par la loi pour la sécurité intérieure précitée, devrait permettre d'apporter des garanties suffisantes.

Votre commission des Lois vous propose d'adopter ces quinze amendements, dont cinq amendements rédactionnels, puis d'adopter l'article 5 ainsi modifié.

Article 6
(Chapitre VI de la loi n° 78-17 du 6 janvier 1978)
Pouvoirs de contrôle sur place et sur pièces de la CNIL

La directive 95/46/CE vise principalement à garantir une application effective des normes relatives à la protection des données à caractère personnel, et confie pour ce faire un rôle prépondérant aux autorités de contrôle nationales, qui devront disposer de pouvoirs a posteriori très conséquents.

En France, c'est la CNIL qui est chargée de protéger les libertés individuelles, en sanctionnant les manoeuvres de dissimulation, l'absence de déclaration des fichiers, les déclarations incomplètes, voire l'absence ou les lacunes de déclarations de fichiers.

Le chapitre VI de la loi n° 78-17 du 6 janvier 1978 relatif aux dispositions pénales est donc modifié et traitera dorénavant du contrôle de la mise en oeuvre des traitements. Il comprend un unique article 44 modifié prévoyant un pouvoir de vérifications sur place et sur pièces.

Actuellement, le 2° de l'article 21 de la loi prévoit déjà que la CNIL peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder à l'égard de tout traitement à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission.

Tous les traitements, y compris ceux dits de souveraineté, sont ainsi susceptibles de faire l'objet de vérifications. Ainsi, le dernier alinéa du même article précise que les ministres, autorités publiques, dirigeants d'entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs et utilisateurs de fichiers nominatifs ne peuvent s'opposer à l'action de la CNIL ou de ses membres pour quelque motif que ce soit, mais doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Le règlement intérieur de la CNIL prévoit néanmoins que l'autorité concernée est prévenue avant tout contrôle.

Actuellement, l'article 11 de la loi permet par ailleurs à la CNIL de demander aux premiers présidents de cour d'appel ou aux présidents des tribunaux administratifs de déléguer un magistrat de leur ressort, éventuellement assisté d'experts, pour des missions d'investigation et de contrôle effectuées sous sa direction.

De plus, l'article 13, repris par le projet de loi à l'article 21 modifié, précise que les informaticiens appelés soit à donner des renseignements à la CNIL, soit à témoigner devant elle, sont déliés de leur obligation de discrétion.

Cependant, le point 3 de l'article 28 de la directive impose d'aller plus loin. Il prévoit en effet que chaque autorité de contrôle doit disposer notamment de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle.

Article 44 modifié de la loi du 6 janvier 1978
Pouvoir de contrôle

L'article 44 modifié tend à définir les modalités d'exercice du pouvoir de contrôle sur place et sur pièces dévolu à la CNIL.

Ces nouvelles règles tendent à simplifier la procédure de contrôle, qui est amenée à devenir le mode d'intervention ordinaire de la CNIL, ainsi qu'elle le soulignait dans son avis sur le présent projet de loi.

Ainsi, alors que la procédure suivie par la Commission des opérations de bourse requiert l'autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, que l'occupant des lieux ait donné ou non son accord à la visite30(*), le projet de loi distingue deux cas de figure s'agissant de la CNIL :

- une procédure simplifiée de droit commun prévoyant une simple information préalable du procureur de la République (I) ;

- une procédure requérant l'autorisation du président du tribunal de grande instance ou du juge délégué par lui en cas d'opposition du responsable des lieux (II).

Le paragraphe I prévoit tout d'abord que les membres de la CNIL, ainsi que ceux de ses agents habilités en vertu de l'article 19 modifié, ont accès de 6 heures à 21 heures, pour l'exercice de leurs missions, aux locaux servant à la mise en oeuvre d'un traitement de données à caractère personnel et à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

Dans son avis sur le présent projet de loi, la CNIL s'inquiétait de cette rédaction, qui, selon elle, « pourrait faire échapper de nombreux fichiers à une possibilité de contrôle : fichiers d'associations, fichiers de start-up, fichiers des professions libérales ou d'entrepreneurs individuels ». Néanmoins, le pouvoir de contrôle de la CNIL est ici confronté à la protection de la vie privée, qui recouvre le domicile, et que le Conseil constitutionnel a strictement encadré. Ainsi, dans sa décision n° 87-240 DC du 19 janvier 1988 sur la Commission des opérations de bourse, le Conseil constitutionnel a précisé que ses agents pouvaient avoir accès à tous les locaux professionnels « à condition que ceux-ci soient exclusivement consacrés à cet usage ».

Le projet de loi va d'ailleurs déjà au-delà, puisqu'il prévoit qu'un local à usage professionnel, mais situé dans un domicile privé, pourra être contrôlé par les agents de la CNIL, seuls les locaux exclusivement privatifs demeurant hors du champ de leur compétence.

Par ailleurs, l'encadrement des horaires de contrôle -de 6 heures à 21 heures- s'inspire des règles applicables aux perquisitions judiciaires des domiciles privés, prévues par l'article 59 du code de procédure pénale, ainsi que des règles applicables à une autre autorité administrative indépendante, la Commission des opérations de bourse31(*).

Enfin, le second alinéa de ce paragraphe I prévoit que le procureur de la République territorialement compétent est préalablement informé de ces vérifications.

Dans son avis sur le présent projet de loi, la CNIL estimait cette obligation « dépourvue de toute utilité et de nature à renforcer l'idée d'un contrôle sanction alors même que les contrôles sur place sont appelés à devenir le mode d'intervention ordinaire de la Commission ».

Néanmoins, votre commission des Lois souligne que cette obligation parait peu contraignante par rapport à la nécessité pour la Commission des opérations de bourse d'obtenir l'autorisation du président du tribunal de grande instance. Elle vise surtout à une bonne administration de la justice, en favorisant l'information du ministère public chargé de l'action publique. Ainsi, en cas de plainte d'un particulier contre le responsable d'un traitement de données à caractère personnel, il est souhaitable que le procureur de la République ait connaissance des contrôles effectués par la CNIL.

Cette disposition est conforme à l'article 28 de la directive qui prévoit que les autorités de contrôle disposent de « pouvoirs effectifs d'intervention » tels que, par exemple, celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques, ou d'ester en justice.

Par ailleurs, le paragraphe II de l'article 44 modifié de la loi du 6 janvier 1978 prévoit qu'en cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance ou du juge délégué par lui.

Votre commission des Lois vous propose tout d'abord d'adopter un amendement rédactionnel précisant qu'il s'agit du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter.

Le rapport de M. Guy Braibant rappelait en effet que s'il existe déjà un délit d'entrave visant le refus de coopérer avec la CNIL, il était insuffisant pour permettre des contrôles efficaces, les responsables faisant disparaître les preuves. Il appelait ainsi à ce que la CNIL puisse procéder à ces visites sans l'accord des intéressés et à des saisies dans les mêmes conditions que le Conseil de la concurrence ou la Commission des opérations de bourse (article 5 ter de l'ordonnance du 28 septembre 1967), dans le respect des règles déterminées par la jurisprudence du Conseil constitutionnel.

Ceci implique donc une autorisation judiciaire, ainsi qu'un contrôle constant de la part du juge.

Le magistrat compétent doit donc être saisi par requête du président de la CNIL. Il statue par une ordonnance motivée, conformément aux dispositions des articles 493 à 498 du nouveau code de procédure civile, relatifs aux ordonnances sur requête. Il s'agit de décisions provisoires rendues non contradictoirement lorsque le requérant est fondé à ne pas appeler la partie adverse, notamment lorsqu'il y a crainte que les documents soient détruits ou que des pressions soient exercées.

De plus, la visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée. Il peut se rendre sur les lieux durant l'intervention et peut à tout moment décider l'arrêt ou la suspension de la visite.

On notera que ces dispositions ne font pas obstacle à la mise en oeuvre parallèle de sanctions pénales au titre du délit d'entrave à l'action de la CNIL, prévu par l'article 51 nouveau (article 8 du présent projet de loi).

En outre, la procédure est sans représentation obligatoire.

Le paragraphe III prévoit que les membres de la CNIL et les agents habilités peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles. Ils peuvent accéder aux logiciels et aux données, ainsi qu'en demander la transcription.

Ils peuvent, à la demande du président de la CNIL, être assistés par des experts.

Il s'agit là de dispositions classiques s'agissant d'autorités administratives indépendantes.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel tendant à élargir les documents auxquels peuvent avoir accès les agents, afin d'inclure les disques durs, outre les logiciels.

Le projet de loi initial précisait en outre au troisième alinéa du paragraphe II que seul un médecin pouvait requérir communication de données médicales individuelles incluses dans un traitement.

La CNIL avait estimé dans son avis sur le présent projet de loi que cette disposition pourrait entraîner des difficultés pratiques « dans la mesure où elle ne vise pas uniquement les traitements mis en oeuvre par les cabinets médicaux mais tous les traitements qui comporteraient des données médicales, tels que les fichiers de caisse de sécurité sociale (placés sous la responsabilité d'un médecin conseil mais traités par des statisticiens ou des agents de contrôle n'ayant pas la qualité de médecin), les fichiers médicaux ou des risques aggravés « vie » des sociétés d'assurance (accessibles aux actuaires et même aux banquiers), les fichiers de nombreuses associations d'aide aux malades ». La règle du secret médical est en effet souvent opposée aux membres de la CNIL lors des missions de contrôle.

L'Assemblée nationale a donc adopté, sur proposition du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, outre un amendement de précision, un amendement tendant à préciser que parmi les données médicales, seules celles figurant dans des traitements mis en oeuvre par un membre d'une profession de santé, nécessaires aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins et de traitements, ou à la gestion de services de santé, et mis en oeuvre par un membre d'une profession de santé, doivent être requises par un médecin.

Enfin, le dernier alinéa de l'article 44 modifié indique que les visites et vérifications effectuées par les membres de la CNIL doivent faire l'objet d'un procès-verbal dressé contradictoirement. Il s'agit d'une disposition nouvelle, qui doit garantir les droits de la défense. Ces questions font d'ailleurs l'objet de dispositions très précises, s'agissant notamment de la Commission des opérations de bourse.

Votre commission des Lois vous propose donc d'adopter deux amendements, puis d'adopter l'article 6 ainsi modifié.

Article 7
(Chapitre VII de la loi n° 78-17 du 6 janvier 1978)
Pouvoirs de sanction administrative de la CNIL

La directive prévoit principalement de remplacer le contrôle a priori par le contrôle a posteriori, mis à part pour les traitements de données à caractère personnel présentant un risque particulier pour les libertés. Afin de maintenir un niveau de protection équivalent, ainsi que le prévoit le considérant 10, la CNIL est donc dotée de moyens d'intervention a posteriori renforcés et d'un pouvoir de sanction accru.

Cet article remplace le chapitre VII de la loi du 6 janvier 1978 actuellement consacré aux dispositions diverses par un chapitre intitulé « sanctions infligées par la Commission nationale de l'informatique et des libertés », qui comprend les nouveaux articles 45 à 49.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel, les sanctions étant prononcées et non infligées.

Les dispositions de ce chapitre reprennent pour l'essentiel les dispositions du paragraphe 3 de l'article 28 de la directive 95/46 CE, complétées par un dispositif de sanction pécuniaire pour l'autorité de contrôle. La création de ce dernier, qui n'était pas requise par la directive, découle d'une recommandation du rapport de M. Guy Braibant.

Le point 3 de l'article 28 de la directive prévoit en effet que l'autorité de contrôle dispose notamment de pouvoirs effectifs d'intervention tels que :

- ordonner le verrouillage, l'effacement ou la destruction de données, ou interdire temporairement ou définitivement un traitement, ou adresser un avertissement ou une admonestation au responsable du traitement ;

- saisir les parlements nationaux ou d'autres institutions politiques ;

- ester en justice en cas de violation des dispositions nationales prises en application de la directive ou porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

Article 45 modifié de la loi du 6 janvier 1978
Pouvoir de sanction administrative - Juge des référés

Actuellement, le 4° de l'article 21 de la loi du 6 janvier 1978 prévoit que la CNIL peut adresser aux intéressés des avertissements et dénoncer au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale.

En outre, le 3° précise qu'« en cas de circonstances exceptionnelles », la CNIL peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations. En pratique, une telle mesure entraîne des conséquences très importantes pour les entreprises (destruction d'un fichier de clients ou de fichiers de paye...) et ne peut donc être que difficilement appliquée.

Il importait donc de trouver des mesures alternatives et pouvant effectivement être appliquées.

Or, le Conseil constitutionnel a admis, dans diverses décisions32(*), dont celle n° 89-260 DC du 28 juillet 1989 sur la Commission des opérations de bourse, la dévolution d'un pouvoir de sanction à une autorité administrative indépendante « dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté et, d'autre part, que l'exercice du pouvoir de sanction est assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis ».

Les garanties constitutionnellement exigées portent tant sur le fond que sur la forme.

Selon le Conseil constitutionnel, la loi peut, sans qu'il soit porté atteinte au principe de la séparation des pouvoirs, doter une autorité administrative indépendante d'un pouvoir de sanction, dans la limite nécessaire à l'accomplissement de sa mission. Dans sa décision du 28 juillet 1989, le Conseil considère que « le principe de la séparation des pouvoirs, non plus qu'aucun principe ou règle de valeur constitutionnelle, ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction ».

L'exercice de ce pouvoir de sanction se trouve encadré par des garanties analogues à celles de la procédure pénale : principe de non-rétroactivité, principe de nécessité ou de proportionnalité des peines, tirés de l'article 8 de la déclaration des droits de l'homme et du citoyen, et principe du respect des droits de la défense.

S'agissant du principe de légalité des délits et des peines, également applicable aux sanctions administratives, le Conseil constitutionnel a considéré que « l'exigence d'une définition des infractions sanctionnées se trouvait satisfaite en matière administrative par la référence aux obligations auxquelles le titulaire d'une autorisation administrative est soumis en vertu des lois et règlements ».

La Commission des opérations de bourse (article 5-9 de l'ordonnance du 28 septembre 1967), le Conseil de la concurrence (article 13 de l'ordonnance du 2 décembre 1986) et le Conseil supérieur de l'audiovisuel (article 42-2 de la loi du 30 septembre 1996) en usent déjà efficacement.

Le projet de loi étend donc le pouvoir de sanction de la CNIL, tout en prévoyant des garanties appropriées pour les responsables de traitements.

Outre l'avertissement et la mise en demeure du responsable du traitement qui ne respecterait pas les obligations légales, l'article 45 modifié prévoit qu'en cas de persistance de l'infraction, la CNIL peut prononcer à son encontre, après une procédure contradictoire :

- une sanction pécuniaire (ce qui constitue une innovation majeure et s'applique quelle que soit la nature du traitement concerné). Votre commission des Lois vous propose d'adopter un amendement rédactionnel ;

- une injonction de cesser le traitement ou de procéder à sa destruction (s'il s'agit d'un traitement soumis à déclaration préalable en application de l'article 22 modifié), ou  retirer l'autorisation (lorsqu'il s'agit d'un traitement soumis au régime de l'autorisation préalable en application de l'article 25 modifié).

Contrairement à ce que prévoit la loi en vigueur, le projet de loi initial ne reprenait pas la possibilité pour la CNIL de détruire des données en cas de refus d'obtempérer. Le rapporteur de l'Assemblée nationale, tout en reconnaissant que cette possibilité n'avait jamais été mise en oeuvre par la CNIL, estimait intéressant son caractère dissuasif. L'Assemblée nationale a donc rétabli cette possibilité, avec l'avis favorable du Gouvernement.

Votre commission des Lois vous propose cependant de supprimer cette possibilité, qui pourrait avoir des conséquences importantes pour une entreprise, d'autant plus que le nouvel article 226-22-2 du code pénal introduit par l'article 14 du projet de loi prévoit que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction et que les membres et agents de la CNIL sont alors habilités à constater cet effacement.

Réserver cette possibilité au juge paraît donc préférable, d'autant que la CNIL pourra désormais prononcer des sanctions pécuniaires.

Le paragraphe II prévoit qu'en cas d'urgence et de menaces pour les libertés, la CNIL peut, après une procédure contradictoire :

- décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois, si le traitement ne fait pas partie des traitements dits de souveraineté visés à l'article 26 modifié de la loi (c'est-à-dire ceux intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté) ;

- saisir le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée s'il s'agit d'un traitement dit de souveraineté (visé aux I et II de l'article 26 modifié). Le Premier ministre fait alors connaître à la CNIL et rend publiques les suites données à cette saisine au plus tard 15 jours après sa réception.

Votre commission des Lois vous propose de supprimer cette nouvelle exigence de publicité inédite et mal adaptée à des fichiers dont certains affectent la défense nationale ou la sûreté de l'Etat, ou répondent à des finalités de lutte contre la délinquance ou le terrorisme, et de prévoir une simple information du Premier ministre et non sa saisine.

La CNIL demeure libre d'informer le public par le biais de son rapport annuel des signalements effectués à l'intention du Premier ministre et des suites que celui-ci y a apportées.

Le paragraphe III de l'article 45 modifié prévoit enfin qu'en cas d'atteinte grave et immédiate aux droits et libertés protégés par la loi du 6 janvier 1978, le président de la CNIL peut demander par la voie du référé à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

La procédure du référé peut permettre de pallier la lenteur des procédures administratives, qui requièrent le respect du contradictoire, ainsi que la production d'un rapport écrit.

Ce dispositif nouveau est donc particulièrement opportun.

Le juge saisi relèvera de l'ordre judiciaire si le responsable du traitement concerné oeuvre pour des intérêts privés ou de l'ordre administratif si le responsable agit pour le compte de l'Etat, d'un établissement public ou d'une collectivité locale, ou dans le cadre de l'exécution d'une mission de service public.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 46 modifié de la loi du 6 janvier 1978
Procédure en matière de sanction

Conformément aux arrêts de la Cour européenne des droits de l'homme33(*), la sanction doit être motivée, notifiée aux intéressés et susceptible de faire l'objet d'un recours de pleine juridiction.

Le respect du contradictoire et des droits de la défense implique également, après une mise en demeure restée infructueuse, que le contrevenant reçoive notification des griefs, puisse consulter le dossier, présenter ses observations écrites et orales et se faire représenter ou assister par un avocat.

L'article 46 modifié de la loi du 6 janvier 1978 précise donc que les sanctions (hormis la saisine du Premier ministre) sont prononcées sur la base d'un rapport établi par l'un des membres de la CNIL, désigné par le président parmi les membres n'appartenant pas à la formation restreinte.

Rappelons qu'en vertu de l'article 17 modifié, c'est la formation restreinte qui est chargée de prononcer les sanctions.

Il s'agit donc d'éviter que le rapporteur soit à la fois juge et partie. Ainsi, conformément aux exigences de l'article 6 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales relatif au droit à un procès équitable, le rapporteur peut présenter des observations orales à la CNIL, mais ne prend pas part à ses délibérations34(*).

Ce rapport est ensuite notifié au responsable du traitement qui peut déposer des observations et se faire représenter ou assister. Cette dernière précision a été adoptée par l'Assemblée nationale à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, afin de rapprocher la procédure de celle suivie à la COB et mieux assurer le respect des droits de la défense.

Il s'agit donc d'une procédure contradictoire.

La CNIL peut entendre toute personne et peut décider de rendre publiques les sanctions qu'elle prononce, ce qui peut présenter un réel intérêt pédagogique. Le rapport de M. Guy Braibant suggérait d'ailleurs qu'une peine complémentaire d'affichage puisse être prévue pour les peines contraventionnelles, et que les peines de publication et de diffusion audiovisuelle actuellement prévues puissent être étendues.

En outre, les sanctions de la CNIL sont motivées et notifiées à l'intéressé. Elles peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'Etat.

Enfin, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 47 modifié de la loi du 6 janvier 1978
Montant des sanctions

L'article 47 modifié prévoit que le montant de l'amende doit être « proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement ».

La nature des avantages n'étant pas précisée, la CNIL ne sera pas limitée à la seule prise en compte de bénéfices financiers.

L'article 47 modifié précise cependant que le montant de la sanction ne peut excéder 150.000 euros pour un premier manquement ni 300.000 euros ou 5% du chiffre d'affaires en cas de récidive dans les cinq années à compter de la date à laquelle la première sanction pécuniaire est devenue définitive. C'est l'Assemblée nationale, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, qui a souhaité préciser les modalités de cette récidive et l'encadrer dans le temps.

Le rapport de M. Guy Braibant préconisait pour sa part que les sanctions pécuniaires soient limitées à 5% du chiffre d'affaires de l'entreprise et lorsque le contrevenant n'est pas une entreprise, à 10 millions de francs, c'est-à-dire à 150.000 euros.

Votre commission des Lois vous propose d'adopter un amendement de clarification afin de bien préciser qu'une entreprise peut être condamnée à 5 % du chiffre d'affaires hors taxes du dernier exercice clos, dans la limite de 300.000 euros d'amende.

Le troisième alinéa de l'article 47 modifié prévoit enfin que lorsque la CNIL a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

Rappelons que le Conseil constitutionnel a estimé, dans sa décision DC 97-395 du 30 décembre 1997, que « lorsqu'une sanction administrative est susceptible de se cumuler avec une sanction pénale, le principe de proportionnalité implique qu'en tout état de cause, le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ; qu'il appartiendra donc aux autorités administratives et judiciaires compétentes de veiller au respect de cette exigence ».

Enfin, il est précisé que les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine. 

Article 48 modifié de la loi du 6 janvier 1978
Champ territorial des sanctions

L'article 48 modifié prévoit que la CNIL peut, à l'égard des traitements dont les opérations sont mises en oeuvre, en tout ou partie sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre Etat membre de la Communauté européenne :

- faire des vérifications et des contrôles sur pièce et sur place ; prononcer des sanctions administratives, pécuniaires pour tous les types de traitements, des injonctions de cesser le traitement ou procéder à sa destruction et retirer des autorisations  ;

- en cas d'urgence et de menaces contre les libertés, décider l'interruption de la mise en oeuvre du traitement ou le verrouillage des données pour trois mois maximum s'il ne s'agit pas de traitements dits de souveraineté ;

- saisir par référé le juge en cas d'atteinte grave et immédiate aux droits et libertés pour ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire.

Cette disposition, importante, tend à faciliter l'effectivité des contrôles et sanctions de la CNIL et à prévenir des conflits de lois entre Etats membres.

*

* *

La loi du 6 janvier 1978 comporte actuellement 48 articles dont la substance et l'architecture sont profondément remaniés par le présent projet de loi. Les articles dont l'examen suit seront donc insérés in fine et prolongeront sa numérotation après l'adoption du présent projet de loi.

*

* *

Article 49 (nouveau) de la loi du 6 janvier 1978
Coopération internationale

Le paragraphe 6 de l'article 28 de la directive 95/46 CE prévoit que chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre Etat membre et que les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

Ces dispositions communautaires sont transposées en droit interne par le nouvel article 49 de la loi du 6 janvier 1978, qui comble ainsi un vide juridique.

Il prévoit ainsi que la CNIL peut, à la demande d'une autorité exerçant des compétences analogues dans un autre Etat membre, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions, sauf s'il s'agit d'un traitement dit de souveraineté.

Ces dispositions devraient en pratique jouer un rôle très important. Cette coopération communautaire résulte de la convergence des règles nationales opérée par la directive, qui justifie donc une coopération pleine et entière entre autorités de contrôle.

Votre commission des Lois vous propose d'adopter ces sept amendements, dont cinq rédactionnels, puis d'adopter l'article 7 ainsi modifié.

Article 8
(Chapitre VIII de la loi n° 78-17 du 6 janvier 1978)
Sanctions pénales et délit d'entrave à l'action de la CNIL -
Information de la CNIL par le procureur de la République

Le régime des sanctions pénales encourues en cas de violation de la loi du 6 janvier 1978 est actuellement traité dans le chapitre VI. Du fait du remaniement opéré par le présent projet de loi, il est transféré dans un chapitre VIII, qui comprend les articles 50 à 52 nouveaux et constitue pour l'essentiel la reprise de dispositions existantes.

L'article 24 de la directive 95/46 CE prévoit que les Etats membres doivent prendre « les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation de dispositions prises en application de la présente directive ».

Article 50 (nouveau) de la loi du 6 janvier 1978
Sanctions prévues par le code pénal

L'article 50 nouveau, reprenant l'actuel article 41, procède à un renvoi au code pénal en précisant que les infractions aux dispositions de la loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal, lesquels sont par ailleurs modifiés par l'article 14 du présent projet de loi, et seront donc étudiés plus précisément à cet article.

L'article 226-16 réprime ainsi le non respect des formalités préalables, l'article 226-17 le non respect de l'obligation de sécurité, l'article 226-18 la collecte par un moyen frauduleux, déloyal ou illicite, le traitement de données à caractère personnel malgré le refus exposé pour des raisons légitimes par la personne concernée, ainsi qu'en matière de traitements concernant la recherche dans le domaine de la santé le défaut d'information ou le traitement malgré l'opposition de la personne.

L'article 226-19 réprime pour sa part le traitement de données sensibles et de données portant sur des infractions, des condamnations ou des mesures de sûreté, l'article 226-20 la conservation ou le traitement d'informations sous une forme nominative au-delà de la durée prévue -à moins que celle-ci ait des finalités historiques, statistiques ou scientifiques-, l'article 226-21 le détournement de finalité, l'article  226-22 le fait de porter à la connaissance d'un tiers des informations sur la vie privée, tandis que l'article 226-24 traite de la responsabilité des personnes morales.

Article 51 (nouveau) de la loi du 6 janvier 1978
Délit d'entrave

Par ailleurs, l'article 51 nouveau punit d'un an d'emprisonnement et de 15.000 euros d'amende le fait d'entraver l'action de la CNIL. Il s'agit, sous réserve de quelques adaptations d'ordre rédactionnel, de la reprise des dispositions de l'actuel article 43.

Sont donc réprimés :

- l'opposition d'une personne à l'exercice des missions de contrôle de la CNIL et de ses agents ;

- le refus de communication, ou la dissimulation de documents et renseignements utiles à l'exercice de leurs missions ;

- ainsi que la communication d'informations modifiées postérieurement à la date de leur demande ou sous une forme non directement accessible.

Votre commission des Lois vous propose d'adopter un amendement tendant à étendre la notion d'entrave à l'ensemble des missions de la CNIL, la référence aux articles 45 et 49 de la loi du 6 janvier 1978 n'apparaissant pas pertinente, s'agissant respectivement des pouvoirs de sanction de la CNIL et des modalités de coopération entre autorités de contrôle.

Article 52 (nouveau) de la loi du 6 janvier 1978
Information de la CNIL
par les juridictions

Le projet de loi introduit enfin un mécanisme original d'information de la CNIL par les autorités judiciaires et, le cas échéant, d'intervention de son président ou de son représentant devant les juridictions, qui complète l'obligation d'information du procureur de la République par la CNIL (article 44 modifié), ainsi que la possibilité de saisine de la juridiction en référé (article 45 modifié).

Ce dispositif, qui n'était pas envisagé par la directive 95/46 CE, résulte d'une recommandation exprimée par la CNIL dans son avis sur le présent projet de loi.

Ainsi, le premier alinéa de l'article 52 nouveau prévoit d'abord que le procureur de la République avise le président de la CNIL de « toutes les poursuites » relatives aux infractions prévues par les articles 226-16 à 226-24 du code pénal, c'est-à-dire celles relatives aux « atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ». En outre, le procureur de la République doit l'informer, le cas échéant, des suites données aux poursuites ainsi que de la date et de l'objet de l'audience de jugement, dix jours avant celle-ci.

Le second alinéa précise en outre que s'agissant de ces affaires, la juridiction d'instruction -le magistrat instructeur ou la chambre de l'instruction- ainsi que la juridiction de jugement peuvent appeler le président de la CNIL ou son représentant à déposer ses observations ou à les développer oralement à l'audience.

Il s'agit donc de permettre à la CNIL d'avoir connaissance des suites données à ses contrôles et donc de mieux en apprécier la pertinence, tout en en défendant l'opportunité.

Le rapport de M. Guy Braibant soulignait en effet les dysfonctionnements du régime répressif français en matière de fichiers informatiques, la grande sévérité des textes tranchant avec la faiblesse de la jurisprudence. Ainsi, il citait les statistiques du casier judiciaire national de 1991 à 1995, selon lesquelles seules 35 poursuites avaient abouti à des condamnations, dont une seule peine d'emprisonnement sans sursis d'une durée de six mois.

Il déplorait de plus l'absence de politique pénale dans ce domaine et l'insuffisance des moyens d'investigation humains et matériels de la police judiciaire eu égard à l'ampleur de l'activité économique liée à l'informatique, et préconisait une action de formation spécialisée des magistrats chargés des poursuites et des officiers de police judiciaire saisis des plaintes des particuliers.

Votre commission des Lois vous propose d'adopter un amendement puis d'adopter l'article 8 ainsi modifié.

Les traitements de données de santé

Le domaine de la santé a été particulièrement touché ces dernières décennies par l'automatisation du traitement de l'information, qu'il s'agisse des soins, du soutien aux praticiens ou de l'amélioration des politiques de santé publique (notamment en matière d'épidémiologie) et de l'effort de maîtrise des dépenses de soin.

On peut ainsi citer la création de la carte santé, qui constitue le support informatique d'un véritable dossier médical portable et se compose d'une « carte vitale » pour le patient et d'une carte professionnelle de santé (CPS) destinée aux praticiens, ainsi que la médecine à distance, par le biais de la diffusion d'informations sur les réseaux en ligne ou de la télé médecine. A l'hôpital, le « programme de médicalisation des systèmes d'information » permet notamment, par le recueil de données médicales, de porter une appréciation sur la qualité d'un établissement.

De même, les bases de données informatisées sont désormais déterminantes pour les études biomédicales, les travaux en matière génétique ou le développement des produits pharmaceutiques.

Or, ces traitements de données médicales présentent des risques au regard de la confidentialité et de la préservation de la vie privée.

M. Guy Braibant évoquait ainsi dans son rapport au Premier ministre le danger que représenterait un détournement à des fins autres que celles pour lesquelles les données à caractère personnel ont été collectées, s'inquiétant notamment d'une éventuelle communication de certaines données de santé à un assureur ou une banque, qui pourraient conduire à des exclusions ou des discriminations inadmissibles.

La CNIL a pris position sur ce sujet dès 1997, par le biais d'une recommandation35(*) par laquelle elle soulignait notamment que les données à caractère personnel ne devaient être utilisées que dans l'intérêt du patient et traitées dans le respect des droits des personnes et des règles déontologiques, ce qui excluait une exploitation à des fins commerciales. Elle s'est également inquiétée en mars 200136(*) de la qualité des sites et services destinés au public dans le domaine de l'e-santé.

Par conséquent, la loi du 6 janvier 1978 a fait l'objet, en 199437(*) et en 199938(*), respectivement dans les domaines de la recherche et de l'évaluation des pratiques de santé, d'aménagements afin de concilier les intérêts de la recherche et de l'économie de la santé avec la défense des droits de la personne, en créant des régimes spécifiques.

La directive, comme la convention du 28 janvier 1981 du Conseil de l'Europe, classe à l'article 8 les données relatives à la santé parmi les catégories dont le traitement est en principe interdit compte tenu du risque d'atteinte aux libertés fondamentales ou à la vie privée. Elle prévoit néanmoins une dérogation s'agissant des traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration des soins et de traitements ou de la gestion des service de santé à condition qu'ils soient effectués par un praticien de la santé -soumis au secret professionnel- « ou par une autre personne soumise à une obligation de secret équivalente ».

Les régimes spécifiques insérés dans la loi par les lois de 1994 et 1999 n'établissent pas de distinction entre traitements publics et privés et prévoient d'ores et déjà un régime d'autorisation. La transposition de la directive ne requiert par conséquent que de légers aménagements.

Article 9
(Chapitre IX de la loi n° 78-17 du 6 janvier 1978)
Adaptation du régime appliqué aux traitements
ayant pour fin la recherche dans le domaine de la santé

1- L'état actuel du droit

L'article premier de la loi du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé a donc inséré au sein de la loi de 1978 un chapitre V bis intitulé « Traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé » et comportant dix articles (articles 40-1 à 40-10).

Ce régime dérogatoire conjugue une plus grande souplesse -certaines dispositions de la loi de 1978 comme l'information préalable des personnes ayant fait l'objet d'un traitement n'étant pas applicables- et un plus grand contrôle -une autorisation par la CNIL étant prévue pour tous les fichiers, publics ou privés, après avis d'un comité d'experts.

L'actuel article 40-1 prévoit que ce régime s'applique aux seuls fichiers, publics ou privés, ayant pour fin la recherche dans le domaine de la santé. Il précise donc qu'en sont exclus les traitements de données ayant pour fin le suivi thérapeutique et médical du patient, ainsi que ceux permettant d'effectuer des études à partir des données recueillies, si ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif.

Ces traitements sont soumis à une procédure d'autorisation par la CNIL (article 40-2), un Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé devant donner un avis dans le délai d'un mois, l'avis étant à défaut réputé favorable. En cas d'urgence, le délai peut être ramené à quinze jours.

Ce comité est institué auprès du ministre chargé de la santé et se compose de personnes compétentes en matière de recherche dans le domaine de la santé, de l'épidémiologie, de la génétique et de la biostatistique.

Il émet son avis sur la méthodologie de la recherche, la nécessité du recours à des données nominatives et la pertinence de celles-ci par rapport à l'objectif de la recherche.

Une procédure simplifiée peut être mise en oeuvre par son président.

La CNIL intervient ensuite pour délivrer l'autorisation, dans un délai de deux mois, renouvelable une fois. A défaut de décision dans ce délai, le traitement des données est autorisé. Il s'agit donc d'un régime d'autorisation tacite.

L'article 40-3 autorise la transmission par les professionnels de santé des données nominatives qu'ils détiennent afin de constituer des traitements ayant pour fin la recherche dans le domaine de la santé.

Auparavant, l'exigence de secret professionnel ne permettait d'envisager la transmission des informations qu'entre médecins, alors même que l'élaboration de fichiers épidémiologiques relève souvent de non-médecins, et que les informations nominatives reçues ne sont exploitées qu'à des fins statistiques, et sont indispensables à la recherche.

La loi de 1994 a donc étendu le secret professionnel aux personnes mettant en oeuvre ces traitements, tout en exigeant que les résultats de la recherche soient strictement anonymes et ne puissent en aucun cas permettre l'identification directe ou indirecte des personnes concernées.

De plus, les données transmises permettant l'identification des personnes doivent faire l'objet d'un codage, des dérogations étant cependant prévues s'agissant de traitements associés à des études de pharmacovigilance, de protocoles de recherches réalisés dans le cadre d'études coopératives nationales ou internationales, ou si une particularité de la recherche l'exige. Elles doivent être autorisées par la CNIL.

En outre, les données transmises ne peuvent être conservées sous une forme nominative plus longtemps que la durée nécessaire à la recherche.

L'article 40-4 prévoit par ailleurs un droit d'opposition similaire à celui prévu à l'article 26 de la loi de 1978, à ceci près que la mention d'un motif légitime n'apparaît pas, afin d'éviter notamment qu'un malade ait à justifier son refus. Par ailleurs, un consentement exprès et éclairé doit être obtenu préalablement aux traitements impliquant le recueil de prélèvements biologiques identifiants. Enfin, l'utilisation des certificats médicaux, essentielle pour la recherche, est autorisée, sauf si l'intéressé a de son vivant exprimé son refus par écrit.

Les détenteurs du traitement ont l'obligation d'informer individuellement et préalablement (article 40-5) les personnes auprès desquelles sont recueillies les données, notamment de la finalité du traitement, des destinataires, de l'existence d'un droit d'accès, de rectification, d'opposition. Deux exceptions sont cependant prévues. Ainsi, le médecin traitant peut décider en conscience de ne pas révéler une affection grave et incurable à l'intéressé. De même, il peut être dérogé à cette obligation si elle se heurte à la difficulté de retrouver les personnes. La CNIL est d'ailleurs appelée à se prononcer sur l'opportunité de ces dérogations.

L'article 40-6 prévoit en outre que le droit d'opposition et à l'information préalable est actionné par les titulaires de l'autorité parentale s'agissant des mineurs et par le tuteur s'agissant des personnes faisant l'objet d'une mesure de protection légale.

L'article 40-7 précise qu'une information sur ce régime doit être disponible dans les établissements de santé.

Il est en outre prévu que la violation de la loi entraîne le retrait temporaire ou définitif de l'autorisation délivrée par la CNIL, ainsi que le refus de se soumettre au contrôle de la CNIL (article 40-8).

En matière de flux transfrontières, l'article 40-9 précise que la transmission des données nominatives non codées de recherche en santé n'est autorisée que si la législation de l'Etat destinataire apporte une « protection équivalente à la loi française », cette appréciation relevant de la compétence de la CNIL.

L'article 40-10 prévoit en outre un décret d'application.

2- Les modifications proposées par le présent article

Le projet de loi procède tout d'abord à des aménagements purement techniques.

Ainsi, le paragraphe I du présent article change la numérotation du chapitre -le V bis devenant le IX- et son intitulé afin de faire référence aux données à caractère personnel.

Le paragraphe II modifie la numérotation des articles -les articles 40-1 à 40-8 devenant les articles 53 à 60-. L'Assemblée nationale a en outre, à l'initiative du rapporteur et avec l'avis favorable du Gouvernement, rectifié une erreur de numérotation et opéré dans ses 1°, 2°, 3°, 5°, 7° et 9° des coordinations avec le nouveau dispositif du projet de loi.

Par ailleurs, la référence au droit d'opposition discrétionnaire à un traitement disparaît du 6°. Néanmoins, est désormais prévu un droit d'opposition à la transmission de données, en amont du traitement. Les personnes peuvent donc s'opposer à ce que les données les concernant fassent l'objet de la levée du secret professionnel nécessaire à la transmission de données pour élaborer des traitements à des fins de recherche.

Le 8° améliore la rédaction de la loi de 1994, qui traitait de l'information du tuteur des personnes faisant l'objet d'une mesure de protection légale, alors même que ces mesures recouvrent également le placement sous sauvegarde de justice. Le champ du nouvel article est donc circonscrit à la seule tutelle, l'intéressé étant lui-même destinataire de l'information préalable dans les autres cas.

Enfin, le paragraphe III abroge l'actuel article 40-9 relatif aux flux transfrontières de données, transposé dans un nouvel article 61, ainsi que l'article 40-10 prévoyant un décret en Conseil d'Etat relatif aux modalités d'application du chapitre V bis.

En outre, le projet de loi apporte également des modifications de fond.

Le 4° du paragraphe II de l'article 9 du projet de loi modifie l'article 40-2 de la loi qui devient l'article 54 nouveau afin de préciser la procédure simplifiée déjà prévue actuellement et laissée à l'appréciation du président du comité consultatif.

Elle est donc susceptible de s'appliquer aux catégories les plus usuelles de traitements ayant pour finalité la recherche en santé et portant sur des données ne permettant pas une identification directe des personnes concernées.

Cette procédure s'inspire de celle des normes simplifiées prévue pour le régime général par l'article 17 de la loi de 1978 et reprise à l'article 24 modifié de la loi. Elle doit alléger l'activité de la CNIL dans le domaine des essais cliniques de nouveaux médicaments. La CNIL pourra ainsi « homologuer et publier des méthodologies de référence » établies en concertation avec le comité consultatif et « les organismes publics et privés représentatifs », au nombre desquels pourrait d'ailleurs figurer l'INSERM, réunis en fonction de leur domaine de compétence respectif. Ces méthodologies devront fixer les bornes pour chaque type de traitements pouvant faire l'objet d'une procédure simplifiée.

S'agissant de traitements correspondant à ces normes, un engagement de conformité à l'une d'entre elles devra être envoyé à la CNIL. Son président décidera alors de les autoriser à l'issue de cette procédure simplifiée d'examen.

Le projet de loi initial prévoyait un envoi au comité consultatif avant la CNIL, mais cette procédure a été supprimée par l'Assemblée nationale à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement. Ceci devrait permettre d'accélérer la procédure, d'autant plus que les méthodologies auront été élaborées par la CNIL en concertation avec le comité consultatif.

Actuellement, la CNIL doit se prononcer dans les deux mois, le défaut d'avis étant apparenté à une autorisation tacite. Désormais, l'autorisation devra être délivrée dans les conditions prévues par l'article 25 modifié et devra donc être expresse. En effet, les données de santé constituent des données sensibles nécessitant une autorisation expresse de la CNIL.

Toujours à l'initiative du rapporteur, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a précisé que, s'agissant des autres catégories de traitements, le comité consultatif fixerait, en concertation avec la CNIL, les conditions dans lesquelles son avis n'est pas requis. Ceci reflète une fois encore une volonté de simplification et d'allègement des procédures que votre commission des Lois ne peut qu'approuver.

En effet, la saisine du comité consultatif allonge les délais de manière disproportionnée, cette procédure s'appliquant potentiellement à l'ensemble des recherches biomédicales (environ 2.000 protocoles par an) ainsi qu'à toutes les études épidémiologiques, du secteur privé et du secteur public, soit plusieurs milliers de protocoles par an.

Sur le fond, l'intervention n'apparaît pas indispensable dans la plupart des cas, les recherches étant souvent standardisées et ayant déjà fait l'objet d'avis d'autres instances scientifiques consultatives, de procédures de validation et d'expertises scientifiques.

En outre, cet amendement a permis de clarifier la notion de « projet de recherche », le comité se contentant d'indiquer si son avis est favorable ou défavorable, ou si le projet constitue ou non un projet de recherche, sans en préciser les critères.

Enfin, le paragraphe IV modifie le régime des transmissions des données à l'étranger actuellement prévu par l'article 40-9 de la loi de 1978 en créant un chapitre XII consacré aux « Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne » comprenant un nouvel article 61.

Actuellement, l'article 40-9 vise la notion de « protection équivalente à la loi française », sans différencier entre Etats membres ou non de l'Union européenne.

L'article 25 de la directive conditionnant la possibilité d'un transfert au « niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement envisagé » assuré par le pays destinataire, le nouvel article 61 en tire la conséquence.

Aucune limitation ne doit plus pouvoir être fixée aux transferts entre Etats membres de la Communauté, en raison du principe de libre circulation des données posé par l'article premier de la directive. L'effet direct vertical des directives doit de plus permettre aux justiciables d'obtenir devant leur juge national l'application des dispositions de la directive, même en cas d'absence de transposition ou de transposition lacunaire de la part des Etats membres.

L'appréciation du niveau de protection offert par un Etat tiers s'apprécie au regard des règles fixées au chapitre XII.

Votre commission des Lois vous propose d'adopter l'article 9 sans modification.

Article 10
(Chapitre X de la loi n° 78-17 du 6 janvier 1978)
Adaptation des dispositions relatives aux traitements des données
à des fins d'évaluation des pratiques de santé

La mise en place du programme de médicalisation des systèmes d'information dans les établissements de soins a fait apparaître le risque de reconstituer par recoupements, grâce aux résumés de sortie anonymes établis pour chaque établissement -destinés à l'analyse de ses activités-, la nature de la pathologie ainsi que les examens subis par un patient à partir de sa seule date d'hospitalisation.

La loi du 27 juillet 1999 relative à la couverture maladie universelle a donc inséré un nouveau chapitre (V ter) dans la loi du 6 janvier 1978 comportant cinq articles (articles 40-11 à 40-15) et déterminant les conditions dans lesquelles les données à caractère personnel de santé peuvent être traitées, exploitées et diffusées « à des fins d'évaluation ou d'analyse des autorités de soins et de prévention ».

1- Etat actuel du droit

Sont concernés par ce régime les traitements de données à caractère personnel de santé ayant pour fin « l'évaluation des pratiques de soins et de prévention », à l'exclusion des traitements effectués par les organismes d'assurance maladie à des fins de remboursement ou de contrôle ou encore par les établissements de santé pour l'analyse de leur activité (article 40-11).

L'article 40-12 précise les conditions dans lesquelles des données de santé peuvent être transmises par les professionnels de santé, les caisses de sécurité sociale ou les hôpitaux pour être exploitées à des fins d'évaluation des activités ou pratiques de soins. Elles doivent être agrégées ou constituées de manière à rendre l'identification des personnes concernées impossible.

La CNIL peut néanmoins autoriser d'autres communications à condition que les données ne soient qu'indirectement nominatives, c'est-à-dire qu'elles ne comportent ni le nom, ni le prénom d'une personne, ni son numéro d'inscription au répertoire national d'identification des personnes physiques.

S'agissant des formalités préalables à l'autorisation, l'article 40-13 prévoit que la CNIL vérifie les « garanties présentées par le demandeur », ses finalités, les techniques utilisées, la pertinence du traitement envisagé, la nécessité de recourir à ces informations, et le cas échéant la conformité de sa demande à ses missions ou à son objet social. Si elle n'est pas satisfaite des garanties apportées, elle peut interdire la communication de certaines informations. La CNIL détermine également la durée de conservation des données et apprécie les mesures de sécurité prises.

L'article 40-14 prévoit ensuite un régime d'autorisation expresse de la CNIL pour toutes les catégories de traitements -publics ou privés- dans ce domaine.

Alors que la loi de 1994 prévoyait une autorisation tacite s'agissant des traitements à des fins de recherche, une décision du Conseil constitutionnel39(*) intervenue entre-temps a conduit le législateur à requérir une autorisation expresse. La CNIL dispose d'un délai de deux mois à compter de la saisine par le demandeur pour se prononcer (renouvelable une fois), le silence valant donc décision de rejet.

Par mesure de simplification, les traitements répondant à une même finalité portant sur des catégories de données identiques et ayant des destinataires ou des catégories de destinataires identiques peuvent faire l'objet d'une décision unique de la CNIL.

L'article 40-15 ajoute des règles diverses : les traitements effectués à partir des données ne peuvent servir à des fins de recherche ou d'identification des personnes et les intervenants ayant accès aux données ainsi communiquées sont astreints au secret professionnel. Les résultats des traitements ne peuvent être communiqués, publiés ou diffusés qu'à la condition que l'identification des personnes correspondant aux données en cause soit impossible.

2- Le projet de loi

De telles dispositions anticipant donc les prescriptions prévues par la directive en matière de données sensibles, le présent projet de loi ne procède qu'à des aménagements de forme :

- en modifiant le numéro du chapitre (IX au lieu de V ter) et son titre afin de faire référence aux données de santé à caractère personnel et à l'analyse des « pratiques », qui indique mieux le champ d'application du dispositif (I) ;

- en procédant à une nouvelle numérotation des articles (les articles 40-11 à 40-15 devenant les articles 62 à 66) et en opérant des modifications de terminologie, ainsi que la rectification d'une référence à un article du code de la santé publique (II, 1° et 2°) ;

- en supprimant la mention du renvoi à un décret du Conseil d'Etat pour des modalités d'application, ces dispositions étant reprises de façon générale à l'article 13 du projet de loi (II, 3°) ;

- en procédant à une modification formelle au sein de l'article 40-15 pour supprimer la référence à la notion de résultats « nominatifs » (II, 4°).

Votre commission des Lois vous propose d'adopter l'article 10 sans modification.

Article 11
(Chapitre XI de la loi n° 78-17 du 6 janvier 1978)
Traitements de données aux fins de journalisme
et d'expression littéraire et artistique

La conciliation entre la protection de la vie privée et celle de la liberté d'expression, essentielle dans un Etat démocratique, s'avère particulièrement délicate.

Par conséquent, l'article 33 de la loi du 6 janvier 1978 écarte l'application aux organismes de la presse écrite ou audiovisuelle des dispositions des articles 24 (relatif aux conditions de transmission d'informations nominatives à l'étranger), 30 (interdisant la mise en oeuvre de traitements concernant des données portant sur les infractions, condamnations et mesures de sûreté aux personnes morales de droit privé ne gérant pas un service public) et 31 (relatif à la gestion des données sensibles, c'est-à-dire portant sur l'origine raciale, l'opinion politique, philosophique ou religieuse, l'appartenance syndicale ou les moeurs), dans les cas où leur application aurait pour effet de limiter l'exercice de la liberté d'expression.

Or, depuis 1978, le secteur de la presse a vu ses modes de gestion profondément bouleversés, notamment avec l'apparition de sites Internet dits « compagnons » chargés de fidéliser les lecteurs ou téléspectateurs.

Partant du constat de lacunes du droit existant, la CNIL a, dès 1995, édicté une recommandation40(*) dans laquelle elle considérait tout d'abord que « la collecte, l'enregistrement et l'élaboration d'informations sont inhérents à l'exercice de la liberté de la presse et que parmi ces informations ont toujours figuré des données directement ou indirectement nominatives ».

Elle considérait néanmoins que « le recours, même à des fins exclusivement journalistiques et rédactionnelles, à des traitements automatisés d'informations nominatives ne dispensait pas les organismes de presse de respecter les dispositions non expressément écartées par le législateur ».

Elle a cependant reconnu que les activités journalistiques et rédactionnelles ne pouvaient être soumises à autorisation, et que le droit d'accès aux documents élaborés par un journaliste, mais non encore publiés ou diffusés, ainsi que le droit de rectification subséquent ne pouvaient aboutir « à priver de sa substance la liberté de la presse et de la communication, inscrite dans les lois du 29 juillet 1881 et du 29 juillet 1982 ».

La CNIL avait donc conclu à l'existence de « certains problèmes de compatibilité » entre la loi du 6 janvier 1978 et ces lois, et avait formulé plusieurs préconisations afin :

- d'assurer la sécurité des informations traitées ;

- de joindre les recours, rectifications ou réponses éventuellement intervenus à la publication de l'information ;

- d'encourager la désignation d'un correspondant de la CNIL dans chaque organisme de presse.

Ce texte était cependant dépourvu de valeur contraignante.

La directive reprend en grande partie ces recommandations puisque son article 9 précise que « les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations » à certaines dispositions « dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression ».

Comme la loi du 6 janvier 1978, la directive soumet donc la presse aux règles relatives à la protection des données à caractère personnel tout en prévoyant des dérogations dans l'intérêt de la liberté d'expression.

La négociation de la directive avait été houleuse, et des divergences notables sont apparues lors de sa transposition par les différents Etats membres41(*).

Comme l'a indiqué la recommandation du groupe de protection des données, elle concerne toutes les formes de médias, y compris la presse électronique.

Il est en outre précisé que les dérogations ne concernent que l'activité éditoriale et se limitent aux dispositions des chapitres II, IV et VI (relatifs respectivement à la licéité des traitements, aux flux transfrontières de données et aux autorités de contrôle nationales), à l'exclusion, selon le considérant 37, des mesures de sécurité.

Ce même considérant faisait en effet référence à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Il appelait néanmoins les Etats membres à conférer aux autorités de contrôle nationales certaines compétences a posteriori comme la publication périodique de rapports ou le pouvoir de saisir les autorités judiciaires.

Le considérant 49 et le point 2 de l'article 18 de la directive prévoyaient la possibilité d'exonérations ou de simplifications de notification dès lors qu'une personne désignée par le responsable du traitement de données s'assurait que les traitements effectués n'étaient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées et que cette personne, employée ou non du responsable du traitement, était en mesure d'exercer ses fonctions en toute indépendance.

Le rapport de M. Guy Braibant préconisait de conserver les dérogations prévues par la loi du 6 janvier 1978 s'agissant des données sensibles, en rappelant que la presse en traitait abondamment, et que le droit français en matière de presse comportait déjà des mesures protectrices des droits de la personne par le biais du respect de la vie privée et du droit à l'image et de procédures spécifiques telles que le droit de réponse.

Il préconisait également le statu quo s'agissant des flux transfrontières, afin de ne pas défavoriser la presse française par rapport à ses concurrents, ainsi que d'éviter toute procédure qui rappellerait les autorisations préalables et la censure du régime antérieur à la reconnaissance de la liberté de la presse.

Enfin, il souhaitait qu'un détaché à la protection des données à caractère personnel soit désigné par le responsable du traitement et soit chargé notamment d'assurer d'une manière indépendante l'application interne des dispositions nationales prises en application de la directive et de tenir un registre des traitements. Il considérait qu'il ne devrait pas être un simple correspondant de la CNIL, mais devrait exercer par une délégation implicite certains des pouvoirs de contrôle de la CNIL et avoir un statut analogue à celui du médiateur que certains journaux avaient déjà institué.

Par ailleurs, le rapport de M. Guy Braibant soulignait l'intérêt des codes de conduite prévus à l'article 28 de la directive.

Le projet de loi s'inspire donc tant des exonérations permises par la directive que des recommandations de la CNIL et de celles du rapport de M. Guy Braibant.

Il instaure un article 67 au sein d'un nouveau chapitre XI « Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique ».

Les traitements de données à caractère personnel mis en oeuvre aux seules fins d'expression littéraire et artistique et d'exercice, à titre professionnel, de l'activité de journaliste, dans le respect des règles déontologiques de cette profession, ne sont pas soumis:

à la limitation de durée de conservation prévue par le 5° de l'article 6 modifié qui indique que les données ne peuvent être conservées sous une forme permettant l'identification des personnes que pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En effet, la notion même de journalisme implique de pouvoir replacer des informations dans un contexte et les fichiers de presse ont souvent des finalités imprévisibles au départ, puisqu'ils servent de base au travail des journalistes, très dépendant de l'actualité ;

à l'interdiction de traiter des données dites sensibles, le journalisme pouvant amener à faire apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou celles relatives à leur santé ou leur orientation sexuelle (article 8 modifié) ;

à l'interdiction faite aux personnes autres que les auxiliaires de justice, les juridictions, les autorités publiques et les personnes morales de droit privé gérant un service public de traiter des informations relatives aux infractions, condamnations et mesures de sûreté (article 9 modifié) ;

Ces deux dernières dérogations sont déjà prévues actuellement.

à l'obligation de déclaration applicable aux traitements non soumis à un contrôle préalable (article 22 modifié) ;

aux obligations d'information incombant aux responsables de traitements (article 32 modifié) ;

aux droits d'accès et de rectification prévus par les articles 39 et 40 modifiés pour les personnes concernées par les traitements. En effet, la phase antérieure à la publication doit être complètement libre, la contrepartie consistant dans le droit de réponse prévu ;

aux transmissions de données à des Etats tiers (articles 68 à 70 nouveaux).

Cette possibilité de dérogations au profit des traitements d'expression littéraire et artistique a été instaurée à l'initiative de la directive. En effet, ainsi que le soulignait M. Guy Braibant, il est parfois difficile de distinguer entre journalisme et expression artistique ou littéraire « avec le développement de l'histoire immédiate, du journalisme d'investigation, des réseaux multimédias. Il n'y a guère de différence entre un journaliste qui prépare une série d'articles sur une personnalité politique, sur un parti, sur un segment de population et celui qui envisage sur le même sujet la réalisation d'un livre que les moyens de reproduction ou de diffusion permettront de mettre en quelques jours à la disposition du public. De même, on peut rapprocher la publication de photographies dans un magazine et dans un album ».

En outre, ces dérogations ne concernent s'agissant du journalisme que les seules activités éditoriales de nature journalistique -et non le statut de journaliste-, les traitements de nature commerciale ou de gestion interne (fichiers de personnel ou de clients, traitements à des fins de prospection) relevant du droit commun.

Votre commission des Lois vous propose d'adopter un amendement rendant effectives les deux dérogations à l'interdiction de traitement des données sensibles énoncée par l'article 8 modifié ainsi qu'à l'interdiction de traitement des données relatives aux infractions, condamnations et mesures de sûreté résultant pour eux de l'article 9 modifié.

En son absence, les traitements de données sensibles et ceux relatifs aux infractions, condamnations ou mesures de sûreté seraient soumis à une autorisation de la CNIL et conduiraient donc à un régime beaucoup moins libéral qu'actuellement.

Conformément à la recommandation de la CNIL, la dispense de l'obligation de déclaration des traitements à des fins journalistiques est subordonnée à la désignation au sein de l'organe de presse d'un « délégué à la protection des données » chargé de tenir un registre des traitements et d'assurer de manière indépendante l'application de la loi. La CNIL devra être informée de cette désignation.

Rappelons que la directive subordonne de manière générale, dans son article 18, les possibilités de simplification et d'exemption à la nomination par les responsables de traitements de « détachés à la protection des données ».

A l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a modifié le terme de « délégué » en celui de «  correspondant », estimant que ce terme pouvait laisser penser qu'il s'agissait de personnes dépendant de la CNIL.

En outre, le dernier alinéa de l'article 67 nouveau rappelle la mention existant dans la loi du 6 janvier 1978. Demeurent applicables les dispositions du code civil, du code pénal et des lois relatives à la presse écrite et audiovisuelle ayant pour objet le respect de la vie privée, ainsi que la protection des personnes contre les atteintes à leur réputation, notamment par le biais de droits de réponse.

Enfin, la possibilité, prévue par le 2°) de l'article 11 modifié de la loi de 1978, d'élaboration par les professionnels eux-mêmes de codes de conduite ensuite soumis pour avis à la CNIL pourrait trouver à s'appliquer dans le domaine de la presse.

Votre commission des Lois vous propose d'adopter un amendement, puis d'adopter l'article 11 ainsi modifié.

Article 12
(Chapitre XII de la loi n° 78-17 du 6 janvier 1978)
Transferts de données à caractère personnel vers des Etats tiers

Dès 1978, il est apparu nécessaire de prendre en considération les échanges internationaux d'informations nominatives.

Ainsi, la loi du 6 janvier 1978 comporte un certain nombre de dispositions y faisant référence. Dès l'article premier, il est précisé que le développement de l'informatique « doit s'opérer dans le cadre de la coopération internationale ». L'article 24 prévoit en outre la possibilité de réglementer ou soumettre à autorisation préalable certains transferts d'informations nominatives « vers l'étranger » réalisés par des personnes privées, sur proposition ou après avis de la CNIL, selon des modalités prévues par un décret en Conseil d'Etat qui n'est en fait jamais intervenu.

En matière de droit international public, l'article 12 de la convention du Conseil de l'Europe du 28 janvier 1981, entrée en vigueur en France le 1er octobre 1985, traite des « transferts à travers les frontières nationales ».

Tout en affirmant que la protection de la vie privée ne peut motiver à elle seule l'interdiction de tels transferts ou leur soumission à autorisation, la convention autorise une réglementation spécifique pour certaines catégories de fichiers et de données, sauf si la réglementation de l'autre partie apporte une « protection équivalente », ou si le transfert par son territoire ne se fait qu'à titre de transit vers un Etat non contractant.

Par ailleurs, en 1994, le transfert de données nominatives non codées faisant l'objet d'un traitement automatisé ayant pour fin la recherche dans le domaine de la santé a été subordonné par la loi n° 94-548 du 1er juillet 1994 à la garantie dans le pays de destination d'un niveau de protection « équivalent » à celui offert par la loi française (article 40-9 de la loi du 6 janvier 1978).

Ces dispositions paraissent néanmoins aujourd'hui insuffisantes.

Depuis 1978, la mondialisation des échanges informatiques a connu une extension fulgurante, notamment du fait du développement d'Internet et de la commercialisation croissante des données. Le rapport de M. Guy Braibant au Premier ministre soulignait donc l'inutilité de démarches purement nationales afin de protéger les données personnelles, ainsi que le risque de développement de « paradis informatiques ».

De plus, la loi de 1978 ne distingue pas entre les transferts à destination d'Etats membres de l'Union européenne et ceux à destination d'Etats tiers, alors même que le principe de libre circulation à l'intérieur de l'Union européenne constitue un principe fondateur de la construction communautaire.

La directive prévoit d'ailleurs dès son article premier que les Etats membres ne peuvent arguer de la protection des libertés et droits fondamentaux des personnes physiques afin de restreindre ou d'interdire la libre circulation des données à caractère personnel entre Etats membres.

En effet, à partir de la date butoir à laquelle la directive doit avoir été correctement transposée par tous les Etats membres -en l'espèce le 24 octobre 1998- tous les Etats membres sont censés garantir une protection équivalente.

Le considérant 56 de la directive précise également que les flux transfrontières de données à caractère personnel sont nécessaires au développement du commerce international.

Le projet de loi crée donc un chapitre XII intitulé : « Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne » comprenant trois articles nouveaux 68 à 70.

Article 68 (nouveau) de la loi du 6 janvier 1978
Exigence d'un niveau de protection « suffisant »

Le premier alinéa de cet article prévoit que le responsable d'un traitement ne pourra transférer des données à caractère personnel vers un Etat tiers que si celui-ci assure un niveau de protection « suffisant » de la vie privée et des libertés et droits fondamentaux des personnes.

Il s'agit de la transposition en droit français du premier alinéa de l'article 25 de la directive, ainsi que du considérant 56.

Cependant, la directive fait référence à un niveau de protection « adéquat » et non pas « suffisant ». Le Gouvernement estime néanmoins que ces termes offrent des garanties équivalentes et que le terme « suffisant » est moins ambigu et donc moins susceptible de provoquer des difficultés d'interprétation.

S'agissant du transfert de données ayant pour fin la recherche dans le domaine de la santé, l'article 40-9 de la loi du 6 janvier 1978 exige actuellement un niveau de protection « équivalent ». Ainsi que nous l'avons vu à l'article 9 du projet de loi, l'article 40-9 est remplacé par un nouvel article 61 qui soumet désormais ces transferts au régime général et donc simplement à l'exigence d'une protection suffisante.

Le rapport de M. Guy Braibant préconisait pourtant un maintien de la législation actuelle et rappelait que les dispositions concernant les traitements en matière de recherche de santé étaient récentes.

Le second alinéa de cet article précise les critères à partir desquels sera apprécié le caractère suffisant du niveau de protection de l'Etat destinataire. Seront prises en compte notamment les dispositions en vigueur dans cet Etat, les mesures de sécurité prévues, les caractéristiques propres du traitement (notamment ses fins et sa durée) ainsi que la nature, l'origine et la destination des données traitées.

Article 69 (nouveau) de la loi du 6 janvier 1978
Dérogations

Le nouvel article 69 prévoit des exceptions à la règle prévue à l'article 68.

1- Conformément au point 1 de l'article 26 de la directive, il permet certaines dérogations à l'interdiction de procéder à des transferts en l'absence de garantie suffisante :

a- si la personne à laquelle se rapportent les données y a expressément consenti.

Le projet de loi initial prévoyait un consentement sans autre précision, alors même que la directive exigeait un consentement indubitable.

Rappelant que la notion de « consentement exprès » figurait déjà dans le projet de loi s'agissant des données sensibles pour transposer la notion de « consentement explicite » prévue par la directive et que la CNIL avait, dans son avis rendu en septembre 2000, insisté sur cette difficulté en préconisant une harmonisation complète entre les Etats membres, l'Assemblée nationale a adopté à l'initiative de son rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement précisant que ce consentement doit être exprès ;

b- lorsque le transfert est nécessaire :

- à la sauvegarde de la vie de la personne concernée ;

- ou à la sauvegarde d'un intérêt public ; le considérant 58 de la directive citait à ce sujet l'exemple d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale ;

- ou au respect d'obligations permettant la constatation, l'exercice ou la défense d'un droit en justice ;

- ou à la consultation de certains registres publics ; le considérant précisait que lorsque le transfert était effectué à partir d'un registre établi par la loi et destiné à être consulté par des personnes ayant un intérêt légitime, il ne devait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en étaient les destinataires ;

- ou à la conclusion ou l'exécution d'un contrat conclu ou à conclure.

L'Assemblée nationale a également adopté à l'initiative du rapporteur et avec l'avis favorable du Gouvernement un amendement rédactionnel.

2- En raison des garanties présentées par le traitement

En outre, l'article 69 transpose la possibilité prévue par l'article 26-2 de la directive d'autoriser les transferts lorsque le traitement lui-même garantit un niveau de protection suffisant de la vie privée et des libertés et droits des personnes, notamment en raison des clauses contractuelles dont il fait l'objet.

Une décision de la Commission européenne du 15 juin 2001, prise pour l'application de l'article 26-2 de la directive et « relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers », en vigueur depuis le 3 septembre 2001, reproduit en annexe les clauses contractuelles types considérées comme offrant des garanties suffisantes.

En application du point 4 de l'article 26 de la directive, la CNIL devra donc désormais se conformer à cette décision.

Votre commission des Lois vous propose d'adopter un amendement prévoyant que la garantie d'un niveau de protection suffisant peut également être apportée par l'édiction de règles internes aux entreprises en ce sens, qui simplifierait les modes de gestion interne de grandes multinationales, particulièrement concernées par ces transferts.

Par ailleurs, la directive laissant les Etats membres libres de la procédure à suivre, le projet de loi prévoit en principe que l'autorisation émane de la CNIL.

Néanmoins, s'agissant des traitements de souveraineté mis en oeuvre pour le compte de l'Etat et intéressant la sûreté, la défense, la sécurité publique ou la répression pénale (prévus au I de l'article 26 modifié), ou comportant des indications relatives à l'origine raciale, aux opinions ou à l'appartenance syndicale, à la santé ou à l'orientation sexuelle des personnes (prévus au II de l'article 26), l'autorisation est prise par décret en Conseil d'Etat après avis motivé et publié de la CNIL.

Ces possibilités de dérogations offrent une souplesse indispensable permettant d'assurer dans de bonnes conditions les nécessaires transferts entre l'Union européenne et les nombreux pays tiers n'assurant pas un degré de protection suffisant, et répondent à des recommandations récurrentes de la CNIL.

Article 70 (nouveau) de la loi du 6 janvier 1978
Modalités d'appréciation des niveaux de protection

Cet article transpose les paragraphes 3 à 6 de l'article 25 de la directive, ainsi que les paragraphes 3 et 4 de son article 26, qui fixent les procédures de détermination du niveau de protection offert par les Etats tiers.

Il prévoit une coopération entre les Etats membres et la Commission européenne, qui est prévenue des décisions opérées par les Etats membres et peut édicter des mesures qui s'imposent à eux.

La directive ne précisait pas quelle devait être l'autorité chargée de déterminer si le niveau de protection était adéquat (article 25) et, s'il s'avérait insuffisant, de délivrer des dérogations en vertu de l'article 26-2.

Deux solutions étaient envisageables : une autorité gouvernementale ou l'institution de contrôle.

En effet, les appréciations sur les régimes étrangers et l'établissement de listes « blanches » ou « noires » peuvent affecter les relations internationales de la France, et le comité communautaire « de l'article 31 » contrôlant le système est composé des représentants des Etats.

Néanmoins, l'autorité de contrôle possède l'expertise et l'expérience requises et permet de dépolitiser les décisions prises. L'article 19, paragraphe 1,e) de la directive prévoit déjà qu'elle est informée par le biais des déclarations de traitements des transferts de données envisagés vers des pays tiers.

Le rapport de M. Guy Braibant soulignait cependant que l'autorité de contrôle ne pourrait matériellement autoriser tous les transferts et préconisait, en dehors des autorisations prévues par les articles 20 et 26-2, la vérification des déclarations comportant, conformément à l'article 19, e), des indications sur des flux transfrontaliers éventuels. La CNIL pourrait ainsi différer la délivrance du récépissé en cas de doute sur le niveau de protection offert par le pays destinataire ou sur la validité de la dérogation invoquée, et le cas échéant opposer un refus motivé au déclarant.

Par ailleurs, la CNIL est tenue de porter à la connaissance de la Commission européenne et des autorités de contrôle des autres Etats membres les décisions d'autorisation qu'elle accorde. Cette notification ne s'étend pas aux autorisations délivrées par décret en Conseil d'Etat.

En cas de contestation d'une dérogation par un autre Etat membre ou la Commission européenne, le différend est porté devant le « comité de l'article 31 » qui émet un avis, après quoi la Commission des Communautés européennes statue, en application de l'article 26, point 3 de la directive. Si ses conclusions ne sont pas conformes à celles du comité, elles sont transmises au Conseil qui statue dans les trois mois, la Commission suspendant l'application de ses mesures pendant ce délai (article 31 de la directive).

En cas de constatation par la Commission européenne de l'insuffisance du niveau de protection d'un pays tiers, la CNIL, saisie d'une déclaration de traitement faisant apparaître la possibilité d'un transfert vers cet Etat, délivre le récépissé tout en interdisant de procéder au transfert.

En l'absence de décision de la Commission européenne et si la CNIL estime insuffisantes les garanties apportées par un Etat tiers pour une catégorie de transfert, elle en informe sans délai la Commission européenne et délivre un récépissé enjoignant le cas échéant au déclarant de suspendre ce transfert dans l'attente de la décision de la Commission européenne. Si celle-ci considère le niveau de protection comme suffisant, elle notifie au responsable du traitement la cessation de cette suspension. Dans le cas contraire, elle lui notifie une interdiction de procéder au transfert des données.

La CNIL se voit donc reconnaître une responsabilité importante. Si les décisions de la Commission européenne l'emportent sur celles des autorités nationales, les Etats membres sont directement associés à leur élaboration et le Conseil conserve la capacité, le cas échéant, de les infirmer, ainsi que le précise l'article 31 de la directive.

Actuellement, le nombre d'Etats disposant de législations de protection des données à caractère personnel reste restreint.

Néanmoins, des avancées notables sont perceptibles. Ainsi, après quatre ans de négociations, l'accord du 26 juillet 2000 conclu avec les Etats-Unis a permis de reconnaître comme assurant un niveau de protection adéquat pour le transfert des données à caractère personnel les principes de la « sphère de sécurité » (traduction de « safe harbor ») relatifs à la protection de la vie privée publiés par le ministère américain du commerce. Cette décision ne concerne cependant que les transferts de données vers les entreprises et les organisations adhérant volontairement aux principes de la sphère de sécurité.

La Commission a également adopté des décisions similaires à l'égard de la Suisse et de la Hongrie, et des négociations sont engagées avec le Canada, l'Australie et Hong Kong.

La publicité de ces décisions devrait être assurée par la CNIL sur son site ainsi que le propose votre commission des Lois.

Il faut néanmoins reconnaître que ces reconnaissances ne devraient dans un premier temps concerner qu'un nombre limité de pays. La possibilité de dérogations ouverte par l'article 25-2 de la directive, lorsque les traitements présentent les garanties requises du fait de leurs clauses contractuelles, conserve donc tout son intérêt.

Votre commission des Lois vous propose d'adopter un amendement, puis d'adopter l'article 12 ainsi modifié.

Article 13
(Chapitre XIII de la loi n°78-17 du 6 janvier 1978)
Conditions et champ d'application de la loi

Cet article insère deux nouveaux articles dans la loi du 6 janvier 1978.

Article 71 (nouveau) de la loi du 6 janvier 1978
Décret en Conseil d'Etat

L'article 71 nouveau prévoit que des décrets en Conseil d'Etat fixeront les modalités d'application de la loi, comme cela avait été le cas en 1978. La CNIL sera consultée, comme l'impose l'article 28 de la directive selon lequel les autorités de contrôle doivent être consultées lors de l'élaboration des mesures réglementaires ou administratives relatives aux traitements des données à caractère personnel.

Article 72 (nouveau) de la loi du 6 janvier 1978
Applicabilité à l'outre-mer

L'article 72 nouveau précise le champ d'application territoriale de la loi.

Actuellement, l'article 47 de la loi du 6 janvier 1978 précise déjà son applicabilité à Mayotte et aux territoires d'outre-mer.

Le chapitre V bis relatif à la recherche en matière de santé, et issu de la loi du 1er juillet 1994 ne s'y appliquait cependant à l'origine pas, situation modifiée par l'ordonnance du 28 mars 1996.

La question du maintien de cette situation se posait, le projet de loi visant à transposer une directive « marché intérieur ». On rappellera que les territoires d'outre-mer, la Nouvelle-Calédonie et les collectivités de Saint-Pierre-et-Miquelon et de Mayotte ne bénéficient que d'un statut d'association à l'Union européenne et que leur territoire n'est donc pas considéré comme faisant partie de celui de l'Union européenne.

Le rapport de M. Guy Braibant préconisait néanmoins d'appliquer ce texte à l'outre-mer, puisqu'il concerne les liberté publiques. Une position contraire aurait en effet constitué un abaissement de protection interdit par le considérant 10 de la directive et se serait heurtée à la jurisprudence du Conseil constitutionnel en matière d'égalité de protection des citoyens en matière de libertés publiques.

Le deuxième alinéa de cet article reprend l'aménagement actuellement prévu par l'article 47 en matière de délai pour les traitements à des fins de recherche médicale.

En vertu de l'article 54 nouveau, les demandes de mise en oeuvre de ces traitements sont soumises à un comité consultatif avant d'être présentées à la CNIL. Ce comité se prononce dans un délai d'un mois (pouvant être ramené à quinze jours en cas d'urgence). Par dérogation, cet article le fixe à deux mois (un mois en cas d'urgence) si le demandeur réside en Polynésie française, dans les îles Wallis-et-Futuna, dans les Terres australes et antarctiques françaises, en Nouvelle-Calédonie ou à Mayotte.

Votre commission des Lois vous propose d'adopter l'article 13 sans modification.

Article 14
(art. 226-16 à 226-24 du code pénal)
Sanctions pénales

Le projet de loi réaménage le régime des sanctions pénales réprimant les infractions aux dispositions de la loi du 6 janvier 1978, afin de tenir compte de la réorientation de l'action de la CNIL vers le contrôle a posteriori.

L'article 24 de la directive du 24 octobre 1995 prévoit en effet que « Les Etats membres (...) déterminent les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive ».

1- Le régime pénal actuel

La législation pénale française applicable en matière de protection des personnes à l'égard des traitements automatisés de données nominatives résulte tant de la loi du 6 janvier 1978, modifiée par la loi du 16 décembre 1992, que du code pénal.

Le chapitre VI de la loi de 1978 intitulé « Dispositions pénales » comporte, outre l'article 41 rappelant que les infractions aux dispositions de la loi sont réprimées par les articles 226-16 à 226-24 du code pénal, les articles 42 et 43 sanctionnant de peines délictuelles respectivement l'utilisation sans autorisation du répertoire national d'identification des personnes physiques (cinq ans d'emprisonnement et 300.000 euros d'amende), et l'entrave à l'action de la CNIL (un an d'emprisonnement et 15.000 euros d'amende).

Par ailleurs, le code pénal comporte sept infractions de nature délictuelle -antérieurement prévues aux articles 41 à 44 de la loi de 1978- énumérées dans la section V du chapitre VI du titre II du livre deuxième, intitulée « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », aux articles 226-17 à 226-22.

Il s'agit :

- de la mise en oeuvre d'un traitement sans formalité préalable (création d'un fichier clandestin), punie par l'article 226-16 de trois ans d'emprisonnement et 300.000 euros d'amende ;

- du non respect de l'obligation générale de sécurité des informations, punie par l'article 226-17 de cinq ans d'emprisonnement et 300.000 euros ;

- de la collecte d'informations par un moyen frauduleux, déloyal ou illicite ou malgré l'opposition légitime des personnes, punie par l'article 226-18 de cinq ans d'emprisonnement et 300.000 euros d'amende ;

- de la conservation des données au-delà de la durée prévue, sans l'accord de la CNIL, punie par les articles 226-19 et 226-20 de respectivement cinq ans d'emprisonnement et 300.000 euros d'amende et de trois ans d'emprisonnement et 45.000 euros d'amende, selon qu'il s'agit ou non de données sensibles ;

- du détournement de la finalité du traitement, punie par l'article 226-21 de cinq ans d'emprisonnement et 300.000 euros d'amende ;

- de la divulgation d'informations à des tiers non autorisés, pouvant porter atteinte à la vie privée ou à la considération de la personne, punie par l'article 226-22 d'un an d'emprisonnement et 15.000 euros d'amende (7.500 euros d'amende si cette divulgation n'est pas intentionnelle).

L'article 226-23 étend l'application des articles 226-17 à 226-19 aux fichiers manuels.

L'article 226-24 prévoit enfin la responsabilité pénale des personnes morales qui encourent, outre l'amende, la peine d'interdiction d'exercer, le placement sous surveillance judiciaire, la fermeture de l'établissement, l'exclusion des marchés publics, la confiscation et la publicité de la décision.

2- Les orientations retenues par le projet de loi initial

Le rapport remis par M. Guy Braibant au Premier ministre indiquait que « le régime répressif français en matière de fichiers informatiques -dont la cohérence avec d'autres dispositions du code pénal comparables est sujette à caution- se caractérise par une grande sévérité, dont le contraste avec une jurisprudence pusillanime est frappant. (...) Compte tenu de la faible effectivité de la loi pénale en cette matière, il paraît souhaitable d'explorer les voies permettant de mieux sanctionner ces atteintes aux libertés ».

Tout en soulignant qu'il ne fallait pas abandonner la voie judiciaire au seul profit d'une régulation administrative, il préconisait de distinguer selon que le comportement en cause était manifestement destiné à porter atteinte à la liberté ou consistait seulement en une violation d'une règle de forme n'ayant pas entraîné de préjudice, le premier étant toujours puni d'une peine correctionnelle -le quantum de l'emprisonnement ne devant pas dépasser trois ans-et le second, d'une peine contraventionnelle.

Selon lui, la première catégorie pourrait comprendre cinq infractions actuellement contenues dans le code pénal : la mise en oeuvre d'un traitement sans formalité préalable (article 226-16), la collecte frauduleuse d'informations (article 226-18), la mémorisation de données sensibles sans autorisation des personnes (article 226-19), le détournement de la finalité d'un traitement (article 226-21) et la divulgation à des tiers non autorisés (article 226-22).

Dans la seconde catégorie figureraient l'utilisation illicite du répertoire national d'identification (article 42 de la loi du 6 janvier 1978), le non-respect de l'obligation générale de sécurité (article 226-17 du code pénal), la conservation de données au-delà de la durée initialement prévue ou accordée (article 226-20), ainsi que l'entrave à l'action de la commission (article 43 de la loi du 6 janvier 1978).

Parmi ces dernières infractions, la distinction entre délits et contraventions pourrait aussi ne s'appliquer qu'au préjudice subi. Les infractions n'ayant entraîné aucun préjudice pour les personnes (comme l'omission de modalités de traitement propres à éviter la déformation des informations enregistrées, alors que ces informations ne pourraient en toute hypothèse prêter à confusion) seraient punies des peines prévues pour les contraventions de cinquième classe, les faits ayant entraîné un préjudice (comme les informations ayant entraîné par leur insuffisance des conséquences patrimoniales graves pour un homonyme complètement étranger au traitement) relevant de poursuites correctionnelles.

Le rapport considérait qu'il ne s'agirait pas d'un abaissement du niveau de protection, cette solution présentant l'avantage de permettre des poursuites simples et rapides, le cas échéant par voie d'ordonnance pénale, avec les possibilités de traitement de masse qu'ouvre le jugement des contraventions.

Le projet de loi initial s'est dans une certaine mesure inspiré de ces recommandations.

a) Tout d'abord, il procède à des aménagements formels.

Le chapitre VI de la loi du 6 janvier 1978 est abrogé par l'article 6 du projet de loi, ses articles étant réintroduits, modifiés, dans un nouveau chapitre VIII créé par l'article 8 du projet de loi, voire directement dans le code pénal.

Le paragraphe I procède à des adaptations rédactionnelles de coordination des articles 226-16 à 226-23, du fait de la nouvelle terminologie employée par le projet de loi.

b) Par ailleurs, le projet de loi initial prévoyait un abaissement significatif du niveau des sanctions encourues.

Ainsi, alors que la loi actuelle prévoit des peines allant jusqu'à cinq ans d'emprisonnement et 300.000 euros d'amende, elles étaient abaissées à trois ans d'emprisonnement et 45.000 euros d'amende :

- le non respect des formalités préalables (article 226-16) passait donc de cinq ans d'emprisonnement et 300.000 francs d'amende à trois ans d'emprisonnement et 45.000 euros d'amende ;

- l'utilisation frauduleuse du numéro d'inscription au répertoire national d'identification des personnes physiques ou portant sur la quasi-totalité de la population (article 42 de la loi du 6 janvier 1978 devenu l'article 226-16-1), punie actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende passait à trois ans d'emprisonnement et 45.000 euros d'amende;

- le manquement à l'obligation de sécurité prévue par l'article 34 modifié (article 226-17) puni actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende était abaissé par le projet de loi initial à deux ans d'emprisonnement et 30.000 euros d'amende ;

- la collecte frauduleuse (article 226-18) punie actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende était abaissée par le projet de loi initial à trois ans d'emprisonnement et 45.000 euros d'amende ;

- la conservation des données au-delà de la durée prévue, sans l'accord de la CNIL, de données sensibles ou non, punie par les articles 226-19 et 226-20 de respectivement cinq ans d'emprisonnement et 300.000 euros d'amende et de trois ans d'emprisonnement et 45.000 euros d'amende était abaissée à respectivement trois ans d'emprisonnement et 45.000 euros d'amende et deux ans d'emprisonnement et 30.000 euros d'amende ;

- le détournement de la finalité du traitement, puni par l'article 226-21 de cinq ans d'emprisonnement et 300.000 euros d'amende, était abaissé à trois ans d'emprisonnement et 45.000 euros d'amende ;

En revanche, la divulgation d'informations à des tiers non autorisés pouvant porter atteinte à la vie privée ou à la considération de la personne, punie par l'article 226-22 d'un an d'emprisonnement et 15.000 euros d'amende (7.500 euros d'amende si cette divulgation n'est pas intentionnelle), était relevée à trois ans d'emprisonnement et 45.000 euros d'amende (un an d'emprisonnement et 15.000 euros d'amende lorsqu'elle n'est pas intentionnelle).

c) De plus, la liste des infractions est complétée par le paragraphe I.

Le projet de loi modifie l'article 226-16 en insérant un second alinéa qui prévoit de réprimer le fait de procéder ou de faire procéder à un traitement ayant fait l'objet d'une injonction de cesser le traitement, de procéder à sa destruction ou de retrait de l'autorisation (mesures prévues par l'article 45 modifié).

En outre, le projet de loi codifie les dispositions sanctionnant l'utilisation sans autorisation du répertoire national d'immatriculation des personnes physiques figurant actuellement à l'article 42 de la loi du 6 janvier 1978 en créant un nouvel article 226-16-1. Cette infraction est étendue aux traitements portant sur la totalité ou la quasi-totalité de la population de la France.

Par coordination avec les amendements proposés aux articles 25 et 27 modifiés, votre commission des Lois vous propose un amendement de suppression de cet ajout.

Il est en outre inséré un article 226-18-1, qui réprime le fait de « procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes ».

Actuellement, l'article 226-18 punit déjà la non prise en compte de l'opposition légitime d'une personne de cinq ans d'emprisonnement et 300.000 euros d'amende. Le projet de loi abaisse les sanctions à trois ans et 45.000 euros d'amende.

Les dispositions relatives aux traitements de données à caractère personnel ayant pour fin la recherche en matière de santé, introduites par la loi du 1er juillet 1994 précédemment citée et prévues par l'article 226-18, sont reprises dans un nouvel article 226-19-1. Les sanctions, précédemment de cinq ans d'emprisonnement et 300.000 euros d'amende, sont abaissées à trois ans d'emprisonnement et 45.000 euros d'amende.

Par ailleurs, le projet de loi introduit un article 226-22-1 réprimant la violation des nouvelles dispositions prévues par l'article 12 du projet de loi (articles 68 à 70 nouveaux) consacrées aux transferts de données à caractère personnel vers des Etats tiers. La peine encourue est fixée à deux ans d'emprisonnement et 30.000 euros d'amende.

Enfin, le nouvel article 226-22-2  prévoit que dans les cas prévus aux articles 226-16 à 226-22-1, le juge pourra également demander l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction. Les membres et les agents de la CNIL seront habilités à constater l'effectivité de cet effacement.

Actuellement, le 3° de l'article 21 de la loi du 6 janvier 1978 prévoit déjà que la CNIL peut directement prescrire « la destruction des supports d'informations ». Cette disposition n'avait pas été reprise par le projet de loi initial mais un amendement du rapporteur de l'Assemblée nationale, M. Gérard Gouzes, adopté avec l'avis favorable du Gouvernement, l'a réintroduite à l'article 45 modifié de la loi relatif aux pouvoirs de sanction de la CNIL, ajout que votre commission des Lois vous a proposé par amendement de supprimer.

d) Enfin, les dispositions relatives à la responsabilité pénale des personnes morales sont adaptées par le paragraphe II.

Ainsi, l'article 226-24 du code pénal permettant de rechercher la responsabilité pénale des personnes morales autres que l'Etat et les collectivités locales et leurs groupements pour les infractions prévues par la loi du 6 janvier 1978 est modifié afin d'étendre par coordination aux nouvelles incriminations ce principe de la responsabilité pénale des personnes morales.

Ce principe a été introduit par le nouveau code pénal entré en vigueur le 1er mars 1994. En vertu de son article 121-2, les personnes morales peuvent se voir infliger des peines d'amende, l'interdiction d'exercer, le placement sous surveillance judiciaire, la fermeture de l'établissement, l'exclusion des marchés publics, ainsi que la confiscation et la publicité de la décision.

On rappellera enfin que les articles 7 et 8 du projet de loi renforcent parallèlement les pouvoirs de sanction de la CNIL. Les sanctions pécuniaires qu'elle pourra prononcer seront susceptibles de s'imputer sur l'amende prononcée le cas échéant ultérieurement par le juge sur le fondement des articles précités du code pénal.

De plus, l'article 8 du projet de loi reprend en les adaptant les dispositions figurant actuellement aux articles 41 et 43 précités de la loi du 6 janvier 1978 dans des articles nouveaux numérotés 50 (renvoi aux sanctions prévues par les articles 226-16 à 226-24 du code pénal) et 51 (sanction en cas d'entrave de l'action de la CNIL) regroupés dans un chapitre VIII intitulé : « Dispositions pénales ».

Par ailleurs, il insère dans la loi « Informatique et libertés » un article 52 prévoyant que : « Le procureur de la République avise le président de la CNIL de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et le cas échéant des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date. La juridiction d'instruction ou de jugement peut appeler le président de la CNIL ou son représentant à déposer ses observations ou à les développer oralement à l'audience ».

3- Les modifications apportées par l'Assemblée nationale

L'Assemblée nationale a largement modifié cet article.

a) le refus d'un abaissement du niveau des sanctions pénales

En effet, l'abaissement du niveau des sanctions pénales a fait l'objet de critiques, notamment de la part de la CNIL42(*), même si les peines maximales n'étaient jamais effectivement prononcées et que le nombre de poursuites était extrêmement faible.

Il est certain que les intérêts économiques et financiers de certains grands groupes d'opérateurs commerciaux et les profits potentiels pouvant être retirés du commerce de données à caractère personnel (en termes de prospection commerciale notamment) relativisent fortement l'effet dissuasif d'une amende de 45.000 francs, même multipliée par cinq pour les personnes morales.

Le rapporteur de la commission des Lois de l'Assemblée nationale, M. Gérard Gouzes, s'est donc élevé contre cet abaissement des sanctions pénales, estimant qu'il s'agissait d'un signal très négatif, et a proposé un amendement tendant à rétablir les niveaux de sanction existants. En conséquence, il a également relevé le niveau des sanctions nouvellement prévues par le projet de loi pour la violation des dispositions relatives aux flux transfrontières.

L'Assemblée nationale a adopté cet amendement, malgré l'avis de sagesse donné par la garde des Sceaux, qui considérait que l'abaissement des peines maximales encourues permettrait de les situer à un niveau comparable avec d'autres infractions causant un préjudice plus grave aux victimes, comme les homicides involontaires, punis d'une peine de trois ans d'emprisonnement. La ministre a en outre estimé qu'un tel abaissement permettrait d'éviter un décalage trop important entre les peines maximales prévues et les peines effectivement prononcées.

b) Par ailleurs, l'Assemblée nationale a inséré à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un article 226-16-1 A nouveau instituant une nouvelle infraction pénale réprimant le fait pour un opérateur de mettre en oeuvre un traitement sur le fondement d'une déclaration simplifiée ou d'une dispense de déclaration, et de ne pas respecter par la suite les normes établies à cet effet par la CNIL.

Enfin, l'Assemblée nationale a, à l'initiative M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, étendu la répression des infractions à la loi du 6 janvier 1978 aux traitements non automatisés, par coordination avec le reste du projet de loi.

Votre commission des Lois vous propose donc d'adopter un amendement, puis d'adopter l'article 14 ainsi modifié.

* 12 Rapport public du Conseil d'Etat 1998 : « Pour une meilleure transparence de l'administration, étude sur l'accès des citoyens aux données publiques ».

* 13 L'article 182 B du code général des impôts parle ainsi de « l'installation permanente » de l'entreprise, l'article 1470 du même code parlant de « l'installation fixe » d'un contribuable.

* 14 La déclaration prévoit que le génome humain en son état naturel ne peut donner lieu à des gains pécuniaires ; qu'une recherche, un traitement ou un diagnostic portant sur le génome humain nécessite le consentement préalable, libre et éclairé de l'intéressé ; que nul ne doit faire l'objet de discriminations fondées sur ses caractéristiques génétiques ; que la confidentialité des données génétiques associées à une personne identifiable, conservées ou traitées à des fins de recherche ou dans tout autre but, doit être protégé ; que les limitations aux principes du consentement et de la confidentialité ne peuvent être apportées que par la loi, pour des raisons impérieuses et dans les limites du droit international public et du droit international des droits de l'homme.

* 15 décret n° 78-774 du 17 juillet 1978

* 16 Avis de la CNIL du 26 septembre 2000 relatif à l'avant projet de loi sur la protection des données personnelles.

* 17 en vertu de la loi organique n° 2001-692 du 1er août 2001 relative aux lois de finances.

* 18 On distingue différents types d'autorités de contrôle : le modèle du commissaire à la protection des données -Allemagne, Luxembourg, Royaume-Uni-, le modèle de l'autorité collégiale, composée de magistrats, de parlementaires et d'autres personnalités - Italie, Portugal, Grèce, Danemark - et le modèle de la commission représentative - Suède, Espagne-.

* 19 Article 26 du règlement de l'Assemblée nationale et article 9 du règlement du Sénat

* 20 Cette disposition unifie le régime des députés et sénateurs puisqu'actuellement les sénateurs sont désignés membres de la CNIL non pas pour cinq ans, ni même après chaque renouvellement triennal du Sénat, mais pour la durée de leur mandat de sénateur, soit neuf ans.

* 21 Délibération n° 87-25 du 10 février 1987 modifiée à plusieurs reprises par les délibérations n° 92-087 du 22 septembre 1992, n° 93-048 du 8 juin 1993 et n° 99-43 du 9 septembre 1999.

* 22 S'agissant des données dites sensibles, des données génétiques, des données portant sur des infractions, des condamnations ou des mesures de sûreté, des données ayant pour objet de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, des traitements ayant pour but l'interconnexion de fichiers, des données sur lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ainsi que les appréciations sur les difficultés sociales des personnes et les données biométriques.

* 23 Loi n° 94-126 du 11 février 1994 relative à l'initiative et à l'entreprise individuelle.

* 24 Par exemple la délibération n° 94-112 du 20 décembre 1994 (JO du 3 janvier 1995) portant adoption d'une norme simplifiée concernant les traitements automatisés d'informations nominatives mis en oeuvre à l'aide d'autocommutateurs téléphoniques desservant des postes téléphoniques mis à la disposition de la clientèle contre facturation.

* 25 « Le nombre de traitements automatisés de données personnelles s'élève en France à plusieurs millions. Il ne serait pas raisonnable d'imposer à leurs responsables de les déclarer tous ni de submerger l'autorité de contrôle sous une marée de documents inutiles. Certains ont exprimé le voeu d'une déclaration obligatoire de tous les traitements afin de faire de l'autorité de contrôle un conservatoire. Mais il vaut beaucoup mieux, dans l'intérêt même des libertés et des droits de l'homme, qu'elle consacre ses efforts à la surveillance efficace des traitements réellement ou potentiellement dangereux ».

* 26 pages 115 et 116.

* 27 Avis de la CNIL du 26 septembre 2000.

* 28 Celui-ci soulignait qu'en cas d'avis défavorable de la CNIL, « les gouvernements hésitaient à faire en quelque sorte « appel » de la CNIL au Conseil d'Etat et à se trouver ainsi enfermés entre deux avis d'autorités qui dans les deux cas et de façon inhabituelle dans notre droit, le lient ; ils préfèrent continuer à négocier avec la CNIL pour aboutir à un compromis hypothétique ».

* 29 dont la loi n° 2000-230 du 13 mars 2000 relative à la signature électronique a pour l'essentiel assuré la transposition en droit interne.

* 30 Article 5 ter de l'ordonnance n° 67-833 du 28 septembre 1967 modifiée par la loi n° 89-531 du 2 août 1989.

* 31 en vertu de l'article L. 621-12 du code monétaire et financier.

* 32 Décisions 88-248 DC du 17 janvier 1989 sur le Conseil supérieur de l'audiovisuel, 89-260 DC du 28 juillet 1989 sur la Commission des opérations de bourse, 96-378 DC du 23 juillet 1996 sur l'Autorité de régulation des télécommunications et 97-395 DC sur la loi de finances pour 1998.

* 33Notamment la décision du 23 octobre 1995, Gradinger c/ Autriche.

* 34L'arrêt Kress contre France de la Cour européenne des droits de l'Homme du 7 juin 2001 a considéré que la présence du commissaire du Gouvernement auprès du Conseil d'Etat au délibéré constituait une violation de l'article 6§1 relatif au droit à un procès équitable.

* 35 Délibération n° 97-008 du 4 février 1997

* 36 Délibération n° 01-011 du 8 mars 2001

* 37 Loi n° 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé.

* 38 Loi n° 99-641 du 27 juillet 1999 relative à la création de la couverture maladie universelle.

* 39 Par sa décision n° 94-352 DC du 18 janvier 1995 relative à la loi de programmation sur la sécurité, le Conseil constitutionnel avait considéré à propos de la demande d'autorisation prévue auprès du préfet pour la mise en place de systèmes de vidéosurveillance qu'elle devait être expresse, s'agissant d'un domaine touchant aux libertés individuelles et publiques.

* 40 Délibération n° 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelles traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles.

* 41 Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel créé par l'article 29 de la directive avait recommandé le 25 février 1997 le respect du principe de proportionnalité dans l'octroi des dérogations - notamment en fonction des garanties accordées aux personnes par la législation sur la presse- et une limitation des dérogations et exemptions aux traitements de données à des fins de journalisme, aucune dérogation ne pouvant être prévue au chapitre III (recours juridictionnel, responsabilité, sanctions).

* 42 « L'abaissement des sanctions ne parait pas justifié. Une telle initiative pourrait de surcroît altérer l'esprit de la réforme : la protection des données personnelles et de la vie privée n'a pas une moindre valeur aujourd'hui qu'hier » : avis de la CNIL sur le présent projet de loi - septembre 2000.