Allez au contenu, Allez à la navigation

Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

19 mars 2003 : Protection des personnes physiques à l'égard des traitements de données ( rapport - première lecture )

 

 

Accéder au dossier législatif

Rapport n° 218 (2002-2003) de M. Alex TÜRK, fait au nom de la commission des lois, déposé le 19 mars 2003

Disponible au format Acrobat (1016 Koctets)

Tableau comparatif au format Acrobat (430 Koctets)

N° 218

SÉNAT

SESSION ORDINAIRE DE 2002-2003

Annexe au procès-verbal de la séance du 19 mars 2003

RAPPORT

FAIT

au nom de la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur le projet de loi, ADOPTÉ PAR L'ASSEMBLÉE NATIONALE, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés,

Par M. Alex TÜRK,

Sénateur.

(1) Cette commission est composée de : M. René Garrec, président ; M. Patrice Gélard, Mme Michèle André, MM. Pierre Fauchon, José Balarello, Robert Bret, Georges Othily, vice-présidents ; MM. Jean-Pierre Schosteck, Laurent Béteille, Jacques Mahéas, Jean-Jacques Hyest, secrétaires ; MM. Nicolas Alfonsi, Jean-Paul Amoudry, Robert Badinter, Mme Nicole Borvo, MM. Charles Ceccaldi-Raynaud, Christian Cointat, Raymond Courrière, Jean-Patrick Courtois, Marcel Debarge, Michel Dreyfus-Schmidt, Gaston Flosse, Jean-Claude Frécon, Bernard Frimat, Jean-Claude Gaudin, Charles Gautier, Daniel Hoeffel, Pierre Jarlier, Lucien Lanier, Jacques Larché, Jean-René Lecerf, Gérard Longuet, Mme Josiane Mathon, MM. Jacques Peyrat, Jean-Claude Peyronnet, Henri de Richemont, Josselin de Rohan, Bernard Saugey, Jean-Pierre Sueur, Simon Sutour, Alex Türk, Maurice Ulrich, Jean-Paul Virapoullé, François Zocchetto.

Voir les numéros :

Assemblée Nationale (11e législ.) : 3250, 3256 et T.A. 780

Sénat : 203 (2001-2002)

Droits de l'homme et libertés publiques.

LES CONCLUSIONS DE LA COMMISSION

Réunie le mercredi 19 mars 2003 sous la présidence de M. René Garrec, la commission des Lois a examiné, sur le rapport de M. Alex Turk, le projet de loi n° 203 (2001-2002), adopté par l'Assemblée nationale, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

M. Alex Turk a tout d'abord rappelé que ce texte fondateur était appelé à évoluer afin d'assurer la transposition de la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, mais aussi de prendre en compte le développement de la micro-informatique privée, qui substituait au risque d'un Etat Léviathan celui de milliers de Big brother privés potentiels. Il a donc considéré que la loi, fondée sur une distinction entre traitements publics et privés, et favorisant les contrôles préalables, n'était plus adaptée.

Après avoir regretté les retards de la transposition, M. Alex Türk, rapporteur, s'est félicité de la hausse de la protection des personnes physiques résultant du renforcement pouvoirs de contrôle a posteriori de la CNIL prévu par le présent projet de loi.

Il a toutefois souhaité y apporter des précisions. La commission des Lois a ainsi adopté 88 amendements tendant à concilier le renforcement de la protection des personnes avec la préservation des intérêts des entreprises et de la recherche et de l'intérêt général en :

1- encourageant l'anonymisation des données à caractère personnel (articles 2, 8 et 11 de la loi du 6 janvier 1978 modifiés par les articles 1er, 2 et 3 du projet de loi) par des allègements de formalités préalables (articles 8 et 32 de la loi du 6 janvier 1978 modifiés par les articles 2 et 5 du projet de loi) ;

2- augmentant la protection des droits et libertés des personnes :

- en remplaçant le terme d'« orientation sexuelle » par celui de « vie sexuelle», moins restrictif (article 8 modifié de la loi du 6 janvier 1978) ;

- en prévoyant que s'agissant de données sensibles, le consentement exprès des personnes concernées ne suffit pas nécessairement (article 8 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ;

- en prenant en compte les traitements donnant lieu à des interconnexions et non pas uniquement ceux ayant cette finalité (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en complétant la liste des informations devant être fournies à la CNIL par le responsable des traitements et en complétant l'information des personnes (articles 30 et 32 de la loi du 6 janvier 1978 modifiés par les articles 4 et 5 du projet de loi) ;

- en érigeant en principe la publicité des avis, décisions et recommandations de la CNIL (article 31 de la loi du 6 janvier1978 modifié par l'article 4 du projet de loi) ;

- en étendant l'obligation de sécurité (article 34 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi).

3- réorganisant et renforçant les pouvoirs de la CNIL

- en élargissant le rôle de la CNIL (en soulignant son rôle de veille technologique, en encourageant sa collaboration avec d'autres autorités administratives indépendantes et en renforçant sa position lors des négociations internationales) (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en étendant le champ des délégations au président et au vice-président délégué (article 15 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi).

4- préservant les intérêts économiques et la recherche

- en dérogeant à l'interdiction de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données à caractère personnel de « profiling » si les demandes de la personne concernée ont été satisfaites (article 10 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi)  ;

- en autorisant des déclarations uniques pour des catégories similaires de traitement relevant d'un même organisme (article 23 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en restreignant le champ des traitements devant être soumis à l'autorisation de la CNIL à ceux ayant pour finalité d'exclure des personnes et non ceux ayant pour finalité d'attribuer des droits (article 25 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en modifiant le régime introduit par l'Assemblée nationale concernant les témoins de connexion (cookies) afin de prendre en compte l'article 5 de la directive du 12 juillet 2002 dite « vie privée et communications électroniques » intervenue entre-temps : en supprimant la disposition interdisant de subordonner l'accès à un service en ligne à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal ; en supprimant le régime répressif prévu ainsi que le caractère préalable de l'information requise (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;

- en transposant la dérogation à l'obligation d'information de la personne en cas de collecte indirecte des données si elle en a déjà été informée (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;

- en supprimant la possibilité accordée à la CNIL d'ordonner la destruction de traitements, le nouvel article 226-22-2 du code pénal donnant cette possibilité au juge (article 45 de la loi du 6 janvier 1978 modifié par l'article 7du projet de loi) ;

- en autorisant des transferts de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection suffisant en cas d'existence d'un règlement intérieur présentant des garanties suffisantes (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi) ;

5- développant une véritable collaboration avec la CNIL

- en précisant que la CNIL doit informer les responsables de traitements et en permettant à des organismes de recherche de faire homologuer des règles professionnelles par la CNIL (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en encourageant l'institution de correspondants de la CNIL dans les entreprises privées -sur la base du volontariat, et sur le modèle des correspondants existants dans la presse et dans les organismes publics-. Il s'agit d'une transposition d'une possibilité offerte par le point 2 de l'article 18 de la directive et déjà appliquée en Allemagne et en Suède. En contrepartie, les entreprises bénéficieront d'une exemption de déclaration de leurs traitements sous réserve de la tenue d'un registre (articles 11 et 22 de la loi du 6 janvier 1978 modifiés par les articles 3 et 4 du projet de loi) ;

- en mettant à la disposition du public la liste des pays tiers réputés assurer un niveau de protection suffisant (article 31 de la loi du 6 janvier1978 modifié par l'article 4 du projet de loi) ;

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

La France a été l'un des premiers Etats à introduire dans sa législation des dispositions protégeant les personnes physiques contre les risques induits par l'informatique sur leur vie privée.

Tout d'abord, cette menace a été perçue comme susceptible de provenir d'un Etat-Léviathan. La loi du 6 janvier 1978 a donc distingué les traitements publics réputés plus dangereux et les traitements privés bénéficiant d'une présomption d'innocuité, cette distinction organique étant tempérée par une distinction matérielle entre traitements de données sensibles et traitements courants ne comportant manifestement pas d'atteinte aux libertés.

Cette perspective a désormais évolué. Le développement de l'informatique dans les entreprises a conduit à une diversification des risques, encore décuplée par le développement d'Internet. L'Etat n'est désormais plus le seul à pouvoir opérer des recoupements et des interconnexions susceptibles de porter atteinte à la vie privée des personnes physiques.

Entre-temps, l'approche normative a évolué, notamment sous l'influence des organisations internationales, conscientes de la valeur marchande de ces données. Elle est ainsi passée de la protection de la vie privée à la promotion de la libre-circulation et de la commercialisation des informations nominatives.

La directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données a pour sa part tenté de concilier avec pragmatisme ces deux intérêts.

S'inspirant fortement de la loi du 6 janvier 1978, longtemps considérée comme un modèle en Europe, elle s'adapte néanmoins aux évolutions technologiques intervenues ces dernières décennies.

Le présent projet de loi, adopté le 30 janvier 2002 en première lecture à l'Assemblée nationale, en assure donc -avec près de cinq ans de retard- la transposition.

I. LE RÔLE PRÉCURSEUR MAIS DÉSORMAIS APPELÉ À ÉVOLUER DE LA LOI INFORMATIQUE ET LIBERTÉS 

A. UNE INITIATIVE INNOVANTE : LA LOI DU 6 JANVIER 1978

Dès la fin des années soixante, des chercheurs mettent en avant les risques sur les libertés publiques du développement de l'informatique, notamment dans les administrations publiques.

Le Land de Hesse en 1970, puis la Suède en 1976, se dotent d'une législation spécifique. En janvier 1974, les Etats-Unis adoptent un Privacy Act limité aux fichiers détenus par les administrations fédérales et prévoyant un droit d'accès pour les citoyens.

En France, la prise de conscience intervient en 1974 avec la révélation au public1(*) des projets d'élaboration d'un « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), prévoyant une interconnexion des fichiers publics (dont les renseignements généraux, la direction de la sécurité du territoire et la police judiciaire) à partir d'un identifiant unique, le numéro de sécurité sociale.

Une commission présidée par M. Chenot fut alors chargée de proposer des mesures tendant à concilier le développement de l'informatique dans les secteurs public, semi-public et privé et le respect de la vie privée, des libertés individuelles et des libertés publiques. Son rapport, rédigé par MM. Bernard Tricot et le professeur Pierre Catala, remis en juin 1975, inspira la loi du 6 janvier 1978.

Dès son article 1er, elle proclame que « L'informatique doit être au service de chaque citoyen. (...) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Ce principe de protection de la vie privée implique le caractère uniquement fonctionnel de tout traitement automatisé.

1. Des traitements d'informations nominatives en principe autorisés, mais fortement encadrés

a) Un champ d'application étendu

La loi du 6 janvier 1978 régit la collecte et l'utilisation des informations nominatives, définies à l'article 4 comme permettant d'identifier, directement ou indirectement, des personnes physiques.

Elle exclut les traitements dont l'usage relève du strict exercice du droit à la vie privée (article 45), mais s'applique aux :

traitements automatisés, quelle que soit la technique utilisée, définis à l'article 5 comme : « tout ensemble d'opérations réalisées par les moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation des fichiers ou bases de données et notamment les interconnexions et rapprochements, consultations ou communications d'informations nominatives » ;

- « fichiers manuels ou mécanographiques », inclus à l'initiative du Parlement, mais soumis uniquement à certaines dispositions de la loi (notamment celles relatives à la collecte, l'enregistrement et la conservation des informations, ainsi qu'au droit d'accès ou d'opposition), à l'exclusion de certaines obligations telles que les formalités préalables à la mise en oeuvre. Le quatrième alinéa de l'article 45 permet d'étendre le champ des dispositions leur étant applicables par décret en Conseil d'Etat sur proposition de la CNIL, mais cette disposition n'a jamais été appliquée.

b) Des formalités préalables à la mise en oeuvre des traitements reposant sur une distinction organique

Tout traitement automatisé d'informations nominatives doit faire l'objet, avant sa mise en oeuvre, d'une demande d'avis ou d'une déclaration auprès de la CNIL.

La loi du 6 janvier 1978 prévoit des formalités préalables différentes selon la nature du responsable du traitement :

- les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public sont présumés dangereux et requièrent donc un avis de la CNIL, puis un acte réglementaire d'autorisation. Cet avis est réputé favorable au terme d'un délai de deux mois, renouvelable une fois. S'il est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant des collectivités territoriales, en vertu d'une décision de l'organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat (article 15) ;

- en revanche, les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) sont soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi (article 16).

La création de traitements automatisés « clandestins » est réprimé par l'article 226-16 du code pénal.

c) Une ébauche de distinction matérielle

La loi établit une seconde distinction, matérielle cette fois, entre les données, en prévoyant que les formalités pourront être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés », une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL étant alors exigée (article 17).

Au contraire, certaines données nominatives, dites sensibles, font l'objet d'une réglementation spécifique :

- la mise en oeuvre de traitements d'informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou moeurs est subordonnée au consentement exprès de l'intéressé ou à l'existence d'un motif d'intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d'Etat (article 31) ;

- l'utilisation à des fins de traitement nominatif du numéro de sécurité sociale est soumise à autorisation par décret en Conseil d'Etat, après avis de la CNIL (article 18) ;

- les informations sur les condamnations pénales ne peuvent être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;

- les données médicales, bien que ne constituant pas des données sensibles interdites, sont soumises à des régimes particuliers (chapitres V bis en matière de recherche et V ter en matière d'évaluation et d'analyse des activités de soins et de prévention).

Le non-respect de ces dispositions est puni de cinq ans d'emprisonnement et 300.000 euros d'amende. Des dérogations sont prévues au bénéfice des églises ou des groupements à caractère religieux, philosophique, politique ou syndical (article 31) et des organismes de la presse écrite ou audiovisuelle (article 33).

d) Une protection des personnes fondée sur la transparence

A l'exception des données sensibles, et sous réserve des formalités déclaratives préalables, la collecte et le traitement d'informations nominatives sont libres. Toutefois, la collecte des données par des moyens frauduleux, déloyaux ou illicites est interdite (article 25), et réprimée pénalement (article 226-18 du code pénal).

La loi impose aux responsables de traitements nominatifs de préciser dans leurs déclarations et demandes d'avis certaines informations, qui permettront ensuite aux personnes concernées d'exercer leur droit d'accès et d'opposition2(*).

Elaborée au cours de la même période que les lois instituant une Commission d'accès aux documents administratifs et érigeant en principe la motivation des actes administratifs individuels, la loi repose donc sur le principe de transparence, qui se décline en droits d'accès, d'opposition, de communication ou de rectification pour la personne concernée.

Les personnes concernées doivent être informées de leur :

droit d'accès : toute personne a le droit de savoir si des informations nominatives la concernant figurent dans un traitement et d'en obtenir communication (articles 34 et 35). Néanmoins, s'agissant des traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, l'intéressé doit s'adresser à la CNIL, l'un de ses membres ayant qualité de magistrat exerçant alors ce droit pour son compte (article 39) ;

droit de rectification : la personne peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations erronées ou illégalement enregistrées la concernant (article 36), et les responsables doivent garantir la qualité des données collectées (article 29) ;

droit d'opposition : toute personne physique peut s'opposer, pour des « raisons légitimes », à ce que des informations nominatives la concernant fassent l'objet d'un traitement, à l'exception de ceux mis en oeuvre par les autorités publiques ou par les personnes privées gérant un service public (article 26), le déni de ce droit étant pénalement réprimé (article 226-18 du code pénal). Néanmoins, la collecte d'informations nominatives est libre et non subordonnée au consentement de la personne.

e) Des obligations a posteriori en pratique souvent réduites pour les responsables

La loi du 6 janvier 1978 prévoit un certain nombre d'obligations pour le responsable de traitement, mais leur application s'est en pratique révélée difficile.

Tout d'abord, le responsable doit informer la CNIL de l'évolution du traitement par le biais d'une déclaration de modification ou de suppression. En effet, si la loi ne fait pas expressément mention d'un principe de finalité, le détournement de finalité d'un traitement d'informations nominatives est passible de cinq ans d'emprisonnement et de 300.000 euros d'amende (article 226-21 du code pénal).

En outre, la durée de conservation des informations ne peut excéder « la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées » (article 28), mis à part pour des traitements à des fins historiques, statistiques ou scientifiques. Ceci constitue donc un « droit à l'oubli » pour les personnes concernées.

De même, la cession d'informations nominatives à des tiers (sous forme de rapprochements ou d'interconnexions) doit être prévue dans la déclaration initiale ou avoir fait l'objet d'un avis de modification. Le respect de cette obligation est particulièrement important, la commercialisation des fichiers représentant désormais un marché énorme. L'acquéreur est tenu de respecter les dispositions de la loi du 6 janvier 1978 (notamment les droits d'opposition, d'accès et de rectification des personnes concernées).

Par ailleurs, les responsables de traitements doivent assurer la sécurité et la confidentialité des traitements (article 29)3(*), le non-respect de cette obligation de précaution étant puni pénalement (article 226-17 du code pénal).

Enfin, la transmission des informations vers l'étranger est possible, sous réserve d'être mentionnée dans la déclaration initiale ou la demande d'avis. Si l'article 24 de la loi prévoit que le transfert de certains traitements soumis à déclaration peut être assujetti à un régime particulier, y compris d'autorisation préalable, le décret en Conseil d'Etat prévu à cet effet n'a jamais été publié.

2. Une autorité de contrôle innovante mais principalement tournée vers le contrôle formel a priori

La Commission nationale de l'informatique et des libertés (CNIL) a été la première instance de contrôle qualifiée de « autorité administrative indépendante » créée.

Elle compte dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat : deux députés et deux sénateurs élus par l'Assemblée nationale et le Sénat ; deux membres, respectivement du Conseil économique et social, du Conseil d'Etat, de la Cour de cassation et de la Cour des comptes ; deux personnalités qualifiées nommées par décret sur proposition des présidents des assemblées parlementaires ; trois personnalités désignées par décret en Conseil des ministres en raison de leur autorité et de leur compétence. Elle élit en son sein pour cinq ans un président et deux vice-présidents (article 8). Un commissaire du Gouvernement chargé de tenir informé le Premier ministre siège auprès d'elle, avec pour seul pouvoir de convoquer une seconde délibération dans les dix jours d'une délibération (article 9).

La CNIL est chargée de « veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives » (article 6).

a) Une mission d'information reconnue mais une vocation de conseil à affirmer

La CNIL a tout d'abord contribué à sensibiliser le grand public aux risques induits par le développement de l'informatique et des nouvelles technologies de l'information et de la communication4(*).

Elle tient ainsi à la disposition du public le registre des traitements déclarés avec leurs principales caractéristiques, ainsi que ses décisions, avis ou recommandations (article 22), à l'exception de certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique (article 20). Elle a par ailleurs développé une politique très active de communication par l'intermédiaire de son site Internet, créé en 1998, et qui a accueilli en 2001 900.000 visiteurs.

En outre, elle joue un rôle de conseil auprès des personnes et organismes mettant en oeuvre des traitements automatisés d'informations nominatives ou désireux de le faire (article 1er du décret n° 78-774 du 17 juillet 1978). Depuis 1978, elle a ainsi reçu plus de 11.500 demandes de conseil. En 2001, les secteurs d'activité ayant suscité le plus de demandes étaient par ordre décroissant le travail, la santé, l'immobilier et la fiscalité. Les demandes de conseil portent le plus fréquemment sur les formalités préalables à la mise en oeuvre des fichiers5(*).

Enfin, elle remet chaque année au président de la République ainsi qu'aux présidents des assemblées parlementaires un rapport d'activité (article 23).

b) Un contrôle encore essentiellement formel et a priori

La CNIL exerce un contrôle formel sur les déclarations portant sur la mise en oeuvre des traitements automatisés, plus appuyé s'agissant des demandes d'avis.

Par ailleurs, elle peut procéder à des vérifications sur place des conditions de mise en oeuvre d'un traitement. La commission peut se faire communiquer tout renseignement et complément utile à sa mission, recueillir des témoignages et lever l'obligation de confidentialité des informaticiens (article 13). Aucun responsable de traitement, même ministre, ne peut s'opposer à son action. Il doit au contraire prendre toutes mesures utiles afin de faciliter sa tâche (article 21). Le délit d'entrave à l'action de la CNIL est passible d'un an d'emprisonnement et de 15.000 francs d'amende (article 43).

En 2001, la CNIL a procédé à une trentaine de contrôles sur place et à deux auditions en séance plénière.

Elle reçoit également les réclamations, pétitions et plaintes, adresse des avertissements et dénonce au parquet les infractions dont elle a connaissance (article 21).

La CNIL a reçu depuis 1978 plus de 36.200 plaintes (au 31 décembre 2001). Les secteurs d'activité ayant suscité en 2001 le plus grand nombre de plaintes étaient, par ordre décroissant, la prospection commerciale, la banque, le travail et les télécommunications. Les plaintes concernent le plus fréquemment l'exercice des droits, et plus particulièrement du droit d'opposition à figurer dans un traitement ou à faire l'objet de prospection commerciale, mais également l'exercice du droit d'accès aux données.

En 2001, la CNIL n'a délivré aucun avertissement, ce qui maintient à 47 le nombre d'avertissements émis depuis 1978. En revanche, la CNIL a transmis à la justice une affaire de divulgation sur Internet d'informations sensibles, ce qui porte à 18 le nombre de dénonciations au parquet effectuées.

Le nombre de dossiers reçus et traités par la CNIL en 2002 par rapport à celui de 1995 a augmenté de 135 %, alors que dans le même temps, les effectifs budgétaires de la CNIL n'augmentaient que de 35 %, pour passer de 55 à 74 agents. L'autorité britannique, aux compétences moins étendues, comprend déjà 110 personnes et l'autorité allemande plus de 250 personnes.

Or, le présent projet de loi va nécessiter des moyens accrus, du fait de l'augmentation attendue des contrôles sur place.

De même, la CNIL ne dispose que d'un budget de 6,724 millions d'euros pour 2003, les dépenses de personnel en représentant les deux tiers.

c) Un pouvoir réglementaire intéressant

La CNIL peut, outre l'établissement de son règlement intérieur (article 8) :

- élaborer des normes simplifiées pour les catégories les plus courantes de traitements ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés (article 17). Au 31 décembre 2001, le nombre de traitements enregistrés par la CNIL depuis 1978 était de plus de 800.000, dont 67,5 % déclarés selon une procédure simplifiée ;

- définir des règlements types tendant à assurer la sécurité des systèmes (article 21). Elle n'a usé de cette compétence qu'une seule fois (délibération n° 81-94 du 21 juillet 1981).

La loi du 6 janvier 1978 a donc eu une action très positive. Elle doit cependant aujourd'hui être remaniée, du fait de l'évolution technologique et de l'adoption d'une directive communautaire.

B. UN REMANIEMENT INÉLUCTABLE MOTIVÉ PAR DES IMPÉRATIFS TECHNOLOGIQUES ET COMMUNAUTAIRES

Un bilan positif de l'action de la CNIL a pu être dressé. En effet, elle a su définir une véritable jurisprudence grâce à des avis fortement motivés et jouer un rôle normatif par le biais de ses recommandations et de ses normes simplifiées. Elle a en outre exercé une action pédagogique auprès des administrations et des entreprises.

Néanmoins, le système a révélé des faiblesses.

1. Des faiblesses inhérentes à la loi

Des millions de traitements n'ont pas été déclarés6(*), tandis que le bilan de la répression, administrative et pénale, est globalement faible, quelques dizaines de sanctions ou de poursuites. En effet, la CNIL ne dispose que de moyens réduits.

En outre, de très importants fichiers de sécurité concernant tous les citoyens et comportant de graves dangers pour leurs droits et libertés ont fonctionné et pour certains fonctionnent encore sans autorisation. Saisie de ces traitements, la CNIL a donné des avis défavorables, mais le Gouvernement n'a pas voulu passer outre par décret pris en Conseil d'Etat. Le Conseil d'Etat ayant jugé que des avis négatifs, même s'ils avaient pour effet de lier l'autorité compétente, ne constituaient pas des décisions susceptibles de recours, cette situation s'apparente à un déni de droit.

Par ailleurs, le droit d'accès indirect n'a pas fonctionné de manière satisfaisante, les services ne montrant souvent aux magistrats de la CNIL que des dossiers partiels et la CNIL ne pouvant qu'informer les personnes que les vérifications avaient été effectuées, sans pouvoir en communiquer les résultats.

Enfin, la multiplication de lois particulières7(*) a été source d'incohérences.

2. Des faiblesses découlant de facteurs externes

a) Des milliers de Big brother privés potentiels

L'émergence de « la société de l'information » conduit à s'interroger sur la pérennité de la loi du 6 janvier 1978.

En effet, elle se caractérise par un développement considérable de l'informatique au sein des entreprises, qui possèdent aujourd'hui des fichiers de données à caractère personnel susceptibles de porter atteinte aux libertés individuelles. Leur présomption d'innocuité ne parait plus aussi justifiée.

Ces traitements poursuivent notamment des buts d'organisation interne, comme la mise en place de systèmes de gestion simplifiée des rémunérations, mais peuvent également conduire à décider d'accorder ou non une prestation ou un service à une personne, ou d'améliorer leur démarche commerciale grâce à des techniques de « profilage » de leur clientèle, actuelle ou prospective. Les données sont devenues des marchandises qu'on vend, achète, sous-traite ou enrichit.

Or, alors que l'achat, la cession ou la revente de ces données constitue une activité fort lucrative, leur traitement demeure soumis à une simple déclaration auprès de la CNIL.

La loi est donc restée centrée sur son objectif initial -les grands ordinateurs publics- et n'a pas su s'adapter au passage à la micro-informatique privée et démocratisée.

b) Les défis de la convergence technologique

A la crainte de l'apparition d'un Etat Big brother a succédé l'apparition de témoins de connexion (cookies) permettant de classer les sites personnels et les individus par rubrique sur Internet. La plus grande régie mondiale de publicité, la société américaine Double click a ainsi été accusée de collecter trop d'informations intimes sur les internautes et de combiner ces données avec des informations nominatives détaillées. Les techniques de profilage, de traçage, les moyens de paiement en ligne sont autant d'occasions de collecte et de traitement de données personnelles. La CNIL a d'ailleurs rappelé dans deux délibérations du 7 novembre 1995 que la loi de 1978 a également vocation à s'appliquer à la circulation des données nominatives sur Internet.

En outre, la « convergence technologique » a également contribué à fragiliser son dispositif. Internet véhicule ainsi indifféremment du texte, de l'image et du son. Le développement des cartes à puces, la vidéo-surveillance et les nouveaux services de téléphonie fixe ou mobile reposent sur l'exploitation de données de connexion aux réseaux numériques.

Par conséquent, la notion de fichiers traditionnels apparaît largement obsolète et incapable de recouvrir l'ensemble des problèmes. La directive opère d'ailleurs un glissement sémantique substituant à l'expression « informations nominatives »  celle de « données à caractère personnel » afin de garantir la protection de la vie privée « quelles que soient les techniques concernées » et adopte une neutralité technologique visant à préserver la loi d'évolutions aujourd'hui imprévisibles.

c) La pression exercée par le droit international en faveur de la libre circulation des informations nominatives

Au début des années 80, la multiplication de lois comparables en Europe a suscité la crainte de certains Etats que les législations sur la protection des données n'entravent la libre circulation et les échanges commerciaux dont elles font l'objet.

Tout d'abord, l'OCDE adopte le 23 septembre 1980 « les lignes directrices régissant la vie privée et le flux transfrontières des données à caractère personnel ». Ce document, dépourvu de valeur juridique contraignante, retient une approche privilégiant la libre-circulation des données.

Le Conseil de l'Europe adopte ensuite la convention n° 108 du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Entrée en vigueur le 1er octobre 1985, elle évoque en préambule « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et la libre circulation de l'information entre les peuples ».

Elle prévoit que les Etats s'abstiennent de limiter les flux de données sauf lorsqu'un Etat ne se conforme pas « pour l'essentiel » aux lignes directrices, ou lorsque la réexportation des données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles. Les Etats ne doivent pas élaborer de lois ou procédures qui, sous couvert de protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation des données allant au-delà des exigences propres à cette protection. L'harmonisation préconisée des législations est donc fondée sur la nécessité d'empêcher que les flux internationaux de données ne subissent des interruptions.

Les lignes directrices adoptées par l'Assemblée générale des Nations-Unies8(*) en 1990 établissent ensuite les garanties minimales s'appliquant aux fichiers publics et privés devant figurer dans les législations nationales.

Les données doivent circuler librement entre les Etats lorsque ceux-ci offrent des garanties comparables. Dans le cas contraire, les limites ne doivent pas dépasser ce qui est nécessaire à la protection de la vie privée.

Il s'agit du premier instrument international à recommander la mise en place d'une autorité de contrôle, mais il est dépourvu de valeur juridique obligatoire.

Enfin, l'article XIV de l'accord du 15 avril 1994 établissant l'Organisation mondiale du commerce dispose que « sous réserve que ces mesures ne soient pas appliquées de façon à constituer soit un moyen de discrimination arbitraire ou injustifiable entre les pays où des conditions similaires existent, soit une restriction déguisée au commerce des services, [le présent accord] n'empêche pas l'adoption ou l'application de mesures nécessaires pour assurer le respect des lois et règlements qui ne sont pas incompatibles avec les dispositions du présent accord, y compris celles qui se rapportent à la protection de la vie privée des personnes pour ce qui est du traitement et de la discrimination des données personnelles, ainsi qu'à la protection du caractère confidentiel des dossiers et comptes personnels ».

On distingue donc deux points de vue, certes compatibles, mais correspondant néanmoins à deux sensibilités différentes. Tandis que les droits allemand, français ou suédois font de la protection de l'individu face aux dangers de l'informatique une fin en soi, les droits international et européen font de cette protection la contrepartie du principe de libre circulation de l'information.

3. L'exigence de transposition en droit interne de la directive 95/46 du 24 octobre 1995

L'Union européenne s'est elle aussi dotée d'un cadre commun avec la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

L'article 7 de la Charte des droits fondamentaux, proclamée au Conseil européen de Nice le 7 décembre 2000, dispose en outre que : « Toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »

Il s'agit dans une large mesure d'une consécration de la loi du 6 janvier 1978, qui a servi de base aux négociations de la directive.

a) La genèse de la directive

La question de la compétence de la Communauté européenne pour légiférer dans cette matière s'est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence. Néanmoins, la Commission des Communautés européennes a considéré qu'il s'agissait principalement d'établir la libre circulation des données à caractère personnel, considérées comme des marchandises, ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».

Sa négociation fut longue et difficile, s'agissant d'un problème de liberté opposant des cultures différentes.

Le Conseil d'Etat s'est prononcé en assemblée générale par un avis du 10 juin 19939(*) invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d'inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.

En outre, le Parlement a adopté des résolutions sur ce projet en application de l'article 88-4 de la Constitution issu de la révision du 25 juin 1992.

L'Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l'intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises. Elle craignait également que les options très larges laissées aux Etats membres pour la transposition ne garantissent pas l'homogénéité de cette protection dans la Communauté européenne. Elle demandait donc au Gouvernement de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les Etats membres, et de garantir aux Etats membres le pouvoir d'interdire le transfert de données à caractère personnel vers des pays tiers n'assurant pas un niveau de protection adéquat, au besoin par l'instauration d'une procédure d'urgence.

Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l'espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les Etats membres.

Ces recommandations ont été suivies dans une large mesure.

b) Les principales différences avec la loi du 6 janvier 1978

La loi du 6 janvier 1978 prévoit déjà un certain nombre de points importants de la directive, comme le principe de loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d'information, de rectification ou d'opposition des personnes, ainsi que l'exigence d'une autorité de contrôle indépendante.

Toutefois, des différences substantielles existent entre la loi du 6 janvier 1978 et la directive 95/46, requérant en conséquence une modification de notre législation, même si elle comporte de nombreuses options, exceptions et dérogations, qui laissent aux Etats membres de grandes marges d'appréciation dans sa transposition.

(1) Le champ d'application

Tout d'abord, la directive ne s'applique qu'aux traitements relevant du champ de compétences de l'Union européenne, c'est à dire qu'elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l'Etat, droit pénal).

En revanche, son champ d'application est élargi puisqu'elle s'étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l'expiration d'un délai de 12 ans à compter de son adoption, c'est à dire en octobre 2007.

Par ailleurs, elle couvre les sons et les images à l'exclusion des traitements de vidéosurveillance mis en oeuvre à des fins de sécurité publique.

(2) La méthode retenue

La directive s'attache tout d'abord à définir les conditions générales de licéité des traitements, puis les droits fondamentaux des personnes concernées ainsi que les restrictions susceptibles d'y être apportées, avant de déterminer les procédures et recours destinés à assurer la régularité des traitements de données à caractère personnel.

La directive privilégie donc clairement les principes de fond sur les dispositions de forme, les Etats membres possédant davantage de marge de manoeuvre pour transposer les secondes que les premières.

Ce choix fondamental implique donc un bouleversement de la loi du 6 janvier 1978, qui déduit d'une distinction fondée sur la nature juridique du destinataire du traitement la procédure et les règles de forme applicables.

(3) L'égalité de principe entre secteurs public et privé

Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure.

Ainsi, les traitements de données à caractère personnel, qu'ils soient privés ou publics, ne sont plus désormais soumis qu'à une obligation de déclaration préalable auprès de l'autorité de contrôle.

La distinction entre les régimes de la déclaration et de l'autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.

On retrouve un tel précédent dans la loi « informatique et libertés »  en matière de traitement de recherche dans le domaine de la santé et d'évaluation des pratiques de soins.

L'assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s'appliquant qu'aux traitements relevant du champ de compétence de l'Union européenne.

(4) Le renforcement du contrôle a posteriori

L'article 20 de la directive indique que les Etats membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre ». A l'inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu'à une déclaration simplifiée ou même être exonérés de toute formalité.

Parallèlement à cette limitation des contrôles a priori, la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori. L'article 28 de la directive relatif aux prérogatives de l'autorité de contrôle précise donc qu'elle doit disposer en particulier de pouvoirs d'investigations ou d'accès aux données ainsi que de pouvoirs « effectifs d'intervention » lui permettant le cas échéant d'ordonner le verrouillage, l'effacement ou la destruction des données.

Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l'insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.

(5) La reconnaissance de l'importance des flux internationaux de données à caractère personnel

Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d'autres Etats membres de la Communauté européenne et ceux intervenant vers des Etats tiers.

Or, la mondialisation de la circulation des données a été démultipliée par l'apparition des nouvelles technologies de l'information et de la communication.

Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des Etats membres de l'Union européenne.

En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat. La directive prévoit des mécanismes communautaires permettant de l'évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d'intervention en la matière de l'autorité nationale de contrôle.

II. UNE LOI DU 6 JANVIER 1978 MAINTENUE, MAIS PROFONDÉMENT REMANIÉE

A. UNE TRANSPOSITION S'OPÉRANT DANS LE CADRE DE LA LOI DU 6 JANVIER 1978

1. Une transposition longtemps attendue

L'article 189 du traité instituant la Communauté européenne prévoit que « la directive lie tout Etat membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ».

Un texte national de transposition est donc nécessaire.

L'article 32 de la directive indique que « les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l'issue d'une période de trois ans à compter de son adoption », soit le 24 octobre 1998.

Force est de constater que plus de quatre ans après l'expiration de ce délai, sa transposition n'est toujours pas assurée, ce qui expose la France à des recours en manquement de la part de la Commission européenne.

De plus, cette situation est source d'insécurité juridique, puisque des personnes physiques ou morales sont fondées à se prévaloir de l'effet direct des directives à l'encontre de l'Etat après l'expiration du délai de transposition.

Le cas de cette directive ne constitue malheureusement pas une exception, puisque la France figure depuis le printemps 2002 au dernier rang des Etats de l'Union européenne avec 56 directives relatives au marché intérieure non transposées, ce qui correspond à 3,8 % du nombre total des directives. Lors du Conseil des ministres du 6 novembre 2002, le Gouvernement a donc décidé de diviser par trois le nombre de directives en retard et d'assurer la transposition de toutes les directives en retard de plus de deux ans. Le Premier ministre a de plus indiqué que les projets de loi transposant des directives devraient être examinés en priorité par le Parlement.

Le travail préparatoire à la transposition de la directive 95/46 CE avait pourtant débuté dès la fin de l'année 1995.

Un premier rapport demandé par le Gouvernement de M. Juppé à deux membres du Conseil d'Etat, et remis le 17 octobre 1996, prévoyait des mesures favorables à l'interconnexion la plus large possible des fichiers administratifs et sociaux. Ayant fait l'objet de vives critiques sur Internet et dans certains journaux, le Gouvernement a suspendu le processus engagé, la dissolution de l'Assemblée nationale en 1997 entraînant ensuite l'abandon du projet.

M. Lionel Jospin a ensuite confié le 25 août 1997 à Hourtin à M. Guy Braibant, président de section honoraire au Conseil d'Etat, une mission de réflexion et de propositions préalable à l'élaboration d'un avant-projet de loi de transposition.

Après la remise de ce rapport le 3 mars 199810(*), il s'est encore écoulé près de quatre ans avant que l'Assemblée nationale n'examine le texte en première lecture le 30 janvier 2002.

2. Le choix symbolique du maintien de la loi du 6 janvier 1978

Dans son rapport remis au Premier ministre, M. Guy Braibant proposait de modifier la loi du 6 janvier 1978, en raison de son caractère historique et symbolique, plutôt que d'élaborer une loi entièrement nouvelle.

Il préconisait également de conserver avec les adaptations nécessaires la trentaine de lois spéciales relatives à la protection des données à caractère personnel et d'appliquer les dispositions de transposition de la directive aux territoires d'outre-mer. En effet, si ces territoires ne sont liés que par un régime d'association à l'Union européenne et ne sont donc pas soumis aux règles relatives à la libre-circulation des marchandises, il est indispensable d'étendre une loi relative à la protection des libertés. On observera d'ailleurs que la loi du 6 janvier 1978 est expressément applicable à ces territoires.

Ces recommandations ont donc été suivies.

L'article premier de la loi proclamant que l'informatique « ne doit porter atteinte ni à l'identité humaine ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques » n'est donc pas modifié.

Néanmoins, cette position entraîne une certaine complexité dans la présentation du présent projet de loi.

Le projet de loi choisit en effet de suivre l'ordre de la directive (traitant dans un premier temps de la licéité des traitements, puis des données sensibles, des obligations des responsables de traitement puis des différentes formalités préalables, avant de prévoir les pouvoirs de contrôle de la CNIL et les voies de recours, pour terminer par les flux transfrontières de données à caractère personnel).

Il substitue donc aux chapitres existants de la loi du 6 janvier 1978 de nouvelles dispositions, ce qui explique des déplacements de dispositions figurant déjà, par ailleurs, dans la loi en vigueur.

Il compte trois titres : le premier modifie la loi du 6 janvier 1978 (articles 1er à 13), le deuxième modifie d'autres textes législatifs (articles 14 et 15), tandis que le dernier regroupe les dispositions transitoires (articles 16 et 17).

B. UN NIVEAU DE PROTECTION DES PERSONNES REHAUSSÉ

1. Une crainte infondée d'une baisse du niveau de protection liée aux allègements de formalités préalables

Le projet de loi soumet les traitements automatisés, publics ou privés, à un simple régime de déclaration préalable auprès de la CNIL (article 22 de la loi du 6 janvier 1978 modifié par l'article 4).

Ce relâchement du contrôle auparavant exercé sur les fichiers publics a pu inquiéter.

Par ailleurs, les traitements dits de souveraineté ayant pour fins la sécurité, la sûreté publiques ou la défense nationale (article 26 modifié) seront désormais mis en oeuvre par décret, après simple avis de la CNIL. Pourront donc être mis en oeuvre malgré un avis défavorable de la CNIL les fichiers de police, de justice, les fichiers comportant le numéro de sécurité sociale ou nécessitant sa consultation, ainsi que les interconnexions de fichiers nécessaires à l'établissement ou au recouvrement de l'impôt, c'est-à-dire des fichiers concernant la totalité ou la quasi-totalité de la population française.

La contrepartie sera la publication de l'avis de la CNIL, sauf disposition contraire expresse.

En outre, le projet de loi prévoit des possibilités de déclaration simplifiée, voire d'exonération totale de déclaration (s'agissant notamment du traitement des données relatives aux membres et correspondants d'associations ou de partis politiques et les traitements ayant pour objet la tenue d'un registre public destiné à l'information du public, comme les listes électorales et le registre du commerce et des sociétés).

La question s'est posée de savoir si cette réorientation vers un régime de déclaration des traitements plutôt que vers un régime d'autorisation constituait pour la France un abaissement du niveau de protection.

En effet, la directive prévoit dans son considérant 10 que le rapprochement des législations nationales ne doit pas conduire à un affaiblissement de la protection qu'elles assurent, mais au contraire garantir un niveau élevé de protection dans la Communauté.

De même, le Conseil constitutionnel a souligné que les garanties des libertés, une fois affirmées, ne devaient pas connaître un abaissement ultérieur. C'est ce que l'on appelle l'« effet de cliquet »11(*).

Cependant, force est de constater que si le champ des autorisations pour le secteur public se réduit, certaines catégories de traitements privés seront mieux appréhendées.

Le principal inconvénient réside en fait dans la multiplication par le projet de lois des procédures d'autorisation applicables, en l'absence de toute préconisation en ce sens de la directive. Il s'ensuit une réelle complexification du droit, puisque les traitements pourront désormais être autorisés par la CNIL, par le Conseil d'Etat après un simple avis motivé et publié de la CNIL, ou par simple arrêté ministériel.

La garantie des droits des personnes parait en fait renforcée par le projet de loi, tant d'un point de vue direct qu'indirect.

2. Une amélioration directe de la protection des droits des personnes

Actuellement, la protection des personnes repose principalement par l'exercice de leurs droits d'accès, d'opposition et de rectification, dont on a vu précédemment qu'ils étaient en pratique limités.

Le projet de loi prévoit donc des améliorations directes des droits des personnes concernées par des traitements de données à caractère personnel :

- en substituant à la notion d'informations nominatives la notion plus large de données à caractère personnel ;

- en incluant les données de santé dans les données dites sensibles dont le traitement est en principe interdit (article 8 modifié de la loi de 1978) ;

- en prévoyant une information obligatoire des intéressés en cas de collecte indirecte des données traitées (relative à l'identité du responsable, la finalité poursuivie par le traitement, le caractère facultatif ou obligatoire des réponses, ainsi que le destinataire des informations), à l'exception des traitements de souveraineté ;

- en supprimant l'exigence de justification d'une raison légitime pour exercer le droit d'opposition, ce droit devenant discrétionnaire (sous réserve des traitements répondant à une obligation légale) et pouvant être exercé sans frais s'agissant des données utilisées à des fins de prospection, notamment commerciale (article 38 modifié de la loi de 1978) ;

- en améliorant l'exercice du droit d'accès indirect (exercé par un membre de la CNIL pour le compte de la personne s'agissant des fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique), la CNIL pouvant désormais, avec l'accord du responsable, communiquer les données ou les résultats si cette communication ne met pas en cause la finalité poursuivie par ces traitements (article 41 modifié).

3. Une protection des personnes indirectement renforcée par l'extension des pouvoirs d'investigation de la CNIL

La limitation des formalités préalables doit permettre à la CNIL de se concentrer sur les traitements présentant des risques particuliers pour les libertés (article 25 modifié) et d'opérer un contrôle plus approfondi, notamment sur les traitements comportant des données relatives aux difficultés sociales ou biométriques des personnes.

Si la composition de la CNIL est peu modifiée par l'article 3 du projet de loi (le Conseil économique et social ne désignant plus qu'un commissaire au lieu de deux, le second étant remplacé par une personnalité qualifiée pour sa connaissance en informatique), son mode de fonctionnement est amené à évoluer pour plus d'efficacité. Ainsi, il est créé une formation restreinte, tandis que le bureau est officialisé.

Néanmoins, le projet de loi se distingue surtout par les pouvoirs d'investigation accrus dont il dote la CNIL, ainsi que les pouvoirs de sanction administrative qui lui sont désormais reconnus, dont le pouvoir de prononcer des sanctions pécuniaires.

Les membres de la CNIL et ses agents peuvent ainsi se rendre, entre 6 heures et 21 heures, dans tout local servant à la mise en oeuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de celui-ci affectées au domicile privé, et se faire communiquer toute pièce utile à leur mission, le délit d'entrave à l'action de la CNIL étant puni d'un an d'emprisonnement et de 15.000 euros d'amende (article 8 du projet).

Le président de la CNIL se voit mieux associé aux procédures judiciaires, et peut saisir le président du tribunal d'instance en référé.

En outre, innovation majeure, la CNIL est habilitée à prononcer des sanctions administratives graduées. Elle pourra ainsi prononcer des avertissements, des mises en demeure ou des injonctions de cesser le traitement à l'égard du responsable contrevenant aux dispositions de la loi (article 7 du projet), et, à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire, dont le montant doit être proportionné à la gravité des manquements commis et aux avantages retirés, le plafond étant fixé à 150.000 euros pour un premier manquement et 300.000 euros en cas de récidive, dans la limite de 5 % du chiffre d'affaires.

Néanmoins, ces nouvelles mesures s'accompagnent d'un abaissement du quantum des sanctions pénales encourues par les responsables de traitements (article 14 du projet), qui passent de cinq ans d'emprisonnement et 300.000 euros d'amende à trois ans d'emprisonnement et 45.000 euros d'amende, conformément aux recommandations du rapport de M. Guy Braibant.

Par ailleurs, la CNIL est encouragée à développer sa mission de conseil des entreprises, notamment en portant une appréciation sur les règles déontologiques que pourront décider de lui soumettre les organismes professionnels intéressés, afin de prévenir tout manquement (article 11 modifié).

C. UNE RÉGLEMENTATION DES TRANSFERTS DE DONNÉES CONCILIANT PROTECTION DES PERSONNES ET IMPÉRATIFS ÉCONOMIQUES

1. La libre-circulation des données à l'intérieur de l'Union européenne

Le projet de loi, conformément à la directive, consacre la liberté de circulation des données à l'intérieur de l'Union européenne, les dispositions de la directive assurant un niveau de protection adéquat.

On rappellera brièvement que même en l'absence de transposition dans les délais requis, les personnes physiques et morales sont fondées à exiger de l'Etat, des personnes morales de droit public et des personnes morales de droit privé gérant un service public l'application à leur profit des dispositions de la directive, en vertu de son effet direct vertical.

A contrario, les personnes morales de droit public ne peuvent invoquer à l'encontre des autres personnes des dispositions de directives non encore transposées, pas plus que les personnes de droit privé ne peuvent en arguer face à d'autres personnes de droit privé (absence d'effet horizontal et d'effet vertical inversé).

2. La réglementation des transferts vers des Etats tiers

Le projet de loi encadre en revanche les transferts de données en direction des Etats tiers, ceux-ci n'étant possibles que si ces Etats assurent un niveau de protection « suffisant » (article 12 du projet).

On notera que la loi de 1994 sur la recherche en matière de santé exigeait une protection équivalente.

Des dérogations à cette exigence sont néanmoins prévues (article 69 nouveau) en cas de consentement des personnes ou de nécessités particulières (sauvegarde de la vie de la personne, intérêt public notamment).

La CNIL peut en outre autoriser des transferts, notamment si des clauses contractuelles particulières assurent la protection requise, mais s'agissant de traitements relevant de la souveraineté nationale, le transfert ne peut être autorisé que par un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL.

Afin d'harmoniser la position des différents Etats membres au regard des transferts de traitements de données à caractère personnel vers des Etats tiers n'assurant pas un niveau de protection suffisant, la Commission européenne est appelée à jouer un rôle déterminant (article 70 nouveau) pour apprécier ce niveau.

Les autorités de contrôle nationales devront se conformer aux décisions de la Commission européenne et en l'absence de celles-ci, lui notifier les leurs, voire surseoir à statuer en cas de doute.

D. DES MODIFICATIONS PONCTUELLES DE CERTAINS RÉGIMES SPÉCIFIQUES

1. En matière de santé

Les régimes applicables aux traitements ayant pour fin la recherche dans le domaine de la santé (chapitre V bis de la loi du 6 janvier 1978 devenant le chapitre IX) et aux traitements mis en oeuvre pour évaluer les pratiques de soins et de prévention (chapitre V ter devenant le chapitre X) ne font l'objet que de modifications marginales et essentiellement formelles (articles 9 et 10 du projet).

Néanmoins, la principale innovation en matière de santé consiste dans l'inclusion dans la liste des données dites sensibles des données de santé (article 8 modifié de la loi), même si des dérogations à l'interdiction de traitement sont prévues en matière de recherche et d'évaluation des pratiques de soins et de prévention.

2. En matière de vidéo-surveillance

Des aménagements rédactionnels sont apportés à la loi du 21 janvier 1995 régissant les enregistrements visuels de vidéo-surveillance, (article 15 du projet).

3. En matière de journalisme et d'expression littéraire et artistique

Il est en outre inséré dans la loi du 6 janvier 1978 des dispositions relatives aux traitements ayant pour finalité le journalisme et l'expression littéraire et artistique, afin d'élargir les dérogations dont bénéficient ces traitements, notamment en matière de limitation de la durée de conservation des données et de droit d'accès et de rectification de la personne concernée (article 67 nouveau).

Le projet de loi, reprenant une disposition de la directive, offre la possibilité de dispenser de déclaration de traitements les organismes ayant désigné un délégué à la protection des données chargé de tenir un registre des traitements et d'effectuer un contrôle interne de l'application des dispositions de la loi du 6 janvier 1978 (article 11 du projet).

Si le projet de loi modifie donc profondément la loi du 6 janvier 1978, il n'est pas allé jusqu'à étendre aux personnes morales la protection dont bénéficient les informations nominatives, les enjeux étant différents : vie privée et liberté individuelle d'un côté, secret des affaires de l'autre.

III. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE

L'Assemblée nationale a largement avalisé le projet de loi présenté par le Gouvernement, et s'est contentée d'apporter quelques précisions.

1. La préservation de la recherche en matière de santé malgré l'inscription des données de santé comme données sensibles

- en élargissant les dérogations à l'interdiction de procéder à des traitements portant sur des données sensibles s'agissant de la recherche dans le domaine de la santé (article 8 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi), une telle dérogation étant déjà prévue pour les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de traitements mis en oeuvre par un membre d'une profession de santé ;

- en prévoyant que dès lors que les méthodologies de référence auront été établies en concertation avec le comité consultatif, il sera inutile de lui adresser les engagements de conformité et que, s'agissant des autres catégories de traitements, le comité consultatif fixera, en concertation avec la CNIL, les conditions dans lesquelles son avis n'est pas requis (article 54 de la loi de 1978 modifié par l'article 9 du projet de loi) ;

2. Le renforcement des droits des personnes concernées

- en précisant que des décisions produisant des effets juridiques à l'égard d'une personne ne peuvent être prises sur le seul fondement d'un traitement automatisé destiné à évaluer son profil, cette notion étant nouvelle (article 10 de la loi de 1978 modifié par l'article 2 du projet de loi) ;

- en précisant que la CNIL doit informer les personnes concernées de leurs droits et obligations (article 11 de la loi de 1978 modifié par l'article 3 du projet de loi) ;

- en introduisant des dispositions relatives aux témoins de connexion afin de subordonner leur autorisation à une information claire, complète et préalable des utilisateurs sur les finalités du traitement et les moyens dont ils disposent pour s'y opposer ; en interdisant de subordonner l'accès à un service en ligne à l'acceptation par l'utilisateur du traitement des informations stockées dans son équipement terminal et en prévoyant un dispositif de sanctions pénales (article 32 de la loi de 1978 modifié par l'article 5 du projet de loi) ;

- en renversant la charge de la preuve pour apprécier le caractère manifestement abusif de demandes d'accès, comme c'est déjà le cas s'agissant du droit de rectification (article 39 de la loi de 1978 modifié par l'article 5 du projet de loi) ;

- en prévoyant le droit pour les héritiers de demander la prise en compte du décès et de faire procéder aux mises à jour nécessaires (article 40 de la loi de 1978 modifié par l'article 5 du projet de loi) ;

- en exigeant un consentement exprès pour les transferts de données à caractère personnel vers un Etat n'assurant pas un niveau suffisant de protection (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi) ;

3. L'introduction de précisions visant à rendre la CNIL plus efficace

- en supprimant la réduction du nombre de conseillers économiques et sociaux membres de la CNIL prévue par le projet de loi (de deux à un) (article 11 de la loi de 1978 modifié par l'article 3 du projet de loi) ;

- en élargissant les compétences de la formation restreinte aux dépens du bureau (article 15 de la loi de 1978 modifié par l'article 3 du projet de loi) ;

- en supprimant le dispositif relatif à la prise en compte des mandats pour l'application des nouvelles règles relatives à la durée d'appartenance à la CNIL, considéré comme trop ambigu (article 16 du projet de loi) ;

- en restreignant l'exigence de l'intermédiaire d'un médecin pour requérir des données médicales individuelles aux seules données incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de service de santé (article 44 de la loi de 1978 modifié par l'article 6 du projet de loi) ;

- en réintroduisant la possibilité actuellement prévue par la loi du 6 janvier 1978 pour la CNIL de faire procéder à la destruction de traitements (article 45 de la loi de 1978 modifié par l'article 7 du projet de loi) ;

4. Le renforcement des sanctions dans le souci du respect des droits de la défense

- en étendant les sanctions pénales aux infractions contre les dispositions de la présente loi aux traitements non automatisés (articles 226-16, 226-17, 226-19-1 du code pénal prévus par l'article 14 du projet de loi) et en relevant le montant des sanctions pénales abaissé par le projet de loi, ainsi que les nouvelles sanctions correspondant aux nouvelles infractions créées ;

- en créant une nouvelle sanction réprimant le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d'exonération établies par la CNIL (article 14 du projet de loi) ;

- en précisant que les personnes appelées à s'expliquer devant la CNIL peuvent se faire représenter ou assister (droits de la défense) (article 46 de la loi de 1978 modifié par l'article 7 du projet de loi) ;

5. L'introduction de diverses précisions

- sur la notion de données à caractère personnel, en soulignant qu'il s'agit des données relatives à une personne physique pouvant être identifiée directement ou indirectement (article 2 de la loi du 6 janvier 1978 modifié par l'article 1er du projet de loi) ;

- en prévoyant que la personne auprès de laquelle sont collectées les informations doit être informée des destinataires ou des catégories de destinataires et non de leur identité (article 32 de la loi de 1978 modifié par l'article 5 du projet de loi) ;

- sur la notion de sous-traitant (article 35 de la loi de 1978 modifié par l'article 5 du projet de loi) ;

- en transposant une disposition de la directive tendant à protéger le droit d'auteur dans le cadre de l'exercice du droit d'accès (article 39 de la loi de 1978 modifié par l'article 5 du projet de loi) ;

- en indiquant que la récidive s'apprécie dans un délai de cinq ans (article 47 de la loi de 1978 modifié par l'article 7 du projet de loi) ;

- en substituant le terme de « correspondant » de la CNIL à celui de « délégué » s'agissant des traitements de journalisme et d'expression littéraire et artistique, afin de mieux souligner la liberté de la presse (article 67 de la loi du 6 janvier 1978 modifié par l'article 11 du projet de loi).

6. La modification d'autres textes

- en précisant que seuls les systèmes de vidéosurveillance destinés à assurer la protection de certains lieux publics ou ouverts au public peuvent relever des dispositions de la loi du 21 janvier 1995, les autres relevant de la loi du 6 janvier 1978 lorsque les enregistrements sont utilisés dans des traitements ou des fichiers structurés, en prévoyant la remise d'un rapport annuel par le Gouvernement à la CNIL sur l'activité des commissions départementales (article 15 du projet de loi) ;

- en introduisant deux articles additionnels 15 bis et 15 ter prévoyant l'établissement par les tribunaux d'instance de statistiques semestrielles relatives au nombre de pactes civils de solidarité (PACS) conclus dans leur ressort (distinguant notamment ceux conclus entre personnes de même sexe, leur durée moyenne ainsi que l'âge moyen des personnes) et prévoyant une mention en marge de l'acte de naissance de chaque partenaire de la déclaration de PACS pour remédier à des problèmes pratiques, les greffes devant actuellement fournir des certificats de non PACS.

IV. LES MODIFICATIONS PROPOSÉES PAR VOTRE COMMISSION DES LOIS

Outre un certain nombre d'amendements rédactionnels, votre commission des Lois vous propose de concilier le renforcement de la protection des personnes avec la préservation des intérêts des entreprises et de la recherche et de l'intérêt général.

A. ENCOURAGER L'ANONYMISATION DES DONNÉES A CARACTÈRE PERSONNEL

- en définissant plus clairement les données rendues anonymes, pour des motifs de sécurité juridique (article 2 de la loi du 6 janvier 1978 modifié par l'article 1er du projet de loi) ;

- en autorisant des traitements d'anonymisation portant sur des données sensibles, notamment de santé, à condition que des garanties aient été préalablement reconnues par la CNIL (articles 8 et 11 de la loi du 6 janvier 1978 modifiés par les articles 2 et 3 du projet de loi),

- en prévoyant des allègements des formalités requises (informations à fournir aux personnes concernées) tant pour les traitements d'anonymisation de données non sensibles que pour ceux concernant des données sensibles (articles 8 et 32 de la loi du 6 janvier 1978 modifiés par les articles 2 et 5 du projet de loi).

B. RENFORCER L'EFFECTIVITÉ DE LA LOI

1. Parvenir à une meilleure protection des droits et libertés des personnes concernées...

- en retenant à l'article 8 modifié de la loi du 6 janvier 1978 définissant les données dites sensibles dont le traitement est en principe interdit le terme de « vie sexuelle des personnes » présent dans la directive plutôt que celui d'« orientation sexuelle » prévu par le projet de loi et plus restrictif ;

- en prévoyant que s'agissant de données sensibles, le consentement exprès des personnes concernées ne suffit pas nécessairement à fonder des traitements (article 8 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ;

- en prenant en compte les traitements donnant lieu à des interconnexions et non pas uniquement ceux ayant pour finalité une interconnexion (article 27 modifié de la loi du 6 janvier 1978 modifié par l'article 42 du projet de loi) ;

- en complétant la liste des informations devant être fournies à la CNIL par le responsable des traitements lors des déclarations ou demandes d'autorisation par l'indication du recours à un sous-traitant et les éventuels transferts à destination d'un Etat tiers (article 30 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en mettant à la disposition du public la liste des éventuels transferts à destination d'un Etat tiers (article 31 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en érigeant en principe la communication au public des avis, décisions et recommandations de la CNIL (article 31 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en informant les personnes concernées des éventuels transferts à destination d'un Etat tiers (article 32 modifié de la loi du 6 janvier 1978 par l'article 5 du projet de loi) ;

- en étendant l'obligation de sécurité opposable aux responsables de traitements, des tiers pouvant avoir accès aux données sans qu'elles leur soient communiquées (article 34 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi).

2. ...par une réorganisation et un renforcement des pouvoirs de la CNIL

- en élargissant le rôle de la CNIL : en soulignant son rôle de veille technologique, et la publicité qu'elle peut faire de ses observations, en encourageant sa collaboration avec d'autres autorités administratives indépendantes dans le domaine de la protection des données à caractère personnel, comme l'Autorité de régulation des télécommunications, la Commission d'accès aux documents administratifs ou le Conseil supérieur de l'audiovisuel, et en renforçant sa position lors des négociations internationales (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en précisant que les membres de la CNIL ne peuvent participer à des délibérations ou des vérifications concernant des organismes dans lesquels ils ont détenu un intérêt, direct ou indirect, au cours des 36 derniers mois (comme c'est le cas pour la COB) et non plus au cours des 18 derniers mois (article 14 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en précisant sa composition et la durée du mandat de ses membres (article 13 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ainsi que les dispositions transitoires la concernant (article 17 du projet de loi) ;

- en étendant le champ de délégation au président et au vice-président délégué à la réception des réclamations, l'association à la préparation de la position française aux négociations internationales et l'information délivrée par la CNIL à la Commission européenne et aux autres autorités de contrôle des Etats membres s'agissant des transferts transfrontières autorisés et au bureau de l'autorisation de certains traitements en cas d'urgence (articles 15 et 16 de la loi du 6 janvier 1978 modifiés par l'article 3 du projet de loi);

- en réaffirmant l'obligation de collaboration des responsables de traitement avec la CNIL (article 20 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en étendant les possibilités de saisies aux disques durs dans le cadre des contrôles sur place (article 44 de la loi du 6 janvier 1978 modifié par l'article 6 du projet de loi).

C. RÉCONCILIER LA CNIL ET LES ENTREPRISES

1. Préserver les intérêts économiques et la recherche...

a) Pour les entreprises

- en autorisant la constitution par des entreprises victimes de fichiers sur les infractions dont elles ont été victimes, afin d'éviter la prolifération de fichiers souterrains (article 9 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ;

- en dérogeant à l'interdiction de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité si les demandes de la personne concernée ont été satisfaites (article 10 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi)  ;

- en autorisant des déclarations uniques pour des catégories similaires de traitement dont les responsables relèvent d'un même organisme. Il s'agit d'une mesure de simplification (article 23 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en restreignant le champ des traitements devant être soumis à l'autorisation de la CNIL à ceux ayant pour finalité d'exclure des personnes du bénéfice d'un droit et non ceux ayant pour finalité d'attribuer des droits, une position contraire se révélant ingérable, tous les traitements de prospects étant alors soumis à autorisation (article 25 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en modifiant le régime introduit par l'Assemblée nationale concernant les témoins de connexion (cookies) afin de prendre en compte l'article 5 de la directive du 12 juillet 2002 dite « vie privée et communications électroniques » intervenue entre-temps : en supprimant la disposition interdisant de subordonner l'accès à un service en ligne à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal ; en supprimant le régime répressif prévu ainsi que le caractère préalable de l'information requise (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;

- en transposant la dérogation à l'obligation d'information de la personne en cas de collecte indirecte des données si elle en a déjà été informée, disposition prévue par l'article 11 de la directive (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;

- en supprimant la possibilité réintroduite par l'Assemblée nationale de permettre à la CNIL d'ordonner la destruction de traitements, ceci pouvant avoir des conséquences dramatiques pour les entreprises et n'intervenant en pratique jamais. De plus, le nouvel article 226-22-2 du code pénal prévoit que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction, ce qui semble plus protecteur (article 45 de la loi du 6 janvier 1978 modifié par l'article 7du projet de loi) ;

- en étendant la possibilité de dérogations à l'interdiction de procéder à des transferts de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection suffisant en cas d'existence d'un règlement intérieur garantissant la protection des droits et des libertés des personnes concernées. Il s'agit d'une mesure de simplification (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi) ;

b) Pour la recherche

- en élargissant les dérogations au droit d'accès actuellement prévues pour le seul établissement de statistiques à la recherche (conformément au paragraphe 2 de l'article 13 de la directive), tout en les entourant de garanties, la CNIL devant statuer (article 39 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi).

2. ... en développant une véritable collaboration avec la CNIL

- en précisant que la CNIL doit non seulement informer les personnes concernées mais également les responsables de traitements (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en permettant à des institutions, notamment des organismes de recherche de faire homologuer des règles professionnelles par la CNIL, et en prévoyant que ces règles peuvent porter sur des procédés d'anonymisation des données (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;

- en encourageant l'institution de correspondants de la CNIL dans les entreprises privées -sur la base du volontariat, mais sur le modèle des correspondants prévus pour les journalistes et existant déjà en pratique dans les organismes publics-. Il s'agit d'une transposition d'une possibilité offerte par le point 2 de l'article 18 de la directive et déjà appliquée en Allemagne et en Suède. En contrepartie, les entreprises bénéficieront d'une exemption de déclaration de leurs traitements sous réserve de la tenue d'un registre (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi). Ceci doit permettre une meilleure collaboration entre les entreprises et la CNIL (article 22 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;

- en mettant à la disposition du public la liste des pays tiers réputés assurer un niveau de protection suffisant (article 31 de la loi du 6 janvier1978 modifié par l'article 4 du projet de loi) ;

D. INTRODUIRE DIVERSES PRECISIONS

- en supprimant l'exigence d'une autorisation de la CNIL pour les traitements portant sur la totalité ou de la quasi-totalité de la population (articles 25 et 27 de la loi du 6 janvier 1978 modifiés par l'article 4 du projet de loi) ;

- en supprimant l'exigence de publicité par le Premier ministre des suites données aux saisines par la CNIL en cas de violation des droits de la personne imputables à des fichiers de souveraineté, cette exigence étant mal adaptée à la nature des traitements concernés et la CNIL demeurant libre d'informer le public par le biais de son rapport annuel (article 45 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi) ;

- en soustrayant les traitements des journalistes à l'exigence d'autorisation de la CNIL pour les traitements portant sur des données sensibles ou des données pénales (article 67 de la loi du 6 janvier 1978 modifié par l'article 11 du projet de loi).

*

* *

Au bénéfice de l'ensemble de ces observations et des amendements qu'elle vous soumet, votre commission des Lois vous propose d'adopter le projet de loi.

EXAMEN DES ARTICLES
TITRE PREMIER
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE A L'INFORMATIQUE, AUX FICHIERS
ET AUX LIBERTÉS

Article 1er
(art. 2 à 5 du chapitre 1er de la loi n° 78-17 du 6 janvier 1978)
Détermination du champ d'application de la loi

Le présent article vise à transposer en droit interne les dispositions des articles 2 à 4 de la directive communautaire 95/46 CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui déterminent les principales définitions, le champ d'application et le droit national applicable.

L'article 2 de la directive énonce huit définitions concernant les données à caractère personnel, les traitements de données à caractère personnel, les fichiers de données à caractère personnel, les responsables du traitement, les sous-traitements, les tiers, les destinataires et le consentement de la personne concernée.

Sur proposition du rapport de M. Guy Braibant, seules les définitions les plus importantes ont été reprises dans l'article 1er, les autres étant précisées lors de leur première occurrence dans le texte.

Le présent projet de loi bouleversant l'architecture de la loi du 6 janvier 1978, les dispositions des articles 2 à 5 actuels de la loi du 6 janvier 1978 relatives aux règles de fond applicables aux traitements des données personnelles sont transférées dans le chapitre II nouveau, inséré dans la loi du 6 janvier 1978 par l'article 2 du présent projet de loi.

Article 2 modifié de la loi du 6 janvier 1978
Champ d'application matériel et définitions

Le premier alinéa de l'article 2 (modifié) de la loi du 6 janvier 1978 définit le champ d'application matériel de ces dispositions, en transposant l'article 3 de la directive 95/46 CE.

Ainsi, la loi s'applique aux traitements, automatisés ou non, de données à caractère personnel contenues ou appelées à figurer dans des fichiers, dès lors que le responsable du traitement est établi en France ou utilise des moyens situés en France.

Cette définition extensive permet d'inclure des traitements qui ne sont pas délibérément structurés comme des fichiers mais qui, du fait même des applications technologiques collectant des données, peuvent être exploités comme tels.

De même, les traitements non automatisés sont désormais inclus. La directive vise aussi bien les traitements automatisés que les traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne soumet actuellement ces derniers qu'à des obligations restreintes.

Une exception est prévue s'agissant des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles. Cette exclusion, prévue par le dernier alinéa de l'article 3 de la directive 95/46 CE, reprend et étend celle figurant dans l'actuel article 45 de la loi du 6 janvier 1978 excluant de certaines prescriptions de la loi les fichiers manuels « dont l'usage relève du strict exercice du droit à la vie privée ».

Le deuxième alinéa du texte prévu pour le nouvel article 2 de la loi du 6 janvier 1978 substitue la notion de « données à caractère personnel » à celle « d'informations nominatives ».

L'actuel article 4 de la loi du 6 janvier 1978 définit les informations nominatives comme celles permettant « sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».

L'article 2 de la directive évoque pour sa part les données à caractère personnel, définies comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Le projet de loi reprend donc ce nouveau terme, défini comme « toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

Sur proposition de M. Gérard Gouzes, rapporteur de la commission des Lois, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a précisé, conformément aux dispositions de la directive et à la définition actuelle, que la personne concernée par le traitement peut être identifiée « directement ou indirectement ».

Cette nouvelle définition étend le champ de la protection aux domaines de la voix et de l'image et résulte de la prise en compte des progrès des techniques d'identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion de « donnée à caractère personnel » paraît donc plus pertinente compte tenu du développement des mesures d'identification indirecte.

En pratique d'ailleurs, la CNIL adopte déjà une conception large des informations nominatives, qui inclut par exemple les numéros de téléphone, les plaques d'immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d'identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, devrait permettre d'éviter l'obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d'Etat entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public, qui a pour effet de restreindre la liberté d'accès aux documents administratifs12(*).

La directive prévoit des critères permettant de délimiter le champ des données concernant une personne identifiable et de les distinguer des données rendues anonymes qui tombent en dehors du champ de la protection.

Ainsi, l'article 2 a) énumère, à titre d'exemples, une liste d'éléments permettant d'identifier une personne, telles que la référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Le considérant 26 précise que doivent être pris en considération pour déterminer si une personne est identifiable les moyens susceptibles d'être raisonnablement mis en oeuvre pour parvenir à l'identification de la personne concernée, ainsi que la personne susceptible de mettre en oeuvre ces moyens (le responsable du traitement ou une personne tierce).

Votre commission des Lois vous propose de reproduire ce considérant pour assurer une meilleure sécurité juridique aux traitements d'anonymisation.

En effet, si les données anonymes ne sont pas soumises à la directive, celles faisant l'objet d'un traitement en vue d'une anonymisation le sont.

Cet amendement tend donc à préciser la distinction entre données anonymes et données indirectement nominatives, une interprétation littérale de la loi pouvant aboutir à ce que des données issues de l'anonymisation soient encore soumises à la loi dès lors que les individus demeurent identifiables au moyen d'efforts exceptionnels.

Il convient donc d'apporter une définition pragmatique des données rendues anonymes, ainsi que l'ont déjà fait d'autres Etats de l'Union européenne.

Ainsi, en Allemagne, la loi fédérale sur la protection des données à caractère personnel du 23 mai 2001 précise, dans le 6 de l'article 3, que « la dépersonnalisation signifie la modification des données à caractère personnel effectuée de telle sorte que l'information relative à des caractéristiques personnelles ou matérielles ne peut plus, ou seulement au prix de délais et de moyens financiers et humains disproportionnés, être rattachée à un individu identifié ou identifiable ».

Le troisième alinéa de l'article 2 (modifié) de la loi du 6 janvier 1978 définit la notion de « traitement automatisé » de données personnelles comme « toute opération portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ».

Cette définition, qui reprend celle figurant à l'article 5 actuel de la loi du 6 janvier 1978, la complète par référence à l'apparition de procédés techniques liés au développement des technologies de l'information, comme ceux de « communication par transmission », de « consultation » ou de « diffusion » des données à caractère personnel.

Cette notion recouvre donc un champ plus vaste que celle de « traitement automatisé d'informations nominatives ».

Tout d'abord, la directive vise aussi bien les traitements automatisés que les traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne soumet ces derniers qu'à des obligations restreintes.

En outre, la directive s'applique à toutes les formes de traitements automatisés, qu'ils se rapportent ou non à l'exploitation de fichiers ou de bases de données, la Commission européenne ayant jugé dépassée la notion de « fichier ». La seule référence à la notion de traitement doit permettre d'appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en oeuvre d'une seule des opérations énoncées par l'article 2,b) de la directive suffit à caractériser le traitement de données.

Pour prendre en compte les spécificités d'Internet et des réseaux numériques, sont exclues du champ d'application de la loi, en vertu des dispositions de l'article 4 (modifié) de la loi du 6 janvier 1978, les copies temporaires faites dans le cadre des activités techniques, de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données, et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

Cette dérogation, non prévue par la directive, vise en fait notamment le recours, par les fournisseurs d'accès, aux serveurs « proxys » -ou « mandataires »-, qui visent à économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés en vue d'une nouvelle requête. Ces opérations d'optimisation et de régulation du trafic impliquent nécessairement le stockage temporaire de données à caractère personnel, mais leur exclusion du champ d'application de la loi se justifie, compte tenu de leur effacement rapide.

L'Assemblée nationale a rejeté un amendement présenté par M. Patrice Martin-Lalande, tendant à supprimer cette référence à des techniques susceptibles d'obsolescence rapide, le rapporteur, M. Gérard Gouzes, suivi par le Gouvernement, ayant souligné qu'il n'était en pratique pas envisageable de soumettre l'activité de stockage temporaire de données à caractère personnel à l'ensemble des dispositions de la loi du 6  janvier 1978 - droits de rectification, de communication et d'opposition notamment-.

Les deux derniers alinéas de l'article 2 (modifié) de la loi du 6 janvier  1978 disposent respectivement qu'un fichier de données à caractère personnel est un ensemble structuré et stable de ces données accessible selon des critères déterminés et que la personne concernée par ledit traitement est celle à laquelle se rapportent les données à caractère personnel.

Ce terme n'est repris qu'aux articles 3 et 32 de la directive, s'agissant des fichiers manuels.

En outre, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 3 modifié de la loi du 6 janvier 1978
Responsable du traitement et destinataire

La définition du responsable du traitement est essentielle, puisqu'il s'agit de la personne physique ou morale sur laquelle pèsent les obligations prévues par la directive, et que son lieu d'établissement constitue le premier critère de détermination de la loi nationale applicable.

La loi du 6 janvier 1978 ne le définit actuellement pas, alors même qu'en cas d'omission de déclaration du traitement auprès de la CNIL, il encourt des sanctions pénales, en application des dispositions de l'article 226-16 du code pénal.

La notion de personne responsable n'apparaît implicitement qu'à l'article 19 de la loi, où il est indiqué que la demande d'avis ou de déclaration précise « la personne qui présente la demande et celle qui a le pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ». Dans la pratique, la CNIL exige déjà, en application de sa délibération n° 87-25 du 10 février 1987, la signature du formulaire de déclaration d'un traitement relevant du secteur privé par la personne physique, ou son représentant, ou par le représentant de la personne morale, ayant le pouvoir de décider de la mise en oeuvre du traitement.

L'article 2 paragraphe d) de la directive 95/46 et le présent projet de loi définissent le responsable du traitement comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Le responsable ne doit pas être confondu avec les personnes qui, tels les employés ou les sous-traitants, mettent en oeuvre des traitements pour son compte.

L'Assemblée nationale a adopté, sur proposition de son rapporteur de la commission des Lois, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement supprimant les termes « seul ou conjointement avec d'autres », estimant imprécise cette notion de co-responsabilité. En effet, la notion de responsable détermine notamment le droit national applicable ; or, il s'agit d'éviter des conflits de lois en cas de pluralité des responsables, ou la répartition d'office de la présomption de responsabilité entre plusieurs personnes.

La directive prévoit une définition dérogatoire du responsable dans le cas où les finalités du traitement sont fixées par des dispositions législatives ou réglementaires nationales ou communautaires. Cette formule exclut les dispositions réglementaires prises par les collectivités locales.

Par ailleurs, le paragraphe II de l'article 3 (modifié) définit le destinataire du traitement des données à caractère personnel comme la « personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données ».

En outre le paragraphe II précise que les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données -comme la CNIL- ne constituent pas des destinataires. A cet égard, l'Assemblée nationale a ensuite adopté, toujours sur proposition de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, un amendement rédactionnel.

Article 5 modifié de la loi du 6 janvier 1978
Compétence territoriale

La loi du 6 janvier 1978 ne comporte aucune disposition spécifique relative à la compétence territoriale applicable aux opérations de traitement de données à caractère personnel, la circulation des fichiers au niveau mondial étant encore embryonnaire à la fin des années 70. Les règles de droit international privé de droit commun sont donc actuellement applicables.

Le paragraphe I de l'article 5 (modifié) de la loi du 6 janvier 1978 transpose donc les dispositions de l'article 4 de la directive 95/46 CE afin d'éviter des conflits de lois, et de clarifier le régime applicable aux traitements et à leurs responsables. Il prévoit deux critères alternatifs d'applicabilité de la loi française :

- un critère de territorialité de la personne : si le responsable est établi sur le territoire français, c'est-à-dire qu'il y exerce une activité « effective » dans le cadre d'une « installation durable » quelle que soit sa forme juridique, simple succursale ou filiale.

La notion d' « installation stable » prévue par le considérant 19 n'existe pas en droit français, même si certaines dispositions fiscales s'en rapprochent13(*).

Par conséquent, l'Assemblée nationale a supprimé, à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, ces termes jugés imprécis et a choisi de faire référence à la seule « installation », dans un souci de clarification.

Dans le cas où le responsable du traitement dispose de plusieurs établissements situés dans différents Etats membres, la directive (éclairée par son considérant 19) précise que celui-ci doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable aux activités qu'il poursuit. Chaque établissement sera donc soumis à la seule loi de l'Etat sur le territoire duquel il est implanté ;

un critère de territorialité des moyens utilisés : relève du droit français le responsable qui, à défaut d'être installé sur le territoire français ou sur celui d'un autre Etat membre de l'Union européenne, recourt à des moyens de traitement situés sur le territoire français. La directive ne précise pas la notion de « moyens », mais elle devrait recouvrir tant les moyens en matériel qu'en personnel.

Le responsable situé à l'étranger doit désigner à la CNIL un représentant établi sur le territoire français, chargé d'accomplir les obligations prévues par la présente loi, des actions pouvant toujours être introduites à l'encontre du responsable. En l'absence de désignation de représentant par le responsable du traitement sis à l'étranger, malgré les obligations lui incombant en application de l'article 30 (modifié) de la loi du 6 janvier 1978 (article 4 du présent projet), il encourt les sanctions pénales prévues par l'article 226-16 (nouveau) du code pénal (cf. infra article 14 du projet de loi).

Ce critère subsidiaire tend à éviter une délocalisation des établissements responsables dans des « paradis informatiques ».

Une exception est prévue pour les traitements utilisés aux seules fins de transit, comme ceux des réseaux numériques.

Votre rapporteur s'interroge sur la possibilité d'appliquer la loi française à des responsables de traitements extérieurs à l'Union européenne, qui procéderaient à des traitements sur des personnes ne présentant aucun rattachement avec la France ou l'Union européenne, du seul fait qu'ils auraient recours à des moyens de traitement situés en France pour de la prestation de services.

Il serait extrêmement difficile de garantir aux personnes concernées l'exercice de droits comme le droit d'accès et de rectification, alors même qu'elles se trouvent dans des pays tiers.

Enfin, certains Etats, comme la Grèce, incluent dans le champ d'application de leur loi nationale l'ensemble des traitements concernant des personnes établies sur leur territoire.

Une telle clause de sauvegarde permettrait de soumettre à la loi française tout traitement mis en oeuvre à partir d'une enquête sur la population française, quel que soit le lieu d'établissement de son responsable ou les moyens mis en oeuvre.

Ces dispositions aboutiraient cependant à des conflits de lois, alors même que les Etats membres doivent, en vertu de la directive, assurer un niveau de protection équivalent, et que les dispositions relatives aux transferts de données vers des pays tiers, prises en application des articles 25 et 26 de la directive, les subordonneront à la garantie d'un niveau de protection adéquat.

Une telle extension ne paraît donc ni utile, ni conforme aux dispositions de la directive.

Votre commission des Lois vous propose donc d'adopter deux amendements, dont un rédactionnel, puis d'adopter l'article 1er ainsi modifié.

Article 2
(Chapitre II de la loi n° 78-17 du 6 janvier 1978)
Conditions de licéité des traitements
de données à caractère personnel

Cet article vise à transposer en droit interne les dispositions des articles 6 et 7 de la directive 95/46 CE relatifs aux conditions générales de licéité des traitements de données à caractère personnel, et de ses articles 8 et 15, qui précisent les conditions particulières applicables aux traitements des données dites « sensibles » en raison de la nature des informations concernées.

A cet effet, il remplace l'actuel chapitre II de la loi du 6 janvier 1978 relatif à la CNIL par un nouveau chapitre « Conditions de licéité des traitements de données à caractère personnel ». La section 1 de ce chapitre nouveau, intitulée « Dispositions générales », regroupe les articles 6 et 7 (modifiés). La section 2 concerne les « Disposions propres à certaines catégories de données » et comprend les articles 8 à 10 (modifiés).

La loi du 6 janvier 1978 détermine déjà, dans ses chapitres IV et V, les règles fondamentales de licéité des traitements des informations nominatives en imposant, notamment, le respect des principes de loyauté et d'exactitude.

Ainsi, l'actuel article 25 de la loi « informatique et libertés » interdit la collecte de données « par tout moyen frauduleux, déloyal ou illicite ».

En outre, l'article 37 prévoit que le responsable est tenu de veiller à l'exactitude des données : « Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier ».

Article 6 modifié de la loi du 6 janvier 1978
Conditions de collecte et de traitement

L'article 6 (modifié) reprend l'essentiel de ces dispositions, qui figurent dans les trois premiers paragraphes.

Néanmoins, l'Assemblée nationale, à l'initiative de son rapporteur M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, a adopté un amendement tendant à supprimer la mention selon laquelle il incombe au responsable du traitement de faire respecter ces dispositions, l'estimant inutile.

En outre, le 2° de l'article consacre un nouveau principe de finalité en précisant, ce qui ne ressortait pas explicitement du texte antérieur, que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l'article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l'Europe. La loi du 6 janvier 1978 ne se réfère en effet à la finalité des traitements que de manière incidente, dans les dispositions relatives aux obligations de déclaration.

Celle-ci doit donc être déterminée dès le stade de la collecte, une exigence de compatibilité entre la finalité de la collecte et celle des traitements ultérieurs étant également prévue.

Le texte proposé apporte donc une innovation importante en évoquant la question de l'utilisation future des données collectées. Pour écarter le risque d'un usage injustifié, même décalé dans le temps, il pose d'abord le principe de l'interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu'ils respectent les conditions de licéité définies par le présent chapitre, les formalités préalables à la mise en oeuvre des traitements prévus au chapitre IV et les obligations imposées aux responsables de traitements définies à la section 1 du chapitre V. En outre, ils ne doivent pas être utilisés pour prendre des décisions à l'égard des personnes concernées.

De plus, les collectes de données doivent désormais également respecter un principe de proportionnalité. Ainsi, le 3° de l'article 6 (modifié) prévoit que le traitement ne doit porter que sur des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».

Si ce principe connaît ainsi sa première consécration formelle, la CNIL le respectait déjà largement en pratique.

Sur proposition de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté un amendement tendant à regrouper l'ensemble des dispositions relatives au respect du principe de finalité des traitements, y compris celles concernant les traitements à des fins historiques et statistiques.

Enfin, est repris au 4° le principe d'exactitude des données, qui figure déjà à l'article 37 de la loi du 6 janvier 1978.

Le point d) du paragraphe 1) et le paragraphe 2) de l'article 6 de la directive précisent les prescriptions imposées au responsable du traitement :

- prendre toutes les mesures raisonnables -le projet de loi parle de mesures appropriées, la notion de « reasonableness » étant propre au droit anglo-saxon- pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

- respecter les principes énoncés au paragraphe 1.

S'agissant de la conservation des données, le 5° de l'article 6 (modifié) dispose qu'elles ne peuvent l'être que « pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». L'actuel article 37 prévoit déjà que « les informations ne doivent pas être conservées sous une forme nominative au-delà de la durée prévue à la demande d'avis ou de déclaration, à moins que leur conservation ne soit autorisée par la commission ».

L'article 6, 1 de la directive comporte en outre dans ses points b) et e) des dispositions :

- reprenant le principe du « droit à l'oubli » posé par l'article 28 de la loi du 6 janvier 1978 ;

- prévoyant une exception pour le traitement de données « à des fins historiques, statistiques ou scientifiques [qui] n'est pas réputé incompatible [avec les finalités pour lesquelles les données ont été collectées] pour autant que les Etats membres prévoient des garanties appropriées ».

Le considérant 29 précise que ces garanties « doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne ».

C'est donc ce que prévoit le projet de loi.

L'Assemblée nationale a en outre adopté, à l'initiative du rapporteur, M. Gérard Gouzes, un amendement rédactionnel au 3° de l'article 6 (modifié).

Le non respect de ces prescriptions relatives à la collecte et au traitement des données est passible de sanctions pénales prévues par l'article 226-18 du code pénal. Le quantum des peines encourues est, par ailleurs, modifié par l'article 14 du projet de loi (cf. infra).

Votre commission des Lois vous propose d'adopter deux amendements rédactionnels.

Article 7 modifié de la loi du 6 janvier 1978
Conditions de licéité du traitement

L'article 7 (modifié) de la loi du 6 janvier 1978 précise ensuite les conditions relatives à la licéité des traitements de données à caractère personnel.

L'article 7 de la directive pose pour sa part six conditions alternatives :

- le consentement de la personne concernée ;

- les conditions procédant d'une nécessité objective : obligation légale ou contractuelle, sauvegarde de l'intérêt vital d'une personne ou exécution d'une mission d'intérêt public ;

- la mise en balance des intérêts légitimes du responsable du traitement et des tiers auxquels les données sont communiquées avec les droits et libertés fondamentaux des personnes fichées.

En conséquence, le projet de loi pose d'abord le principe selon lequel le consentement des personnes concernées par un traitement de données à caractère personnel est nécessaire. Actuellement ce consentement n'est pas requis, la seule disposition protectrice résultant de l'article 26 de la loi du 6 janvier 1978, qui permet à toute personne de s'opposer « pour des raisons légitimes » à ce que des informations la concernant fassent l'objet d'un traitement, ce qui peut se révéler d'application délicate. Cette disposition est d'ailleurs reprise par l'article 5 du projet de loi dans l'article 38 (modifié) de la loi.

Cependant, cette exigence étant extrêmement restrictive, l'article 7 (modifié) énumère, de manière limitative, et conformément à la directive, différentes exceptions à l'exigence de consentement des personnes lorsque le traitement est nécessaire :

- au respect d'une obligation légale à laquelle le responsable du traitement est soumis, par exemple les traitements imposés par les obligations déclaratives pesant sur les employeurs en matière fiscale et sociale (1°) ;

- à la sauvegarde de la vie de la personne concernée, ce qui correspond, notamment, aux traitements de données dans le domaine de la santé. Ce terme a été préféré à la notion d'« intérêt vital » employée dans la directive, qui est un anglicisme résultant de la traduction littérale de « vital interest ». Ce terme anglais était d'ailleurs ambigu dans la mesure où il peut désigner un intérêt essentiel ne se rattachant pas à la survie de la personne concernée (2°) ;

à l'exécution d'une mission de service public -la directive évoquant l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique- dont le responsable ou le destinataire du traitement est investi. Ceci vise notamment les fichiers de police ou de justice, sous réserve qu'ils ne comprennent pas de données sensibles, ce qui les soumettrait au régime dérogatoire prévu par l'article 8 (modifié). Ce terme de mission de service public, qui figure à l'actuel article 15 de la loi du 6 janvier 1978 a été préféré à celui de mission d'intérêt public employé par la directive. Le considérant 32 précise à cet égard « qu'il appartient aux législations nationales de déterminer si le responsable du traitement investi d'une telle mission doit être une administration publique ou une autre personne soumise au droit public ou au droit privé, telle qu'une association professionnelle » (3°) ;

à l'exécution soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à sa demande (4°). Ceci doit permettre par exemple la collecte de données dans le cadre des formulaires bancaires que doit remplir la personne demandant l'ouverture d'un compte ;

à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire « sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée » (5°).

Cette dernière exception, d'une portée exceptionnellement générale, reprend fidèlement les termes du paragraphe f) de l'article 7 de la directive 95/46 CE. La directive ne donnait aucun critère et le considérant 30 se bornait à donner des exemples pouvant fonder la licéité de traitements -les activités de gestion courante des entreprises et autres organismes, la prospection commerciale, la prospection par une association à but caritatif ou par d'autres associations ou fondations, par exemple à caractère politique- en précisant que les traitements devront être mis en oeuvre dans le respect des dispositions visant à permettre aux personnes concernées de s'opposer sans devoir indiquer leurs motifs et sans frais au traitement de données les concernant.

L'énumération donnée par le considérant 30 est loin d'épuiser toutes les finalités possibles. Elle omet par exemple de viser les fichiers-témoins ou cookies, mis en place par les serveurs sur le réseau Internet pour conserver la trace des sites visités par leurs clients.

Cette clause de sauvegarde pourrait à terme recouvrir la majorité des traitements du secteur privé et il appartiendra à la CNIL de veiller au respect d'un équilibre, par son contrôle a priori ou a posteriori, sans préjudice de l'éventuelle appréciation ultérieure du juge en cas de contentieux.

Cette dérogation, de par son caractère très général, fragilise substantiellement la portée du principe du consentement de la personne, qui ne saurait donc être considéré comme constituant la règle en matière de traitement des données.

L'Assemblée nationale a, à l'initiative du rapporteur, M. Gérard Gouzes, adopté, avec l'avis favorable du Gouvernement, quatre amendements rédactionnels.

Les motifs de la directive invitent les législateurs nationaux à prévoir des garanties renforcées pour les personnes concernées.

L'article 14 b) et le considérant 30 de la directive prévoient une définition large du droit d'opposition s'agissant des traitements de données à des fins de prospection. En outre, de tels traitements ne devraient, en application des articles 11, paragraphe 2 et 13 de la directive, pas pouvoir bénéficier de dérogations à l'obligation d'information prévue par les articles 10 et 11, paragraphe 1, ou au droit d'opposition garanti par l'article 14.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 8 modifié de la loi du 6 janvier 1978
Interdiction de la collecte
et du traitement des « données sensibles »

L'article premier de la loi du 6 janvier 1978 (non modifié par le présent projet de loi), affirme solennellement que l'informatique « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Par conséquent, le premier alinéa de l'actuel article 31 de la loi du 6 janvier 1978 interdit « de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes », considérées comme des « données sensibles ».

Toutefois, son deuxième alinéa autorise les « églises ou les groupements à caractère religieux, philosophique, politique ou syndical » à tenir registre de leurs membres sous forme automatisée.

Par ailleurs, le dernier alinéa introduit une autre exception pour « des motifs d'intérêt public », sous réserve que l'autorisation en soit donnée sur proposition ou avis conforme de la CNIL et par décret en Conseil d'Etat. En pratique sont visés à titre principal les traitements mis en oeuvre par les ministères de la défense ou de l'intérieur. A titre d'exemple, la CNIL a estimé par sa délibération n° 82-205 du 7 décembre 1982 que le recueil d'informations sur le « type racial » d'individus par la direction centrale des renseignements généraux était d'intérêt public, dès lors que ces informations constituaient des éléments de signalisation des personnes.

L'article 8 de la directive reprend six catégories de données visées par la convention n° 108 du conseil de l'Europe dont le traitement est en principe interdit, car « susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée », ainsi que le précise le considérant 33.

L'article 8 (modifié) de la loi du 6 janvier 1978 reprend dans un paragraphe I la liste des données dites sensibles actuellement en vigueur tout en la complétant, conformément à la directive, par une référence aux données relatives à la santé et à l'orientation sexuelle.

Cette dernière disposition s'inscrit dans le prolongement de la réglementation européenne interdisant toute discrimination fondée sur ce motif. La loi du 6 janvier 1978 modifiée par la loi du 16 décembre 1992 parle actuellement de moeurs. Le terme d' « orientation sexuelle » proposé par le projet de loi étant moins large que celui de « vie sexuelle » utilisé par la directive car évoquant principalement la question de l'homosexualité, votre commission des Lois vous propose d'adopter un amendement reprenant le terme de « vie sexuelle ».

Par ailleurs, les données de santé sont dorénavant considérées comme des données sensibles.

Contrairement aux autres catégories citées, les données relatives à la santé ont vocation à faire l'objet d'un traitement systématique pour les fins de la médecine, de l'administration du système de santé et d'assurance-maladie et de la santé publique. Néanmoins, détourné de ces finalités, le traitement des données de santé représente des risques considérables pour les libertés publiques. L'apport de la directive est donc d'encadrer le traitement de ces données dans les strictes limites des finalités qui viennent d'être énoncées et de restreindre les catégories de destinataires habilités à y accéder (paragraphes 3 et 4 de l'article 8 modifié).

La directive et le projet de loi omettent en revanche les données génétiques, alors même que le rapport présenté par M. Guy Braibant proposait de les inclure, par référence à la déclaration universelle sur le génome humain, adoptée par la conférence générale de l'UNESCO en 199714(*).

Néanmoins, il est possible de rattacher le génome humain aux données relatives à la santé. De plus, le considérant 33 vise de façon globale et sans les énumérer les données « susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ».

Le paragraphe 7 de l'article 8, prévoyant que les Etats membres déterminent « les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement » aurait pu fournir une base juridique. Tel n'a pas été le choix opéré par le Gouvernement.

Néanmoins, on notera que ces données sont soumises à la procédure d'autorisation par la CNIL prévue par l'article 25 modifié de la loi du 6 janvier 1978.

Le projet de loi prévoit que le consentement exprès de la personne concernée permet de déroger à l'interdiction de traitement des données sensibles.

Or, le paragraphe 2, a) de l'article 8 de la directive indique que les Etats membres peuvent prévoir que le consentement exprès de la personne concernée ne suffit pas. Votre commission des Lois vous propose donc d'adopter un amendement reprenant cette possibilité, afin d'éviter que des organismes tels que des compagnies d'assurance ou des employeurs puissent, au seul motif qu'ils auraient obtenu le consentement de l'intéressé, procéder à la collecte et au traitement de données sensibles. Il est en effet à craindre qu'ils exercent une certaine pression sur les personnes.

Néanmoins, une telle restriction ne pourrait intervenir que dans l'hypothèse d'une loi ultérieure. Ceci pourrait trouver à s'appliquer s'agissant des données génétiques. Le législateur est d'ailleurs déjà intervenu afin d'encadrer cette dérogation à l'interdiction de procéder à des traitements de données sensibles : pour la constitution des fichiers de recherche médicale (loi du 1er juillet 1994) ou encore pour les conditions de collecte et de traitement, par les entreprises d'assurance, des données médicales des personnes exposées à un risque aggravé (article L. 1142-2 du code de la santé publique), qui perdurent donc grâce à cet amendement.

Le paragraphe II de l'article 8 (nouveau) de la loi du 6 janvier 1978 définit ensuite les exceptions à cette interdiction de principe de collecte et de traitement des données sensibles.

L'article 8 de la directive énonce dans ses paragraphes 2 à 5 huit catégories de dérogations, certaines devant obligatoirement être transposées et d'autres étant optionnelles.

a- Il reprend d'abord les dispositions de l'actuel article 31 pour exclure du dispositif les associations ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical.

Cependant, il précise désormais que les informations traitées doivent concerner leurs seuls membres « ou, le cas échéant », des personnes entretenant avec ceux-ci des contacts réguliers, que ces données ne doivent pas être communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément (2°).

Si l'actuel article 31 de la loi du 6 janvier 1978 fait prévaloir une conception extensive de la liberté d'opinion et de conscience, les traitements en cause ne pouvant être soumis à aucun contrôle a priori, un contrôle a posteriori, seul à même de garantir le respect du cadre de la dérogation s'agissant notamment des traitements mis en oeuvre, à des fins de prospection, est dorénavant autorisé.

La directive ajoutait en outre que ces traitements devaient être effectués dans le cadre de leurs activités légitimes et avec les garanties appropriées (d), tandis que le projet de loi se contente de préciser que les traitements doivent concerner les seules données correspondant à l'objet dudit organisme.

L'interdiction de communiquer les données à des tiers sans le consentement des personnes concernées est reprise dans le projet de loi.

Cependant, l'article 22 (modifié) précise que les traitements effectués par ces organismes ne sont pas soumis à une déclaration préalable.

Par ailleurs, la faculté de collecter et de traiter des données sensibles pour un motif « d'intérêt public » est également maintenue. Le paragraphe III le prévoit ainsi expressément, mais le subordonne à l'autorisation de la CNIL, selon la procédure particulière prévue aux articles 25 et 26 (modifiés) de la loi du 6 janvier 1978.

Le point 4 de l'article 8 de la directive 95/46 CE permet, sous réserve de garanties appropriées, aux Etats membres de prévoir, pour un motif d'intérêt général important, d'autres dérogations, soit par leur législation nationale, soit sur décision de l'autorité de contrôle. En France, la voie législative a été choisie.

Les considérants 34 à 36 précisent que sont susceptibles de constituer un motif d'intérêt public important :

- les traitements intervenant dans des domaines tels que la santé publique et la protection sociale (particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans les régimes d'assurance-maladie) ;

- la recherche scientifique et les statistiques publiques (considérant 34), des garanties appropriées devant être prévues ;

- le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public au profit d'associations à caractère religieux officiellement reconnues (considérant 35) ;

- la collecte par les partis politiques de données relatives aux opinions des personnes, si requis pour le fonctionnement du système démocratique (considérant 36).

b- Au-delà de la reprise des dispositions existantes, le paragraphe II de l'article 8 (modifié) retient, conformément à l'article 8 de la directive 95/46 CE, un champ de dérogations plus large que celui prévu actuellement.

En effet, l'interdiction ne concerne pas les traitements :

- portant sur des données rendues publiques par la personne concernée (3°). Ceci permet de remédier à une lacune de l'article 31 de la loi du 6 janvier 1978, qui interdit donc en théorie de conserver des données relatives aux engagements d'hommes politiques ou de dirigeants syndicaux. L'étendue de cette dérogation doit cependant être appréciée à la lumière du principe de finalité : elle ne signifie nullement que toute donnée sensible rendue publique par la personne concernée peut faire l'objet de n'importe quel traitement ;

nécessaires :

 à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle (1°, c) du 2 de l'article 8 de la directive). Ce nouveau cas vise les fichiers des organisations humanitaires sur les personnes arrêtées ou disparues, ainsi que les situations d'urgence -notamment en matière de santé- dans lesquelles le consentement de la personne concernée ne peut être recueilli, alors que sa survie ou celle d'une autre personne est en jeu ;

 aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé, sous réserve qu'ils soient mis en oeuvre par un membre d'une profession de santé ou une personne soumise à l'obligation de secret professionnel (5°, 3 de l'article 8 de la directive).

Il s'agit de l'exception la plus importante à l'interdiction du traitement des données sensibles. Elle permettra de compenser l'effet de l'ajout des données de santé à la liste des données sensibles, tout en encadrant strictement le traitement de ces données, désormais restreint à des finalités et à des destinataires étroitement définis. La limitation par la directive des personnes autorisées à effectuer le traitement des données constitue une garantie essentielle, et intégrée au projet français de « réseau santé-social » à travers la mise en place d'une « carte des professionnels de santé » permettant de différencier les niveaux d'habilitation des personnes ayant accès au réseau.

Le rapport de M. Guy Braibant prévoyait comme garanties appropriées :

- la soumission des personnes ayant accès aux traitements à une obligation de secret professionnel, même si les agents en cause (agents de l'Etat et des caisses d'assurance-maladie) ne sont pas des personnels de santé soumis au secret professionnel ;

- une restriction de l'information accessible aux agents en cause aux données strictement nécessaires aux traitements qu'ils ont vocation à mettre en oeuvre, dont le périmètre pourra être précisé par décret.

Ces préconisations ont donc été suivies. Finalement, le projet de loi choisit la mise en oeuvre par un membre d'une profession de santé ou par une autre personne soumise à l'obligation de secret professionnel.

 à la constatation, à l'exercice ou à la défense d'un droit en justice (4°, e) de l'article 8 de la directive). Si l'article 4 exclut la justice du champ d'application de la directive, les professions juridiques -qui entrent dans le champ de la compétence communautaire- traitent des informations concernant leurs clients ou leurs adversaires pouvant être sensibles. Ainsi un cabinet d'avocats traitant de responsabilité médicale ou d'atteinte aux droits de salariés protégés est-il amené à effectuer des traitements de données sensibles.

L'Assemblée nationale a adopté avec l'avis favorable du Gouvernement quatre amendements présentés par le rapporteur, M. Gérard Gouzes, dont trois rédactionnels, le quatrième autorisant le secteur de la recherche médicale à procéder à des traitements de données dites sensibles selon les modalités prévues au chapitre IX de la loi du 6 janvier 1978 conformément au considérant 35 de la directive. Il s'agit en effet d'un des « motifs d'intérêt public important » prévus par le paragraphe 4 de la directive, qui permet à l'autorité de contrôle de prévoir d'autres dérogations, sous réserve de garanties appropriées.

Enfin, le troisième paragraphe (III) du texte proposé pour l'article 8 dispose que « lorsque l'intérêt public l'impose », d'autres traitements ne sont pas soumis à cette interdiction de traitement des données sensibles.

Le paragraphe 6 de l'article 8 de la directive prévoit que les dérogations pour des motifs d'« intérêt public important » devront être notifiées à la Commission.

La directive indique plusieurs autres cas dans lesquels des dérogations sont possibles, mais qui n'ont pas été repris par le projet de loi :

- la directive permet aux lois nationales de prévoir que dans certains cas, l'interdiction ne peut être levée par le consentement de la personne concernée ;

- la directive prévoit également une dérogation à l'interdiction du traitement de données sensibles pour les traitements nécessaires au respect d'obligations du responsable du traitement en matière de droit du travail. Ceci vise notamment les cas dans lesquels la législation nationale prévoit le prélèvement à la source par l'employeur des cotisations syndicales ou des contributions fiscales aux Eglises. Tel n'étant pas le cas en France, leur transposition n'était pas requise.

Votre commission des Lois vous propose d'adopter un amendement tendant à autoriser des traitements d'anonymisation portant sur des données sensibles, tout en les entourant d'un certain nombre de garanties.

Il s'agit d'une nouvelle application de l'article 8-2-4 de la directive, qui autorise les Etats membres à prévoir des conditions légales dérogatoires pour le traitement de catégories spéciales de données, y compris les données de santé, pour des motifs d'intérêt public important.

Les traitements d'anonymisation permettant de protéger la vie privée, il convient donc de les encourager, d'autant plus qu'ils peuvent contribuer au développement de la recherche en matière de santé.

Cet amendement entoure de garanties importantes ces possibilités de dérogations. En effet, la mise en oeuvre de celles-ci sera suivie et encadrée par la Commission nationale de l'informatique et des libertés, à laquelle il appartiendra de déterminer les catégories de traitements pouvant en bénéficier eu égard à leur finalité.

En outre, cette dérogation ne sera applicable qu'aux traitements d'anonymisation dont les procédés d'anonymisation auront été préalablement homologués par la CNIL, en vertu de l'article 11 modifié de la loi du 6 janvier 1978.

Par ailleurs, si ces règles pourront provenir d'organisations professionnelles, la CNIL pourra également reconnaître des règles proposées par des entreprises. En effet, l'homologation de règles professionnelles peut prendre plusieurs années et il convient d'encourager dès à présent le développement de l'anonymisation.

De plus, ces traitements d'anonymisation devront intervenir à bref délai.

Votre commission des Lois vous propose en outre d'adopter un amendement prévoyant une dérogation supplémentaire pour les traitements statistiques réalisés par l'INSEE dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière statistique. Ces traitements seront soumis à autorisation de la CNIL après avis du Conseil national de l'information statistique.

En outre, votre commission des Lois vous propose d'adopter deux amendements rédactionnels.

Article 9 modifié de la loi du 6 janvier 1978
Traitements relatifs aux infractions,
condamnations et mesures de sûreté

Par ailleurs, l'article 9 (modifié) reprend quasiment à l'identique les dispositions de l'article 30 de la loi en vigueur et prévoit des garanties spécifiques pour le traitement des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté.

Ainsi, ils ne peuvent être mis en oeuvre que par :

- les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

- les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi. Rappelons qu'il s'agit des avocats, des avocats au Conseil d'Etat et à la Cour de cassation, des avoués près les cours d'appel, des commissaires priseurs, des experts judiciaires, des greffiers de commerce, des huissiers de justice, des notaires, des syndics et administrateurs judiciaires.

Le point 5 de l'article 8 de la directive prévoit que le traitement de ces données ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve de dérogations pouvant être accordées à l'Etat membre. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Actuellement, l'article 30 de la loi du 6 janvier 1978 est plus restrictif puisque seules les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales et, sur avis conforme de la CNIL, les personnes morales gérant un service public sont habilitées à traiter ces données, sauf dispositions légales contraires.

Si l'article 30 de la loi du 6 janvier 1978 a ouvert une dérogation provisoire au bénéfice des entreprises d'assurance, elle a été levée par la loi du 4 janvier 1980 relative à l'automatisation du casier judiciaire. De plus, une mission de service public, même lorsqu'elle est gérée par un organisme de droit privé, est toujours placée « sous le contrôle de l'autorité publique ».

La disposition de la directive permettant aux Etats membres d'étendre aux traitements des données relatives aux sanctions administratives ou aux jugements civils le contrôle de l'autorité publique n'a pas été retenue par le projet de loi.

L'Assemblée nationale a par ailleurs adopté, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement rédactionnel.

Votre commission des Lois vous propose d'adopter un amendement permettant aux victimes d'infractions, pour les besoins de la lutte contre la fraude et dans des conditions prévues par une loi ultérieure, de mettre en oeuvre des traitements portant sur les auteurs d'infractions dont elles ont été victimes. Seraient exclus de cette possibilité les traitements comportant des données mutualisées pour les raisons exposées lors de l'examen de l'article 10 modifié de la loi du 6 janvier 1978 (voir infra).

En l'absence d'un tel élargissement, on pourrait craindre en effet de voir se développer des traitements clandestins sur lesquels la CNIL ne pourrait exercer aucun contrôle. Il convient donc que la CNIL, dans une démarche pragmatique, puisse s'assurer de la justification de la poursuite d'un intérêt général et du respect de certaines garanties.

Cinq Etats membres ont déjà adopté cette attitude réaliste en autorisant des fichiers privés d'infractions : Autriche, Danemark, Italie, Portugal et Pays-Bas.

Article 10 modifié de la loi du 6 janvier 1978
Fondement de décisions

Au refus d'être identifié par un simple numéro s'est ajouté celui d'être réduit à un « profil » de personnalité dans les relations avec l'administration et avec des organismes privés dont les décisions peuvent significativement affecter la situation d'une personne.

Le droit administratif prévoit déjà certaines garanties en faveur des administrés. Ainsi, toute personne faisant l'objet d'une décision négative a droit à un examen particulier de son cas, à être informée des motifs de la décision prise à son encontre, à pouvoir demander un réexamen de son cas en dehors de tout cadre mécanique et à présenter ses observations.

En revanche, dans le cadre privé, les règles manquent encore, même si des lois particulières sont intervenues pour encadrer le fonctionnement de fichiers destinés à protéger les personnes contre elles-mêmes -comme le Fichier des incidents de remboursement de crédit aux particuliers (FICP) mis en place par la Banque de France pour prévenir les cas de surendettement- ou visant à protéger les personnes contre les comportements de tiers -comme le Fichier central des chèques (FCC), recensant les chéquiers volés et cartes bancaires en opposition afin d'en prévenir tout usage-.

Or, se développe la prestation par des groupements professionnels ou des sociétés privées de services de repérage ou de recensement des clients dits « à risques » par la constitution de « listes noires » comportant des personnes jugées indésirables ou dont certains comportements appellent à la vigilance, au motif que les professionnels doivent se protéger contre la fraude ou le risque d'impayé.

Cette mutualisation d'informations doit permettre à des professionnels de connaître le « profil » de certaines personnes et de décider en toute connaissance de cause de contracter, le cas échéant en fixant des conditions particulières, ou de ne pas contracter.

Ces décisions produisent des effets juridiques ou affectent significativement des personnes -comme celles des employeurs relatives à la situation de leurs salariés, celles des établissements bancaires en matière de crédit ou certaines décisions des compagnies d'assurances- et doivent donc être encadrées.

En effet, l'inscription d'une personne dans un tel fichier a un effet stigmatisant et peut quelquefois revêtir un caractère disproportionné par rapport aux fait reprochés. En outre, de tels fichiers dérogent aux principes de la protection des données personnelles puisque loin de demeurer confidentielles, les informations en cause sont alors partagées. De plus, elles vont à l'encontre du droit à l'oubli.

La loi du 6 janvier 1978 interdit que ces listes puissent constituer des « casiers judiciaires parallèles » non contrôlés, en prévoyant le droit d'information, d'accès et de rectification.

Par ailleurs, la directive cite parmi les « traitements susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées » et appelés, à ce titre, à pouvoir faire l'objet d'un examen préalable par l'autorité de contrôle avant toute mise en oeuvre, les traitements ayant pour « finalité d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat ».

La CNIL est régulièrement saisie de traitements d'évaluation du risque d'insolvabilité des demandeurs de crédit, des antécédents des incidents de paiements pour les professionnels de l'immobilier, de l'assurance ou de la téléphonie. La loi du 6 janvier 1978 ne soumettant pour l'instant pas les fichiers informatisés du secteur privé à un examen préalable, mais à un régime de simple déclaration contre délivrance d'un récépissé, elle ne peut qu'alerter les pouvoirs publics et organiser systématiquement des vérifications sur place.

L'article 10 (modifié) de la loi du 6 janvier 1978 doit donc permettre de remédier à cette situation.

Son premier paragraphe prévoit ainsi qu'aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

Par ailleurs, le deuxième paragraphe précise qu'aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur ce seul fondement.

Néanmoins, le troisième paragraphe prévoit, conformément aux dispositions du deuxième alinéa de l'article 15 de la directive 95/46 CE, qu'une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat « n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé » si la personne a été mise à même de présenter ses observations. En pratique, il s'agit notamment de garantir que les entreprises d'assurance ou les établissements bancaires, qui autorisent le crédit par des méthodes d'évaluation du profil du client dites de « credit scoring », ne fondent pas leurs décisions sur le seul examen de fichiers de données à caractère personnel en leur possession, mais procèdent à un examen de la situation individuelle de la personne en lui permettant de faire valoir son point de vue.

A l'initiative du rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a rétabli la référence mentionnée à l'actuel article 2 de la loi du 6 janvier 1978 à la notion de « profil » de l'intéressé, alors que le projet de loi initial ne retenait que sa personnalité.

Votre commission des Lois vous propose de compléter cet article. En effet, si l'article 15 de la directive interdit de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité, la protection des droits et libertés des personnes n'implique que de viser les seules décisions de refus. Les décisions ayant satisfait les demandes des personnes ne doivent donc pas être concernées.

Votre commission des Lois vous propose donc d'adopter onze amendements, dont cinq rédactionnels, puis d'adopter l'article 2 ainsi modifié.

Article 3
(Chapitre III de la loi n° 78-17 du 6 janvier 1978)
Dispositions relatives à la CNIL

Cet article déplace dans un chapitre III les dispositions relatives à la CNIL figurant actuellement au chapitre II de la loi du 6 janvier 1978 et insère donc neuf articles (11 à 21 modifiés) à la place des articles 6 à 13 actuels.

L'article 28 de la directive prévoit l'institution dans chaque Etat membre « d'une ou plusieurs autorités de contrôle » chargées de surveiller l'application des nouvelles dispositions. En France, la CNIL, déjà chargée de la protection des informations nominatives depuis près de 25 ans et devenue familière aux citoyens, aux entreprises privées et aux autorités publiques, sera chargée de ces missions.

Pour ce faire, sa composition, son rôle et ses méthodes doivent être revus.

Article 11 modifié de la loi du 6 janvier 1978
Missions de la CNIL

La Commission nationale de l'informatique et des libertés conserve son nom, en dépit de l'évolution de ses modes d'intervention, afin de marquer une continuité et alors même qu'on aurait pu parler de Commission nationale de l'informatique, « des fichiers » et des libertés, puisque les fichiers manuels seront bientôt soumis aux mêmes dispositions.

L'article 28 de la directive prévoit que la CNIL doit être une « autorité administrative indépendante », précision qui figurait déjà à l'article 8 de la loi du 6 janvier 1978. C'était d'ailleurs la première fois que ce terme était employé en droit français, donnant ainsi naissance à une nouvelle catégorie d'institutions administratives.

La CNIL compte en 2002 74 agents, contre 55 en 1995. Ses effectifs sont donc en forte progression. Il est prévu de porter les effectifs budgétaires de la CNIL à 92 agents dès 2004 et 97 en 2005. L'autorité britannique, aux compétences moins étendues, comprend déjà 110 personnes et l'autorité allemande plus de 250 personnes. En France, le Conseil supérieur de l'audiovisuel ou l'Autorité de régulation des télécommunications sont également des organismes beaucoup mieux dotés que la CNIL.

Les missions de la CNIL sont précisées dans les 1° A, 1°, 2° et 3° de cet article, et reprennent les nouvelles formes de protection préconisées par la directive, outre les mentions figurant déjà aux articles 21, 22 et 23 de la loi du 6 janvier 1978.

Ses missions évoluent fortement puisque les traitements du secteur privé et du secteur public seront désormais soumis aux mêmes règles et que le régime de contrôle -contrôle a priori réduit, contrôle a posteriori appelé à se développer- change de nature.

L'Assemblée nationale, à l'initiative du rapporteur, M. Gérard Gouzes, a tout d'abord complété la liste des attributions de la CNIL par la mission d'information générale des personnes de leurs droits et obligations qu'assure d'ores et déjà la CNIL.

Votre commission des Lois vous propose d'adopter un amendement précisant que la CNIL doit non seulement informer les personnes concernées par des traitements de données à caractère personnel, mais également les responsables de traitements, afin que s'instaure une véritable collaboration entre la CNIL et eux.

La CNIL assure en outre trois catégories de missions : assurer le respect des dispositions de la loi, conseiller les professionnels et assurer une veille technologique et juridique.

- Le 1° reprend la disposition générale de l'article 6 de la loi de 1978 prévoyant que la CNIL veille aux dispositions de la loi, référence étant ici faite aux traitements de données à caractère personnel, objet de la directive. A ce titre, elle exerce neuf missions.

a) Conformément au nouveau régime de protection instauré par la directive, la CNIL :

autorise les traitements relevant de l'article 25, c'est-à-dire ceux portant sur des données sensibles lorsqu'un intérêt public l'impose, ceux portant sur des données génétiques, des infractions, condamnations ou mesures de sûreté, ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, de procéder à des interconnexions de fichiers, portant sur le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, comportant des appréciations sur les difficultés sociales des personnes, ou des données biométriques ;

donne un avis sur les traitements mentionnés aux articles 26 et 27. Il s'agit des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique, ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales ou des mesures de sûreté (article 26), ainsi que les traitements mentionnés à l'article 27, mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, et portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou portant sur la totalité ou la quasi-totalité de la population de la France ;

reçoit les déclarations relatives aux autres traitements, la simple déclaration devenant ainsi le principe, alors que le contrôle préalable absorbe actuellement 75 % de l'activité de la CNIL.

b) La CNIL établit et publie des normes simplifiées (article 24 modifié) pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. Une telle disposition est déjà prévue par l'article 17 de la loi du 6 janvier 1978. Sur les 803.765 avis préalables à la mise en oeuvre des traitements au 31 décembre 2001, 67,5 % ont été déclarés selon une procédure simplifiée.

La CNIL peut également édicter des règlements types en vue d'assurer la sécurité des systèmes, possibilité déjà existante.

c) La CNIL reçoit également les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données ;

d) La CNIL joue également un rôle consultatif auprès des pouvoirs publics et, le cas échant, des juridictions. La même disposition figure à l'article premier du décret d'application de la loi de 197815(*).

La CNIL peut donc intervenir en amont de l'avis qu'elle sera amenée à donner, par exemple sur les projets de loi ou de décret (mission prévue au a) du 3° de cet article), comme elle l'a souvent fait. Elle conseille également les personnels ou organismes mettant en oeuvre des traitements automatisés de données à caractère personnel ou envisageant de le faire. Depuis sa création, la CNIL a ainsi reçu plus de 11.500 demandes de conseil, dont 973 pour l'année 2001, qui ont concerné, par ordre décroissant d'importance, le travail, la santé, l'immobilier et la fiscalité ;

- La CNIL informe sans délai le procureur de la République des informations dont elle a connaissance (e), ainsi que le prévoient déjà le point 4° de l'article 21 de la loi de 1978 et l'article 40 du code de procédure pénale.

La mise en mouvement de l'action publique appartient au ministère public sous réserve des constitutions de parties civiles. Le rapport de M. Guy Braibant n'a pas jugé opportun de doter la CNIL de ce pouvoir, la CNIL n'ayant que rarement fait usage de sa faculté de saisir le ministère public. Il estimait néanmoins que la CNIL devait pouvoir se constituer partie civile ou du moins présenter des observations écrites et orales dans la procédure d'appel de ses décisions prononçant des sanctions pécuniaires, ainsi que dans les procédures pénales, et qu'elle devait pouvoir former des recours pour excès de pouvoir contre les actes portant atteinte à son statut ou à ses prérogatives.

Le projet de loi prévoit désormais la possibilité de présenter des observations dans les procédures pénales relatives aux infractions informatiques, dans les conditions prévues à l'article 52 nouveau de la loi. Ainsi, le procureur de la République avise le président de la CNIL de toutes les poursuites en ce domaine et peut l'appeler (ou son représentant) à déposer ses observations ou à les développer oralement lors des audiences.

Cette nouvelle possibilité découle du point 3 de l'article 28 de la directive, qui prévoit pour les autorités de contrôle « le pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou [le] pouvoir de porter ces violations à la connaissance de l'autorité judiciaire ». Cette mission pourra être exercée par le président ou le vice-président délégué conformément à l'article 15 modifié de la loi du 6 janvier 1978.

- la possibilité de charger un ou plusieurs de ses membres de procéder à des vérifications et, le cas échéant, d'obtenir des copies de tous documents utiles (f).

La loi du 6 janvier 1978 prévoit déjà une disposition analogue dans le 2° de son article 21.

La référence à des experts pouvant assister les membres ou agents de la CNIL, qui figure à l'article 21 précité, est transposée au deuxième alinéa du III de l'article 44 modifié de la loi, lequel détaille les nouveaux pouvoirs d'investigation et de contrôle sur place de la CNIL. Alors que l'actuel article 11 de la loi de 1978 lui permet de demander l'aide de magistrats délégués pour des mesures d'investigation et de contrôle, il appartiendra dorénavant à la CNIL seule d'exercer pleinement ce pouvoir de contrôle a posteriori.

La directive va entraîner un bouleversement des modalités d'intervention de la CNIL. Alors que son activité se concentre à près de 75 % sur le contrôle a priori, elle devra désormais réorienter son action sur le contrôle a posteriori, mieux à même de garantir effectivement la protection des droits fondamentaux et libertés individuelles.

Le président ou le vice-président pourront procéder à la désignation de ces membres ou agents préposés aux vérifications, conformément à l'article 15 modifié de la loi du 6 janvier 1978.

Le point 3 de l'article 28 de la directive prévoit en effet que l'autorité de contrôle détient des pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle.

- La CNIL est également investie d'un pouvoir de sanction (g) par l'article 45 modifié de la loi inséré par l'article 7 du présent projet de loi. Ainsi, la CNIL pourra prononcer un avertissement à l'égard du responsable du traitement, ou le mettre en demeure de faire cesser le manquement. S'il n'obtempère pas, elle pourra prononcer à son encontre, après une procédure contradictoire, une sanction pécuniaire, une injonction de cesser le traitement ou, en cas d'urgence, décider l'interruption de la mise en oeuvre du traitement pour une durée maximale de trois mois ou saisir le Premier ministre, s'agissant des traitements de souveraineté, si la mise en oeuvre du traitement ou l'exploitation des données entraîne une violation des droits et libertés.

Par ailleurs, en cas d'atteinte grave et immédiate et immédiate aux droits et libertés, le président de la CNIL pourra demander par voie de référé au juge compétent d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire.

Ces différentes sanctions seront décidées par la formation restreinte de la CNIL, conformément à ce que prévoit l'article 17 modifié de la loi du 1978, inséré par le présent article.

- La CNIL traite également les demandes d'accès indirect (h) prévues par les articles 41 et 42 modifiés de la loi de 1978 (insérés par l'article 5 du présent projet de loi), portant respectivement sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ceux constitués à des fins de recherche et de constatation des infractions ou à des fins fiscales.

Les demandes d'accès seront alors adressées à la CNIL, qui désignera l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Si les données ne mettent pas en cause les finalités poursuivies par ces traitements, ces données ou résultats seront communiqués au requérant. Dans le cas contraire, la CNIL informera le requérant qu'il a été procédé aux vérifications.

La disposition de l'article 40 actuel de la loi de 1978 prévoyant que les informations à caractère médical ne peuvent être communiquées à l'intéressé que par l'intermédiaire d'un médecin n'est pas reprise, la loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé ayant réformé les modalités d'information des malades en organisant un droit d'accès direct aux dossiers médicaux (nouvel article L. 1111-7 du code de la santé publique).

Un deuxième type de missions dévolues à la CNIL (2° de l'article 3 du projet de loi) comprend celles d'ailleurs déjà exercées par la CNIL « à la demande des organismes professionnels regroupant les responsables de traitements » :

Votre commission des Lois vous propose d'adopter un amendement pour permettre à des organismes, qui ne regroupent pas forcément que des responsables de traitements (par exemple des associations de chercheurs ou d'informaticiens), de demander des avis à la CNIL ou de faire homologuer des règles. Il s'agit en effet de développer la coopération entre la CNIL et tous les organismes susceptibles de détenir des données à caractère personnel.

- la CNIL donne un avis sur la conformité des projets de règles professionnelles et des systèmes et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel.

Votre commission des Lois vous propose d'adopter un amendement tirant les conséquences des amendements proposés aux articles 8 et 32 modifiés de la loi et tendant à inciter les responsables de traitements à procéder à une anonymisation des données collectées par un allègement des formalités.

Il précise donc que ces règles professionnelles homologuées par la CNIL pourront également avoir pour objet l'anonymisation des données ;

- elle porte une appréciation sur les garanties offertes par ces règles professionnelles ;

- elle délivre un label à des produits ou à des procédures ; c'est ainsi que la CNIL a élaboré un code de déontologie à l'usage des professionnels du marketing qui a incontestablement eu de fortes répercussions sur ces activités.

Enfin, la CNIL joue un rôle de veille tant technologique que juridique (3° de l'article 11 modifié par l'article 3 du présent projet de loi) en s'inspirant de l'actuel article 21 de la loi de 1978, qui prévoit qu'elle se tient informée « de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés », en précisant qu'elle « se tient informée des activités industrielles et de services qui concourent à la mise en oeuvre de l'informatique ».

Votre commission des Lois vous propose d'adopter un amendement reconnaissant à la CNIL le droit d'informer le public des risques que peuvent présenter de nouvelles technologies, ainsi qu'elle le fait d'ailleurs déjà actuellement. On peut par exemple citer son récent rapport sur la cybersurveillance au travail. Il s'agit d'éviter que se reproduise le défaut d'anticipation des bouleversements provoqués par de nouvelles technologies comme l'internet.

A ce titre, la CNIL :

- est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements informatiques (a). Votre commission des Lois vous propose d'adopter un amendement rédactionnel remplaçant le mot « informatiques » par « automatisés ».

Le point 2) de l'article 28 de la directive prévoit d'ailleurs que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

L'Assemblée nationale a adopté, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement tendant à lever toute ambiguïté sur l'étendue de cette consultation ;

- La CNIL propose au Gouvernement des mesures législatives ou réglementaires d'adaptation à l'évolution de la technologie. Cette disposition figure déjà à l'article premier du décret d'application de 1978 ;

Par ailleurs, votre commission des Lois vous propose d'adopter un amendement prévoyant que la CNIL peut apporter son concours à d'autres autorités administratives indépendantes en matière de protection des données, une telle collaboration pouvant s'avérer particulièrement fructueuse, qu'il s'agisse de l'Autorité de régulation des télécommunications (ART), de la Commission d'accès aux documents administratifs (CADA) ou du Conseil supérieur de l'audiovisuel (CSA) ;

- elle peut être associée, à la demande du Premier ministre, à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel. La formule de l'association répond au statut particulier de la CNIL qui, autorité administrative indépendante, ne peut recevoir d'injonction du Gouvernement, ni le représenter, celui-ci étant seul responsable de la conduite de la politique étrangère.

Le rapport de M. Guy Braibant, ainsi que l'avis de la CNIL16(*), déploraient que la France soit représentée dans ses relations avec les institutions internationales (Conseil de l'Europe, Union européenne, OCDE) sur la protection des données à caractère personnel par le commissaire du Gouvernement auprès de la CNIL. Ils estimaient cette situation équivoque, le commissaire du Gouvernement étant à tort considéré comme le représentant de la CNIL, alors même que la CNIL a noué des relations avec ses homologues étrangers et que certains de ses membres ou agents sont entendus comme experts par des institutions internationales.

Votre commission des Lois vous propose d'adopter un amendement permettant l'association de la CNIL à la définition de la position française et sa participation, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes. Il s'agit d'assurer l'information de la CNIL sur le déroulement des négociations internationales relatives à la protection des données à caractère personnel, afin d'éviter sa mise à l'écart, qui constitue aujourd'hui trop souvent la règle.

Par ailleurs, l'avant-dernier alinéa de l'article 11 modifié de la loi de 1978 reprend les dispositions figurant actuellement aux articles 6 et 21 et prévoit que la CNIL peut prendre « des décisions individuelles ou réglementaires ». Les décisions individuelles peuvent porter sur des problèmes d'organisation ou de fonctionnement de la commission (constatation des incompatibilités par exemple) ou concerner des tiers (notamment s'agissant des pouvoirs de sanction et d'investigation). Parmi les mesures réglementaires figurent le règlement intérieur, l'élaboration de normes simplifiées ou de règlements types visant à assurer la sécurité des systèmes. La CNIL peut également procéder par voie de recommandations, sans effet contraignant, mais destinées à orienter l'action et les méthodes des pouvoirs publics et des responsables de traitements.

Enfin, la CNIL présente chaque année au Président de la République et au Parlement un rapport public rendant compte de l'exécution de sa mission. Il s'agit de la simple reprise des dispositions du premier alinéa de l'article 23 actuel de la loi du 6 janvier 1978. Ce rapport devrait avoir davantage une valeur pédagogique et dénoncer les abus constatés.

Votre commission des Lois vous propose d'adopter un amendement tendant à prévoir que ce rapport sera également remis au Premier ministre, ce qui est déjà le cas en pratique.

En revanche, n'a pas été repris le deuxième alinéa de l'actuel article 23 de la loi, qui prévoit que ce rapport décrit notamment les procédures et méthodes de travail suivies par la commission et contient en annexe toutes informations sur l'organisation de la commission et de ses services, propres à faciliter les relations du public avec celle-ci. Il apparaît en effet trop restrictif et peu législatif.

En outre, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 12 modifié de la loi du 6 janvier 1978
Crédits

Actuellement, l'article 7 de la loi de 1978 prévoit que la CNIL est financée par des crédits inscrits au budget du ministère de la Justice et que les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion, les comptes de la commission étant présentés a posteriori à la Cour des comptes, conformément à ce qui est prévu, par exemple, pour le Médiateur de la République.

L'article 12 modifié de la loi reprend ces dispositions à l'exception de la mention de l'inscription des crédits au budget du ministère de la Justice. En effet, tous les crédits des autorités administratives sont désormais regroupés17(*).

N'est pas non plus repris le dernier alinéa de l'article 7 de la loi de 1978 prévoyant la possibilité pour la CNIL de percevoir des redevances pour certains actes -notamment l'accomplissement des formalités de déclaration- cette disposition n'ayant en fait jamais été mise en oeuvre.

Article 13 modifié de la loi du 6 janvier 1978
Dispositions relatives aux membres de la CNIL

Cet article comporte trois paragraphes fixant respectivement le nombre et l'origine des membres de la CNIL, la durée de leur mandat et le règlement intérieur de la commission.

1- Composition et origine des membres de la CNIL

Le nombre de membres de la CNIL, fixé à dix-sept par la loi du 6 janvier 1978, demeure inchangé.

S'il est supérieur à celui d'autres autorités administratives indépendantes, comme la Commission des opérations de bourse ou le Conseil de l'audiovisuel -neuf- ou des autres pays européens18(*), la CNIL a cependant bien fonctionné, M. Guy Braibant la qualifiant dans son rapport de « petit parlement ou académie des libertés ».

Néanmoins, pour des raisons pratiques, des formations plus restreintes sont désormais prévues par les articles 16 et 17 modifiés de la loi de 1978.

L'article 8 actuel de la loi du 6 janvier 1978 prévoit que la CNIL est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :

- deux députés et deux sénateurs élus respectivement par l'Assemblée nationale et par le Sénat ;

- deux membres du Conseil économique et social, élus par leur assemblée ;

- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade au moins égal à celui de conseiller, élus par leur assemblée générale ;

- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par leur assemblée générale ;

- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par leur assemblée générale ;

- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;

- trois personnalités désignées en raison de leur autorité et de leur compétence par décret en Conseil des ministres.

Il est en outre précisé que la commission élit en son sein pour cinq ans un président et deux vice-présidents.

Le projet de loi propose divers aménagements.

Compte tenu de la technicité croissante de l'informatique, le projet de loi initial proposait de laisser plus de place aux praticiens de l'informatique. En effet, les représentants du secteur public occupent une place prépondérante et la société civile une place trop réduite. De même, les juristes sont en quasi-monopole et les informaticiens absents. On compte ainsi actuellement quatre membres du Conseil d'Etat dont l'actuel président et trois membres de la Cour des comptes (au lieu des deux pour chaque catégorie formellement prévus en 1978).

Le présent projet de loi proposait que le Conseil économique et social ne désigne plus qu'un seul membre (au lieu de deux).

M. Gérard Gouzes, rapporteur, a néanmoins rétabli leur nombre, jugeant cette diminution peu opportune et soulignant que cette institution pouvait apporter à la CNIL le point de vue des consommateurs, des salariés, des associations familiales et des travailleurs indépendants. Il a en outre douté que des informaticiens très spécialisés soient à même de protéger les libertés individuelles.

Par ailleurs, le profil des personnalités désignées en raison de leur compétence ou de leur autorité est modifié. Ainsi, les deux personnes « qualifiées pour leur connaissance des applications de l'informatique et nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat » seront désormais qualifiées « pour leur connaissance de l'informatique », cette formulation plus large devant permettre de ne pas nommer uniquement des techniciens. Leur désignation se fera désormais directement par le président du Sénat ou celui de l'Assemblée nationale, ainsi que c'est déjà le cas en pratique.

Le projet de loi initial prévoyait en outre que le nombre de personnalités désignées en raison de leur compétence par décret en Conseil des ministres devait passer de trois à quatre, que leur nomination ne requerrait plus qu'un décret simple, et que deux d'entre elles devraient désormais être « qualifiées pour leur connaissance de l'informatique ».

Du fait de l'adoption par l'Assemblée nationale de l'amendement de M. Gérard Gouzes, rapporteur, rétablissant le nombre de membres du Conseil économique et social, l'augmentation du nombre de personnalités est supprimée.

Votre commission des Lois vous propose d'adopter un amendement prévoyant que les trois personnalités doivent être qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles, dans un souci de cohérence.

A l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté un amendement de précision, les parlementaires siégeant dans des organismes extérieurs étant nommés par la commission compétente de l'assemblée et non pas élus par celle-ci19(*).

En outre, le projet de loi confirme l'élection du président et de deux vice-présidents par la Commission, tout en institutionnalisant la fonction de « vice-président délégué » pouvant être chargé de fonctions spécifiques, conformément aux dispositions de l'article 15 modifié de la loi de 1978.

Conformément aux orientations retenues par le rapport de M. Guy Braibant, il apparaîtrait souhaitable que l'exécutif du collège soit renforcé et qu'à l'instar d'autres autorités administratives indépendantes, le président et les deux vice-présidents exercent leur activité à plein temps, quitte éventuellement à faire une exception pour les députés et sénateurs.

2- Durée du mandat des membres de la CNIL

L'article 8 actuel de la loi prévoit que les membres de la CNIL sont élus pour cinq ans ou pour la durée de leur mandat -ceci concernant les parlementaires et les membres du Conseil économique et social-.

Le paragraphe II de l'article 13 modifié de la loi de 1978 conserve cette durée de 5 ans. Néanmoins, est introduite une limitation à un renouvellement du mandat, suivant la suggestion du rapport de M. Guy Braibant.

La désignation des parlementaires et des membres du Conseil économique et social se fera après chaque renouvellement de l'assemblée à laquelle ils appartiennent20(*), le projet de loi indiquant qu'ils ne peuvent être membres de la Commission plus de dix ans.

Votre commission des Lois vous propose d'adopter un amendement supprimant cette disposition qui aboutirait à ce que les sénateurs ne soient désignés que pour une durée de trois ans, durée insuffisante pour appréhender pleinement les questions liées à l'informatique et aux libertés.

La situation des membres actuels de la CNIL est réglée par l'article 17 du présent projet de loi, qui prévoit qu'ils demeurent en fonction jusqu'au terme normal de leur mandat.

La suggestion émise par le rapport de M. Guy Braibant de porter la durée du mandat de cinq à six ans, comme c'est le cas dans nombre d'autorités administratives indépendantes, n'a pas été reprise.

Par ailleurs, il est précisé qu'un membre de la CNIL cessant d'exercer ses fonctions en cours de mandat est remplacé dans les mêmes conditions pour la durée du mandat restant à courir. Ainsi, cette formulation clarifie le texte actuel qui pouvait laisser penser qu'un président empêché serait remplacé directement par le nouveau membre désigné, pour la durée restant à courir de son mandat. Ce n'est qu'après la désignation du nouveau membre que la CNIL sera amenée à élire un nouveau président, pour une durée de cinq ans.

Afin de conserver à la CNIL son indépendance, il est en outre réaffirmé que « sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la Commission dans les conditions qu'elle définit ».

3- Le règlement intérieur de la CNIL

La disposition prévue actuellement à l'article 8 de la loi donnant à la CNIL le pouvoir d'établir un règlement intérieur est reprise, étant précisé que ce règlement porte sur les « règles relatives à l'organisation ou au fonctionnement de la Commission » et qu'y figurent notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.

La CNIL n'a établi de règlement intérieur qu'en 198721(*). Le présent projet de loi conduira probablement à le modifier en profondeur, s'agissant notamment des pouvoirs d'investigation, de contrôle et de vérification sur place.

En outre, votre commission des Lois vous propose d'adopter deux amendements rédactionnels ainsi qu'un amendement de précision.

Article 14 modifié de la loi du 6 janvier 1978
Incompatibilités

Pour garantir son caractère d'autorité administrative indépendante, l'actuel article 8 de la loi de 1978 prévoit que la qualité de membre de la CNIL est incompatible :

- avec la qualité de membre du Gouvernement ;

- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.

C'est à la CNIL qu'il appartient d'apprécier dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.

Le projet de loi reprend l'incompatibilité avec la fonction de membre du Gouvernement, tout en assouplissant le dispositif concernant les membres susceptibles d'exercer une compétence dans le secteur de l'informatique.

Il est désormais prévu un simple déport, un membre de la Commission ne pouvant participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, un mandat ou exerce des fonctions. Cette interdiction est étendue aux fonctions ou participations intervenues au cours des dix-huit mois précédant la délibération ou les vérifications en cause.

Cet assouplissement, qui résulte de la volonté du Gouvernement de voir siéger au sein de la Commission des professionnels de l'informatique, afin de renforcer sa technicité, devait compléter l'augmentation du nombre de personnalités qualifiées.

Le régime s'apparente à celui retenu depuis la loi n° 96-597 du 2 juillet 1996 par l'article L. 621-4 du code monétaire et financier pour les membres de la Commission des opérations de bourse, qui prévoit qu'ils ne peuvent participer à une délibération concernant une affaire dans laquelle ils détiennent (ou ont détenu moins de 36 mois auparavant) un intérêt.

Votre commission des Lois vous propose d'adopter deux amendements tendant à aligner la durée prise en compte sur celle établie pour la COB, ainsi qu'à préciser qu'il peut s'agir d'un intérêt direct ou indirect.

Le paragraphe III rend effective cette disposition en obligeant tout membre de la CNIL à informer le président des intérêts et mandats qu'il détient ou vient à détenir, ainsi que des fonctions qu'il exerce ou vient à exercer.

Ces informations sont tenues à la disposition des membres de la Commission et le président « prend les mesures appropriées » pour en assurer le respect.

Votre commission des Lois vous propose d'adopter un amendement élargissant le rôle du président.

En contrepartie du maintien du nombre élevé de membres de la CNIL, le projet de loi crée une formation retreinte et institutionnalise un bureau chargé de fonctions spécifiques.

Votre commission des Lois vous propose pour des raisons rédactionnelles de déplacer les dispositions relatives à la composition de ces deux organes à cet article.

Article 15 modifié de la loi du 6 janvier 1978
Rôle de la formation plénière

La réunion en formation plénière demeure la règle.

Comme actuellement, la voix du président est prépondérante en cas de partage égal des voix.

L'actuel article 10 de la loi de 1978 prévoit que la commission peut charger le président ou le vice-président délégué :

- de la réception des déclarations de traitements automatisés émanant de personnes privées (article 16) ;

- de l'établissement de normes simplifiées pour les catégories les plus courantes de traitements à caractère public ou privé ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés (article 17) ;

- d'avertir les intéressés et de dénoncer au parquet des infractions dont elle a connaissance (article 32-4) ;

- de veiller au respect du droit d'accès et de rectification (article 21-5) ;

- de recevoir les réclamations, pétitions et plaintes (article 21-6) ;

- de vérifier les demandes de traitements de données à caractère personnel de santé, de les interdire le cas échéant et de déterminer leur durée de conservation (article 40-13) ;

- d'instruire dans les deux mois les demandes de traitement de données à caractère personnel de santé (article 40-14).

Le projet de loi adapte ces dispositions en prévoyant des délégations s'agissant de :

- la délivrance d'un récépissé lors de la déclaration d'un traitement (troisième alinéa du I de l'article 23) ;

- l'information du Procureur de la République des infractions dont elle a connaissance, de la présentation d'observations dans les procédures pénales, de la désignation de certains membres de la CNIL pour vérifications portant sur tous traitements ou obtention de copies (e et f du 1° de l'article 11).

A l'initiative de M. Gérard Gouzes, rapporteur, l'Assemblée nationale a étendu le champ de ces délégations :

- à celles relatives au droit d'accès indirect (articles 41 et 42 modifiés introduits par l'article 5 du présent projet de loi) : c'est à dire relatives aux traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou les traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public, du contrôle ou du recouvrement des impositions ;

- à l'agrégation des données de santé communiquées à des fins statistiques d'évaluation des pratiques de soins et de prévention en vue de garantir la non-identification des patients et à la vérification par la CNIL au regard de la finalité des traitements de l'anonymisation des données (articles 63 et 64 nouveaux -anciennement articles 40-12 et 40-13 créés par la loi n° 99-641 du 27 juillet 1999 portant création d'une couverture maladie universelle-) ;

- à l'avis du Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé sur la méthodologie de la recherche, la nécessité du recours à des données à caractère personnel et la pertinence de celles-ci par rapport à l'objectif de la recherche (article 54 nouveau -ancien article 40-2 de la loi créé par la loi n° 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé-) ;

Mme Marylise Lebranchu, précédent Garde des Sceaux, avait émis des réserves sur cette délégation des autorisations en matière de recherche dans le domaine de la santé et de l'évaluation des activités de soins, cette matière constituant le seul domaine dans lequel serait déléguée l'appréciation même à porter sur un traitement, et s'en était par conséquent remise à la sagesse de l'Assemblée nationale.

- à l'interdiction d'un transfert vers un Etat tiers dont la Commission des Communautés européennes constate qu'il n'assure pas un niveau de protection suffisant (article 70, 1er alinéa).

Le projet de loi initial prévoyait que l'examen des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique (article 41 modifié), des transmissions d'information à des fins d'évaluation des pratiques de soins (articles 63 et 64 modifiés) serait délégué, non au président ou au vice-président délégué, mais au bureau de la commission.

L'Assemblée nationale a cependant transféré ces compétences au président de la CNIL, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement.

Votre commission des Lois vous propose d'adopter un amendement tendant à étendre les compétences du président ou du vice-président délégué :

à la réception des réclamations, plaintes et pétitions relatives à la mise en oeuvre des traitements de données à caractère personnel, ainsi que l'information de leurs auteurs sur les suites à donner. En pratique tel est déjà le cas (article 11-1° c ) ;

à l'association à la préparation de la position française aux négociations internationales (article 11-3° c ) ;

à l'information délivrée par la CNIL à la Commission des Communautés européennes et aux autorités de contrôle des autres Etats membres des décisions d'autorisation de transfert de données à caractère personnel qu'elle prend (dernier alinéa de l'article 69).

Article 16 modifié de la loi du 6 janvier 1978
Bureau de la commission

Le projet de loi institue formellement un bureau de la CNIL, composé du président et de deux vice-présidents. L'article 9 du règlement intérieur de la CNIL le prévoyait déjà, mais il apparaissait comme une simple instance d'information intervenant préalablement à une décision de la Commission concernant, par exemple, une incompatibilité ou un empêchement d'un membre.

Le bureau pourra désormais se voir déléguer par la commission :

- l'habilitation des agents de la commission à participer à la mise en oeuvre de missions de vérification (troisième alinéa de l'article 19) ;

-  lorsque la CNIL estime qu'un Etat tiers n'assure pas un niveau de protection suffisant, l'information de la Commission européenne et l'injonction au responsable du traitement de suspendre le transfert de données. En fonction de la réponse de la Commission européenne, elle lèvera la suspension ou prononcera l'interdiction du transfert (deuxième alinéa de l'article 70).

Comme il a déjà été précisé à l'article précédent, le projet de loi initial prévoyait que les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique (article 41 modifié) et les transmissions d'information à de fins d'évaluation des pratiques de soins (articles 63 et 64 modifiés), seraient délégués au bureau de la commission. Du fait des modifications apportées par l'Assemblée nationale, ils relèvent désormais du président ou du vice-président délégué.

Enfin, le bureau peut aussi, en cas d'urgence, prononcer un avertissement à l'égard du responsable du traitement ne respectant pas les obligations découlant du présent projet de loi, et peut le mettre en demeure de faire cesser le manquement constaté dans un certain délai (premier alinéa du paragraphe I de l'article 45 modifié de la loi du 6 janvier 1978 introduit par l'article 7 du présent projet de loi).

Votre commission des Lois vous propose d'adopter un amendement tendant à prévoir que la Commission peut déléguer au bureau l'autorisation de certains traitements en cas d'urgence, la CNIL devant le prononcer de manière expresse dans un délai de deux mois renouvelable une fois, ce qui peut faire craindre un engorgement de ses services.

En outre, votre commission des Lois vous propose d'adopter un amendement de coordination à l'amendement proposé à l'article 13 modifié.

Article 17 modifié de la loi du 6 janvier 1978
Pouvoirs de la formation restreinte

Le deuxième alinéa de cet article prévoit que la formation restreinte de la commission est composée du président, des vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat, la voix du président étant prépondérante en cas de partage égal des voix.

Le projet de loi initial n'incluait qu'un vice-président délégué dans sa composition mais l'Assemblée nationale, à l'initiative de son rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, a décidé d'inclure également l'autre vice-président.

Le premier alinéa charge la formation restreinte de prononcer les sanctions prévues aux paragraphes I et 1° du II de l'article 45 modifié de la loi de 1978 (à l'exclusion du cas d'urgence où le bureau peut intervenir), conformément aux préconisations du rapport de M. Guy Braibant.

- Elle pourra donc prononcer un avertissement à l'égard du responsable d'un traitement ne respectant pas les obligations de la loi du 6 janvier 1978, voire le mettre en demeure de faire cesser le manquement constaté.

S'il persiste, la CNIL pourra prononcer à son encontre, après une procédure contradictoire, une sanction pécuniaire, voire une injonction de cesser le traitement ou de procéder à sa destruction si celui ci était soumis à

déclaration. Elle pourra également retirer l'autorisation prévue à l'article 2522(*).

- La formation restreinte pourra également, dans le cadre du 1° du paragraphe II de l'article 45 modifié, décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines données, pour une durée maximale de trois mois en cas d'urgence et, après une procédure contradictoire, lorsque la mise en oeuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés protégés par la CNIL.

Cette possibilité est toutefois exclue s'agissant des traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

S'agissant de ces traitements ainsi que de ceux portant sur des données sensibles, il appartiendra à la formation plénière de saisir le Premier ministre afin de faire cesser la violation constatée.

Article 18 modifié de la loi du 6 janvier 1978
Commissaire du Gouvernement

L'actuel article 9 de la loi du 6 janvier 1978 prévoit qu'un commissaire du Gouvernement, désigné par le Premier ministre et rattaché au Secrétariat général du Gouvernement, siège auprès de la commission. Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération, mais cette faculté n'a jamais été utilisée.

Selon une circulaire de 1993 du Premier ministre, il assure la coordination de l'application de la loi de 1978 au sein des différentes administrations. A cet effet, des correspondants CNIL sont désignés dans chaque ministère.

Le rapport de M. Guy Braibant s'interrogeait sur l'opportunité de son maintien, soulignant que la coordination n'était pas toujours assurée compte tenu de l'ampleur de la tâche et que l'activité de la CNIL allait être consacrée en grande partie au secteur privé, qui ne peut être contraint de s'adresser à la CNIL par l'intermédiaire du Gouvernement.

Il appelait, en cas de maintien, à ce qu'il soit doté d'une autorité nécessaire -notamment en étant issu d'un grand corps de l'Etat et situé à un niveau élevé de la hiérarchie- et qu'il dispose d'adjoints et de services suffisants pour nouer des relations approfondies avec toutes les administrations, mais également avec le secteur privé.

L'article 18 modifié réaffirme la présence d'un commissaire du Gouvernement tout en la précisant. Des commissaires adjoints pourront être désignés dans les mêmes conditions, ainsi que le prévoit d'ailleurs déjà l'article 4 du décret modifié d'application de la loi n° 78-774 du 17 juillet 1978 « en cas d'absence ou d'empêchement ».

Pour tenir compte de l'insertion dans la loi de toutes les formations de la CNIL (bureau, formation restreinte), il est désormais précisé que le commissaire du Gouvernement assiste à toutes les délibérations de la commission dans ses différentes formations. Il est rendu destinataire de tous ses avis et décisions.

Votre commission des Lois vous propose d'adopter un amendement excluant le commissaire du Gouvernement du bureau, dont les compétences portent essentiellement sur l'organisation interne.

Le dernier alinéa lui conserve la possibilité de provoquer une seconde délibération, sauf en matière de sanctions.

Article 19 modifié de la loi du 6 janvier 1978
Services de la CNIL

L'actuel article 10 de la loi prévoit que la CNIL dispose de services dirigés par le président ou, sur délégation, par un vice-président, et placés sous son autorité. Votre commission des Lois vous propose de supprimer cette possibilité de délégation au vice-président et de procéder à quelques modifications rédactionnelles.

Les agents de la commission sont nommés par le président ou le vice-président délégué.

Le Chapitre II du règlement intérieur de la CNIL mentionne en outre un secrétaire général chargé de coordonner et d'animer les services.

Actuellement, 70 personnes travaillent à la CNIL, au sein de cinq directions : de l'administration et de la communication ; de l'expertise informatique et des contrôles ; des affaires européennes, internationales et de la prospective ; des affaires publiques et sociales ; des affaires économiques ainsi que d'un service des plaintes et des requêtes générales.

Outre la reprise de ces dispositions, l'article 19 modifié, introduit par l'article 3 du projet de loi, prévoit que les agents de la commission peuvent être appelés à participer à la mise en oeuvre des missions de vérification prévues à l'article 44 nouveau de la loi. Il est cependant précisé qu'une telle habilitation « ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi ».

Le développement du contrôle a posteriori, et en particulier des vérifications sur place, nécessitera un renforcement des moyens de la CNIL, notamment en personnel.

Article 20 modifié de la loi du 6 janvier 1978
Secret professionnel des membres et agents de la CNIL

Le dernier alinéa de l'article 28 de la directive 95/46 précise que « les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès ».

Actuellement, l'article 12 de la loi de 1978 indique déjà que cette astreinte porte sur « les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel » (...) aux articles 226-13 et 226-14 du code pénal ».

L'article 413-10 du code pénal punit de sept ans d'emprisonnement et de 100.000 euros d'amende le fait de détruire, détourner, soustraire, reproduire ou porter à la connaissance du public ou d'une personne non qualifiée un renseignement ou un document ayant le caractère de secret de la défense nationale.

L'article 226-13 du code pénal prévoit, quant à lui, que l'atteinte au secret professionnel est punie d'un an d'emprisonnement et de 15.000 euros d'amende. L'article 226-14 du code pénal prévoit cependant des dérogations afin de permettre de révéler des sévices sexuels ou envers des mineurs ou des personnes n'étant pas en mesure de se protéger.

L'article 20 nouveau reprend donc ces dispositions à l'exception de la référence inutile à l'article 226-14 du code pénal.

Article 21 modifié de la loi du 6 janvier 1978
Collaboration des personnes contrôlées

Le premier alinéa de cet article reprend le premier alinéa de l'actuel article 13 de la loi prévoyant que, dans l'exercice de leurs attributions, les membres de la CNIL ne reçoivent d'instruction d'aucune autorité. Ceci découle de la nature d'autorité administrative indépendante de la CNIL.

Le second alinéa de l'actuel article 13 prévoit que « les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion ».

Le projet de loi élargit cette obligation de coopération puisqu'il ne fait plus référence aux seuls informaticiens, mais prévoit au contraire que « sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre de[s] vérifications [...] sont tenues de fournir les renseignements demandés par [la CNIL] pour l'exercice de ses missions ».

Votre commission des Lois vous propose d'adopter un amendement tendant à réintégrer des précisions figurant à l'article 21 de la loi actuelle et permettant aux membres et agents de la CNIL de procéder effectivement à des contrôles a posteriori.

Il paraît en effet particulièrement opportun de rappeler que les ministres, autorités publiques, dirigeants d'entreprises -publiques ou privées-, responsables de groupements divers, et plus généralement les détenteurs ou utilisateurs de traitements à caractère personnel ne peuvent s'opposer à l'action de la CNIL et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Votre commission des Lois vous propose donc d'adopter 22 amendements, dont sept rédactionnels, puis d'adopter l'article 3 ainsi modifié.

Article 4
(Chapitre IV de la loi n° 78-17 du 6 janvier 1978)
Formalités préalables à la mise en oeuvre des traitements
- Régimes de la déclaration et de l'autorisation -

La loi du 6 janvier 1978 visait prioritairement à empêcher une utilisation attentatoire aux libertés des traitements automatisés d'informations nominatives par les pouvoirs publics. La loi prévoit donc actuellement deux procédures distinctes en fonction de la nature juridique du responsable des traitements.

A ce critère organique est substitué par les articles 18 et 20 de la directive 95/46 CE un critère matériel, différenciant les obligations imposées au responsable du traitement en fonction de la nature des données concernées et du risque que leur traitement peut représenter pour les libertés individuelles.

Là vont intervenir les plus grands changements. La directive prévoit en effet, d'une part, la diminution du contrôle a priori au profit du contrôle a posteriori et, d'autre part, l'égalité entre les secteurs public et privé.

En conséquence, cet article du projet de loi substitue au chapitre IV en vigueur un nouveau chapitre relatif aux « formalités préalables à la mise en oeuvre des traitements » comprenant trois sections traitant respectivement du contenu de la déclaration, qui constitue le régime de droit commun (articles 23 et 24 modifiés), du champ d'application et de la procédure d'autorisation préalable applicable à certains types de traitement (articles 25 à 29 modifiés) et des dispositions communes aux deux régimes (articles 30 et 31 modifiés).

Actuellement, la loi du 6 janvier 1978 distingue les traitements publics et privés :

les traitements « opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public » sont soumis à une procédure originale qui commence par un « avis motivé » de la CNIL (article 15). Si l'avis est favorable, la décision est prise par un acte réglementaire. S'il est défavorable, « il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ». Cette deuxième disposition n'ayant jamais joué, la CNIL détient en fait un pouvoir de refus d'autorisation ;

- les traitements effectués pour le compte d'autres personnes ne sont soumis qu'à une déclaration qui « comporte l'engagement que le traitement satisfait aux exigences de la loi ». Le récépissé doit être délivré « sans délai », le demandeur pouvant alors mettre en oeuvre le traitement sans être toutefois « exonéré d'aucune de ses responsabilités » (article 16).

Le Conseil d'Etat ayant condamné en 1997 la pratique de la CNIL consistant en cas de doute à procéder à un examen de fond de la déclaration, celle-ci doit se borner à vérifier sa régularité formelle. La différence de régime entre les secteurs public et privé s'en trouve encore renforcée.

Cette distinction est donc organique et simple.

Néanmoins, dans les deux secteurs sont prévues des déclarations simplifiées pour les traitements courants et non dangereux faisant l'objet de normes simplifiées (article 17).

La directive, au contraire, soumet les deux secteurs -à l'exception des traitements de souveraineté, exclus de son champ d'application- aux mêmes procédures.

La déclaration, devenue « notification », est érigée en procédure de droit commun. Toutefois, des possibilités de déclaration simplifiée, voire même de dispense de déclaration sont prévues dans certains cas (articles 18 et 19).

Au contraire, les « traitements susceptibles de présenter des risques particuliers au regard des lois et libertés des personnes concernées » donnent lieu à des « contrôles préalables ». Cette notion restant très large, de grandes différences peuvent apparaître entre les Etats membres lors de la transposition, comme l'avaient craint le Conseil d'Etat et l'Assemblée nationale.

Tableau récapitulatif des formalités préalables
prévues par le projet de loi

 

Articles

Traitements

Dispense d'office par la loi

22-III

- Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu des dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

- Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical.

Dispense
par la CNIL

24-II

Certains traitements courants non susceptibles de porter atteinte à la vie privée ou aux libertés (en fonction de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, et de la durée de conservation).

Déclaration simplifiée

24-I

Les catégories les plus courantes de traitements dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Autorisation de la CNIL

25

- Les traitements automatisés ou non contenant des données sensibles ;

- Les traitements automatisés contenant des données génétiques (sauf ceux mis en oeuvre par les médecins ou biologistes) ;

- Les traitements automatisés ou non, portant sur les données relatives à des infractions, condamnations ou mesures de sûreté (sauf ceux mis en oeuvre par les auxiliaires de justice pour la défense des personnes concernées) ;

- Les traitements automatisés ayant pour finalité de sélectionner des personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;

- Les traitements automatisés ayant pour objet :

l'interconnexion de fichiers relevant d'une ou plusieurs personnes morales gérant un service public et dont les finalités correspondant à des intérêts publics différents,

l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes.

- Les traitements portant des données parmi lesquelles figurent le NIR, ceux requérant la consultation du RNIPP, et ceux portant sur la totalité ou quasi totalité de la population française ;

- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

- Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Autorisation par arrêté ministériel après avis motivé et publié de la CNIL

26 I

Les traitements mis en oeuvre pour le compte de l'Etat :

- intéressant la sûreté de l'Etat, la défense ou la sécurité publique ;

- ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

(sauf dispense de publication par décret en Conseil d'Etat)

Autorisation par décret en Conseil d'Etat après avis motivé et publié de la CNIL

26 II

_________

27 I

- Les traitements mis en oeuvre pour le compte de l'Etat contenant des données sensibles :

soit intéressant la sûreté de l'Etat, la défense ou la sécurité publique,

soit ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté (26-II). (sauf dispense de publication par décret en Conseil d'Etat )

_______________________________________________________________________________

- Les traitements mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

portant sur des données parmi lesquelles figurent le NIR ;

portant sur la totalité ou la quasi totalité de la population française (27-I).

Autorisation par arrêté ministériel après avis motivé et publié de la CNIL

27 II

- Les traitements requérant la consultation du RNIPP sans inclure le NIR ;

- Les traitements mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant une service public :

ne comportant aucune donnée sensible ou relative à des condamnations, infractions, etc...

n'ayant pas pour objet une interconnexion entre fichiers ayant des fins correspondant à des intérêts publics différents ;

et mis en oeuvre pour la mise à jour des données traitées ou le contrôle de leur exactitude par des services ayant pour mission soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer les impositions et taxes, soit d'établir des statistiques.

Autorisation de la CNIL après avis d'un comité consultatif

V bis

Les traitements de recherche en matière de santé

Autorisation de la CNIL

V Ter

Evaluation des pratiques de soins

Déclaration à la CNIL

22

Tous les autres traitements

A- Le régime de la déclaration

Article 22 modifié de la loi du 6 janvier 1978
Régime de droit commun de la déclaration

Le point 1 de l'article 18 de la directive indique que « les Etats membres prévoient que le responsable du traitement ou le cas échéant son représentant doit adresser une notification à l'autorité de contrôle préalablement à la mise en oeuvre d'un traitement entièrement ou partiellement automatisé ».

L'article 22 modifié de la loi du 6 janvier 1978 reprend donc dans son paragraphe I ce régime de droit commun de la déclaration auprès de la CNIL.

Le 5 de l'article 18 de la directive indiquait que les Etats membres « peuvent prévoir » que les traitements non automatisés ou certains d'entre eux font également l'objet d'une notification. Le rapport de M. Guy Braibant ne souhaitait pas utiliser cette faculté, afin de ne pas augmenter encore le nombre de déclarations ainsi que les formalités pesant sur les citoyens et les entreprises. Il préconisait en outre que la question soit revue à l'expiration de la période transitoire de douze ans autorisée par l'article 32 de la directive pour la mise en conformité des fichiers manuels, et a donc été suivi.

Cependant, le paragraphe II dispense de toute formalité préalable les traitements :

- ayant pour seul objet la tenue d'un registre destiné à l'information du public en vertu de dispositions législatives ou réglementaires. Cette dérogation, nouvelle, concerne notamment les registres du cadastre ou des hypothèques. Cette possibilité était ouverte par l'article 18-3 de la directive ;

- ceux mis en oeuvre par les organismes à caractère religieux, philosophique, politique ou syndical visés par le 2° du II de l'article 8 modifié de la loi.

Cette dernière exception, déjà étudiée à l'article 8 modifié, règle un conflit de libertés, l'interdiction de collecter et de traiter des données sensibles ne devant pas empêcher les partis, les syndicats, les églises de recenser leurs propres membres à usage interne.

Néanmoins, le responsable n'est dispensé que des formalités préalables liées au contrôle a priori, prévues par le chapitre IV de la loi. En effet, la situation particulière des associations et organismes en cause ne saurait justifier l'exemption de tout contrôle a posteriori.

Votre commission des Lois vous propose d'adopter un amendement tendant à dispenser de toute formalité préalable les traitements dont la finalité se limite à assurer la conservation à long terme des documents d'archives, qui ne sont pas susceptibles de présenter de risques pour les personnes physiques.

Votre commission des Lois vous propose de prévoir une troisième exception et de dispenser de déclaration les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer d'une manière indépendante l'application des obligations prévues au présent chapitre et de tenir un registre des traitements effectués.

Il s'agit de la transposition du point 2 de l'article 18 de la directive 95/46 qui précise que les Etats membres peuvent prévoir une simplification de la notification ou une dérogation à cette obligation pour les traitements qui « compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées », ainsi qu'en cas de présence d'un tel correspondant.

Cette disposition a été insérée dans la directive à la demande expresse de l'Allemagne, où existent déjà de tels correspondants.

Le rapport de M. Guy Braibant n'était pas favorable à leur introduction en France, soulignant que si elle se rattachait en Allemagne à une certaine culture de cogestion, l'institution de ces correspondants se heurterait en France à des difficultés, la directive exigeant en effet leur indépendance. Qu'ils soient membres du personnel ou extérieur à l'entreprise, ils seraient de toute façon rémunérés par celle-ci. Il indiquait que si la situation n'était pas sans précédents -médecins du travail ou experts-comptables-, ces professions étaient réglementées, protégées par un ordre et un code de déontologie, alors que le correspondant se trouverait sans doute dans une situation inconfortable vis à vis du chef d'entreprise.

Par conséquent, le rapport de M. Guy Braibant suggérait de ne retenir cette institution que pour la presse, où elle pourrait concilier liberté d'expression et protection de la vie privée.

Si votre commission des Lois est sensible à ces arguments, il apparaît cependant nécessaire d'instituer un véritable réseau de correspondants de la CNIL comparables aux « Company privacy officers ».

Aux Etats-Unis, près de 500 entreprises disposent d'ores et déjà de tels correspondants. En Corée du Sud, leur institution est d'ailleurs obligatoire, ainsi qu'en République slovaque, s'agissant des entreprises dans lesquelles des contrôleurs de systèmes supervisent plus de cinq personnes. En Allemagne, les entités tant publiques que privées de plus de quatre employés doivent avoir un « data protection officer ». En Finlande, le « Data Protection Ombudsman » a recommandé que les compagnies emploient un correspondant à la protection des données, ainsi que les autorités de protection en Norvège, Suisse et Grande-Bretagne. Certains Etats, comme l'Allemagne, les Pays-Bas et la Suède, exemptent les entreprises employant un délégué à la protection des données de certaines obligations légales (comme la déclaration des traitements de données à l'autorité de protection).

Ceci constitue d'ailleurs une recommandation de l'OCDE.

Votre commission des Lois vous propose donc d'introduire en droit français cette institution.

Leur mise en place doit permettre à la CNIL de disposer d'un réseau de correspondants, ainsi que cela existe déjà dans le secteur public. En effet, une seule autorité de contrôle ne peut pas tout assurer.

Ces correspondants ont prouvé leur contribution à une meilleure collaboration entre les entreprises et la CNIL puisque certaines entreprises, une fois privatisées, ont choisi de les conserver.

Cette possibilité pourrait d'ailleurs s'avérer particulièrement utile pour les collectivités territoriales, qui souffrent parfois d'un manque d'expertise pour les plus petites d'entre elles.

Votre commission des Lois vous propose cependant d'encadrer les allègements de formalités préalables.

La désignation du correspondant sera notifiée à la Commission nationale de l'informatique et des libertés et portée à la connaissance des instances représentatives du personnel.

Il ne pourra faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions, et pourra saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses attributions. En cas de manquement constaté à ses devoirs, le correspondant pourra être révoqué, sur demande ou après consultation de la Commission nationale de l'informatique, et le responsable du traitement pourra être enjoint à procéder à la déclaration prévue à l'article 23 en application des dispositions de l'article 45-I.

En outre, un décret en Conseil d'Etat précisera les modalités d'application de cet article.

Le dernier paragraphe de cet article précise toutefois qu'en l'absence de déclaration préalable, le responsable du traitement doit communiquer à toute personne en faisant la demande certaines informations : dénomination et finalité du traitement, identité et adresse du responsable ou de son représentant s'il est établi hors de l'Union européenne, personne ou service auprès duquel s'exerce le droit d'accès, données à caractère personnel faisant l'objet du traitement, les destinataires habilités à en recevoir communication, ainsi que les transferts de données à caractère personnel envisagés à destination d'un Etat tiers (2° à 6° de l'article 31).

Article 23 modifié de la loi du 6 janvier 1978
Déclaration

En vertu de l'article 23 modifié de la loi réitérant l'obligation prévue par l'article 16 actuel, la déclaration doit comporter l'engagement que le traitement satisfait aux exigences de la loi.

Le deuxième alinéa la complète en prévoyant qu'elle peut être adressée à la CNIL par voie électronique, celle-ci délivrant alors sans délai un récépissé, le cas échéant par voie électronique. C'était une préconisation du rapport de M. Guy Braibant, qui rappelait que des lois récentes avaient prévu la transmission par « voie télématique », par « voie informatique » ou encore par « voie électronique »23(*) et qu'il s'agissait d'une revendication des entreprises.

Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé mais il n'est exonéré d'aucune de ses responsabilités. Le défaut de déclaration est passible des sanctions prévues par l'article 226-16 du code pénal, modifié par l'article 14 du présent projet de loi.

Le paragraphe II de l'article 23 modifié prévoit en outre que les traitements relevant d'un même responsable et ayant des finalités identiques ou liées entre elles peuvent faire l'objet d'une déclaration unique.

Actuellement, une déclaration est requise pour chaque traitement. Les représentants des entreprises entendus par votre rapporteur ont souhaité que puisse être faite une déclaration unique pour l'ensemble des traitements d'un même organisme « ayant une même finalité ou des finalités liées », ainsi que l'autorise la directive. Il s'agit d'une mesure de simplification afin de permettre une déclaration unique s'agissant d'entreprises comprenant de nombreuses filiales.

Il s'agissait d'ailleurs d'une préconisation du rapport de M. Guy Braibant.

Votre commission des Lois vous propose donc d'adopter un amendement en ce sens.

Article 24 modifié de la loi du 6 janvier 1978
Normes simplifiées

L'article 17 actuel de la loi du 6 janvier 1978 prévoit que la CNIL établit et publie des normes simplifiées pour les catégories les plus courantes de traitements, qu'ils soient à caractère public ou privé, ne comportant manifestement pas d'atteinte à la vie privée ou aux libertés. Seule une déclaration simplifiée de conformité à l'une de ces normes doit alors être déposée auprès de la commission.

Cette disposition avait été introduite à l'initiative de M. Raymond Forni. La première norme simplifiée a été élaborée par la CNIL le 22 janvier 1980 et concerne les traitements automatisés d'informations nominatives relatifs à la liquidation et au paiement des rémunérations des personnels de l'Etat. Une cinquantaine de normes simplifiées sont aujourd'hui en vigueur24(*). Seule l'une d'entre elles fut annulée par le Conseil d'Etat.

L'article 18-2 de la directive s'est inspirée de cette disposition en précisant que les Etats membres peuvent prévoir une simplification de la notification ou une dérogation à cette obligation pour les traitements qui « compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées », les Etats membres devant préciser « les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données ».

La directive n'indique pas quelle autorité doit en fixer le champ et apporter ces précisions.

Le projet de loi précise que ces normes sont établies par la CNIL, « après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs », et reprend fidèlement les précisions exigées par la directive.

Le dernier alinéa du paragraphe I prévoit enfin que les traitements correspondant à l'une de ces normes font l'objet d'une déclaration simplifiée de conformité envoyée à la CNIL, le cas échéant par voie électronique.

Le paragraphe II du texte prévu pour l'article 24 modifié indique, en outre, que la CNIL peut définir, parmi les catégories de traitements dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée et aux libertés, celles qui sont dispensées de déclaration, du fait de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.

La CNIL l'a d'ailleurs déjà fait au moins fois, sans y être expressément autorisée, sous l'empire de la loi du 6 janvier 1978. En effet, la rédaction de normes simplifiées lui permet d'apprécier si la dérogation doit se limiter à permettre une déclaration simplifiée ou peut aller jusqu'à une dispense totale de déclaration.

Le rapport de M. Guy Braibant préconisait d'ailleurs qu'un grand nombre de traitements soit dispensé de déclaration, afin de recentrer l'action de la CNIL sur le contrôle a posteriori25(*).

De même, la CNIL peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique lorsqu'ils relèvent d'un même responsable et ont des finalités identiques ou liées entre elles.

Enfin, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

B- les traitements soumis à autorisation préalable

1- la situation actuelle

Actuellement, la loi du 6 janvier 1978 prévoit deux types d'autorisation préalable :

- hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public sont décidés par un acte réglementaire pris après avis motivé de la CNIL (article 15).

Si cet avis est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat ;

- il peut, pour des motifs d'intérêt public, être fait exception à l'interdiction de traitement des données dites sensibles sur proposition ou avis conforme de la CNIL par décret en Conseil d'Etat (dernier alinéa de l'article 31).

2- la directive

Le 1° de l'article 20 de la directive 95/46 CE ne fixe pas de liste de traitements devant être soumis à l'examen préalable de l'autorité de contrôle, ceci étant laissé à la discrétion des Etats membres qui « précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre ».

Par conséquent, sa transposition par les différents Etats membres s'est faite de manière très hétérogène.

Pour la détermination de ces catégories de fichiers, le précédent Gouvernement a largement tenu compte des propositions contenues dans le rapport de M. Guy Braibant26(*), mais également des observations émises par la CNIL dans son avis sur le présent projet de loi27(*).

La directive emploie l'expression de « contrôles préalables » dans le titre de l'article, celle d' « examens préalables » dans son texte tandis que le considérant 54 énonce qu'« à la suite de cet examen préalable, l'autorité de contrôle peut émettre un avis ou autoriser le traitement ». C'est la seule mention d'une autorisation.

Dans son avis, le Conseil d'Etat avait souhaité que la notion de « traitements présentant des risques particuliers au regard des droits et libertés des personnes [soit] précisée par une énumération des principaux traitements ainsi visés ». En effet, le considérant 53 de la directive n'évoque que la nature, la portée ou les finalités du traitement et renvoie aux Etats membres le soin « s'ils le souhaitent, de préciser dans leur législation de tels risques », en ne citant à titre d'exemples que l'exclusion des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat et l'usage particulier d'une technologie nouvelle.

Le Conseil d'Etat dans son avis en avait évoqué d'autres : « les traitements portant sur les identifiants nationaux, des données sensibles ou des données recueillies en l'absence de consentement de la personne ».

Le rapport de M. Guy Braibant rappelait qu'un certain nombre de traitements et de fichiers relèvent par eux-mêmes et directement du domaine de la loi -grands fichiers nationaux de police et de sécurité, traitements mettant en jeu des secrets particulièrement protégés par la loi, interconnexions de traitements à finalités différentes comme la protection sociale et la police et enfin ceux se rattachant aux procédures pénales ou aux principes fondamentaux de la sécurité sociale-.

Le considérant 54 de la directive dispose que le nombre de traitements pouvant être soumis à autorisation « devrait être très restreint », le considérant 52 rappelant que « le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante ».

La CNIL a élaboré dans une délibération du 14 mai 1996 une liste de traitements à risques particuliers comprenant onze rubriques : les matières ne relevant pas du droit communautaire (sécurité publique, défense et sûreté de l'Etat ; droit pénal ; contrôle de l'immigration et de la régularité du séjour et du travail des ressortissants de l'Union européenne) ; la mise en oeuvre de nouvelles technologies ; les données sensibles ; les dérogations aux principes protecteurs des personnes prévues à l'article 13 de la directive (qualité des données, droit d'information, droit d'accès, publicité des traitements) ; le recours au numéro national d'identification ou à tout autre identifiant de portée générale ; l'interconnexion entre fichiers distincts ; les traitements conduisant à des décisions individuelles automatisées ; l'exclusion des personnes d'un droit, d'une prestation ou d'un contrat ; les enquêtes statistiques obligatoires ; les traitements concernant la totalité de la population ou une partie largement majoritaire de la population et les flux transfrontières.

Le rapport de M. Guy Braibant préconisait pour sa part de retenir les matières ne relevant pas du domaine communautaire, les données sensibles (sous réserve des données de santé -les secteurs public et privé étant désormais placés sous le même régime, il ne saurait être question de soumettre à autorisation les traitements de 100.000 médecins de ville- et de l'exonération pour les membres des groupements politiques, syndicaux et religieux), le recours aux identifiants de portée générale, l'exclusion des personnes d'un contrat, d'une prestation ou d'un droit, ainsi que les traitements concernant l'ensemble de la population.

Il constatait qu'il était en effet en pratique impossible de définir une technologie nouvelle.

De plus, le champ des autorisations devait, selon lui, être limité aux interconnexions de traitements à finalités différentes gérées par des organismes distincts, les interconnexions à l'intérieur d'une même administration ou entreprise étant multiples et souvent inoffensives.

Par ailleurs, il n'envisageait pas de soumettre à autorisation les enquêtes statistiques obligatoires, dans la mesure où elles sont fondées sur l'anonymat et soumises à la loi de 1951 relative au secret statistique.

Enfin, il considérait qu'il n'était pas possible de soumettre tous les flux transfrontières à autorisation du fait de leur nombre et de leur différentiel de dangerosité.

Article 25 modifié de la loi du 6 janvier 1978
Régime général d'autorisation

Le dispositif proposé par l'article 25 modifié de la loi du 6 janvier 1978 distingue huit catégories de traitements soumis à l'autorisation préalable de la CNIL en se fondant, d'une part, sur la nature des données concernées et, d'autre part, sur la finalité des traitements :

1- les traitements, automatisés ou non, concernant des données dites sensibles faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou relatives à leur santé ou à leur orientation sexuelle, lorsque l'intérêt public l'impose (III de l'article 8) (1°) ;

2- les traitements automatisés portant sur des données génétiques, sauf ceux mis en oeuvre par des médecins ou des biologistes et nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements (2°) ;

3- les traitements, automatisés ou non, portant sur les infractions, condamnations ou mesures de sûreté, sauf ceux mis en oeuvre par des auxiliaires de justice (c'est à dire les avocats, avocats au Conseil d'Etat et à la Cour de cassation, avoués près les cours d'appel, commissaires priseurs, experts judiciaires, greffiers de commerce, huissiers de justice, notaires, syndics et administrateurs judiciaires) (3°) ;

4- les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui des personnes et ceux portant sur la totalité ou la quasi-totalité de la population de la France (6°).

Votre commission des Lois vous propose de supprimer le critère de contrôle préalable lié à la totalité ou la quasi-totalité de la population, l'appréciation des risques envers la vie privée devant être qualitative et non quantitative, et la notion de quasi-totalité de la population étant juridiquement imprécise ;

5- les traitements de données portant des appréciations sur les difficultés sociales des personnes (7°) ;

6- les traitements portant sur des données biométriques nécessaires au contrôle de l'identité des personnes (8°) ;

Ces deux dernières catégories ne figuraient pas dans l'avant-projet de loi et ont été introduites à la suite des observations formulées par la CNIL.

Votre commission des Lois vous propose d'adopter un amendement de coordination à l'amendement proposé à l'article 8 modifié de la loi de 1978 prévoyant que les traitement réalisés par l'INSEE doivent être autorisés par la CNIL.

Par ailleurs, certains traitements sont également soumis à l'autorisation préalable de la CNIL en raison de leur finalité :

7- les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire (4°). Ce cas était d'ailleurs expressément prévu par la directive.

Votre commission des Lois vous propose d'adopter un amendement soumettant à autorisation les seuls traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire.

La directive, tout en reconnaissant dans son considérant 52 que le contrôle a posteriori par les autorités compétentes doit en général être considéré comme une mesure suffisante, indique dans un considérant 53 que les Etats membres peuvent prévoir un contrôle préalable, s'agissant de traitements susceptibles de présenter des « risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat » .

Alors que la directive parle donc d'un système de liste noire, le projet de loi soumet en fait à autorisation préalable l'ensemble des fichiers de clients et/ou prospects qui intègrent des outils de ciblage, et donc de sélection des personnes concernées.

La rédaction positive adoptée par le projet de loi inverse donc le sens de la rédaction de la directive et transforme ainsi l'exception en règle.

Une telle mesure paraissant disproportionnée, paralysante, et contraire à l'esprit de la directive, cet amendement tend à la renverser ;

8- les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents, et l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes (5°).

Ne sont pas concernés par cette procédure d'autorisation par la CNIL les traitements mentionnés aux articles 26 et 27 modifiés, c'est-à-dire ceux susceptibles de mettre en cause la souveraineté nationale (intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la poursuite ou la recherche des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté), comportant des éléments d'identification particuliers ou d'une exceptionnelle ampleur (traitements pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou qui portent sur la totalité ou la quasi-totalité de la population de la France).

Votre commission des Lois vous propose d'adopter un amendement de coordination précisant que les traitements mis en oeuvre dans une finalité d'archivage ne sont pas non plus concernés.

Le paragraphe III de cet article prévoit enfin la procédure d'autorisation.

La directive laisse une large marge de manoeuvre aux Etats membres pour déterminer selon quelle procédure et par quelle institution les autorisations seront accordées.

Le rapport de M. Guy Braibant préconisait de confier à la CNIL le pouvoir d'autorisation s'agissant de certains traitements. La loi de bioéthique du 1er juillet 1994 a d'ailleurs déjà confié à la CNIL le pouvoir d'autoriser elle-même les « traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé ».

Il est donc prévu que la CNIL se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision du président de la CNIL lorsque la complexité du dossier le justifie. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Cette disposition a été introduite par l'Assemblée nationale, avec l'avis favorable du Gouvernement, à l'initiative de M. Gérard Gouzes, rapporteur, et tend à regrouper toutes les règles relatives à l'autorisation au sein d'un même article, et non plus à l'article 28 modifié de la loi du 6 janvier 1978, qui concernera donc uniquement la procédure d'avis.

Votre commission des Lois vous propose d'adopter un amendement précisant que cette décision de renouvellement doit être motivée. La prolongation du délai peut avoir d'autres motifs que la complexité du dossier et l'obligation de motivation constitue un progrès. L'appréciation de la complexité du dossier pourrait être source de contentieux.

Il faut noter que votre commission a proposé à l'article 16 modifié de la loi de 1978 d'autoriser la commission à déléguer au bureau la possibilité de délivrer des autorisations en cas d'urgence. En effet, il est probable que la CNIL aura des difficultés pour respecter ces délais, alors même que l'absence de réponse de la CNIL dans les deux mois pourrait avoir des conséquences très graves.

Le projet de loi définit également des procédures d'autorisation particulières pour les traitements de données les plus susceptibles de porter atteinte aux droits fondamentaux des citoyens.

Article 26 modifié de la loi du 6 janvier 1978
Traitements mis en oeuvre pour le compte de l'Etat -
Traitements portant sur des données sensibles

Les traitements de souveraineté sont exclus du champ de la directive.

L'article 26 modifié de la loi du 6 janvier 1978 maintient donc un régime spécifique s'agissant des traitements de données à caractère personnel mis en oeuvre au profit de l'Etat et relevant de sa souveraineté -traitements concernant la sûreté de l'Etat, la défense ou la sécurité publique, ou ayant pour objet la prévention, la recherche ou la répression des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté-.

Le paragraphe I du projet de loi prévoit qu'ils doivent être autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la CNIL.

Votre commission des Lois vous propose d'adopter un amendement de précision afin d'inclure les traitements ayant pour objet la constatation des infractions pénales.

Le paragraphe II prévoit par ailleurs que les traitements portant sur des données sensibles (c'est à dire ceux mentionnés au I de l'article 8 nouveau de la loi : données religieuses, raciales, politiques, philosophiques, portant sur les appartenances syndicales, l'orientation sexuelle...) doivent être autorisés par décret en Conseil d'Etat pris après avis motivé de la CNIL, qui doit être publié avec le décret.

Actuellement, ces traitements sont régis par les dispositions de l'article 31 de la loi du 6 janvier 1978 qui prévoient un avis conforme de la CNIL. La CNIL elle-même, dans son avis sur cette disposition, avait estimé que « la publication de l'avis rendu par la CNIL paraît de nature à assurer le maintien d'un haut niveau de garanties et, en tout état de cause, à préserver la portée qui doit s'attacher aux interventions d'une autorité administrative indépendante à l'égard de traitements particulièrement sensibles ».

Parallèlement à la suppression de la procédure de l'avis conforme de la CNIL, celle qui permettait au Gouvernement de passer outre l'avis défavorable de la CNIL par un décret pris sur avis conforme du Conseil d'Etat est également supprimée, conformément aux préconisations du rapport de M. Guy Braibant28(*).

Il en soulignait en effet les difficultés de fonctionnement : conflits répétés entre la CNIL et certaines administrations, fonctionnement de certains fichiers importants sans autorisation, défaut de recours et d'arbitrage juridictionnel, les avis défavorables n'étant pas susceptibles de recours, même lorsqu'ils ont des effets juridiques sur le pouvoir de décision.

Le rapport suggérait donc, pour les traitements de souveraineté, exclus de la directive, un décret en Conseil d'Etat, pris sur l'avis motivé de la CNIL. Un tel avis ne bloquerait plus la procédure, mais sa publication devrait lui assurer une certaine autorité.

Ceci permettrait d'éviter de contraindre le Gouvernement à saisir le Conseil d'Etat et à se conformer à son avis.

Il faisait observer que plusieurs lois spécifiques relatives à la protection des données personnelles prévoyaient déjà que le texte d'application serait pris après un avis simple de la CNIL. La loi du 6 janvier 1978 elle-même prévoit une telle procédure dans son article 18 s'agissant de l'utilisation du répertoire national d'identification des personnes physiques.

Le paragraphe III constitue la reprise des dispositions du dernier alinéa de l'actuel article 20, qui prévoit qu'un décret en Conseil d'Etat peut dispenser de publication l'acte réglementaire autorisant les traitements relevant de la souveraineté de l'Etat. Néanmoins, si cette dispense ne concerne actuellement que certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique (correspondant aux traitements mentionnés à l'article 26 I-1° modifié), le projet de loi étend cette possibilité aux traitements ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté (article 26 I-2°) ou portant sur des données dites sensibles (article 8-I).

Il est cependant désormais prévu qu'est publié concomitamment à la publication du décret autorisant la dispense de publication de l'acte réglementaire « le sens de l'avis émis » par la CNIL.

Cette mesure permet donc une plus grande transparence s'agissant des traitements de souveraineté, mais n'en constitue pas moins une extension de la dispense de publication pour des traitements potentiellement dangereux (s'agissant notamment des traitements portant sur des données sensibles).

Les modalités de la publication de l'avis de la CNIL ne sont pas précisées, mais il devrait paraître au Journal officiel.

Le paragraphe IV du texte proposé pour l'article 26 modifié de la loi du 6 janvier 1978 reprend la disposition selon laquelle les traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, le responsable du traitement adressant alors à la CNIL un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Article 27 modifié de la loi du 6 janvier 1978
Traitements publics -
Traitements requérant une consultation du RNIPP

Actuellement, l'article 18 de la loi du 6 janvier 1978 prévoit que l'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la CNIL.

L'article 27 modifié de la loi reprend ces dispositions en les complétant et en les précisant.

Le paragraphe I précise que sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public :

- portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

- ou portant sur la totalité ou la quasi-totalité de la population en France.

En réponse à l'interrogation manifestée par M. Gérard Gouzes, rapporteur, quant à la définition de la totalité ou de la quasi-totalité de la population de la France, la précédente garde des Sceaux avait indiqué lors de la discussion à l'Assemblée nationale que l'article 13 du projet de loi prévoyait une habilitation générale du pouvoir réglementaire.

Actuellement, l'article 4 du projet de loi soumet à deux procédures de contrôle préalable différentes les responsables d'un traitement portant sur la totalité ou la quasi-totalité de la population suivant que celui-ci relève d'une finalité privée ou publique.

Ainsi, les traitements à finalité purement privée relèvent d'une décision directe de la CNIL (prévue par le 6° du I de l'article 25 modifié), alors que ceux à finalité publique sont soumis à la publication d'un arrêté, pris après avis motivé et publié de la CNIL (2° du I de l'article 27).

Par coordination avec l'amendement de suppression de ce critère quantitatif à l'article 25 modifié, votre commission des Lois vous propose de supprimer ces dispositions.

Par ailleurs, le paragraphe II prévoit que sont autorisés par simple arrêté pris après avis motivé et publié de la CNIL :

- les traitements requérant une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

Votre commission des Lois vous propose d'adopter un amendement de précision afin de bien différencier ce régime de celui prescrit pour les traitements privés par l'article 25-6°.

- les traitements mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public (traitements publics) portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou portant sur la totalité ou la quasi-totalité de la population en France (votre commission des Lois proposant la suppression de ces derniers traitements), mais :

 ne comportant pas de données dites sensibles (article 8, I) ou relatives aux infractions, condamnations ou mesures de sûreté (article 9) ;

 n'ayant pas pour objet une interconnexion entre fichiers dont les finalités correspondent à des intérêts publics différents.

Votre commission des Lois vous propose d'adopter un amendement précisant que sont appréhendés les traitements donnant lieu à une interconnexion et non ceux qui ont pour objet une interconnexion ;

et tendant à la mise à jour ou le contrôle de l'exactitude de données permettant de déterminer les droits des administrés, ou d'établir l'assiette, de contrôler ou de recouvrer des impositions, ou d'établir des statistiques.

Cette dernière hypothèse recouvre par exemple le cas des caisses d'allocations familiales qui ont recours au NIR des allocataires éventuels afin de déterminer leurs prestations grâce notamment à l'évolution de leurs revenus ainsi qu'au nombre de personnes à charge.

Votre commission des Lois vous propose d'adopter un amendement tendant à supprimer la mention de la mise à jour ou du contrôle de l'exactitude des données, celle-ci apparaissant source d'ambiguïté.

Enfin, votre commission des Lois vous propose d'adopter un amendement tendant à prévoir que les traitements relatifs au recensement de la population devront être autorisés par arrêté ministériel pris après avis motivé et publié de la CNIL.

Le paragraphe III du texte proposé pour l'article 27 prévoit une nouvelle fois que les traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique, le responsable du traitement adressant alors à la CNIL un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Article 28 modifié de la loi du 6 janvier 1978
Procédures et délais

Cet article précise que la CNIL rend ses avis dans les deux mois à compter de la réception de la demande.

Ceci concerne les traitements de données qui lui sont soumis en vertu des articles 26 et 27 modifiés de la loi, c'est-à-dire lorsqu'une autorisation est nécessaire, ce délai pouvant être renouvelé une fois sur décision du président lorsque la complexité du dossier l'exige.

L'Assemblée nationale a adopté un amendement de coordination avec l'amendement de clarification adopté à l'article 25 modifié de la loi du 6 janvier 1978 présenté par M. Gérard Gouzes, rapporteur, avec l'avis favorable du Gouvernement.

La demande d'avis d'un traitement présenté à la CNIL qui n'a pas fait l'objet d'une décision expresse à l'expiration du délai prévu est réputée favorable. Ceci constitue une solution logique puisqu'il s'agit d'une simple consultation et non plus d'une autorisation.

Par cohérence avec l'amendement proposé à l'article 25 modifié, votre commission des Lois vous propose d'adopter un amendement précisant que la décision de renouvellement du délai pour prendre la décision doit être motivée.

Article 29 modifié de la loi du 6 janvier 1978
Mentions obligatoires dans les autorisations

L'article 29 nouveau précise les informations devant figurer dans les actes autorisant les traitements mentionnés aux articles 25, 26 et 27 modifiés.

Il reprend en les complétant les dispositions figurant au premier alinéa de l'actuel article 20 de la loi du 6 janvier 1978, qui prévoit que l'acte réglementaire doit préciser « notamment » la dénomination et la finalité du traitement, le service auprès duquel s'exerce le droit d'accès et les catégories d'informations nominatives enregistrées, ainsi que les destinataires ou les catégories de destinataires habilités à recevoir communication de ces informations.

Le texte proposé pour l'article 29 modifié le complète en prévoyant que doivent être précisées le cas échéant les dérogations à l'obligation d'information incombant aux responsables de traitements ouvertes par le III de l'article 32 modifié.

Ainsi, des dérogations sont possibles à ces obligations d'information de la personne prévues lorsque des données à caractère personnel la concernant n'ont pas été recueillies auprès d'elle, lorsque ces données sont utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des finalités poursuivies par le traitement.

SECTION 3
Dispositions communes à la déclaration
et à l'autorisation préalables

La section 3 de ce chapitre IV regroupe les dispositions communes concernant les régimes de déclaration et d'autorisation.

Article 30 modifié de la loi du 6 janvier 1978
Informations requises

L'article 30 modifié reprend pour l'essentiel les dispositions de l'actuel article 19 de la loi du 6 janvier 1978 et précise les informations que doivent contenir les déclarations, demandes d'autorisation et demandes d'avis adressées à la CNIL :

- l'identité et l'adresse (précision nouvelle) du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire de l'Union européenne (actuellement il est fait mention de l'étranger sans discerner entre les Etats membres et les Etats tiers), de son représentant ;

- la finalité du traitement et, le cas échéant, sa dénomination, ainsi que, pour les traitements nécessitant une autorisation (précision nouvelle), ses caractéristiques. Votre commission des Lois vous propose d'adopter un amendement rédactionnel, la notion de « caractéristiques » étant assez imprécise  ;

- le cas échéant, les interconnexions avec les autres traitements ;

- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

- la durée de conservation des informations traitées ;

- le ou le services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements soumis à autorisation (précision nouvelle), les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

- les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

- l'identité et l'adresse de la personne ou du service auprès duquel s'exerce le droit d'accès, ainsi que les mesures relatives à l'exercice de ce droit (précision nouvelle). Votre commission des Lois vous propose d'adopter un amendement rédactionnel ;

- les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ;

Votre commission des Lois vous propose d'adopter un amendement complétant la liste des informations par, le cas échéant, l'indication du recours à un sous-traitant ;

- le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat tiers (et non plus l'étranger).

Votre commission des Lois vous propose d'adopter un amendement tendant à prendre en compte la non application de ces dispositions aux traitements en transit vers des Etats tiers prévue par l'article 1er du projet de loi.

Le paragraphe II de l'article 30 modifié reprend le deuxième alinéa de l'article 19 actuel de la loi et prévoit donc que le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la CNIL de tout changement affectant ces informations et de toute suppression de traitement, afin de permettre une mise à jour.

Article 31 modifié de la loi du 6 janvier 1978
Mise à la disposition du public de listes de traitements

Cet article précise les documents que la CNIL tient à la disposition du public.

Le paragraphe I prévoit que la CNIL met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27 modifiés (déclaration, demande d'avis ou d'autorisation), à l'exception des traitements dits de souveraineté et ceux portant sur des données sensibles (mentionnés au III de l'article 26 modifié).

Ceci doit permettre à tout citoyen de prendre connaissance des traitements de données à caractère personnel existants.

L'actuel article 22 de la loi prévoit déjà certaines informations. Le projet de loi complète cette obligation en prévoyant que cette liste doit préciser pour chacun des traitements : l'acte décidant de la création du traitement ou la date de la déclaration de ce traitement, la dénomination et la finalité du traitement, l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire de l'Union européenne, celles de son représentant (précision nouvelle), la personne ou le service auprès duquel s'exerce le droit d'accès, les données à caractère personnel faisant l'objet du traitement ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication, le cas échéant les transferts de données à caractère personnel envisagés à destination d'un Etat tiers (précision nouvelle).

Le paragraphe II reprend les dispositions du dernier alinéa de l'actuel article 22 de la loi prévoyant que la CNIL tient à la disposition du public ceux de ses avis, décisions ou recommandations dont la connaissance est utile à l'application ou à l'interprétation de la loi. La mention d'un décret fixant les conditions de cette mise à disposition n'est plus reprise, la CNIL le faisant elle-même, puisqu'elle constitue une autorité administrative indépendante.

Votre commission des Lois vous propose d'adopter un amendement érigeant en principe la communication au public des avis, décisions et recommandations de la CNIL, dont une bonne partie est déjà disponible sur son site internet.

L'article 14 du projet de loi, modifiant l'article 226-22-1 du code pénal, sanctionne les transferts vers des pays n'offrant pas un niveau de protection suffisant de cinq ans d'emprisonnement et de 300.000 euros d'amende.

Il est donc indispensable de prévoir un mode d'information officielle des responsables de traitement, grâce à la CNIL en liaison avec la Commission européenne.

Votre commission des Lois vous propose donc d'adopter un amendement prévoyant que la CNIL publie la liste des Etats dont la Commission des communautés européennes a établi qu'ils assurent un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel.

En effet, si les transferts vers des pays n'assurant pas un niveau de protection suffisant sont interdits, le projet de loi ne prévoit pas de mettre à la disposition des responsables de traitement la liste de ces pays. Or cette information est connue puisque que la directive prévoit dans ses articles 25 et suivants un mécanisme d'information mutuelle des Etats membres en la matière.

Cette absence d'information entraîne une insécurité juridique d'autant plus forte qu'il peut exister des situations intermédiaires. Ainsi, certains pays peuvent disposer de législations de protections sectorielles et dans ce cas seuls les transferts vers ces secteurs sont autorisés.

En outre, votre commission des Lois vous propose d'adopter un amendement de précision.

*

* *

Votre commission des Lois vous propose donc d'adopter vingt-deux amendements, dont six rédactionnels, puis d'adopter l'article 4 ainsi modifié.

Article 5
(Chapitre V de la loi n° 78-17 du 6 janvier 1978)
Obligations des responsables des traitements
et droits des personnes concernées

Le Chapitre V actuel de la loi du 6 janvier 1978 traite de l'exercice du droit d'accès des personnes à l'égard des traitements comportant des informations à caractère nominatif les concernant.

L'article 5 du projet de loi regroupe ces dispositions -dans une section 2, articles 38 et 42 modifiés de la loi de 1978- avec les dispositions relatives aux obligations des responsables de traitements -dans une première section, articles 32 à 37 modifiés de la loi de 1978-.

SECTION 1
Obligations incombant aux responsables des traitements
Article 32 modifié de la loi du 6 janvier 1978
Obligation d'information

L'article 32 modifié transpose les dispositions des articles 10 et 11 de la directive 95/46 CE et modifie l'actuel article 27 de la loi du 6 janvier 1978 relatif au droit d'information des personnes.

Actuellement, l'article 27 prévoit que les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées : du caractère obligatoire ou facultatif des réponses ; des conséquences à leur égard d'un défaut de réponse ; des personnes physiques ou morales destinataires des informations, ainsi que de l'existence d'un droit d'accès et de rectification.

Son deuxième alinéa prévoit en outre que lorsque de telles informations sont recueillies par questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Le dernier alinéa de l'article 27 actuel indique enfin que ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.

1- Informations requises lorsque les données sont recueillies directement auprès de la personne

a- L'article 10 de la directive précise que les Etats membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne concernée au moins :

- l'identité du responsable et le cas échéant de son représentant ;

- les finalités du traitement auquel les données sont destinées ;

- toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, le caractère obligatoire ou facultatif de la réponse, ainsi que les conséquences éventuelles d'un défaut de réponse, l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où compte tenu des circonstances particulières de collecte, ces informations sont nécessaires à un traitement loyal des données.

Néanmoins, la directive prévoit une exception si la personne a déjà été informée.

b- Le paragraphe I de l'article 32 modifié reprend donc les dispositions de l'actuel article 27 en les complétant : la personne auprès de laquelle sont recueillies les données doit être informée :

- de l'identité du responsable du traitement et, le cas échéant de celle de son représentant; de la finalité de ce dernier (cette précision nouvelle résultant de la transposition de la directive) ;

- du caractère obligatoire ou facultatif des réponses ; des conséquences éventuelles à son égard d'un défaut de réponse ;

- de l'identité du destinataire du traitement ; L'Assemblée nationale a adopté, avec l'avis favorable du Gouvernement, un amendement présenté par M. Gérard Gouzes, rapporteur, tendant à parler de destinataires ou de catégories de destinataires, afin de préserver les droits des personnes et d'harmoniser les différentes rédactions dans le projet de loi ;

- de l'ensemble de ses droits définis par la section 2 du présent chapitre, qu'il s'agisse du droit d'accès, d'opposition ou de rectification.

Votre commission des Lois vous propose de compléter cette liste d'informations en prévoyant la mention, le cas échéant, des transferts de données à caractère personnel envisagés vers des Etats tiers.

Il s'agit encore d'assurer une meilleure information des personnes concernées en élargissant les obligations incombant aux responsables de traitements.

2- La question des « témoins de connexion » ou « cookies »

L'Assemblée nationale a en outre adopté un amendement présenté par M. Gérard Gouzes, rapporteur, M. Jean Codognès, du groupe socialiste et M. Alain Vidalies, du groupe socialiste, concernant les « cookies » ou « témoins de connexion ».

Le développement des réseaux numériques s'appuie en effet sur des technologies conçues pour faciliter la navigation des utilisateurs, comme ces lecteurs identifiants qui permettent par exemple de ne pas répéter des mots de passe, en stockant des informations ou en accédant à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur, mais peuvent donc constituer un danger pour la protection de la vie privée.

Cet amendement subordonne leur utilisation à une information claire, complète et préalable des personnes, sur les finalités du traitement et sur les moyens dont elles disposent pour s'y opposer. Il appartient donc à l'internaute de décider lui-même de l'installation ou non des cookies.

Néanmoins, il est précisé que ces dispositions ne font pas obstacle au stockage ou à l'accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication, ou strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur.

Afin d'assurer l'effectivité de ce choix, il est interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement terminal.

Cet amendement a également prévu un dispositif pénal concomitant. Ainsi, le non respect de cette obligation d'information ou la subordination de l'accès à l'acceptation du traitement des informations stockées dans le terminal est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende.

Lors de la discussion à l'Assemblée nationale, cette question faisait l'objet d'une négociation au niveau communautaire, le débat opposant les partisans du consentement exprès à ceux du droit d'opposition. Pour les premiers, l'internaute doit expressément consentir au téléchargement de ces petits logiciels sur son ordinateur. Pour les seconds, la possibilité qui lui est donnée, sur la base d'une information claire, de prendre l'initiative de s'opposer à ce téléchargement constitue une garantie suffisante.

La France s'est ralliée à la position commune en faveur du droit d'opposition, qui permet de concilier les droits des utilisateurs et la fluidité des réseaux numériques, ce principe de non-opposition moyennant une information éclairée constituant la base depuis 25 ans de la législation française sur les traitements automatisés de données personnelles.

Rappelant que la position commune communautaire n'envisageait pas d'interdire de subordonner l'accès à un site à l'acceptation par l'utilisateur d'un témoin de connexion, le Gouvernement s'était interrogé sur l'opportunité de limiter autant la liberté contractuelle et avait donné un avis de sagesse.

La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications électroniques est finalement intervenue le 12 juillet 2002.

Son considérant 25 précise que les témoins de connexion peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, faciliter la fourniture de services de la société de l'information, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne.

Dans de tels cas, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur leur équipement terminal.

Les utilisateurs devraient ainsi avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal, ce point étant particulièrement important lorsque des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé stockées.

Le point 3 de l'article 5 de la directive relatif à la confidentialité des communications précise ainsi que les Etats membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permise qu'à la condition que l'abonné ou l'utilisateur soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du stockage des données.

Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

Le considérant 25 précise encore que l'information relative à l'utilisation de ces dispositifs ainsi que le droit de les refuser peut être offerte en une seule fois et couvrir aussi l'utilisation future qui pourrait en être faite lors de connexions ultérieures.

Il indique également que les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles.

Néanmoins, le considérant 25 prévoit que l'accès au contenu d'un site spécifique peut être subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes. Ceci constitue donc une différence importante par rapport au texte voté par l'Assemblée nationale.

Votre commission des Lois vous propose donc d'adopter un amendement mettant en conformité le projet de loi avec la directive sur ce point.

Il tend ainsi à supprimer :

la disposition interdisant de subordonner l'accès à un service de la société de l'information à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal ;

- le caractère préalable de l'information, cette obligation n'étant plus prévue par la directive ;

- la contravention de cinquième classe introduite par l'Assemblée nationale, l'article 1er du décret n° 81-1142 du 23 décembre 1981 sanctionnant déjà les défauts d'information par le responsable d'un traitement automatisé et pouvant s'appliquer au manquement spécifique à l'obligation d'information sur les cookies.

Il procède en outre à diverses modifications rédactionnelles.

3- Informations requises lorsque les données n'ont pas été recueillies auprès de la personne concernée

Le paragraphe II de l'article 32 modifié prévoit en outre que lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit lui fournir les mêmes informations en cas de collecte directe dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. Il s'agit d'une transposition fidèle de l'article 11 de la directive.

Actuellement, la loi du 6 janvier 1978 ne prévoit pas le cas de collectes indirectes.

Les obligations du I sont donc étendues aux cas de collecte indirecte, qui sont de plus en plus nombreux. En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte sans que les personnes concernées en soit informées. Ceci constitue donc une innovation protectrice.

Toutefois, quatre exceptions à cette nouvelle obligation sont prévues par les paragraphes II à IV :

- lorsque le traitement est nécessaire à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives lorsque ces données ont été initialement recueillies pour un autre objet (II) ;

- lorsque l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche (II) ;

Ces deux premières exclusions sont prévues par le point 2 de l'article 11 de la directive.

- lorsque les données recueillies indirectement sont utilisées au profit d'un traitement dit « de souveraineté » mis en oeuvre pour l'Etat (intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté), dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement ; Actuellement, le deuxième alinéa de l'article 19 prévoit déjà que les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique peuvent ne pas comporter certaines de ces informations ; cette possibilité est d'ailleurs prévue par l'article 13 de la directive ;

- enfin, le paragraphe IV de l'article 32 modifié prévoit une dérogation s'agissant des traitements de données ayant pour objet, la prévention, la recherche ou la poursuite d'infractions pénales. Cette possibilité d'exclusion est prévue par le point d) de l'article 13 de la directive.

Votre commission des Lois vous propose d'adopter un amendement de précision.

Par ailleurs, votre commission des Lois vous propose d'adopter un amendement transposant l'exception prévue tant par le considérant 40 que par l'article 11 de la directive à l'obligation d'information de la personne en cas de collecte indirecte de données la concernant si la personne concernée est déjà informée.

En outre, votre commission des Lois vous propose d'alléger les formalités requises pour les traitements d'anonymisation des données préalablement homologués par la CNIL, en restreignant le champ des informations à fournir aux personnes concernées, afin de promouvoir le développement de l'anonymisation.

L'article 32 modifié de la loi prévoit en effet la délivrance de six catégories d'informations aux personnes concernées par le traitement de leurs données.

Néanmoins, la directive du 24 octobre 1995 permet un régime d'autorisation allégé au bénéfice des traitements collectant des données en vue de l'anonymisation à brève échéance de celles-ci. Son article 13-1-g autorise en effet les Etats membres à adopter des dispositions législatives limitant l'obligation d'information préalable prévue aux articles 10 et 11 lorsque cette limitation constitue une mesure nécessaire pour assurer « la protection de la personne concernée ou les droits et libertés des autres ». Or l'anonymisation représente une garantie pour la vie privée des personnes.

Cet amendement propose donc de n'exiger la communication que de l'identité du responsable du traitement et de la nature de sa finalité, certaines des garanties prévues par l'article 32 modifié ne pouvant en effet matériellement pas être apportées par le responsable du traitement une fois les données anonymisées (droit d'accès et de rectification notamment).

En outre, vous commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 33 modifié de la loi du 6 janvier 1978
Certification électronique des signatures électroniques

L'article 33 est modifié pour introduire un régime spécifique de collecte de données à caractère personnel pour les prestataires de services de certification électronique des signatures électroniques.

Il assure la transposition du paragraphe 2 de l'article 8 de la directive 99/93 du 13 décembre 199929(*) concernant les règles applicables à la collecte de données. Ce dispositif dérogatoire au régime de droit commun découlant de la directive 95/46 CE impose aux prestataires de services de certification de ne recueillir les données à caractère personnel nécessaires à la délivrance des certificats que directement auprès de la personne concernée ou avec son consentement exprès. Il prévoit en outre que les données ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

Article 34 modifié de la loi du 6 janvier 1978
Obligation de sécurité

L'article 29 actuel de la loi du 6 janvier 1978 prévoit que « toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ».

Le paragraphe 1 de l'article 17 de la directive 95/46 CE relatif à la sécurité des traitements précise que les Etats membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Les dispositions de l'actuel article 29 sont reprises par l'article 34 modifié de la loi du 6 janvier 1978, qui ajoute que des décrets, pris après avis de la CNIL, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements nécessaires à la sauvegarde de la vie humaine pour lesquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle (1° du II de l'article 8 modifié) et les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé ou par une autre personne astreinte au secret professionnel (5° du II de l'article 8 modifié).

Votre commission des Lois vous propose d'adopter un amendement tendant à élargir la protection à garantir aux personnes concernées. En effet, des tiers non autorisés peuvent avoir accès à des données sans qu'elles leur soient communiquées alors que le projet de loi ne prévoit que l'hypothèse d'une communication à des tiers. Le responsable des données doit véritablement oeuvrer en faveur de mesures de sécurité effectives, sans pouvoir dégager sa responsabilité en cas de négligence, et veiller à ce que des tiers non autorisés n'y aient pas accès.

Article 35 modifié de la loi du 6 janvier 1978
Sous-traitance

L'article 35 modifié reprend les dispositions des paragraphes 2 et 3 de l'article 17 de la directive relatifs à la sous-traitance.

Le paragraphe 2 de l'article 17 de la directive indique ainsi que les Etats membres prévoient que le responsable du traitement, lorsque celui-ci est effectué pour son compte, doit choisir un sous-traitant apportant des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer, et qu'il doit veiller au respect de ces mesures.

Le paragraphe 3 précise que la réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique liant le sous-traitant au responsable du traitement et prévoyant notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement et que les obligations de sécurité des traitements, telles que définies par la législation de l'Etat membre dans lequel le sous-traitant est établi, lui incombent également.

Le paragraphe 4 prévoit enfin qu'aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences de sécurité sont consignés par écrit ou sous une autre forme équivalente.

L'article 35 modifié de la loi du 6 janvier 1978 prévoit ainsi que les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, que sur instruction du responsable du traitement (point 3 de l'article 17 de la directive).

L'Assemblée nationale a adopté un amendement purement rédactionnel présenté par M. Gérard Gouzes, rapporteur, définissant le sous-traitant comme « toute personne traitant des données à caractère personnel pour le compte  du responsable du traitement ». Il s'agissait de renforcer les garanties en matière de sous-traitance afin, notamment, de tenir compte de l'externalisation des tâches de saisie chez un sous-traitant pouvant être localisé dans un pays étranger, comme l'Inde par exemple.

Le troisième alinéa prévoit ainsi que le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité prévues à l'article 34 modifié de la loi.

Le projet de loi innove en prévoyant expressément que les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Tout manquement de sa part le rend passible des sanctions prévues par l'article  226-17 nouveau du code pénal, modifié par l'article 14 du projet de loi.

De plus, le dernier alinéa précise que le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Article 36 modifié de la loi du 6 janvier 1978
Durée de conservation

Actuellement, c'est l'article 28 de la loi du 6 janvier 1978 qui précise la durée pendant laquelle les informations nominatives peuvent être conservées.

L'article 6-1 e) de la directive indique que les Etats membres prévoient que les données à caractère personnel ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

L'article 36 modifié de la loi du 6 janvier 1978 prévoit donc que les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées que pour être traitées à des fins historiques, statistiques ou scientifiques.

Le choix des informations conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives, qui précise que les informations nominatives contenues dans les traitements automatisés sont triées à l'expiration de la durée nécessaire au traitement, les informations présentant un intérêt scientifique, statistique ou historique étant conservées et les autres détruites. Les catégories d'informations destinées à la destruction ainsi que les conditions de leur destruction sont fixées par accord entre l'autorité qui les a produites ou reçues et l'administration des archives.

Votre commission des Lois vous propose d'adopter un amendement tendant à dispenser les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre de la loi n° 79-18 du 3 janvier 1979 sur les archives de formalités préalables, ces traitements n'entraînant aucune diffusion à l'extérieur du service des archives et donc aucun risque pour les personnes physiques.

Par ailleurs, votre commission des Lois vous propose d'adopter un amendement rédactionnel (parlant de « données » et non d'informations).

Le deuxième alinéa de l'article 36 modifié de la loi du 6 janvier 1978 prévoit toutefois qu'il peut être procédé à un traitement à d'autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées et traitées, sans même que cela soit fait à des fins historiques, statistiques ou scientifiques à condition :

- soit que la personne concernée ait donné son accord exprès ;

- soit que la CNIL l'ait autorisé ;

- soit qu'il s'agisse de données dites sensibles (relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses ou à l'appartenance syndicale des personnes ou à leur santé ou leur orientation sexuelle) quand l'intérêt public l'impose (pour les traitements soumis à autorisation de la CNIL -article 25 I- ou autorisés par décret en Conseil d'Etat après avis publié et motivé de la CNIL -article 26 II-), comme par exemple en matière de terrorisme.

Votre commission des Lois vous propose d'adopter un amendement étendant ces possibilités aux traitements de recherche en matière de santé.

Article 37 modifié de la loi du 6 janvier 1978
Tiers non autorisé

L'article 37 modifié de la loi du 6 janvier 1978 prévoit que les dispositions de la loi du 6 janvier 1978 modifiée ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, ni des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 sur les archives.

Par conséquent, le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques en vertu de ces deux lois ne peut être regardé comme un tiers non autorisé.

SECTION 2
Droits des personnes à l'égard des
traitements de données à caractère personnel
Les droits d'opposition, d'accès et de rectification
Article 38 modifié de la loi du 6 janvier 1978
Droit d'opposition

L'actuel article 26 de la loi du 6 janvier 1978 prévoit que toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement.

Ce droit ne s'applique pas aux traitements devant être autorisés par un acte réglementaire pris après avis motivé de la CNIL (article 15), c'est-à-dire les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public.

L'article 38 modifié reprend la mention faite au premier alinéa des « motifs légitimes », mais complète les dispositions actuelles en prévoyant que la personne physique a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

C'était en effet l'une des deux préconisations alternatives prévues par le b) de l'article 14 de la directive 95/46 CE. Outre ce droit d'opposition aux traitements à des fins de prospection, la personne concernée pouvait être informée avant la première communication à des tiers ou la première utilisation pour le compte de tiers à des fins de prospection et se voir expressément offrir le droit de s'y opposer, gratuitement.

C'est donc la première solution qui a été choisie par le présent projet de loi.

Cependant, le dernier alinéa de l'article 38 modifié de la loi précise que la personne ne peut s'opposer à un traitement la concernant lorsque le traitement répond à une obligation légale ou quand une disposition expresse de l'acte autorisant le traitement le prévoit. Ce dernier cas vise les traitements dits de souveraineté autorisés par un acte réglementaire, pris après avis de la CNIL conformément aux dispositions des articles 26 et 27 modifiés de la loi du 6 janvier 1978.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 39 modifié de la loi du 6 janvier 1978
Droit d'accès

L'article 39 modifié traite du droit d'accès des personnes physiques aux données à caractère personnel les concernant.

Actuellement, c'est l'article 35 de la loi du 6 janvier 1978 qui en prévoit les modalités.

Celui-ci précise ainsi que le titulaire du droit d'accès (défini à l'article 34 comme étant la personne justifiant de son identité) peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.

Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations, et même avant l'exercice d'un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

L'article 39 modifié reprend sensiblement les dispositions de l'actuel article 35 en les précisant, afin de transposer l'article 12 de la directive, puisqu'il prévoit que toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir la confirmation que des données la concernant font ou ne font pas l'objet d'un traitement ; des informations relatives aux finalités du traitement, aux catégories de données traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; la communication, sous une forme accessible, des données la concernant ainsi que de toute information disponible sur leur origine ; les informations permettant de connaître et de contester la logique sous-tendant le traitement automatisé lorsque ses résultats lui sont opposés.

Votre commission des Lois vous propose d'adopter un amendement prévoyant que la personne faisant une demande d'accès doit pouvoir savoir si des données la concernant ont été transférées à des Etats tiers.

A l'initiative de M. Gérard Gouzes, rapporteur, l'Assemblée nationale a, avec l'avis favorable du Gouvernement, adopté un amendement tendant à s'assurer que les informations communiquées à la personne concernée ne portent pas atteinte aux droits d'auteur, notamment aux droits des créateurs de logiciels et des producteurs de bases de données, ainsi que le préconise la directive.

L'article 39 modifié précise également qu'une copie des données est délivrée à l'intéressé à sa demande. Dorénavant, la délivrance de cette copie pourra être subordonnée au paiement d'une somme qui ne peut excéder le coût de la reproduction, alors qu'actuellement, il est exigé une redevance forfaitaire variable selon la catégorie de traitement et dont le montant est fixé par décision de la CNIL et homologué par arrêté du ministre de l'économie et des finances.

En outre, le dernier alinéa du paragraphe I reprend les dispositions de l'actuel article 35 en prévoyant qu'en cas de risque de dissimulation ou de disparition des données, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette disparition ou cette dissimulation.

Le juge compétent peut être soit le juge administratif, si le responsable du traitement est l'Etat, une personne morale de droit public ou une personne morale de droit privé gérant un service public, soit le juge judiciaire dans les autres cas.

Le paragraphe II de l'article 39 modifié reprend la disposition actuelle prévoyant que le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. Actuellement, ces trois situations constituent une liste exhaustive d'exceptions, mais le projet de loi ne les cite désormais plus qu'à titre d'exemples afin d'en élargir le champ. En effet, une demande pourrait également être abusive par son étendue, parce qu'elle porterait par exemple sur une période de quinze ans. Cette modification a été opérée par l'Assemblée nationale à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement.

La directive retenait, quant à elle, la notion d'intervalles raisonnables.

La disposition de la loi actuelle selon laquelle la CNIL peut accorder au responsable du fichier des délais de réponse n'est pas reprise.

Le projet de loi complète les dispositions actuelles en prévoyant qu'en cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auquel elles sont adressées. Cette précision a été introduite par l'Assemblée nationale à l'initiative de M. Gérard Gouzes, rapporteur, et M. Jean Codognès, du groupe socialiste, avec l'avis favorable du Gouvernement. Il s'agit d'établir un parallélisme avec le droit de rectification énoncé à l'article 40 modifié de la loi.

Le dernier alinéa du paragraphe II de l'article 39 modifié de la loi du 6 janvier 1978 exclut cependant du bénéfice du droit d'accès les données à caractère personnel conservées pendant une durée n'excédant pas celle nécessaire à l'établissement de statistiques dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 portant sur l'obligation, la coordination et le secret en matière de statistiques.

Votre commission des Lois vous propose d'adopter un amendement élargissant la possibilité de limitation des droits d'accès, de rectification et d'effacement dans le cadre de la recherche scientifique, tout en l'entourant de garanties, ainsi que le permet le paragraphe 2 de l'article 13 de la directive.

Ainsi, cette dérogation devra être appréciée par la CNIL, en particulier au vu de la finalité statistique du traitement, de la nature plus ou moins personnelle des données traitées et des mesures de sécurité prévues.

En outre, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 40 modifié de la loi du 6 janvier 1978
Droit de rectification

L'article 40 modifié de la loi traite du droit de rectification.

Actuellement, l'article 36 prévoit que le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations inexactes, incomplètes, équivoques, périmées le concernant ou dont la collecte, ou l'utilisation, la communication ou la conservation est interdite.

Le b) de l'article 12 de la directive 95/46 CE prévoit que les Etats membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

L'article 40 modifié reprend donc la liste actuelle en la complétant avec la notion de verrouillage.

Son deuxième alinéa prévoit en outre que lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé à ces opérations.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès, sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord, ce qui n'était pas prévu par la directive, mais constitue la reprise du deuxième alinéa de l'actuel article 36.

Par ailleurs, il est actuellement prévu, lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement que la redevance versée pour le droit d'accès est remboursée, ce que l'article 40 modifié reprend.

En outre, le cinquième alinéa de l'article 40 modifié précise que si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations effectuées.

Actuellement, l'article 38 de la loi du 6 janvier 1978 prévoit dans un tel cas une obligation de résultat, la rectification ou l'annulation des données devant être notifiées au tiers, sauf dispense accordée par la CNIL.

Il ne s'agira plus désormais que d'une obligation de moyens, conformément au point c) de l'article 12 de la directive 95/46 CE, qui prévoit une telle mesure uniquement si elle ne s'avère pas impossible ou ne suppose pas un effort disproportionné. Cette disposition paraît marquée du sceau du réalisme.

L'Assemblée nationale a en outre adopté avec l'avis favorable du Gouvernement deux amendements, dont un rédactionnel, présentés par M. Gérard Gouzes, rapporteur, afin de prendre en compte les droits des héritiers.

Ainsi, les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable du traitement qu'il prenne en compte le décès et procède aux mises à jour. Ils peuvent alors interroger le responsable du traitement afin d'obtenir la confirmation de l'existence ou non de traitements relatifs à des données à caractère personnel concernant le défunt. Néanmoins, les héritiers ne pourront effacer des précisions que, de son vivant, la personne décédée avait laissé figurer dans un fichier.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 41 modifié de la loi du 6 janvier 1978
Droit d'accès indirect en matière de traitements de souveraineté

Les garanties prévues par le régime général s'agissant du droit d'accès et de rectification sont incompatibles avec les traitements de données à caractère personnel dits de souveraineté, c'est-à-dire ceux intéressant la défense de l'Etat, la sûreté et la sécurité publiques.

Actuellement, l'article 39 de la loi du 6 janvier 1978 prévoit une procédure d'accès indirect aux données intéressant la sûreté de l'Etat, la défense et la sécurité publique. La demande est adressée à la CNIL, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la CNIL.

La directive admet tout à fait de telles dérogations, puisque son article 13, relatif aux exceptions et limitations, dispose que les Etats membres peuvent prendre des mesures législatives pour limiter la portée du droit d'accès lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder la sûreté de l'Etat, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées, un intérêt économique ou financier important d'un Etat membre, y compris dans les domaines monétaire, budgétaire et fiscal, une mission de contrôle, d'inspection et de réglementation, la protection de la personne concernée ou des droits et libertés d'autrui.

Le point 4 de l'article 28 de la directive prévoit également que chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande. Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales ont prévu des exceptions au droit d'accès en vertu de l'article 13 de la directive. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

Par ailleurs, la directive prévoit également que, sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les Etats membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits d'accès lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

Cette dernière hypothèse n'a pas été reprise par le présent projet de loi.

Cependant, alors que l'actuel article 39 prévoit uniquement qu'il est notifié au requérant qu'il a été procédé aux vérifications, l'article 41 modifié distingue deux cas, afin de renforcer les garanties offertes aux personnes concernées par des données figurant dans un fichier protégé.

La CNIL avait en effet rappelé dans son avis sur le présent projet de loi que le décret du 14 octobre 1991 relatif aux fichiers des renseignements généraux permettait, dans certaines circonstances et sous certaines conditions, au titulaire du droit d'accès d'avoir communication de tout ou partie de son dossier, cette consultation ne mettant pas nécessairement en danger les intérêts vitaux de l'Etat.

Dorénavant, l'article 41 modifié prévoit que lorsque la CNIL constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou de leurs rectifications ne met pas en cause les finalités poursuivies par ces traitements, ces données ou rectifications sont communiquées au requérant. Dans les autres cas, la CNIL informe le requérant qu'il a été procédé aux vérifications.

Ceci constitue une avancée importante en matière de transparence.

Notons que ces dispositions ont été parallèlement modifiées lors de l'examen en première lecture par l'Assemblée nationale du projet de loi relatif à la sécurité intérieure, à l'initiative de M. Estrosi, rapporteur dudit projet de loi, le Gouvernement ayant présenté un sous-amendement.

Ainsi, la rédaction retenue par la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure de l'article 39 de la loi du 6 janvier 1978 anticipe sur les dispositions prévues par le présent projet de loi en permettant à la CNIL, avec l'accord du responsable du traitement, de communiquer aux personnes mentionnées dans ces fichiers des données les concernant y figurant dès lors que cette communication ne met pas en cause la sûreté de l'Etat.

Elle inclut le sous-amendement adopté à l'initiative du Gouvernement et auquel s'était rallié le rapporteur de l'Assemblée nationale, qui introduit de nouvelles garanties très intéressantes. Ainsi, l'acte réglementaire portant création du fichier peut prévoir la communication d'informations au requérant par le gestionnaire du fichier directement saisi si le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées.

Tout en regrettant que cette modification intervienne parallèlement à l'examen du présent projet de loi par la commission des Lois, votre rapporteur se félicite des avancées apportées.

Article 42 modifié de la loi du 6 janvier 1978
Droit d'accès indirect en matière d'infractions et d'impositions

L'article 42 modifié de la loi du 6 janvier 1978 prévoit également un accès indirect s'effectuant selon les mêmes modalités qu'à l'article 41 modifié s'agissant des traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public ayant pour objet de prévenir, rechercher ou constater des infractions ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation délivrée par la CNIL, par arrêté ou par décret (articles 25, 26 et 27 modifiés).

Le rapport de M. Guy Braibant s'inquiétait de l'ampleur de ces dérogations potentielles, notamment s'agissant des traitements fiscaux. Il soulignait néanmoins que seuls les traitements ayant pour but de lutter contre la fraude fiscale (ce qui exclut la plupart des traitements fiscaux, qui ont pour finalité d'établir et de percevoir l'impôt) pourraient bénéficier de cet article, et que la pratique de l'administration fiscale en matière de droit d'accès aboutissait déjà en fait à priver les personnes d'un droit d'accès direct.

L'article 42 tel que formulé par le projet de loi permettrait aux administrations et services publics ayant pour mission de prévenir, rechercher, constater des infractions ou recouvrer des impositions de s'opposer à l'exercice du droit d'accès, lorsqu'elles estiment que celui-ci risquerait de porter atteinte à l'accomplissement de leurs missions. Il reviendrait à reconnaître un pouvoir décisionnel au seul organisme destinataire des données, dont l'exercice serait placé sous le seul contrôle du juge administratif.

Ce régime concernerait en particulier des données régulièrement transmises non pas par la personne concernée, mais par des tiers, sur le fondement d'obligations déclaratives, comme les déclarations fiscales à la charge des employeurs. Il s'agit de données très différentes de celles inscrites dans les autres traitements soumis au droit d'accès indirect puisque les données ainsi traitées concernent la quasi-totalité de la population et n'ont pas en elles-mêmes de caractère sensible.

Néanmoins, la référence faite à l'article 41, parallèlement modifié par la loi pour la sécurité intérieure précitée, devrait permettre d'apporter des garanties suffisantes.

Votre commission des Lois vous propose d'adopter ces quinze amendements, dont cinq amendements rédactionnels, puis d'adopter l'article 5 ainsi modifié.

Article 6
(Chapitre VI de la loi n° 78-17 du 6 janvier 1978)
Pouvoirs de contrôle sur place et sur pièces de la CNIL

La directive 95/46/CE vise principalement à garantir une application effective des normes relatives à la protection des données à caractère personnel, et confie pour ce faire un rôle prépondérant aux autorités de contrôle nationales, qui devront disposer de pouvoirs a posteriori très conséquents.

En France, c'est la CNIL qui est chargée de protéger les libertés individuelles, en sanctionnant les manoeuvres de dissimulation, l'absence de déclaration des fichiers, les déclarations incomplètes, voire l'absence ou les lacunes de déclarations de fichiers.

Le chapitre VI de la loi n° 78-17 du 6 janvier 1978 relatif aux dispositions pénales est donc modifié et traitera dorénavant du contrôle de la mise en oeuvre des traitements. Il comprend un unique article 44 modifié prévoyant un pouvoir de vérifications sur place et sur pièces.

Actuellement, le 2° de l'article 21 de la loi prévoit déjà que la CNIL peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder à l'égard de tout traitement à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission.

Tous les traitements, y compris ceux dits de souveraineté, sont ainsi susceptibles de faire l'objet de vérifications. Ainsi, le dernier alinéa du même article précise que les ministres, autorités publiques, dirigeants d'entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs et utilisateurs de fichiers nominatifs ne peuvent s'opposer à l'action de la CNIL ou de ses membres pour quelque motif que ce soit, mais doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Le règlement intérieur de la CNIL prévoit néanmoins que l'autorité concernée est prévenue avant tout contrôle.

Actuellement, l'article 11 de la loi permet par ailleurs à la CNIL de demander aux premiers présidents de cour d'appel ou aux présidents des tribunaux administratifs de déléguer un magistrat de leur ressort, éventuellement assisté d'experts, pour des missions d'investigation et de contrôle effectuées sous sa direction.

De plus, l'article 13, repris par le projet de loi à l'article 21 modifié, précise que les informaticiens appelés soit à donner des renseignements à la CNIL, soit à témoigner devant elle, sont déliés de leur obligation de discrétion.

Cependant, le point 3 de l'article 28 de la directive impose d'aller plus loin. Il prévoit en effet que chaque autorité de contrôle doit disposer notamment de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle.

Article 44 modifié de la loi du 6 janvier 1978
Pouvoir de contrôle

L'article 44 modifié tend à définir les modalités d'exercice du pouvoir de contrôle sur place et sur pièces dévolu à la CNIL.

Ces nouvelles règles tendent à simplifier la procédure de contrôle, qui est amenée à devenir le mode d'intervention ordinaire de la CNIL, ainsi qu'elle le soulignait dans son avis sur le présent projet de loi.

Ainsi, alors que la procédure suivie par la Commission des opérations de bourse requiert l'autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, que l'occupant des lieux ait donné ou non son accord à la visite30(*), le projet de loi distingue deux cas de figure s'agissant de la CNIL :

- une procédure simplifiée de droit commun prévoyant une simple information préalable du procureur de la République (I) ;

- une procédure requérant l'autorisation du président du tribunal de grande instance ou du juge délégué par lui en cas d'opposition du responsable des lieux (II).

Le paragraphe I prévoit tout d'abord que les membres de la CNIL, ainsi que ceux de ses agents habilités en vertu de l'article 19 modifié, ont accès de 6 heures à 21 heures, pour l'exercice de leurs missions, aux locaux servant à la mise en oeuvre d'un traitement de données à caractère personnel et à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

Dans son avis sur le présent projet de loi, la CNIL s'inquiétait de cette rédaction, qui, selon elle, « pourrait faire échapper de nombreux fichiers à une possibilité de contrôle : fichiers d'associations, fichiers de start-up, fichiers des professions libérales ou d'entrepreneurs individuels ». Néanmoins, le pouvoir de contrôle de la CNIL est ici confronté à la protection de la vie privée, qui recouvre le domicile, et que le Conseil constitutionnel a strictement encadré. Ainsi, dans sa décision n° 87-240 DC du 19 janvier 1988 sur la Commission des opérations de bourse, le Conseil constitutionnel a précisé que ses agents pouvaient avoir accès à tous les locaux professionnels « à condition que ceux-ci soient exclusivement consacrés à cet usage ».

Le projet de loi va d'ailleurs déjà au-delà, puisqu'il prévoit qu'un local à usage professionnel, mais situé dans un domicile privé, pourra être contrôlé par les agents de la CNIL, seuls les locaux exclusivement privatifs demeurant hors du champ de leur compétence.

Par ailleurs, l'encadrement des horaires de contrôle -de 6 heures à 21 heures- s'inspire des règles applicables aux perquisitions judiciaires des domiciles privés, prévues par l'article 59 du code de procédure pénale, ainsi que des règles applicables à une autre autorité administrative indépendante, la Commission des opérations de bourse31(*).

Enfin, le second alinéa de ce paragraphe I prévoit que le procureur de la République territorialement compétent est préalablement informé de ces vérifications.

Dans son avis sur le présent projet de loi, la CNIL estimait cette obligation « dépourvue de toute utilité et de nature à renforcer l'idée d'un contrôle sanction alors même que les contrôles sur place sont appelés à devenir le mode d'intervention ordinaire de la Commission ».

Néanmoins, votre commission des Lois souligne que cette obligation parait peu contraignante par rapport à la nécessité pour la Commission des opérations de bourse d'obtenir l'autorisation du président du tribunal de grande instance. Elle vise surtout à une bonne administration de la justice, en favorisant l'information du ministère public chargé de l'action publique. Ainsi, en cas de plainte d'un particulier contre le responsable d'un traitement de données à caractère personnel, il est souhaitable que le procureur de la République ait connaissance des contrôles effectués par la CNIL.

Cette disposition est conforme à l'article 28 de la directive qui prévoit que les autorités de contrôle disposent de « pouvoirs effectifs d'intervention » tels que, par exemple, celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques, ou d'ester en justice.

Par ailleurs, le paragraphe II de l'article 44 modifié de la loi du 6 janvier 1978 prévoit qu'en cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance ou du juge délégué par lui.

Votre commission des Lois vous propose tout d'abord d'adopter un amendement rédactionnel précisant qu'il s'agit du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter.

Le rapport de M. Guy Braibant rappelait en effet que s'il existe déjà un délit d'entrave visant le refus de coopérer avec la CNIL, il était insuffisant pour permettre des contrôles efficaces, les responsables faisant disparaître les preuves. Il appelait ainsi à ce que la CNIL puisse procéder à ces visites sans l'accord des intéressés et à des saisies dans les mêmes conditions que le Conseil de la concurrence ou la Commission des opérations de bourse (article 5 ter de l'ordonnance du 28 septembre 1967), dans le respect des règles déterminées par la jurisprudence du Conseil constitutionnel.

Ceci implique donc une autorisation judiciaire, ainsi qu'un contrôle constant de la part du juge.

Le magistrat compétent doit donc être saisi par requête du président de la CNIL. Il statue par une ordonnance motivée, conformément aux dispositions des articles 493 à 498 du nouveau code de procédure civile, relatifs aux ordonnances sur requête. Il s'agit de décisions provisoires rendues non contradictoirement lorsque le requérant est fondé à ne pas appeler la partie adverse, notamment lorsqu'il y a crainte que les documents soient détruits ou que des pressions soient exercées.

De plus, la visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée. Il peut se rendre sur les lieux durant l'intervention et peut à tout moment décider l'arrêt ou la suspension de la visite.

On notera que ces dispositions ne font pas obstacle à la mise en oeuvre parallèle de sanctions pénales au titre du délit d'entrave à l'action de la CNIL, prévu par l'article 51 nouveau (article 8 du présent projet de loi).

En outre, la procédure est sans représentation obligatoire.

Le paragraphe III prévoit que les membres de la CNIL et les agents habilités peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles. Ils peuvent accéder aux logiciels et aux données, ainsi qu'en demander la transcription.

Ils peuvent, à la demande du président de la CNIL, être assistés par des experts.

Il s'agit là de dispositions classiques s'agissant d'autorités administratives indépendantes.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel tendant à élargir les documents auxquels peuvent avoir accès les agents, afin d'inclure les disques durs, outre les logiciels.

Le projet de loi initial précisait en outre au troisième alinéa du paragraphe II que seul un médecin pouvait requérir communication de données médicales individuelles incluses dans un traitement.

La CNIL avait estimé dans son avis sur le présent projet de loi que cette disposition pourrait entraîner des difficultés pratiques « dans la mesure où elle ne vise pas uniquement les traitements mis en oeuvre par les cabinets médicaux mais tous les traitements qui comporteraient des données médicales, tels que les fichiers de caisse de sécurité sociale (placés sous la responsabilité d'un médecin conseil mais traités par des statisticiens ou des agents de contrôle n'ayant pas la qualité de médecin), les fichiers médicaux ou des risques aggravés « vie » des sociétés d'assurance (accessibles aux actuaires et même aux banquiers), les fichiers de nombreuses associations d'aide aux malades ». La règle du secret médical est en effet souvent opposée aux membres de la CNIL lors des missions de contrôle.

L'Assemblée nationale a donc adopté, sur proposition du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, outre un amendement de précision, un amendement tendant à préciser que parmi les données médicales, seules celles figurant dans des traitements mis en oeuvre par un membre d'une profession de santé, nécessaires aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins et de traitements, ou à la gestion de services de santé, et mis en oeuvre par un membre d'une profession de santé, doivent être requises par un médecin.

Enfin, le dernier alinéa de l'article 44 modifié indique que les visites et vérifications effectuées par les membres de la CNIL doivent faire l'objet d'un procès-verbal dressé contradictoirement. Il s'agit d'une disposition nouvelle, qui doit garantir les droits de la défense. Ces questions font d'ailleurs l'objet de dispositions très précises, s'agissant notamment de la Commission des opérations de bourse.

Votre commission des Lois vous propose donc d'adopter deux amendements, puis d'adopter l'article 6 ainsi modifié.

Article 7
(Chapitre VII de la loi n° 78-17 du 6 janvier 1978)
Pouvoirs de sanction administrative de la CNIL

La directive prévoit principalement de remplacer le contrôle a priori par le contrôle a posteriori, mis à part pour les traitements de données à caractère personnel présentant un risque particulier pour les libertés. Afin de maintenir un niveau de protection équivalent, ainsi que le prévoit le considérant 10, la CNIL est donc dotée de moyens d'intervention a posteriori renforcés et d'un pouvoir de sanction accru.

Cet article remplace le chapitre VII de la loi du 6 janvier 1978 actuellement consacré aux dispositions diverses par un chapitre intitulé « sanctions infligées par la Commission nationale de l'informatique et des libertés », qui comprend les nouveaux articles 45 à 49.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel, les sanctions étant prononcées et non infligées.

Les dispositions de ce chapitre reprennent pour l'essentiel les dispositions du paragraphe 3 de l'article 28 de la directive 95/46 CE, complétées par un dispositif de sanction pécuniaire pour l'autorité de contrôle. La création de ce dernier, qui n'était pas requise par la directive, découle d'une recommandation du rapport de M. Guy Braibant.

Le point 3 de l'article 28 de la directive prévoit en effet que l'autorité de contrôle dispose notamment de pouvoirs effectifs d'intervention tels que :

- ordonner le verrouillage, l'effacement ou la destruction de données, ou interdire temporairement ou définitivement un traitement, ou adresser un avertissement ou une admonestation au responsable du traitement ;

- saisir les parlements nationaux ou d'autres institutions politiques ;

- ester en justice en cas de violation des dispositions nationales prises en application de la directive ou porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

Article 45 modifié de la loi du 6 janvier 1978
Pouvoir de sanction administrative - Juge des référés

Actuellement, le 4° de l'article 21 de la loi du 6 janvier 1978 prévoit que la CNIL peut adresser aux intéressés des avertissements et dénoncer au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale.

En outre, le 3° précise qu'« en cas de circonstances exceptionnelles », la CNIL peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations. En pratique, une telle mesure entraîne des conséquences très importantes pour les entreprises (destruction d'un fichier de clients ou de fichiers de paye...) et ne peut donc être que difficilement appliquée.

Il importait donc de trouver des mesures alternatives et pouvant effectivement être appliquées.

Or, le Conseil constitutionnel a admis, dans diverses décisions32(*), dont celle n° 89-260 DC du 28 juillet 1989 sur la Commission des opérations de bourse, la dévolution d'un pouvoir de sanction à une autorité administrative indépendante « dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté et, d'autre part, que l'exercice du pouvoir de sanction est assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis ».

Les garanties constitutionnellement exigées portent tant sur le fond que sur la forme.

Selon le Conseil constitutionnel, la loi peut, sans qu'il soit porté atteinte au principe de la séparation des pouvoirs, doter une autorité administrative indépendante d'un pouvoir de sanction, dans la limite nécessaire à l'accomplissement de sa mission. Dans sa décision du 28 juillet 1989, le Conseil considère que « le principe de la séparation des pouvoirs, non plus qu'aucun principe ou règle de valeur constitutionnelle, ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction ».

L'exercice de ce pouvoir de sanction se trouve encadré par des garanties analogues à celles de la procédure pénale : principe de non-rétroactivité, principe de nécessité ou de proportionnalité des peines, tirés de l'article 8 de la déclaration des droits de l'homme et du citoyen, et principe du respect des droits de la défense.

S'agissant du principe de légalité des délits et des peines, également applicable aux sanctions administratives, le Conseil constitutionnel a considéré que « l'exigence d'une définition des infractions sanctionnées se trouvait satisfaite en matière administrative par la référence aux obligations auxquelles le titulaire d'une autorisation administrative est soumis en vertu des lois et règlements ».

La Commission des opérations de bourse (article 5-9 de l'ordonnance du 28 septembre 1967), le Conseil de la concurrence (article 13 de l'ordonnance du 2 décembre 1986) et le Conseil supérieur de l'audiovisuel (article 42-2 de la loi du 30 septembre 1996) en usent déjà efficacement.

Le projet de loi étend donc le pouvoir de sanction de la CNIL, tout en prévoyant des garanties appropriées pour les responsables de traitements.

Outre l'avertissement et la mise en demeure du responsable du traitement qui ne respecterait pas les obligations légales, l'article 45 modifié prévoit qu'en cas de persistance de l'infraction, la CNIL peut prononcer à son encontre, après une procédure contradictoire :

- une sanction pécuniaire (ce qui constitue une innovation majeure et s'applique quelle que soit la nature du traitement concerné). Votre commission des Lois vous propose d'adopter un amendement rédactionnel ;

- une injonction de cesser le traitement ou de procéder à sa destruction (s'il s'agit d'un traitement soumis à déclaration préalable en application de l'article 22 modifié), ou  retirer l'autorisation (lorsqu'il s'agit d'un traitement soumis au régime de l'autorisation préalable en application de l'article 25 modifié).

Contrairement à ce que prévoit la loi en vigueur, le projet de loi initial ne reprenait pas la possibilité pour la CNIL de détruire des données en cas de refus d'obtempérer. Le rapporteur de l'Assemblée nationale, tout en reconnaissant que cette possibilité n'avait jamais été mise en oeuvre par la CNIL, estimait intéressant son caractère dissuasif. L'Assemblée nationale a donc rétabli cette possibilité, avec l'avis favorable du Gouvernement.

Votre commission des Lois vous propose cependant de supprimer cette possibilité, qui pourrait avoir des conséquences importantes pour une entreprise, d'autant plus que le nouvel article 226-22-2 du code pénal introduit par l'article 14 du projet de loi prévoit que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction et que les membres et agents de la CNIL sont alors habilités à constater cet effacement.

Réserver cette possibilité au juge paraît donc préférable, d'autant que la CNIL pourra désormais prononcer des sanctions pécuniaires.

Le paragraphe II prévoit qu'en cas d'urgence et de menaces pour les libertés, la CNIL peut, après une procédure contradictoire :

- décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois, si le traitement ne fait pas partie des traitements dits de souveraineté visés à l'article 26 modifié de la loi (c'est-à-dire ceux intéressant la sûreté de l'Etat, la défense ou la sécurité publique ou ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté) ;

- saisir le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée s'il s'agit d'un traitement dit de souveraineté (visé aux I et II de l'article 26 modifié). Le Premier ministre fait alors connaître à la CNIL et rend publiques les suites données à cette saisine au plus tard 15 jours après sa réception.

Votre commission des Lois vous propose de supprimer cette nouvelle exigence de publicité inédite et mal adaptée à des fichiers dont certains affectent la défense nationale ou la sûreté de l'Etat, ou répondent à des finalités de lutte contre la délinquance ou le terrorisme, et de prévoir une simple information du Premier ministre et non sa saisine.

La CNIL demeure libre d'informer le public par le biais de son rapport annuel des signalements effectués à l'intention du Premier ministre et des suites que celui-ci y a apportées.

Le paragraphe III de l'article 45 modifié prévoit enfin qu'en cas d'atteinte grave et immédiate aux droits et libertés protégés par la loi du 6 janvier 1978, le président de la CNIL peut demander par la voie du référé à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

La procédure du référé peut permettre de pallier la lenteur des procédures administratives, qui requièrent le respect du contradictoire, ainsi que la production d'un rapport écrit.

Ce dispositif nouveau est donc particulièrement opportun.

Le juge saisi relèvera de l'ordre judiciaire si le responsable du traitement concerné oeuvre pour des intérêts privés ou de l'ordre administratif si le responsable agit pour le compte de l'Etat, d'un établissement public ou d'une collectivité locale, ou dans le cadre de l'exécution d'une mission de service public.

Votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 46 modifié de la loi du 6 janvier 1978
Procédure en matière de sanction

Conformément aux arrêts de la Cour européenne des droits de l'homme33(*), la sanction doit être motivée, notifiée aux intéressés et susceptible de faire l'objet d'un recours de pleine juridiction.

Le respect du contradictoire et des droits de la défense implique également, après une mise en demeure restée infructueuse, que le contrevenant reçoive notification des griefs, puisse consulter le dossier, présenter ses observations écrites et orales et se faire représenter ou assister par un avocat.

L'article 46 modifié de la loi du 6 janvier 1978 précise donc que les sanctions (hormis la saisine du Premier ministre) sont prononcées sur la base d'un rapport établi par l'un des membres de la CNIL, désigné par le président parmi les membres n'appartenant pas à la formation restreinte.

Rappelons qu'en vertu de l'article 17 modifié, c'est la formation restreinte qui est chargée de prononcer les sanctions.

Il s'agit donc d'éviter que le rapporteur soit à la fois juge et partie. Ainsi, conformément aux exigences de l'article 6 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales relatif au droit à un procès équitable, le rapporteur peut présenter des observations orales à la CNIL, mais ne prend pas part à ses délibérations34(*).

Ce rapport est ensuite notifié au responsable du traitement qui peut déposer des observations et se faire représenter ou assister. Cette dernière précision a été adoptée par l'Assemblée nationale à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, afin de rapprocher la procédure de celle suivie à la COB et mieux assurer le respect des droits de la défense.

Il s'agit donc d'une procédure contradictoire.

La CNIL peut entendre toute personne et peut décider de rendre publiques les sanctions qu'elle prononce, ce qui peut présenter un réel intérêt pédagogique. Le rapport de M. Guy Braibant suggérait d'ailleurs qu'une peine complémentaire d'affichage puisse être prévue pour les peines contraventionnelles, et que les peines de publication et de diffusion audiovisuelle actuellement prévues puissent être étendues.

En outre, les sanctions de la CNIL sont motivées et notifiées à l'intéressé. Elles peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'Etat.

Enfin, votre commission des Lois vous propose d'adopter un amendement rédactionnel.

Article 47 modifié de la loi du 6 janvier 1978
Montant des sanctions

L'article 47 modifié prévoit que le montant de l'amende doit être « proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement ».

La nature des avantages n'étant pas précisée, la CNIL ne sera pas limitée à la seule prise en compte de bénéfices financiers.

L'article 47 modifié précise cependant que le montant de la sanction ne peut excéder 150.000 euros pour un premier manquement ni 300.000 euros ou 5% du chiffre d'affaires en cas de récidive dans les cinq années à compter de la date à laquelle la première sanction pécuniaire est devenue définitive. C'est l'Assemblée nationale, à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, qui a souhaité préciser les modalités de cette récidive et l'encadrer dans le temps.

Le rapport de M. Guy Braibant préconisait pour sa part que les sanctions pécuniaires soient limitées à 5% du chiffre d'affaires de l'entreprise et lorsque le contrevenant n'est pas une entreprise, à 10 millions de francs, c'est-à-dire à 150.000 euros.

Votre commission des Lois vous propose d'adopter un amendement de clarification afin de bien préciser qu'une entreprise peut être condamnée à 5 % du chiffre d'affaires hors taxes du dernier exercice clos, dans la limite de 300.000 euros d'amende.

Le troisième alinéa de l'article 47 modifié prévoit enfin que lorsque la CNIL a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

Rappelons que le Conseil constitutionnel a estimé, dans sa décision DC 97-395 du 30 décembre 1997, que « lorsqu'une sanction administrative est susceptible de se cumuler avec une sanction pénale, le principe de proportionnalité implique qu'en tout état de cause, le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ; qu'il appartiendra donc aux autorités administratives et judiciaires compétentes de veiller au respect de cette exigence ».

Enfin, il est précisé que les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine. 

Article 48 modifié de la loi du 6 janvier 1978
Champ territorial des sanctions

L'article 48 modifié prévoit que la CNIL peut, à l'égard des traitements dont les opérations sont mises en oeuvre, en tout ou partie sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre Etat membre de la Communauté européenne :

- faire des vérifications et des contrôles sur pièce et sur place ; prononcer des sanctions administratives, pécuniaires pour tous les types de traitements, des injonctions de cesser le traitement ou procéder à sa destruction et retirer des autorisations  ;

- en cas d'urgence et de menaces contre les libertés, décider l'interruption de la mise en oeuvre du traitement ou le verrouillage des données pour trois mois maximum s'il ne s'agit pas de traitements dits de souveraineté ;

- saisir par référé le juge en cas d'atteinte grave et immédiate aux droits et libertés pour ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire.

Cette disposition, importante, tend à faciliter l'effectivité des contrôles et sanctions de la CNIL et à prévenir des conflits de lois entre Etats membres.

*

* *

La loi du 6 janvier 1978 comporte actuellement 48 articles dont la substance et l'architecture sont profondément remaniés par le présent projet de loi. Les articles dont l'examen suit seront donc insérés in fine et prolongeront sa numérotation après l'adoption du présent projet de loi.

*

* *

Article 49 (nouveau) de la loi du 6 janvier 1978
Coopération internationale

Le paragraphe 6 de l'article 28 de la directive 95/46 CE prévoit que chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre Etat membre et que les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

Ces dispositions communautaires sont transposées en droit interne par le nouvel article 49 de la loi du 6 janvier 1978, qui comble ainsi un vide juridique.

Il prévoit ainsi que la CNIL peut, à la demande d'une autorité exerçant des compétences analogues dans un autre Etat membre, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions, sauf s'il s'agit d'un traitement dit de souveraineté.

Ces dispositions devraient en pratique jouer un rôle très important. Cette coopération communautaire résulte de la convergence des règles nationales opérée par la directive, qui justifie donc une coopération pleine et entière entre autorités de contrôle.

Votre commission des Lois vous propose d'adopter ces sept amendements, dont cinq rédactionnels, puis d'adopter l'article 7 ainsi modifié.

Article 8
(Chapitre VIII de la loi n° 78-17 du 6 janvier 1978)
Sanctions pénales et délit d'entrave à l'action de la CNIL -
Information de la CNIL par le procureur de la République

Le régime des sanctions pénales encourues en cas de violation de la loi du 6 janvier 1978 est actuellement traité dans le chapitre VI. Du fait du remaniement opéré par le présent projet de loi, il est transféré dans un chapitre VIII, qui comprend les articles 50 à 52 nouveaux et constitue pour l'essentiel la reprise de dispositions existantes.

L'article 24 de la directive 95/46 CE prévoit que les Etats membres doivent prendre « les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation de dispositions prises en application de la présente directive ».

Article 50 (nouveau) de la loi du 6 janvier 1978
Sanctions prévues par le code pénal

L'article 50 nouveau, reprenant l'actuel article 41, procède à un renvoi au code pénal en précisant que les infractions aux dispositions de la loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal, lesquels sont par ailleurs modifiés par l'article 14 du présent projet de loi, et seront donc étudiés plus précisément à cet article.

L'article 226-16 réprime ainsi le non respect des formalités préalables, l'article 226-17 le non respect de l'obligation de sécurité, l'article 226-18 la collecte par un moyen frauduleux, déloyal ou illicite, le traitement de données à caractère personnel malgré le refus exposé pour des raisons légitimes par la personne concernée, ainsi qu'en matière de traitements concernant la recherche dans le domaine de la santé le défaut d'information ou le traitement malgré l'opposition de la personne.

L'article 226-19 réprime pour sa part le traitement de données sensibles et de données portant sur des infractions, des condamnations ou des mesures de sûreté, l'article 226-20 la conservation ou le traitement d'informations sous une forme nominative au-delà de la durée prévue -à moins que celle-ci ait des finalités historiques, statistiques ou scientifiques-, l'article 226-21 le détournement de finalité, l'article  226-22 le fait de porter à la connaissance d'un tiers des informations sur la vie privée, tandis que l'article 226-24 traite de la responsabilité des personnes morales.

Article 51 (nouveau) de la loi du 6 janvier 1978
Délit d'entrave

Par ailleurs, l'article 51 nouveau punit d'un an d'emprisonnement et de 15.000 euros d'amende le fait d'entraver l'action de la CNIL. Il s'agit, sous réserve de quelques adaptations d'ordre rédactionnel, de la reprise des dispositions de l'actuel article 43.

Sont donc réprimés :

- l'opposition d'une personne à l'exercice des missions de contrôle de la CNIL et de ses agents ;

- le refus de communication, ou la dissimulation de documents et renseignements utiles à l'exercice de leurs missions ;

- ainsi que la communication d'informations modifiées postérieurement à la date de leur demande ou sous une forme non directement accessible.

Votre commission des Lois vous propose d'adopter un amendement tendant à étendre la notion d'entrave à l'ensemble des missions de la CNIL, la référence aux articles 45 et 49 de la loi du 6 janvier 1978 n'apparaissant pas pertinente, s'agissant respectivement des pouvoirs de sanction de la CNIL et des modalités de coopération entre autorités de contrôle.

Article 52 (nouveau) de la loi du 6 janvier 1978
Information de la CNIL
par les juridictions

Le projet de loi introduit enfin un mécanisme original d'information de la CNIL par les autorités judiciaires et, le cas échéant, d'intervention de son président ou de son représentant devant les juridictions, qui complète l'obligation d'information du procureur de la République par la CNIL (article 44 modifié), ainsi que la possibilité de saisine de la juridiction en référé (article 45 modifié).

Ce dispositif, qui n'était pas envisagé par la directive 95/46 CE, résulte d'une recommandation exprimée par la CNIL dans son avis sur le présent projet de loi.

Ainsi, le premier alinéa de l'article 52 nouveau prévoit d'abord que le procureur de la République avise le président de la CNIL de « toutes les poursuites » relatives aux infractions prévues par les articles 226-16 à 226-24 du code pénal, c'est-à-dire celles relatives aux « atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ». En outre, le procureur de la République doit l'informer, le cas échéant, des suites données aux poursuites ainsi que de la date et de l'objet de l'audience de jugement, dix jours avant celle-ci.

Le second alinéa précise en outre que s'agissant de ces affaires, la juridiction d'instruction -le magistrat instructeur ou la chambre de l'instruction- ainsi que la juridiction de jugement peuvent appeler le président de la CNIL ou son représentant à déposer ses observations ou à les développer oralement à l'audience.

Il s'agit donc de permettre à la CNIL d'avoir connaissance des suites données à ses contrôles et donc de mieux en apprécier la pertinence, tout en en défendant l'opportunité.

Le rapport de M. Guy Braibant soulignait en effet les dysfonctionnements du régime répressif français en matière de fichiers informatiques, la grande sévérité des textes tranchant avec la faiblesse de la jurisprudence. Ainsi, il citait les statistiques du casier judiciaire national de 1991 à 1995, selon lesquelles seules 35 poursuites avaient abouti à des condamnations, dont une seule peine d'emprisonnement sans sursis d'une durée de six mois.

Il déplorait de plus l'absence de politique pénale dans ce domaine et l'insuffisance des moyens d'investigation humains et matériels de la police judiciaire eu égard à l'ampleur de l'activité économique liée à l'informatique, et préconisait une action de formation spécialisée des magistrats chargés des poursuites et des officiers de police judiciaire saisis des plaintes des particuliers.

Votre commission des Lois vous propose d'adopter un amendement puis d'adopter l'article 8 ainsi modifié.

Les traitements de données de santé

Le domaine de la santé a été particulièrement touché ces dernières décennies par l'automatisation du traitement de l'information, qu'il s'agisse des soins, du soutien aux praticiens ou de l'amélioration des politiques de santé publique (notamment en matière d'épidémiologie) et de l'effort de maîtrise des dépenses de soin.

On peut ainsi citer la création de la carte santé, qui constitue le support informatique d'un véritable dossier médical portable et se compose d'une « carte vitale » pour le patient et d'une carte professionnelle de santé (CPS) destinée aux praticiens, ainsi que la médecine à distance, par le biais de la diffusion d'informations sur les réseaux en ligne ou de la télé médecine. A l'hôpital, le « programme de médicalisation des systèmes d'information » permet notamment, par le recueil de données médicales, de porter une appréciation sur la qualité d'un établissement.

De même, les bases de données informatisées sont désormais déterminantes pour les études biomédicales, les travaux en matière génétique ou le développement des produits pharmaceutiques.

Or, ces traitements de données médicales présentent des risques au regard de la confidentialité et de la préservation de la vie privée.

M. Guy Braibant évoquait ainsi dans son rapport au Premier ministre le danger que représenterait un détournement à des fins autres que celles pour lesquelles les données à caractère personnel ont été collectées, s'inquiétant notamment d'une éventuelle communication de certaines données de santé à un assureur ou une banque, qui pourraient conduire à des exclusions ou des discriminations inadmissibles.

La CNIL a pris position sur ce sujet dès 1997, par le biais d'une recommandation35(*) par laquelle elle soulignait notamment que les données à caractère personnel ne devaient être utilisées que dans l'intérêt du patient et traitées dans le respect des droits des personnes et des règles déontologiques, ce qui excluait une exploitation à des fins commerciales. Elle s'est également inquiétée en mars 200136(*) de la qualité des sites et services destinés au public dans le domaine de l'e-santé.

Par conséquent, la loi du 6 janvier 1978 a fait l'objet, en 199437(*) et en 199938(*), respectivement dans les domaines de la recherche et de l'évaluation des pratiques de santé, d'aménagements afin de concilier les intérêts de la recherche et de l'économie de la santé avec la défense des droits de la personne, en créant des régimes spécifiques.

La directive, comme la convention du 28 janvier 1981 du Conseil de l'Europe, classe à l'article 8 les données relatives à la santé parmi les catégories dont le traitement est en principe interdit compte tenu du risque d'atteinte aux libertés fondamentales ou à la vie privée. Elle prévoit néanmoins une dérogation s'agissant des traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration des soins et de traitements ou de la gestion des service de santé à condition qu'ils soient effectués par un praticien de la santé -soumis au secret professionnel- « ou par une autre personne soumise à une obligation de secret équivalente ».

Les régimes spécifiques insérés dans la loi par les lois de 1994 et 1999 n'établissent pas de distinction entre traitements publics et privés et prévoient d'ores et déjà un régime d'autorisation. La transposition de la directive ne requiert par conséquent que de légers aménagements.

Article 9
(Chapitre IX de la loi n° 78-17 du 6 janvier 1978)
Adaptation du régime appliqué aux traitements
ayant pour fin la recherche dans le domaine de la santé

1- L'état actuel du droit

L'article premier de la loi du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé a donc inséré au sein de la loi de 1978 un chapitre V bis intitulé « Traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé » et comportant dix articles (articles 40-1 à 40-10).

Ce régime dérogatoire conjugue une plus grande souplesse -certaines dispositions de la loi de 1978 comme l'information préalable des personnes ayant fait l'objet d'un traitement n'étant pas applicables- et un plus grand contrôle -une autorisation par la CNIL étant prévue pour tous les fichiers, publics ou privés, après avis d'un comité d'experts.

L'actuel article 40-1 prévoit que ce régime s'applique aux seuls fichiers, publics ou privés, ayant pour fin la recherche dans le domaine de la santé. Il précise donc qu'en sont exclus les traitements de données ayant pour fin le suivi thérapeutique et médical du patient, ainsi que ceux permettant d'effectuer des études à partir des données recueillies, si ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif.

Ces traitements sont soumis à une procédure d'autorisation par la CNIL (article 40-2), un Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé devant donner un avis dans le délai d'un mois, l'avis étant à défaut réputé favorable. En cas d'urgence, le délai peut être ramené à quinze jours.

Ce comité est institué auprès du ministre chargé de la santé et se compose de personnes compétentes en matière de recherche dans le domaine de la santé, de l'épidémiologie, de la génétique et de la biostatistique.

Il émet son avis sur la méthodologie de la recherche, la nécessité du recours à des données nominatives et la pertinence de celles-ci par rapport à l'objectif de la recherche.

Une procédure simplifiée peut être mise en oeuvre par son président.

La CNIL intervient ensuite pour délivrer l'autorisation, dans un délai de deux mois, renouvelable une fois. A défaut de décision dans ce délai, le traitement des données est autorisé. Il s'agit donc d'un régime d'autorisation tacite.

L'article 40-3 autorise la transmission par les professionnels de santé des données nominatives qu'ils détiennent afin de constituer des traitements ayant pour fin la recherche dans le domaine de la santé.

Auparavant, l'exigence de secret professionnel ne permettait d'envisager la transmission des informations qu'entre médecins, alors même que l'élaboration de fichiers épidémiologiques relève souvent de non-médecins, et que les informations nominatives reçues ne sont exploitées qu'à des fins statistiques, et sont indispensables à la recherche.

La loi de 1994 a donc étendu le secret professionnel aux personnes mettant en oeuvre ces traitements, tout en exigeant que les résultats de la recherche soient strictement anonymes et ne puissent en aucun cas permettre l'identification directe ou indirecte des personnes concernées.

De plus, les données transmises permettant l'identification des personnes doivent faire l'objet d'un codage, des dérogations étant cependant prévues s'agissant de traitements associés à des études de pharmacovigilance, de protocoles de recherches réalisés dans le cadre d'études coopératives nationales ou internationales, ou si une particularité de la recherche l'exige. Elles doivent être autorisées par la CNIL.

En outre, les données transmises ne peuvent être conservées sous une forme nominative plus longtemps que la durée nécessaire à la recherche.

L'article 40-4 prévoit par ailleurs un droit d'opposition similaire à celui prévu à l'article 26 de la loi de 1978, à ceci près que la mention d'un motif légitime n'apparaît pas, afin d'éviter notamment qu'un malade ait à justifier son refus. Par ailleurs, un consentement exprès et éclairé doit être obtenu préalablement aux traitements impliquant le recueil de prélèvements biologiques identifiants. Enfin, l'utilisation des certificats médicaux, essentielle pour la recherche, est autorisée, sauf si l'intéressé a de son vivant exprimé son refus par écrit.

Les détenteurs du traitement ont l'obligation d'informer individuellement et préalablement (article 40-5) les personnes auprès desquelles sont recueillies les données, notamment de la finalité du traitement, des destinataires, de l'existence d'un droit d'accès, de rectification, d'opposition. Deux exceptions sont cependant prévues. Ainsi, le médecin traitant peut décider en conscience de ne pas révéler une affection grave et incurable à l'intéressé. De même, il peut être dérogé à cette obligation si elle se heurte à la difficulté de retrouver les personnes. La CNIL est d'ailleurs appelée à se prononcer sur l'opportunité de ces dérogations.

L'article 40-6 prévoit en outre que le droit d'opposition et à l'information préalable est actionné par les titulaires de l'autorité parentale s'agissant des mineurs et par le tuteur s'agissant des personnes faisant l'objet d'une mesure de protection légale.

L'article 40-7 précise qu'une information sur ce régime doit être disponible dans les établissements de santé.

Il est en outre prévu que la violation de la loi entraîne le retrait temporaire ou définitif de l'autorisation délivrée par la CNIL, ainsi que le refus de se soumettre au contrôle de la CNIL (article 40-8).

En matière de flux transfrontières, l'article 40-9 précise que la transmission des données nominatives non codées de recherche en santé n'est autorisée que si la législation de l'Etat destinataire apporte une « protection équivalente à la loi française », cette appréciation relevant de la compétence de la CNIL.

L'article 40-10 prévoit en outre un décret d'application.

2- Les modifications proposées par le présent article

Le projet de loi procède tout d'abord à des aménagements purement techniques.

Ainsi, le paragraphe I du présent article change la numérotation du chapitre -le V bis devenant le IX- et son intitulé afin de faire référence aux données à caractère personnel.

Le paragraphe II modifie la numérotation des articles -les articles 40-1 à 40-8 devenant les articles 53 à 60-. L'Assemblée nationale a en outre, à l'initiative du rapporteur et avec l'avis favorable du Gouvernement, rectifié une erreur de numérotation et opéré dans ses 1°, 2°, 3°, 5°, 7° et 9° des coordinations avec le nouveau dispositif du projet de loi.

Par ailleurs, la référence au droit d'opposition discrétionnaire à un traitement disparaît du 6°. Néanmoins, est désormais prévu un droit d'opposition à la transmission de données, en amont du traitement. Les personnes peuvent donc s'opposer à ce que les données les concernant fassent l'objet de la levée du secret professionnel nécessaire à la transmission de données pour élaborer des traitements à des fins de recherche.

Le 8° améliore la rédaction de la loi de 1994, qui traitait de l'information du tuteur des personnes faisant l'objet d'une mesure de protection légale, alors même que ces mesures recouvrent également le placement sous sauvegarde de justice. Le champ du nouvel article est donc circonscrit à la seule tutelle, l'intéressé étant lui-même destinataire de l'information préalable dans les autres cas.

Enfin, le paragraphe III abroge l'actuel article 40-9 relatif aux flux transfrontières de données, transposé dans un nouvel article 61, ainsi que l'article 40-10 prévoyant un décret en Conseil d'Etat relatif aux modalités d'application du chapitre V bis.

En outre, le projet de loi apporte également des modifications de fond.

Le 4° du paragraphe II de l'article 9 du projet de loi modifie l'article 40-2 de la loi qui devient l'article 54 nouveau afin de préciser la procédure simplifiée déjà prévue actuellement et laissée à l'appréciation du président du comité consultatif.

Elle est donc susceptible de s'appliquer aux catégories les plus usuelles de traitements ayant pour finalité la recherche en santé et portant sur des données ne permettant pas une identification directe des personnes concernées.

Cette procédure s'inspire de celle des normes simplifiées prévue pour le régime général par l'article 17 de la loi de 1978 et reprise à l'article 24 modifié de la loi. Elle doit alléger l'activité de la CNIL dans le domaine des essais cliniques de nouveaux médicaments. La CNIL pourra ainsi « homologuer et publier des méthodologies de référence » établies en concertation avec le comité consultatif et « les organismes publics et privés représentatifs », au nombre desquels pourrait d'ailleurs figurer l'INSERM, réunis en fonction de leur domaine de compétence respectif. Ces méthodologies devront fixer les bornes pour chaque type de traitements pouvant faire l'objet d'une procédure simplifiée.

S'agissant de traitements correspondant à ces normes, un engagement de conformité à l'une d'entre elles devra être envoyé à la CNIL. Son président décidera alors de les autoriser à l'issue de cette procédure simplifiée d'examen.

Le projet de loi initial prévoyait un envoi au comité consultatif avant la CNIL, mais cette procédure a été supprimée par l'Assemblée nationale à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement. Ceci devrait permettre d'accélérer la procédure, d'autant plus que les méthodologies auront été élaborées par la CNIL en concertation avec le comité consultatif.

Actuellement, la CNIL doit se prononcer dans les deux mois, le défaut d'avis étant apparenté à une autorisation tacite. Désormais, l'autorisation devra être délivrée dans les conditions prévues par l'article 25 modifié et devra donc être expresse. En effet, les données de santé constituent des données sensibles nécessitant une autorisation expresse de la CNIL.

Toujours à l'initiative du rapporteur, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a précisé que, s'agissant des autres catégories de traitements, le comité consultatif fixerait, en concertation avec la CNIL, les conditions dans lesquelles son avis n'est pas requis. Ceci reflète une fois encore une volonté de simplification et d'allègement des procédures que votre commission des Lois ne peut qu'approuver.

En effet, la saisine du comité consultatif allonge les délais de manière disproportionnée, cette procédure s'appliquant potentiellement à l'ensemble des recherches biomédicales (environ 2.000 protocoles par an) ainsi qu'à toutes les études épidémiologiques, du secteur privé et du secteur public, soit plusieurs milliers de protocoles par an.

Sur le fond, l'intervention n'apparaît pas indispensable dans la plupart des cas, les recherches étant souvent standardisées et ayant déjà fait l'objet d'avis d'autres instances scientifiques consultatives, de procédures de validation et d'expertises scientifiques.

En outre, cet amendement a permis de clarifier la notion de « projet de recherche », le comité se contentant d'indiquer si son avis est favorable ou défavorable, ou si le projet constitue ou non un projet de recherche, sans en préciser les critères.

Enfin, le paragraphe IV modifie le régime des transmissions des données à l'étranger actuellement prévu par l'article 40-9 de la loi de 1978 en créant un chapitre XII consacré aux « Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne » comprenant un nouvel article 61.

Actuellement, l'article 40-9 vise la notion de « protection équivalente à la loi française », sans différencier entre Etats membres ou non de l'Union européenne.

L'article 25 de la directive conditionnant la possibilité d'un transfert au « niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement envisagé » assuré par le pays destinataire, le nouvel article 61 en tire la conséquence.

Aucune limitation ne doit plus pouvoir être fixée aux transferts entre Etats membres de la Communauté, en raison du principe de libre circulation des données posé par l'article premier de la directive. L'effet direct vertical des directives doit de plus permettre aux justiciables d'obtenir devant leur juge national l'application des dispositions de la directive, même en cas d'absence de transposition ou de transposition lacunaire de la part des Etats membres.

L'appréciation du niveau de protection offert par un Etat tiers s'apprécie au regard des règles fixées au chapitre XII.

Votre commission des Lois vous propose d'adopter l'article 9 sans modification.

Article 10
(Chapitre X de la loi n° 78-17 du 6 janvier 1978)
Adaptation des dispositions relatives aux traitements des données
à des fins d'évaluation des pratiques de santé

La mise en place du programme de médicalisation des systèmes d'information dans les établissements de soins a fait apparaître le risque de reconstituer par recoupements, grâce aux résumés de sortie anonymes établis pour chaque établissement -destinés à l'analyse de ses activités-, la nature de la pathologie ainsi que les examens subis par un patient à partir de sa seule date d'hospitalisation.

La loi du 27 juillet 1999 relative à la couverture maladie universelle a donc inséré un nouveau chapitre (V ter) dans la loi du 6 janvier 1978 comportant cinq articles (articles 40-11 à 40-15) et déterminant les conditions dans lesquelles les données à caractère personnel de santé peuvent être traitées, exploitées et diffusées « à des fins d'évaluation ou d'analyse des autorités de soins et de prévention ».

1- Etat actuel du droit

Sont concernés par ce régime les traitements de données à caractère personnel de santé ayant pour fin « l'évaluation des pratiques de soins et de prévention », à l'exclusion des traitements effectués par les organismes d'assurance maladie à des fins de remboursement ou de contrôle ou encore par les établissements de santé pour l'analyse de leur activité (article 40-11).

L'article 40-12 précise les conditions dans lesquelles des données de santé peuvent être transmises par les professionnels de santé, les caisses de sécurité sociale ou les hôpitaux pour être exploitées à des fins d'évaluation des activités ou pratiques de soins. Elles doivent être agrégées ou constituées de manière à rendre l'identification des personnes concernées impossible.

La CNIL peut néanmoins autoriser d'autres communications à condition que les données ne soient qu'indirectement nominatives, c'est-à-dire qu'elles ne comportent ni le nom, ni le prénom d'une personne, ni son numéro d'inscription au répertoire national d'identification des personnes physiques.

S'agissant des formalités préalables à l'autorisation, l'article 40-13 prévoit que la CNIL vérifie les « garanties présentées par le demandeur », ses finalités, les techniques utilisées, la pertinence du traitement envisagé, la nécessité de recourir à ces informations, et le cas échéant la conformité de sa demande à ses missions ou à son objet social. Si elle n'est pas satisfaite des garanties apportées, elle peut interdire la communication de certaines informations. La CNIL détermine également la durée de conservation des données et apprécie les mesures de sécurité prises.

L'article 40-14 prévoit ensuite un régime d'autorisation expresse de la CNIL pour toutes les catégories de traitements -publics ou privés- dans ce domaine.

Alors que la loi de 1994 prévoyait une autorisation tacite s'agissant des traitements à des fins de recherche, une décision du Conseil constitutionnel39(*) intervenue entre-temps a conduit le législateur à requérir une autorisation expresse. La CNIL dispose d'un délai de deux mois à compter de la saisine par le demandeur pour se prononcer (renouvelable une fois), le silence valant donc décision de rejet.

Par mesure de simplification, les traitements répondant à une même finalité portant sur des catégories de données identiques et ayant des destinataires ou des catégories de destinataires identiques peuvent faire l'objet d'une décision unique de la CNIL.

L'article 40-15 ajoute des règles diverses : les traitements effectués à partir des données ne peuvent servir à des fins de recherche ou d'identification des personnes et les intervenants ayant accès aux données ainsi communiquées sont astreints au secret professionnel. Les résultats des traitements ne peuvent être communiqués, publiés ou diffusés qu'à la condition que l'identification des personnes correspondant aux données en cause soit impossible.

2- Le projet de loi

De telles dispositions anticipant donc les prescriptions prévues par la directive en matière de données sensibles, le présent projet de loi ne procède qu'à des aménagements de forme :

- en modifiant le numéro du chapitre (IX au lieu de V ter) et son titre afin de faire référence aux données de santé à caractère personnel et à l'analyse des « pratiques », qui indique mieux le champ d'application du dispositif (I) ;

- en procédant à une nouvelle numérotation des articles (les articles 40-11 à 40-15 devenant les articles 62 à 66) et en opérant des modifications de terminologie, ainsi que la rectification d'une référence à un article du code de la santé publique (II, 1° et 2°) ;

- en supprimant la mention du renvoi à un décret du Conseil d'Etat pour des modalités d'application, ces dispositions étant reprises de façon générale à l'article 13 du projet de loi (II, 3°) ;

- en procédant à une modification formelle au sein de l'article 40-15 pour supprimer la référence à la notion de résultats « nominatifs » (II, 4°).

Votre commission des Lois vous propose d'adopter l'article 10 sans modification.

Article 11
(Chapitre XI de la loi n° 78-17 du 6 janvier 1978)
Traitements de données aux fins de journalisme
et d'expression littéraire et artistique

La conciliation entre la protection de la vie privée et celle de la liberté d'expression, essentielle dans un Etat démocratique, s'avère particulièrement délicate.

Par conséquent, l'article 33 de la loi du 6 janvier 1978 écarte l'application aux organismes de la presse écrite ou audiovisuelle des dispositions des articles 24 (relatif aux conditions de transmission d'informations nominatives à l'étranger), 30 (interdisant la mise en oeuvre de traitements concernant des données portant sur les infractions, condamnations et mesures de sûreté aux personnes morales de droit privé ne gérant pas un service public) et 31 (relatif à la gestion des données sensibles, c'est-à-dire portant sur l'origine raciale, l'opinion politique, philosophique ou religieuse, l'appartenance syndicale ou les moeurs), dans les cas où leur application aurait pour effet de limiter l'exercice de la liberté d'expression.

Or, depuis 1978, le secteur de la presse a vu ses modes de gestion profondément bouleversés, notamment avec l'apparition de sites Internet dits « compagnons » chargés de fidéliser les lecteurs ou téléspectateurs.

Partant du constat de lacunes du droit existant, la CNIL a, dès 1995, édicté une recommandation40(*) dans laquelle elle considérait tout d'abord que « la collecte, l'enregistrement et l'élaboration d'informations sont inhérents à l'exercice de la liberté de la presse et que parmi ces informations ont toujours figuré des données directement ou indirectement nominatives ».

Elle considérait néanmoins que « le recours, même à des fins exclusivement journalistiques et rédactionnelles, à des traitements automatisés d'informations nominatives ne dispensait pas les organismes de presse de respecter les dispositions non expressément écartées par le législateur ».

Elle a cependant reconnu que les activités journalistiques et rédactionnelles ne pouvaient être soumises à autorisation, et que le droit d'accès aux documents élaborés par un journaliste, mais non encore publiés ou diffusés, ainsi que le droit de rectification subséquent ne pouvaient aboutir « à priver de sa substance la liberté de la presse et de la communication, inscrite dans les lois du 29 juillet 1881 et du 29 juillet 1982 ».

La CNIL avait donc conclu à l'existence de « certains problèmes de compatibilité » entre la loi du 6 janvier 1978 et ces lois, et avait formulé plusieurs préconisations afin :

- d'assurer la sécurité des informations traitées ;

- de joindre les recours, rectifications ou réponses éventuellement intervenus à la publication de l'information ;

- d'encourager la désignation d'un correspondant de la CNIL dans chaque organisme de presse.

Ce texte était cependant dépourvu de valeur contraignante.

La directive reprend en grande partie ces recommandations puisque son article 9 précise que « les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations » à certaines dispositions « dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression ».

Comme la loi du 6 janvier 1978, la directive soumet donc la presse aux règles relatives à la protection des données à caractère personnel tout en prévoyant des dérogations dans l'intérêt de la liberté d'expression.

La négociation de la directive avait été houleuse, et des divergences notables sont apparues lors de sa transposition par les différents Etats membres41(*).

Comme l'a indiqué la recommandation du groupe de protection des données, elle concerne toutes les formes de médias, y compris la presse électronique.

Il est en outre précisé que les dérogations ne concernent que l'activité éditoriale et se limitent aux dispositions des chapitres II, IV et VI (relatifs respectivement à la licéité des traitements, aux flux transfrontières de données et aux autorités de contrôle nationales), à l'exclusion, selon le considérant 37, des mesures de sécurité.

Ce même considérant faisait en effet référence à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Il appelait néanmoins les Etats membres à conférer aux autorités de contrôle nationales certaines compétences a posteriori comme la publication périodique de rapports ou le pouvoir de saisir les autorités judiciaires.

Le considérant 49 et le point 2 de l'article 18 de la directive prévoyaient la possibilité d'exonérations ou de simplifications de notification dès lors qu'une personne désignée par le responsable du traitement de données s'assurait que les traitements effectués n'étaient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées et que cette personne, employée ou non du responsable du traitement, était en mesure d'exercer ses fonctions en toute indépendance.

Le rapport de M. Guy Braibant préconisait de conserver les dérogations prévues par la loi du 6 janvier 1978 s'agissant des données sensibles, en rappelant que la presse en traitait abondamment, et que le droit français en matière de presse comportait déjà des mesures protectrices des droits de la personne par le biais du respect de la vie privée et du droit à l'image et de procédures spécifiques telles que le droit de réponse.

Il préconisait également le statu quo s'agissant des flux transfrontières, afin de ne pas défavoriser la presse française par rapport à ses concurrents, ainsi que d'éviter toute procédure qui rappellerait les autorisations préalables et la censure du régime antérieur à la reconnaissance de la liberté de la presse.

Enfin, il souhaitait qu'un détaché à la protection des données à caractère personnel soit désigné par le responsable du traitement et soit chargé notamment d'assurer d'une manière indépendante l'application interne des dispositions nationales prises en application de la directive et de tenir un registre des traitements. Il considérait qu'il ne devrait pas être un simple correspondant de la CNIL, mais devrait exercer par une délégation implicite certains des pouvoirs de contrôle de la CNIL et avoir un statut analogue à celui du médiateur que certains journaux avaient déjà institué.

Par ailleurs, le rapport de M. Guy Braibant soulignait l'intérêt des codes de conduite prévus à l'article 28 de la directive.

Le projet de loi s'inspire donc tant des exonérations permises par la directive que des recommandations de la CNIL et de celles du rapport de M. Guy Braibant.

Il instaure un article 67 au sein d'un nouveau chapitre XI « Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique ».

Les traitements de données à caractère personnel mis en oeuvre aux seules fins d'expression littéraire et artistique et d'exercice, à titre professionnel, de l'activité de journaliste, dans le respect des règles déontologiques de cette profession, ne sont pas soumis:

à la limitation de durée de conservation prévue par le 5° de l'article 6 modifié qui indique que les données ne peuvent être conservées sous une forme permettant l'identification des personnes que pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En effet, la notion même de journalisme implique de pouvoir replacer des informations dans un contexte et les fichiers de presse ont souvent des finalités imprévisibles au départ, puisqu'ils servent de base au travail des journalistes, très dépendant de l'actualité ;

à l'interdiction de traiter des données dites sensibles, le journalisme pouvant amener à faire apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou celles relatives à leur santé ou leur orientation sexuelle (article 8 modifié) ;

à l'interdiction faite aux personnes autres que les auxiliaires de justice, les juridictions, les autorités publiques et les personnes morales de droit privé gérant un service public de traiter des informations relatives aux infractions, condamnations et mesures de sûreté (article 9 modifié) ;

Ces deux dernières dérogations sont déjà prévues actuellement.

à l'obligation de déclaration applicable aux traitements non soumis à un contrôle préalable (article 22 modifié) ;

aux obligations d'information incombant aux responsables de traitements (article 32 modifié) ;

aux droits d'accès et de rectification prévus par les articles 39 et 40 modifiés pour les personnes concernées par les traitements. En effet, la phase antérieure à la publication doit être complètement libre, la contrepartie consistant dans le droit de réponse prévu ;

aux transmissions de données à des Etats tiers (articles 68 à 70 nouveaux).

Cette possibilité de dérogations au profit des traitements d'expression littéraire et artistique a été instaurée à l'initiative de la directive. En effet, ainsi que le soulignait M. Guy Braibant, il est parfois difficile de distinguer entre journalisme et expression artistique ou littéraire « avec le développement de l'histoire immédiate, du journalisme d'investigation, des réseaux multimédias. Il n'y a guère de différence entre un journaliste qui prépare une série d'articles sur une personnalité politique, sur un parti, sur un segment de population et celui qui envisage sur le même sujet la réalisation d'un livre que les moyens de reproduction ou de diffusion permettront de mettre en quelques jours à la disposition du public. De même, on peut rapprocher la publication de photographies dans un magazine et dans un album ».

En outre, ces dérogations ne concernent s'agissant du journalisme que les seules activités éditoriales de nature journalistique -et non le statut de journaliste-, les traitements de nature commerciale ou de gestion interne (fichiers de personnel ou de clients, traitements à des fins de prospection) relevant du droit commun.

Votre commission des Lois vous propose d'adopter un amendement rendant effectives les deux dérogations à l'interdiction de traitement des données sensibles énoncée par l'article 8 modifié ainsi qu'à l'interdiction de traitement des données relatives aux infractions, condamnations et mesures de sûreté résultant pour eux de l'article 9 modifié.

En son absence, les traitements de données sensibles et ceux relatifs aux infractions, condamnations ou mesures de sûreté seraient soumis à une autorisation de la CNIL et conduiraient donc à un régime beaucoup moins libéral qu'actuellement.

Conformément à la recommandation de la CNIL, la dispense de l'obligation de déclaration des traitements à des fins journalistiques est subordonnée à la désignation au sein de l'organe de presse d'un « délégué à la protection des données » chargé de tenir un registre des traitements et d'assurer de manière indépendante l'application de la loi. La CNIL devra être informée de cette désignation.

Rappelons que la directive subordonne de manière générale, dans son article 18, les possibilités de simplification et d'exemption à la nomination par les responsables de traitements de « détachés à la protection des données ».

A l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, l'Assemblée nationale a modifié le terme de « délégué » en celui de «  correspondant », estimant que ce terme pouvait laisser penser qu'il s'agissait de personnes dépendant de la CNIL.

En outre, le dernier alinéa de l'article 67 nouveau rappelle la mention existant dans la loi du 6 janvier 1978. Demeurent applicables les dispositions du code civil, du code pénal et des lois relatives à la presse écrite et audiovisuelle ayant pour objet le respect de la vie privée, ainsi que la protection des personnes contre les atteintes à leur réputation, notamment par le biais de droits de réponse.

Enfin, la possibilité, prévue par le 2°) de l'article 11 modifié de la loi de 1978, d'élaboration par les professionnels eux-mêmes de codes de conduite ensuite soumis pour avis à la CNIL pourrait trouver à s'appliquer dans le domaine de la presse.

Votre commission des Lois vous propose d'adopter un amendement, puis d'adopter l'article 11 ainsi modifié.

Article 12
(Chapitre XII de la loi n° 78-17 du 6 janvier 1978)
Transferts de données à caractère personnel vers des Etats tiers

Dès 1978, il est apparu nécessaire de prendre en considération les échanges internationaux d'informations nominatives.

Ainsi, la loi du 6 janvier 1978 comporte un certain nombre de dispositions y faisant référence. Dès l'article premier, il est précisé que le développement de l'informatique « doit s'opérer dans le cadre de la coopération internationale ». L'article 24 prévoit en outre la possibilité de réglementer ou soumettre à autorisation préalable certains transferts d'informations nominatives « vers l'étranger » réalisés par des personnes privées, sur proposition ou après avis de la CNIL, selon des modalités prévues par un décret en Conseil d'Etat qui n'est en fait jamais intervenu.

En matière de droit international public, l'article 12 de la convention du Conseil de l'Europe du 28 janvier 1981, entrée en vigueur en France le 1er octobre 1985, traite des « transferts à travers les frontières nationales ».

Tout en affirmant que la protection de la vie privée ne peut motiver à elle seule l'interdiction de tels transferts ou leur soumission à autorisation, la convention autorise une réglementation spécifique pour certaines catégories de fichiers et de données, sauf si la réglementation de l'autre partie apporte une « protection équivalente », ou si le transfert par son territoire ne se fait qu'à titre de transit vers un Etat non contractant.

Par ailleurs, en 1994, le transfert de données nominatives non codées faisant l'objet d'un traitement automatisé ayant pour fin la recherche dans le domaine de la santé a été subordonné par la loi n° 94-548 du 1er juillet 1994 à la garantie dans le pays de destination d'un niveau de protection « équivalent » à celui offert par la loi française (article 40-9 de la loi du 6 janvier 1978).

Ces dispositions paraissent néanmoins aujourd'hui insuffisantes.

Depuis 1978, la mondialisation des échanges informatiques a connu une extension fulgurante, notamment du fait du développement d'Internet et de la commercialisation croissante des données. Le rapport de M. Guy Braibant au Premier ministre soulignait donc l'inutilité de démarches purement nationales afin de protéger les données personnelles, ainsi que le risque de développement de « paradis informatiques ».

De plus, la loi de 1978 ne distingue pas entre les transferts à destination d'Etats membres de l'Union européenne et ceux à destination d'Etats tiers, alors même que le principe de libre circulation à l'intérieur de l'Union européenne constitue un principe fondateur de la construction communautaire.

La directive prévoit d'ailleurs dès son article premier que les Etats membres ne peuvent arguer de la protection des libertés et droits fondamentaux des personnes physiques afin de restreindre ou d'interdire la libre circulation des données à caractère personnel entre Etats membres.

En effet, à partir de la date butoir à laquelle la directive doit avoir été correctement transposée par tous les Etats membres -en l'espèce le 24 octobre 1998- tous les Etats membres sont censés garantir une protection équivalente.

Le considérant 56 de la directive précise également que les flux transfrontières de données à caractère personnel sont nécessaires au développement du commerce international.

Le projet de loi crée donc un chapitre XII intitulé : « Transferts de données à caractère personnel vers des Etats n'appartenant pas à la Communauté européenne » comprenant trois articles nouveaux 68 à 70.

Article 68 (nouveau) de la loi du 6 janvier 1978
Exigence d'un niveau de protection « suffisant »

Le premier alinéa de cet article prévoit que le responsable d'un traitement ne pourra transférer des données à caractère personnel vers un Etat tiers que si celui-ci assure un niveau de protection « suffisant » de la vie privée et des libertés et droits fondamentaux des personnes.

Il s'agit de la transposition en droit français du premier alinéa de l'article 25 de la directive, ainsi que du considérant 56.

Cependant, la directive fait référence à un niveau de protection « adéquat » et non pas « suffisant ». Le Gouvernement estime néanmoins que ces termes offrent des garanties équivalentes et que le terme « suffisant » est moins ambigu et donc moins susceptible de provoquer des difficultés d'interprétation.

S'agissant du transfert de données ayant pour fin la recherche dans le domaine de la santé, l'article 40-9 de la loi du 6 janvier 1978 exige actuellement un niveau de protection « équivalent ». Ainsi que nous l'avons vu à l'article 9 du projet de loi, l'article 40-9 est remplacé par un nouvel article 61 qui soumet désormais ces transferts au régime général et donc simplement à l'exigence d'une protection suffisante.

Le rapport de M. Guy Braibant préconisait pourtant un maintien de la législation actuelle et rappelait que les dispositions concernant les traitements en matière de recherche de santé étaient récentes.

Le second alinéa de cet article précise les critères à partir desquels sera apprécié le caractère suffisant du niveau de protection de l'Etat destinataire. Seront prises en compte notamment les dispositions en vigueur dans cet Etat, les mesures de sécurité prévues, les caractéristiques propres du traitement (notamment ses fins et sa durée) ainsi que la nature, l'origine et la destination des données traitées.

Article 69 (nouveau) de la loi du 6 janvier 1978
Dérogations

Le nouvel article 69 prévoit des exceptions à la règle prévue à l'article 68.

1- Conformément au point 1 de l'article 26 de la directive, il permet certaines dérogations à l'interdiction de procéder à des transferts en l'absence de garantie suffisante :

a- si la personne à laquelle se rapportent les données y a expressément consenti.

Le projet de loi initial prévoyait un consentement sans autre précision, alors même que la directive exigeait un consentement indubitable.

Rappelant que la notion de « consentement exprès » figurait déjà dans le projet de loi s'agissant des données sensibles pour transposer la notion de « consentement explicite » prévue par la directive et que la CNIL avait, dans son avis rendu en septembre 2000, insisté sur cette difficulté en préconisant une harmonisation complète entre les Etats membres, l'Assemblée nationale a adopté à l'initiative de son rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement précisant que ce consentement doit être exprès ;

b- lorsque le transfert est nécessaire :

- à la sauvegarde de la vie de la personne concernée ;

- ou à la sauvegarde d'un intérêt public ; le considérant 58 de la directive citait à ce sujet l'exemple d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale ;

- ou au respect d'obligations permettant la constatation, l'exercice ou la défense d'un droit en justice ;

- ou à la consultation de certains registres publics ; le considérant précisait que lorsque le transfert était effectué à partir d'un registre établi par la loi et destiné à être consulté par des personnes ayant un intérêt légitime, il ne devait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en étaient les destinataires ;

- ou à la conclusion ou l'exécution d'un contrat conclu ou à conclure.

L'Assemblée nationale a également adopté à l'initiative du rapporteur et avec l'avis favorable du Gouvernement un amendement rédactionnel.

2- En raison des garanties présentées par le traitement

En outre, l'article 69 transpose la possibilité prévue par l'article 26-2 de la directive d'autoriser les transferts lorsque le traitement lui-même garantit un niveau de protection suffisant de la vie privée et des libertés et droits des personnes, notamment en raison des clauses contractuelles dont il fait l'objet.

Une décision de la Commission européenne du 15 juin 2001, prise pour l'application de l'article 26-2 de la directive et « relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers », en vigueur depuis le 3 septembre 2001, reproduit en annexe les clauses contractuelles types considérées comme offrant des garanties suffisantes.

En application du point 4 de l'article 26 de la directive, la CNIL devra donc désormais se conformer à cette décision.

Votre commission des Lois vous propose d'adopter un amendement prévoyant que la garantie d'un niveau de protection suffisant peut également être apportée par l'édiction de règles internes aux entreprises en ce sens, qui simplifierait les modes de gestion interne de grandes multinationales, particulièrement concernées par ces transferts.

Par ailleurs, la directive laissant les Etats membres libres de la procédure à suivre, le projet de loi prévoit en principe que l'autorisation émane de la CNIL.

Néanmoins, s'agissant des traitements de souveraineté mis en oeuvre pour le compte de l'Etat et intéressant la sûreté, la défense, la sécurité publique ou la répression pénale (prévus au I de l'article 26 modifié), ou comportant des indications relatives à l'origine raciale, aux opinions ou à l'appartenance syndicale, à la santé ou à l'orientation sexuelle des personnes (prévus au II de l'article 26), l'autorisation est prise par décret en Conseil d'Etat après avis motivé et publié de la CNIL.

Ces possibilités de dérogations offrent une souplesse indispensable permettant d'assurer dans de bonnes conditions les nécessaires transferts entre l'Union européenne et les nombreux pays tiers n'assurant pas un degré de protection suffisant, et répondent à des recommandations récurrentes de la CNIL.

Article 70 (nouveau) de la loi du 6 janvier 1978
Modalités d'appréciation des niveaux de protection

Cet article transpose les paragraphes 3 à 6 de l'article 25 de la directive, ainsi que les paragraphes 3 et 4 de son article 26, qui fixent les procédures de détermination du niveau de protection offert par les Etats tiers.

Il prévoit une coopération entre les Etats membres et la Commission européenne, qui est prévenue des décisions opérées par les Etats membres et peut édicter des mesures qui s'imposent à eux.

La directive ne précisait pas quelle devait être l'autorité chargée de déterminer si le niveau de protection était adéquat (article 25) et, s'il s'avérait insuffisant, de délivrer des dérogations en vertu de l'article 26-2.

Deux solutions étaient envisageables : une autorité gouvernementale ou l'institution de contrôle.

En effet, les appréciations sur les régimes étrangers et l'établissement de listes « blanches » ou « noires » peuvent affecter les relations internationales de la France, et le comité communautaire « de l'article 31 » contrôlant le système est composé des représentants des Etats.

Néanmoins, l'autorité de contrôle possède l'expertise et l'expérience requises et permet de dépolitiser les décisions prises. L'article 19, paragraphe 1,e) de la directive prévoit déjà qu'elle est informée par le biais des déclarations de traitements des transferts de données envisagés vers des pays tiers.

Le rapport de M. Guy Braibant soulignait cependant que l'autorité de contrôle ne pourrait matériellement autoriser tous les transferts et préconisait, en dehors des autorisations prévues par les articles 20 et 26-2, la vérification des déclarations comportant, conformément à l'article 19, e), des indications sur des flux transfrontaliers éventuels. La CNIL pourrait ainsi différer la délivrance du récépissé en cas de doute sur le niveau de protection offert par le pays destinataire ou sur la validité de la dérogation invoquée, et le cas échéant opposer un refus motivé au déclarant.

Par ailleurs, la CNIL est tenue de porter à la connaissance de la Commission européenne et des autorités de contrôle des autres Etats membres les décisions d'autorisation qu'elle accorde. Cette notification ne s'étend pas aux autorisations délivrées par décret en Conseil d'Etat.

En cas de contestation d'une dérogation par un autre Etat membre ou la Commission européenne, le différend est porté devant le « comité de l'article 31 » qui émet un avis, après quoi la Commission des Communautés européennes statue, en application de l'article 26, point 3 de la directive. Si ses conclusions ne sont pas conformes à celles du comité, elles sont transmises au Conseil qui statue dans les trois mois, la Commission suspendant l'application de ses mesures pendant ce délai (article 31 de la directive).

En cas de constatation par la Commission européenne de l'insuffisance du niveau de protection d'un pays tiers, la CNIL, saisie d'une déclaration de traitement faisant apparaître la possibilité d'un transfert vers cet Etat, délivre le récépissé tout en interdisant de procéder au transfert.

En l'absence de décision de la Commission européenne et si la CNIL estime insuffisantes les garanties apportées par un Etat tiers pour une catégorie de transfert, elle en informe sans délai la Commission européenne et délivre un récépissé enjoignant le cas échéant au déclarant de suspendre ce transfert dans l'attente de la décision de la Commission européenne. Si celle-ci considère le niveau de protection comme suffisant, elle notifie au responsable du traitement la cessation de cette suspension. Dans le cas contraire, elle lui notifie une interdiction de procéder au transfert des données.

La CNIL se voit donc reconnaître une responsabilité importante. Si les décisions de la Commission européenne l'emportent sur celles des autorités nationales, les Etats membres sont directement associés à leur élaboration et le Conseil conserve la capacité, le cas échéant, de les infirmer, ainsi que le précise l'article 31 de la directive.

Actuellement, le nombre d'Etats disposant de législations de protection des données à caractère personnel reste restreint.

Néanmoins, des avancées notables sont perceptibles. Ainsi, après quatre ans de négociations, l'accord du 26 juillet 2000 conclu avec les Etats-Unis a permis de reconnaître comme assurant un niveau de protection adéquat pour le transfert des données à caractère personnel les principes de la « sphère de sécurité » (traduction de « safe harbor ») relatifs à la protection de la vie privée publiés par le ministère américain du commerce. Cette décision ne concerne cependant que les transferts de données vers les entreprises et les organisations adhérant volontairement aux principes de la sphère de sécurité.

La Commission a également adopté des décisions similaires à l'égard de la Suisse et de la Hongrie, et des négociations sont engagées avec le Canada, l'Australie et Hong Kong.

La publicité de ces décisions devrait être assurée par la CNIL sur son site ainsi que le propose votre commission des Lois.

Il faut néanmoins reconnaître que ces reconnaissances ne devraient dans un premier temps concerner qu'un nombre limité de pays. La possibilité de dérogations ouverte par l'article 25-2 de la directive, lorsque les traitements présentent les garanties requises du fait de leurs clauses contractuelles, conserve donc tout son intérêt.

Votre commission des Lois vous propose d'adopter un amendement, puis d'adopter l'article 12 ainsi modifié.

Article 13
(Chapitre XIII de la loi n°78-17 du 6 janvier 1978)
Conditions et champ d'application de la loi

Cet article insère deux nouveaux articles dans la loi du 6 janvier 1978.

Article 71 (nouveau) de la loi du 6 janvier 1978
Décret en Conseil d'Etat

L'article 71 nouveau prévoit que des décrets en Conseil d'Etat fixeront les modalités d'application de la loi, comme cela avait été le cas en 1978. La CNIL sera consultée, comme l'impose l'article 28 de la directive selon lequel les autorités de contrôle doivent être consultées lors de l'élaboration des mesures réglementaires ou administratives relatives aux traitements des données à caractère personnel.

Article 72 (nouveau) de la loi du 6 janvier 1978
Applicabilité à l'outre-mer

L'article 72 nouveau précise le champ d'application territoriale de la loi.

Actuellement, l'article 47 de la loi du 6 janvier 1978 précise déjà son applicabilité à Mayotte et aux territoires d'outre-mer.

Le chapitre V bis relatif à la recherche en matière de santé, et issu de la loi du 1er juillet 1994 ne s'y appliquait cependant à l'origine pas, situation modifiée par l'ordonnance du 28 mars 1996.

La question du maintien de cette situation se posait, le projet de loi visant à transposer une directive « marché intérieur ». On rappellera que les territoires d'outre-mer, la Nouvelle-Calédonie et les collectivités de Saint-Pierre-et-Miquelon et de Mayotte ne bénéficient que d'un statut d'association à l'Union européenne et que leur territoire n'est donc pas considéré comme faisant partie de celui de l'Union européenne.

Le rapport de M. Guy Braibant préconisait néanmoins d'appliquer ce texte à l'outre-mer, puisqu'il concerne les liberté publiques. Une position contraire aurait en effet constitué un abaissement de protection interdit par le considérant 10 de la directive et se serait heurtée à la jurisprudence du Conseil constitutionnel en matière d'égalité de protection des citoyens en matière de libertés publiques.

Le deuxième alinéa de cet article reprend l'aménagement actuellement prévu par l'article 47 en matière de délai pour les traitements à des fins de recherche médicale.

En vertu de l'article 54 nouveau, les demandes de mise en oeuvre de ces traitements sont soumises à un comité consultatif avant d'être présentées à la CNIL. Ce comité se prononce dans un délai d'un mois (pouvant être ramené à quinze jours en cas d'urgence). Par dérogation, cet article le fixe à deux mois (un mois en cas d'urgence) si le demandeur réside en Polynésie française, dans les îles Wallis-et-Futuna, dans les Terres australes et antarctiques françaises, en Nouvelle-Calédonie ou à Mayotte.

Votre commission des Lois vous propose d'adopter l'article 13 sans modification.

Article 14
(art. 226-16 à 226-24 du code pénal)
Sanctions pénales

Le projet de loi réaménage le régime des sanctions pénales réprimant les infractions aux dispositions de la loi du 6 janvier 1978, afin de tenir compte de la réorientation de l'action de la CNIL vers le contrôle a posteriori.

L'article 24 de la directive du 24 octobre 1995 prévoit en effet que « Les Etats membres (...) déterminent les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive ».

1- Le régime pénal actuel

La législation pénale française applicable en matière de protection des personnes à l'égard des traitements automatisés de données nominatives résulte tant de la loi du 6 janvier 1978, modifiée par la loi du 16 décembre 1992, que du code pénal.

Le chapitre VI de la loi de 1978 intitulé « Dispositions pénales » comporte, outre l'article 41 rappelant que les infractions aux dispositions de la loi sont réprimées par les articles 226-16 à 226-24 du code pénal, les articles 42 et 43 sanctionnant de peines délictuelles respectivement l'utilisation sans autorisation du répertoire national d'identification des personnes physiques (cinq ans d'emprisonnement et 300.000 euros d'amende), et l'entrave à l'action de la CNIL (un an d'emprisonnement et 15.000 euros d'amende).

Par ailleurs, le code pénal comporte sept infractions de nature délictuelle -antérieurement prévues aux articles 41 à 44 de la loi de 1978- énumérées dans la section V du chapitre VI du titre II du livre deuxième, intitulée « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », aux articles 226-17 à 226-22.

Il s'agit :

- de la mise en oeuvre d'un traitement sans formalité préalable (création d'un fichier clandestin), punie par l'article 226-16 de trois ans d'emprisonnement et 300.000 euros d'amende ;

- du non respect de l'obligation générale de sécurité des informations, punie par l'article 226-17 de cinq ans d'emprisonnement et 300.000 euros ;

- de la collecte d'informations par un moyen frauduleux, déloyal ou illicite ou malgré l'opposition légitime des personnes, punie par l'article 226-18 de cinq ans d'emprisonnement et 300.000 euros d'amende ;

- de la conservation des données au-delà de la durée prévue, sans l'accord de la CNIL, punie par les articles 226-19 et 226-20 de respectivement cinq ans d'emprisonnement et 300.000 euros d'amende et de trois ans d'emprisonnement et 45.000 euros d'amende, selon qu'il s'agit ou non de données sensibles ;

- du détournement de la finalité du traitement, punie par l'article 226-21 de cinq ans d'emprisonnement et 300.000 euros d'amende ;

- de la divulgation d'informations à des tiers non autorisés, pouvant porter atteinte à la vie privée ou à la considération de la personne, punie par l'article 226-22 d'un an d'emprisonnement et 15.000 euros d'amende (7.500 euros d'amende si cette divulgation n'est pas intentionnelle).

L'article 226-23 étend l'application des articles 226-17 à 226-19 aux fichiers manuels.

L'article 226-24 prévoit enfin la responsabilité pénale des personnes morales qui encourent, outre l'amende, la peine d'interdiction d'exercer, le placement sous surveillance judiciaire, la fermeture de l'établissement, l'exclusion des marchés publics, la confiscation et la publicité de la décision.

2- Les orientations retenues par le projet de loi initial

Le rapport remis par M. Guy Braibant au Premier ministre indiquait que « le régime répressif français en matière de fichiers informatiques -dont la cohérence avec d'autres dispositions du code pénal comparables est sujette à caution- se caractérise par une grande sévérité, dont le contraste avec une jurisprudence pusillanime est frappant. (...) Compte tenu de la faible effectivité de la loi pénale en cette matière, il paraît souhaitable d'explorer les voies permettant de mieux sanctionner ces atteintes aux libertés ».

Tout en soulignant qu'il ne fallait pas abandonner la voie judiciaire au seul profit d'une régulation administrative, il préconisait de distinguer selon que le comportement en cause était manifestement destiné à porter atteinte à la liberté ou consistait seulement en une violation d'une règle de forme n'ayant pas entraîné de préjudice, le premier étant toujours puni d'une peine correctionnelle -le quantum de l'emprisonnement ne devant pas dépasser trois ans-et le second, d'une peine contraventionnelle.

Selon lui, la première catégorie pourrait comprendre cinq infractions actuellement contenues dans le code pénal : la mise en oeuvre d'un traitement sans formalité préalable (article 226-16), la collecte frauduleuse d'informations (article 226-18), la mémorisation de données sensibles sans autorisation des personnes (article 226-19), le détournement de la finalité d'un traitement (article 226-21) et la divulgation à des tiers non autorisés (article 226-22).

Dans la seconde catégorie figureraient l'utilisation illicite du répertoire national d'identification (article 42 de la loi du 6 janvier 1978), le non-respect de l'obligation générale de sécurité (article 226-17 du code pénal), la conservation de données au-delà de la durée initialement prévue ou accordée (article 226-20), ainsi que l'entrave à l'action de la commission (article 43 de la loi du 6 janvier 1978).

Parmi ces dernières infractions, la distinction entre délits et contraventions pourrait aussi ne s'appliquer qu'au préjudice subi. Les infractions n'ayant entraîné aucun préjudice pour les personnes (comme l'omission de modalités de traitement propres à éviter la déformation des informations enregistrées, alors que ces informations ne pourraient en toute hypothèse prêter à confusion) seraient punies des peines prévues pour les contraventions de cinquième classe, les faits ayant entraîné un préjudice (comme les informations ayant entraîné par leur insuffisance des conséquences patrimoniales graves pour un homonyme complètement étranger au traitement) relevant de poursuites correctionnelles.

Le rapport considérait qu'il ne s'agirait pas d'un abaissement du niveau de protection, cette solution présentant l'avantage de permettre des poursuites simples et rapides, le cas échéant par voie d'ordonnance pénale, avec les possibilités de traitement de masse qu'ouvre le jugement des contraventions.

Le projet de loi initial s'est dans une certaine mesure inspiré de ces recommandations.

a) Tout d'abord, il procède à des aménagements formels.

Le chapitre VI de la loi du 6 janvier 1978 est abrogé par l'article 6 du projet de loi, ses articles étant réintroduits, modifiés, dans un nouveau chapitre VIII créé par l'article 8 du projet de loi, voire directement dans le code pénal.

Le paragraphe I procède à des adaptations rédactionnelles de coordination des articles 226-16 à 226-23, du fait de la nouvelle terminologie employée par le projet de loi.

b) Par ailleurs, le projet de loi initial prévoyait un abaissement significatif du niveau des sanctions encourues.

Ainsi, alors que la loi actuelle prévoit des peines allant jusqu'à cinq ans d'emprisonnement et 300.000 euros d'amende, elles étaient abaissées à trois ans d'emprisonnement et 45.000 euros d'amende :

- le non respect des formalités préalables (article 226-16) passait donc de cinq ans d'emprisonnement et 300.000 francs d'amende à trois ans d'emprisonnement et 45.000 euros d'amende ;

- l'utilisation frauduleuse du numéro d'inscription au répertoire national d'identification des personnes physiques ou portant sur la quasi-totalité de la population (article 42 de la loi du 6 janvier 1978 devenu l'article 226-16-1), punie actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende passait à trois ans d'emprisonnement et 45.000 euros d'amende;

- le manquement à l'obligation de sécurité prévue par l'article 34 modifié (article 226-17) puni actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende était abaissé par le projet de loi initial à deux ans d'emprisonnement et 30.000 euros d'amende ;

- la collecte frauduleuse (article 226-18) punie actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende était abaissée par le projet de loi initial à trois ans d'emprisonnement et 45.000 euros d'amende ;

- la conservation des données au-delà de la durée prévue, sans l'accord de la CNIL, de données sensibles ou non, punie par les articles 226-19 et 226-20 de respectivement cinq ans d'emprisonnement et 300.000 euros d'amende et de trois ans d'emprisonnement et 45.000 euros d'amende était abaissée à respectivement trois ans d'emprisonnement et 45.000 euros d'amende et deux ans d'emprisonnement et 30.000 euros d'amende ;

- le détournement de la finalité du traitement, puni par l'article 226-21 de cinq ans d'emprisonnement et 300.000 euros d'amende, était abaissé à trois ans d'emprisonnement et 45.000 euros d'amende ;

En revanche, la divulgation d'informations à des tiers non autorisés pouvant porter atteinte à la vie privée ou à la considération de la personne, punie par l'article 226-22 d'un an d'emprisonnement et 15.000 euros d'amende (7.500 euros d'amende si cette divulgation n'est pas intentionnelle), était relevée à trois ans d'emprisonnement et 45.000 euros d'amende (un an d'emprisonnement et 15.000 euros d'amende lorsqu'elle n'est pas intentionnelle).

c) De plus, la liste des infractions est complétée par le paragraphe I.

Le projet de loi modifie l'article 226-16 en insérant un second alinéa qui prévoit de réprimer le fait de procéder ou de faire procéder à un traitement ayant fait l'objet d'une injonction de cesser le traitement, de procéder à sa destruction ou de retrait de l'autorisation (mesures prévues par l'article 45 modifié).

En outre, le projet de loi codifie les dispositions sanctionnant l'utilisation sans autorisation du répertoire national d'immatriculation des personnes physiques figurant actuellement à l'article 42 de la loi du 6 janvier 1978 en créant un nouvel article 226-16-1. Cette infraction est étendue aux traitements portant sur la totalité ou la quasi-totalité de la population de la France.

Par coordination avec les amendements proposés aux articles 25 et 27 modifiés, votre commission des Lois vous propose un amendement de suppression de cet ajout.

Il est en outre inséré un article 226-18-1, qui réprime le fait de « procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes ».

Actuellement, l'article 226-18 punit déjà la non prise en compte de l'opposition légitime d'une personne de cinq ans d'emprisonnement et 300.000 euros d'amende. Le projet de loi abaisse les sanctions à trois ans et 45.000 euros d'amende.

Les dispositions relatives aux traitements de données à caractère personnel ayant pour fin la recherche en matière de santé, introduites par la loi du 1er juillet 1994 précédemment citée et prévues par l'article 226-18, sont reprises dans un nouvel article 226-19-1. Les sanctions, précédemment de cinq ans d'emprisonnement et 300.000 euros d'amende, sont abaissées à trois ans d'emprisonnement et 45.000 euros d'amende.

Par ailleurs, le projet de loi introduit un article 226-22-1 réprimant la violation des nouvelles dispositions prévues par l'article 12 du projet de loi (articles 68 à 70 nouveaux) consacrées aux transferts de données à caractère personnel vers des Etats tiers. La peine encourue est fixée à deux ans d'emprisonnement et 30.000 euros d'amende.

Enfin, le nouvel article 226-22-2  prévoit que dans les cas prévus aux articles 226-16 à 226-22-1, le juge pourra également demander l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction. Les membres et les agents de la CNIL seront habilités à constater l'effectivité de cet effacement.

Actuellement, le 3° de l'article 21 de la loi du 6 janvier 1978 prévoit déjà que la CNIL peut directement prescrire « la destruction des supports d'informations ». Cette disposition n'avait pas été reprise par le projet de loi initial mais un amendement du rapporteur de l'Assemblée nationale, M. Gérard Gouzes, adopté avec l'avis favorable du Gouvernement, l'a réintroduite à l'article 45 modifié de la loi relatif aux pouvoirs de sanction de la CNIL, ajout que votre commission des Lois vous a proposé par amendement de supprimer.

d) Enfin, les dispositions relatives à la responsabilité pénale des personnes morales sont adaptées par le paragraphe II.

Ainsi, l'article 226-24 du code pénal permettant de rechercher la responsabilité pénale des personnes morales autres que l'Etat et les collectivités locales et leurs groupements pour les infractions prévues par la loi du 6 janvier 1978 est modifié afin d'étendre par coordination aux nouvelles incriminations ce principe de la responsabilité pénale des personnes morales.

Ce principe a été introduit par le nouveau code pénal entré en vigueur le 1er mars 1994. En vertu de son article 121-2, les personnes morales peuvent se voir infliger des peines d'amende, l'interdiction d'exercer, le placement sous surveillance judiciaire, la fermeture de l'établissement, l'exclusion des marchés publics, ainsi que la confiscation et la publicité de la décision.

On rappellera enfin que les articles 7 et 8 du projet de loi renforcent parallèlement les pouvoirs de sanction de la CNIL. Les sanctions pécuniaires qu'elle pourra prononcer seront susceptibles de s'imputer sur l'amende prononcée le cas échéant ultérieurement par le juge sur le fondement des articles précités du code pénal.

De plus, l'article 8 du projet de loi reprend en les adaptant les dispositions figurant actuellement aux articles 41 et 43 précités de la loi du 6 janvier 1978 dans des articles nouveaux numérotés 50 (renvoi aux sanctions prévues par les articles 226-16 à 226-24 du code pénal) et 51 (sanction en cas d'entrave de l'action de la CNIL) regroupés dans un chapitre VIII intitulé : « Dispositions pénales ».

Par ailleurs, il insère dans la loi « Informatique et libertés » un article 52 prévoyant que : « Le procureur de la République avise le président de la CNIL de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et le cas échéant des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date. La juridiction d'instruction ou de jugement peut appeler le président de la CNIL ou son représentant à déposer ses observations ou à les développer oralement à l'audience ».

3- Les modifications apportées par l'Assemblée nationale

L'Assemblée nationale a largement modifié cet article.

a) le refus d'un abaissement du niveau des sanctions pénales

En effet, l'abaissement du niveau des sanctions pénales a fait l'objet de critiques, notamment de la part de la CNIL42(*), même si les peines maximales n'étaient jamais effectivement prononcées et que le nombre de poursuites était extrêmement faible.

Il est certain que les intérêts économiques et financiers de certains grands groupes d'opérateurs commerciaux et les profits potentiels pouvant être retirés du commerce de données à caractère personnel (en termes de prospection commerciale notamment) relativisent fortement l'effet dissuasif d'une amende de 45.000 francs, même multipliée par cinq pour les personnes morales.

Le rapporteur de la commission des Lois de l'Assemblée nationale, M. Gérard Gouzes, s'est donc élevé contre cet abaissement des sanctions pénales, estimant qu'il s'agissait d'un signal très négatif, et a proposé un amendement tendant à rétablir les niveaux de sanction existants. En conséquence, il a également relevé le niveau des sanctions nouvellement prévues par le projet de loi pour la violation des dispositions relatives aux flux transfrontières.

L'Assemblée nationale a adopté cet amendement, malgré l'avis de sagesse donné par la garde des Sceaux, qui considérait que l'abaissement des peines maximales encourues permettrait de les situer à un niveau comparable avec d'autres infractions causant un préjudice plus grave aux victimes, comme les homicides involontaires, punis d'une peine de trois ans d'emprisonnement. La ministre a en outre estimé qu'un tel abaissement permettrait d'éviter un décalage trop important entre les peines maximales prévues et les peines effectivement prononcées.

b) Par ailleurs, l'Assemblée nationale a inséré à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un article 226-16-1 A nouveau instituant une nouvelle infraction pénale réprimant le fait pour un opérateur de mettre en oeuvre un traitement sur le fondement d'une déclaration simplifiée ou d'une dispense de déclaration, et de ne pas respecter par la suite les normes établies à cet effet par la CNIL.

Enfin, l'Assemblée nationale a, à l'initiative M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, étendu la répression des infractions à la loi du 6 janvier 1978 aux traitements non automatisés, par coordination avec le reste du projet de loi.

Votre commission des Lois vous propose donc d'adopter un amendement, puis d'adopter l'article 14 ainsi modifié.

TITRE II
DISPOSITIONS MODIFIANT
D'AUTRES TEXTES LÉGISLATIFS

Article 15
(art. 10 de la loi n° 95-73 du 21 janvier 1995)
Adaptation du régime spécifique
applicable à la vidéosurveillance

L'article 10 de la loi n° 95-73 du 21 janvier 1995 prévoit que seuls les enregistrements visuels « utilisés pour la constitution d'un fichier nominatif » entrent dans le champ d'application de la loi « informatique et libertés », tous les enregistrements visuels de vidéosurveillance ne constituant pas forcément des informations nominatives.

Le projet de loi prévoyait uniquement d'adapter la terminologie figurant dans la loi du 21 janvier 1995 aux nouvelles notions introduites par le présent projet de loi, notamment celle de « données à caractère personnel ».

A l'initiative de M. Gérard Gouzes, rapporteur, l'Assemblée nationale a, avec l'avis favorable du Gouvernement, adopté un amendement tendant à préciser que seuls les systèmes de vidéosurveillance destinés à assurer la protection de certains lieux publics ou ouverts au public peuvent relever des dispositions de la loi du 21 janvier 1995 d'orientation et de programmation relative à la sécurité, sous réserve que les enregistrements ne soient pas utilisés dans des traitements ou des fichiers structurés.

Elle a également adopté un amendement du rapporteur, toujours avec l'avis favorable du Gouvernement, afin de prévoir que le Gouvernement remettra chaque année à la CNIL un rapport sur l'application de la réglementation relative à la vidéosurveillance issue de la loi du 21 janvier 1995.

Votre commission des Lois vous propose d'adopter l'article 15 sans modification.

Article 15 bis
(art. 14-1 de la loi n° 99-944 du 15 novembre 1999
relative au pacte civil de solidarité)
Statistiques relatives aux pactes civils de solidarité (PACS)

L'Assemblée nationale a adopté un amendement visant à insérer un article additionnel concernant le pacte civil de solidarité à l'initiative de M. Gérard Gouzes, rapporteur, et de M. Jean-Pierre Michel, malgré la demande de retrait de la garde des Sceaux.

Le nouvel article 14-1 de la loi n° 99-944 du 15 novembre 1999 relative au PACS en résultant prévoit donc que les tribunaux d'instance établiront des statistiques semestrielles concernant le nombre de pactes civils de solidarité conclus dans leur ressort.

Ces statistiques devront également recenser le nombre de PACS ayant pris fin en distinguant les couples homosexuels, la durée moyenne des pactes, ainsi que l'âge moyen des personnes. Il déroge donc expressément à l'article 8 modifié de la loi du 6 janvier 1978 consacré aux données dites « sensibles » en faisant référence à l'homosexualité des personnes.

M. Jean-Pierre Michel a en effet rappelé que l'établissement par les tribunaux d'instance de statistiques semestrielles relatives au nombre de pactes civils de solidarité était une des recommandations formulées dans un rapport d'information consacré à l'évaluation du PACS demandé par les présidents de la commission des Lois et de la commission des Affaires culturelles, familiales et sociales43(*) de l'Assemblée nationale, et adopté à une grande majorité.

Il a estimé qu'elle devait permettre aux statisticiens et aux démographes d'établir un véritable bilan de la loi, alors qu'actuellement, du fait de l'avis très restrictif émis par la CNIL sur la production de statistiques relatives au PACS, toute donnée chiffrée sur l'orientation sexuelle des personnes concernées était exclue.

En réponse à la demande de retrait de la ministre arguant de risques pour la vie privée et s'engageant à ouvrir une réflexion sur cette question, M. Patrick Bloche a assuré qu'il ne s'agissait pas de créer un fichier centralisé des PACS -la CNIL s'y étant opposée lors de la discussion de cet texte- mais simplement d'établir au niveau des tribunaux d'instance des statistiques plus précises que les chiffres bruts fournis chaque trimestre par la Chancellerie, recueillis par chaque tribunal d'instance puis regroupés au niveau des cours d'appel, l'anonymat des personnes n'étant pas remis en cause.

M. Bernard Roman, alors président de la Commission des Lois, ayant proposé un avis favorable sur ce point, il a finalement été suivi par la ministre.

Votre commission des Lois vous propose d'adopter cet article 15 bis sans modification.

Article 15 ter
(art. 515-3 du code civil)
Mention en marge de l'acte de naissance
de la déclaration du pacte civil de solidarité

L'Assemblée nationale a en outre adopté un amendement présenté par MM. Gérard Gouzes et Jean-Pierre Michel tendant à supprimer les registres tenus au lieu de naissance des signataires d'un pacte civil de solidarité et à leur substituer une mention en marge de l'acte de naissance des intéressés.

Malgré l'opposition tant de la ministre que de M. Bernard Roman, alors président de la Commission des Lois, soucieux d'ouvrir un débat de fond sur l'application de la loi du 15 novembre 1999 et non de la modifier à la marge dans un texte étranger à ces questions, cet amendement a été adopté par l'Assemblée nationale.

En effet, M. Jean-Pierre Michel a rappelé que les auditions conduites dans le cadre de la mission d'information sur l'application de la loi relative au pacte civil de solidarité avaient montré le caractère contraignant pour les tribunaux d'instance et les notaires de l'absence de publicité des registres contenant les informations relatives au PACS, la loi imposant la production de certificats de « non PACS » par les juridictions.

Il a considéré que l'inscription en marge de l'état civil des mentions relatives à la conclusion ou à la fin d'un PACS permettrait d'apporter une solution simple à ce problème, sans modifier le lieu de conclusion du pacte ni en faire un acte d'état civil à part entière, et souligné qu'il s'agissait d'une mesure de simplification demandée par les fonctionnaires de la justice.

Votre commission des Lois rappelle qu'elle était opposée à ce que le PACS soit considéré comme un acte d'état civil.

Néanmoins, étant consciente des difficultés pratiques auxquelles se trouvent confrontés les greffes, elle vous propose d'adopter l'article 15 ter sans modification.

Article 15 quater
Coordination

L'Assemblée nationale a adopté à l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement modifiant les références aux articles de la loi du 6 janvier 1978 figurant dans divers codes et lois afin de tenir compte de la nouvelle numérotation résultant du projet de loi.

Votre commission des Lois vous propose d'adopter l'article 15 quater sans modification.

TITRE III
DISPOSITIONS TRANSITOIRES

Article 16
Mise en conformité des traitements existants
avec le nouveau régime

Le paragraphe 2 de l'article 32 de la directive laisse aux Etats membres un délai de trois ans pour la mise en conformité des traitements déjà existants avec les nouvelles règles édictées, à compter de la date d'entrée en vigueur de la loi de transposition.

En outre, une dérogation est prévue s'agissant de la mise en conformité des traitements de données contenus dans des fichiers manuels à la date d'entrée en vigueur de la loi nationale de transposition.

Pour ces traitements, les Etats membres sont autorisés à proroger ce délai jusqu'à douze ans s'agissant de l'application des articles 6, 7 et 8 de la directive traitant des principes relatifs à la qualité des données, à la légitimité des traitements et concernant les données sensibles ou les condamnations pénales.

Néanmoins, la personne concernée doit pouvoir obtenir, à sa demande et notamment lors de l'exercice du droit d'accès, la rectification, l'effacement ou le verrouillage des données incomplètes, inexactes ou conservées d'une manière incompatible avec les fins légitimes poursuivies par le responsable du traitement.

Par conséquent, le premier alinéa du paragraphe I de l'article 16 du projet de loi prévoit que les responsables de traitements dont la mise en oeuvre est régulièrement intervenue avant la publication de la loi de transposition disposent à compter de cette date d'un délai de trois ans pour s'y conformer.

De même, il est précisé que les traitements ne seront pas soumis aux formalités prévues au chapitre IV nouveau de la loi et, le cas échéant, seront réputés avoir reçu une autorisation dès lors qu'ils auront été régulièrement mis en oeuvre précédemment, et que leurs caractéristiques n'auront pas été modifiées du fait de leur mise en conformité.

Cette disposition présente un caractère pratique. En effet, du fait de la substitution d'un critère matériel à un critère organique, de nombreux traitements privés seront désormais soumis à un régime d'autorisation. La CNIL pourrait difficilement faire face, en l'état de ses moyens, à un afflux de dossiers de régularisation.

En outre, l'Assemblée nationale a adopté, avec l'avis favorable du Gouvernement, un amendement rédactionnel présenté par M. Gérard Gouzes, rapporteur.

Le second alinéa du paragraphe I prévoit par conséquent que jusqu'à leur mise en conformité dans un délai de trois ans, les traitements automatisés demeureront régis par les dispositions actuelles de la loi du 6 janvier 1978.

Néanmoins, certaines dispositions sont directement applicables : celles relatives au droit d'opposition (article 38 modifié), aux nouveaux pouvoirs de contrôle a posteriori de la CNIL (article 44 modifié relatif aux contrôles sur place, articles 45 à 49 relatifs notamment au pouvoir de prononcer des sanctions pécuniaires), et celles concernant les transferts transfrontières de données à caractère personnel (articles 68 à 70 nouveaux de la loi).

S'agissant de cette dernière exception, elle vise à éviter pendant cette période de trois ans des délocalisations massives de données et à encourager la coordination dans ce domaine au niveau communautaire.

En outre, le premier alinéa du paragraphe II de l'article 16 du projet de loi prévoit que les responsables de traitements non automatisés régulièrement mis en oeuvre disposeront d'un délai allant jusqu'au 24 octobre 2007 (soit 12 ans après la publication de la directive de 1995) pour se mettre en conformité avec les articles 6 à 9 modifiés de la loi.

Notons que l'article 6 modifié de la loi rappelle les conditions générales de licéité des traitements de données à caractère personnel44(*), que l'article 7 modifié pose le principe du consentement de la personne, que l'article 8 traite des données sensibles et l'article 9 modifié des données pénales.

Ces dispositions transposent donc intégralement les règles fixées par la directive.

Le second alinéa prévoit en outre que demeurent applicables les dispositions correspondantes de la loi du 6 janvier 1978 actuellement en vigueur (article 25, I de l'article 28, articles 30, 31 et 37 actuels) jusqu'à la mise en conformité des traitements manuels, qui doit intervenir avant le 24 octobre 2007.

Enfin, la mise en conformité des traitements non automatisés avec les autres dispositions de la future loi doit se faire dans le délai de trois ans également opposable aux traitements automatisés.

Votre commission des Lois vous propose d'adopter l'article 16 sans modification.

Article 17
Mandat des membres en fonction de la CNIL

Cet article prévoit que les membres de la CNIL en exercice au moment de la publication de la présente loi demeurent en fonction jusqu'au terme normal de leur mandat. Rappelons que ce mandat est de cinq ans, exception faite des parlementaires et les membres du Conseil économique et social qui demeurent en fonction jusqu'à l'expiration du mandat à l'origine de leur désignation.

Le projet de loi initial prévoyant la suppression d'un des membres du Conseil économique et social, un paragraphe de conséquence était prévu dans le présent article. L'Assemblée nationale a cependant adopté, avec l'avis favorable du Gouvernement et à l'initiative de M. Gérard Gouzes, rapporteur, un amendement de cohérence à la suppression de cette disposition intervenue à l'article 13 modifié de la loi du 6 janvier 1978.

Par ailleurs, l'Assemblée nationale a également supprimé, à l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du Gouvernement, une disposition précisant que pour l'application de la nouvelle disposition du projet de loi ne permettant le renouvellement du mandat d'un membre de la CNIL qu'une seule fois et interdisant par parallélisme à un parlementaire de siéger à la CNIL plus de 10 ans, la computation ne prendrait pas en compte le mandat actuel des membres s'il avait commencé depuis moins de deux ans. L'Assemblée nationale avait estimé inégalitaire cette disposition ne prenant pas en compte la durée totale cumulée d'appartenance à la CNIL (le mandat actuel pouvant être un premier mandat, mais aussi un mandat renouvelé).

Votre commission des Lois estime cependant nécessaire de prévoir des dispositions transitoires et vous propose donc d'adopter un amendement précisant expressément que la prise en compte des mandats déjà effectués ne s'appliquera qu'aux nominations intervenues après l'entrée en vigueur du présent projet de loi.

Votre commission des Lois vous propose donc d'adopter l'article 17 ainsi modifié.

*

* *

Au bénéfice de l'ensemble de ces observations et des amendements qu'elle vous soumet, votre commission des Lois a adopté le projet de loi.

ANNEXES AU TABLEAU COMPARATIF

I. LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE,
AUX FICHIERS ET AUX LIBERTÉS

(i) Chapitre IER

PRINCIPES ET DÉFINITIONS

Article 1er

L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Article 2

Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

Article 3

Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés.

Article 4

Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.

Article 5

Est dénommé traitement automatisé d'informations nominatives au sens de la présente loi tout ensemble d'opérations réalisées par des moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives.

(ii) Chapitre II

LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS

Article 6

Une Commission nationale de l'informatique et des libertés est instituée. Elle est chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l'informatique aux traitements des informations nominatives. La commission dispose à cet effet d'un pouvoir réglementaire, dans les cas prévus par la présente loi.

Article 7

Les crédits nécessaires à la commission nationale pour l'accomplissement de sa mission sont inscrits au budget du ministère de la justice. Les dispositions de la loi du 10 août 1922 relative au contrôle financier ne sont pas applicables à leur gestion. Les comptes de la commission sont présentés au contrôle de la Cour des comptes.

Toutefois, les frais entraînés par l'accomplissement de certaines des formalités visées aux articles 15, 16, 17 et 24 de la présente loi peuvent donner lieu à la perception des redevances.

Article 8

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante.

Elle est composée de dix-sept membres nommés pour cinq ans ou pour la durée de leur mandat :

-- deux députés et deux sénateurs élus, respectivement par l'Assemblée nationale et par le Sénat ;

-- deux membres du Conseil économique et social, élus par cette assemblée ;

-- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;

-- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

-- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un grade au moins égal à celui de conseiller-maître, élus par l'assemblée générale de la Cour des comptes ;

-- deux personnes qualifiées pour leur connaissance des applications de l'informatique, nommées par décret sur proposition respectivement du président de l'Assemblée nationale et du président du Sénat ;

-- trois personnalités désignées en raison de leur autorité et de leur compétence par décret en Conseil des ministres.

La commission élit en son sein, pour cinq ans, un président et deux vice-présidents.

La commission établit son règlement intérieur.

En cas de partage des voix, celle du président est prépondérante.

Si, en cours de mandat, le président ou un membre de la commission cesse d'exercer ses fonctions, le mandat de son successeur est limité à la période restant à courir.

La qualité de membre de la commission est incompatible :

-- avec celle de membre du Gouvernement ;

-- avec l'exercice de fonctions ou la détention de participation dans les entreprises concourant à la fabrication de matériel utilisé en informatique ou en télécommunication ou à la fourniture de services en informatique ou en télécommunication.

La commission apprécie dans chaque cas les incompatibilités qu'elle peut opposer à ses membres.

Sauf démission, il ne peut être mis fin aux fonctions de membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.

Article 9

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission.

Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération.

Article 10

La commission dispose de services qui sont dirigés par le président ou, sur délégation, par un vice-président et placés sous son autorité.

La commission peut charger le président ou le vice-président délégué d'exercer ses attributions en ce qui concerne l'application des articles 16, 17 et 21 (4°, 5° et 6°), ainsi que des articles 40-13 et 40-14.

Les agents de la commission nationale sont nommés par le président ou le vice-président délégué.

Article 11

La commission peut demander aux premiers présidents de cour d'appel ou aux présidents de tribunaux administratifs de déléguer un magistrat de leur ressort, éventuellement assisté d'experts, pour des missions d'investigation et de contrôle effectuées sous sa direction.

Article 12

Les membres et les agents de la commission sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel prévu ci-après, aux articles 226-13 et 226-14 du code pénal.

Article 13

Dans l'exercice de leurs attributions, les membres de la Commission nationale de l'informatique et des libertés ne reçoivent d'instruction d'aucune autorité.

Les informaticiens appelés, soit à donner les renseignements à la commission, soit à témoigner devant elle, sont déliés en tant que de besoin de leur obligation de discrétion.

(iii) Chapitre III

FORMALITÉS PRÉALABLES À LA MISE EN oeUVRE DES TRAITEMENTS AUTOMATISÉS

Article 14

La Commission nationale de l'informatique et des libertés veille à ce que les traitements automatisés, publics ou privés, d'informations nominatives, soient effectués conformément aux dispositions de la présente loi.

Article 15

Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d'informations nominatives opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité territoriale, ou d'une personne morale de droit privé gérant un service public, sont décidés par un acte réglementaire pris après avis motivé de la Commission nationale de l'informatique et des libertés.

Si l'avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d'Etat ou, s'agissant d'une collectivité territoriale, en vertu d'une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d'Etat.

Si, au terme d'un délai de deux mois renouvelable une seule fois sur décision du président, l'avis de la commission n'est pas notifié, il est réputé favorable.

Article 16

Les traitements automatisés d'informations nominatives effectués pour le compte de personnes autres que celles qui sont soumises aux dispositions de l'article 15 doivent, préalablement à leur mise en oeuvre, faire l'objet d'une déclaration, auprès de la Commission nationale de l'informatique et des libertés.

Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi.

Dès qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

Article 17

Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des caractéristiques mentionnées à l'article 19.

Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.

Article 18

L'utilisation du répertoire national d'identification des personnes physiques en vue d'effectuer des traitements nominatifs est autorisée par décret en Conseil d'Etat pris après avis de la commission.

Article 19

La demande d'avis ou la déclaration doit préciser :

-- la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ;

-- les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ;

-- le service ou les services chargés de mettre en oeuvre celui-ci ;

-- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ainsi que les mesures prises pour faciliter l'exercice de ce droit ;

-- les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ;

-- les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;

-- les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ;

-- les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;

-- si le traitement est destiné à l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français à partir d'opérations antérieurement réalisées hors de France.

Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est portée à la connaissance de la commission.

Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique.

Article 20

L'acte réglementaire prévu pour les traitements régis par l'article 15 ci-dessus précise notamment :

-- la dénomination et la finalité du traitement ;

-- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous ;

-- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Des décrets en Conseil d'Etat peuvent disposer que les actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique ne seront pas publiés.

Article 21

Pour l'exercice de sa mission de contrôle, la commission :

1° Prend des décisions individuelles ou réglementaires dans les cas prévus par la présente loi ;

2° Peut, par décision particulière, charger un ou plusieurs de ses membres ou de ses agents, assistés, le cas échéant, d'experts, de procéder, à l'égard de tout traitement, à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission ;

3° Edicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ; en cas de circonstances exceptionnelles, elle peut prescrire des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'informations ;

4° Adresse aux intéressés des avertissements et dénonce au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénale ;

5° Veille à ce que les modalités de mise en oeuvre du droit d'accès et de rectification indiquées dans les actes et déclarations prévus aux articles 15 et 16 n'entravent pas le libre exercice de ce droit ;

6° Reçoit les réclamations, pétitions et plaintes ;

7° Se tient informée des activités industrielles et de services qui concourent à la mise en oeuvre de l'informatique.

Les ministres, autorités publiques, dirigeants d'entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s'opposer à l'action de la commission ou de ses membres pour quelque motif que ce soit et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Article 22

La commission met à la disposition du public la liste des traitements qui précise pour chacun d'eux :

-- la loi ou l'acte réglementaire décidant de sa création ou la date de sa déclaration ;

-- sa dénomination et sa finalité ;

-- le service auprès duquel est exercé le droit d'accès prévu au chapitre V ci-dessous ;

-- les catégories d'informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations.

Sont tenus à la disposition du public, dans les conditions fixées par décret, les décisions, avis ou recommandations de la commission dont la connaissance est utile à l'application ou à l'interprétation de la présente loi.

Article 23

La commission présente chaque année au Président de la République et au Parlement un rapport rendant compte de l'exécution de sa mission. Ce rapport est publié.

Ce rapport décrira notamment les procédures et méthodes de travail suivies par la commission et contiendra en annexe toutes informations sur l'organisation de la commission et de ses services, propres à faciliter les relations du public avec celle-ci.

Article 24

Sur proposition ou après avis de la commission, la transmission entre le territoire français et l'étranger, sous quelque forme que ce soit, d'informations nominatives faisant l'objet de traitements automatisés régis par l'article 16 ci-dessus peut être soumise à autorisation préalable ou réglementée selon des modalités fixées par décret en Conseil d'Etat, en vue d'assurer le respect des principes posés par la présente loi.

(iv) Chapitre IV

COLLECTE, ENREGISTREMENT ET CONSERVATION DES INFORMATIONS NOMINATIVES

Article 25

La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

Article 26

Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement.

Ce droit ne s'applique pas aux traitements limitativement désignés dans l'acte réglementaire prévu à l'article 15.

Article 27

Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :

-- du caractère obligatoire ou facultatif des réponses ;

-- des conséquences à leur égard d'un défaut de réponse ;

-- des personnes physiques ou morales destinataires des informations ;

-- de l'existence d'un droit d'accès et de rectification.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.

Article 28

I. --  Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques. Le choix des informations qui seront ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 sur les archives.

II. --  Les informations ainsi conservées, autres que celles visées à l'article 31, ne peuvent faire l'objet d'un traitement à d'autres fins qu'à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n'ait reçu l'accord exprès des intéressés ou ne soit autorisé par la commission dans l'intérêt des personnes concernées.

Lorsque ces informations comportent des données mentionnées à l'article 31, un tel traitement ne peut être mis en oeuvre, à moins qu'il n'ait reçu l'accord exprès des intéressés, ou qu'il n'ait été autorisé, pour des motifs d'intérêt public et dans l'intérêt des personnes concernées, par décret en Conseil d'Etat sur proposition ou avis conforme de la commission.

Article 29

Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Article 29-1

Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.

En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 29 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 précitée et n° 79-18 du 3 janvier 1979 précitée.

Article 30

Sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale, les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté.

Jusqu'à la mise en oeuvre du fichier des conducteurs prévu par la loi n° 70-539 du 24 juin 1970, les entreprises d'assurances sont autorisées, sous le contrôle de la commission, à traiter elles-mêmes les informations mentionnées à l'article 5 de ladite loi et concernant les personnes visées au dernier alinéa dudit article.

Article 31

Il est interdit de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes.

Toutefois, les églises et les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre.

Pour des motifs d'intérêt public, il peut aussi être fait exception à l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'Etat.

Article 32

Abrogé par l'article 13 de la loi n° 88-227 du 11 mars 1988 relative à la transparence financière de la vie politique.

Article 33

Les dispositions des articles 24, 30 et 31 ne s'appliquent pas aux informations nominatives traitées par les organismes de la presse écrite ou audiovisuelle dans le cadre des lois qui les régissent et dans les cas où leur application aurait pour effet de limiter l'exercice de la liberté d'expression.

Article 33-1

Les modalités d'application du présent chapitre sont fixées par décret en Conseil d'Etat pris après avis de la commission.

(v) Chapitre V

EXERCICE DU DROIT D'ACCÈS

Article 34

Toute personne justifiant de son identité a le droit d'interroger les services ou organismes chargés de mettre en oeuvre les traitements automatisés dont la liste est accessible au public en application de l'article 22 ci-dessus en vue de savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, d'en obtenir communication.

Article 35

Le titulaire du droit d'accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements.

Une copie est délivrée au titulaire du droit d'accès qui en fait la demande contre perception d'une redevance forfaitaire variable selon la catégorie de traitement dont le montant est fixé par décision de la commission et homologué par arrêté du ministre de l'économie et des finances.

Toutefois, la commission saisie contradictoirement par le responsable du fichier peut lui accorder :

-- des délais de réponse ;

-- l'autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.

Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des informations mentionnées au premier alinéa du présent article, et même avant l'exercice d'un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Article 36

Le titulaire du droit d'accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, ou l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le service ou organisme concerné doit délivrer sans frais copie de l'enregistrement modifié.

En cas de contestation, la charge de la preuve incombe au service auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les informations contestées ont été communiquées par la personne concernée ou avec son accord.

Lorsque le titulaire du droit d'accès obtient une modification de l'enregistrement, la redevance versée en application de l'article 35 est remboursée.

Article 37

Un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du caractère incomplet d'une information nominative contenue dans ce fichier.

Article 38

Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par la commission.

Article 39

En ce qui concerne les traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, la demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.

Il est notifié au requérant qu'il a été procédé aux vérifications.

Article 40

Lorsque l'exercice du droit d'accès s'applique à des informations à caractère médical, celles-ci ne peuvent être communiquées à l'intéressé que par l'intermédiaire d'un médecin qu'il désigne à cet effet.

(vi) Chapitre V bis

TRAITEMENTS AUTOMATISÉS DE DONNÉES NOMINATIVES AYANT POUR FIN
LA RECHERCHE DANS LE DOMAINE DE LA SANTÉ

Article 40-1

Les traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé sont soumis aux dispositions de la présente loi, à l'exception des articles 15, 16, 17, 26 et 27.

Les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients ne sont pas soumis aux dispositions du présent chapitre. Il en va de même des traitements permettant d'effectuer des études à partir des données ainsi recueillies si ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif.

Article 40-2

Pour chaque demande de mise en oeuvre d'un traitement de données, un comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé, institué auprès du ministre chargé de la recherche et composé de personnes compétentes en matière de recherche dans le domaine de la santé, d'épidémiologie, de génétique et de biostatistique, émet un avis sur la méthodologie de la recherche au regard des dispositions de la présente loi, la nécessité du recours à des données nominatives et la pertinence de celles-ci par rapport à l'objectif de la recherche, préalablement à la saisine de la Commission nationale de l'informatique et des libertés.

Le comité consultatif dispose d'un mois pour transmettre son avis au demandeur. A défaut, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.

Le président du comité consultatif peut mettre en oeuvre une procédure simplifiée.

La mise en oeuvre du traitement de données est ensuite soumise à l'autorisation de la Commission nationale de l'informatique et des libertés, qui dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, le traitement de données est autorisé.

Article 40-3

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre les données nominatives qu'ils détiennent dans le cadre d'un traitement automatisé de données autorisé en application de l'article 40-1.

Lorsque ces données permettent l'identification des personnes, elles doivent être codées avant leur transmission. Toutefois, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales ; il peut également y être dérogé si une particularité de la recherche l'exige. La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. A l'issue de cette période, les données sont conservées et traitées dans les conditions fixées à l'article 28.

La présentation des résultats du traitement de données ne peut en aucun cas permettre l'identification directe ou indirecte des personnes concernées.

Les données sont reçues par le responsable de la recherche désigné à cet effet par la personne physique ou morale autorisée à mettre en oeuvre le traitement. Ce responsable veille à la sécurité des informations et de leur traitement, ainsi qu'au respect de la finalité de celui-ci.

Les personnes appelées à mettre en oeuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Article 40-4

Toute personne a le droit de s'opposer à ce que des données nominatives la concernant fassent l'objet d'un traitement visé à l'article 40-1.

Dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en oeuvre du traitement de données.

Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.

Article 40-5

Les personnes auprès desquelles sont recueillies des données nominatives ou à propos desquelles de telles données sont transmises sont, avant le début du traitement de ces données, individuellement informées :

1° De la nature des informations transmises ;

2° De la finalité du traitement de données ;

3° Des personnes physiques ou morales destinataires des données ;

4° Du droit d'accès et de rectification institué au chapitre V ;

5° Du droit d'opposition institué aux premier et troisième alinéas de l'article 40-4 ou, dans le cas prévu au deuxième alinéa de cet article, de l'obligation de recueillir leur consentement.

Toutefois, ces informations peuvent ne pas être délivrées si, pour des raisons légitimes que le médecin traitant apprécie en conscience, le malade est laissé dans l'ignorance d'un diagnostic ou d'un pronostic grave.

Dans le cas où les données ont été initialement recueillies pour un autre objet que le traitement, il peut être dérogé à l'obligation d'information individuelle lorsque celle-ci se heurte à la difficulté de retrouver les personnes concernées. Les dérogations à l'obligation d'informer les personnes de l'utilisation de données les concernant à des fins de recherche sont mentionnées dans le dossier de demande d'autorisation transmis à la Commission nationale de l'informatique et des libertés, qui statue sur ce point.

Article 40-6

Sont destinataires de l'information et exercent les droits prévus aux articles 40-4 et 40-5 les titulaires de l'autorité parentale, pour les mineurs, ou le tuteur, pour les personnes faisant l'objet d'une mesure de protection légale.

Article 40-7

Une information relative aux dispositions du présent chapitre doit être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données nominatives en vue d'un traitement visé à l'article 40-1.

Article 40-8

La mise en oeuvre d'un traitement automatisé de données en violation des conditions prévues par le présent chapitre entraîne le retrait temporaire ou définitif, par la Commission nationale de l'informatique et des libertés, de l'autorisation délivrée en application des dispositions de l'article 40-2.

Il en est de même en cas de refus de se soumettre au contrôle prévu par le 2° de l'article 21.

Article 40-9

La transmission hors du territoire français de données nominatives non codées faisant l'objet d'un traitement automatisé ayant pour fin la recherche dans le domaine de la santé n'est autorisée, dans les conditions prévues à l'article 40-2, que si la législation de l'Etat destinataire apporte une protection équivalente à la loi française.

Article 40-10

Un décret en Conseil d'Etat précise les modalités d'application du présent chapitre.

(vii) Chapitre V ter

TRAITEMENT DES DONNÉES PERSONNELLES DE SANTÉ À DES FINS D'ÉVALUATION
OU D'ANALYSE DES ACTIVITÉS DE SOINS ET DE PRÉVENTION

Article 40-11

Les traitements de données personnelles de santé qui ont pour fin l'évaluation des pratiques de soins et de prévention sont autorisés dans les conditions prévues au présent chapitre.

Les dispositions du présent chapitre ne s'appliquent ni aux traitements de données personnelles effectuées à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie, ni aux traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale dans les conditions prévues au deuxième alinéa de l'article L. 710-6 du code de la santé publique.

Article 40-12

Les données issues des systèmes d'information visés à l'article L. 710-6 du code de la santé publique, celles issues des dossiers médicaux détenus dans le cadre de l'exercice libéral des professions de santé, ainsi que celles issues des systèmes d'information des caisses d'assurance maladie, ne peuvent être communiquées à des fins statistiques d'évaluation ou d'analyse des pratiques et des activités de soins et de prévention que sous la forme de statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées.

Il ne peut être dérogé aux dispositions de l'alinéa précédent que sur autorisation de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 40-13 à 40-15. Dans ce cas, les données utilisées ne comportent ni le nom, ni le prénom des personnes, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques.

Article 40-13

Pour chaque demande, la commission vérifie les garanties présentées par le demandeur pour l'application des présentes dispositions et, le cas échéant, la conformité de sa demande à ses missions ou à son objet social. Elle s'assure de la nécessité de recourir à des données personnelles et de la pertinence du traitement au regard de sa finalité déclarée d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention. Elle vérifie que les données personnelles dont le traitement est envisagé ne comportent ni le nom, ni le prénom des personnes concernées, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques. En outre, si le demandeur n'apporte pas d'éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l'ensemble des données personnelles dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l'organisme qui les détient et n'autoriser le traitement que des données ainsi réduites.

La commission détermine la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

Article 40-14

La commission dispose, à compter de sa saisine par le demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. A défaut de décision dans ce délai, ce silence vaut décision de rejet. Les modalités d'instruction par la commission des demandes d'autorisation sont fixées par décret en Conseil d'Etat.

Les traitements répondant à une même finalité portant sur des catégories de données identiques et ayant des destinataires ou des catégories de destinataires identiques peuvent faire l'objet d'une décision unique de la commission.

Article 40-15

Les traitements autorisés conformément aux articles 40-13 et 40-14 ne peuvent servir à des fins de recherche ou d'identification des personnes. Les personnes appelées à mettre en oeuvre ces traitements, ainsi que celles qui ont accès aux données faisant l'objet de ces traitements ou aux résultats de ceux-ci lorsqu'ils demeurent indirectement nominatifs, sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Les résultats de ces traitements ne peuvent faire l'objet d'une communication, d'une publication ou d'une diffusion que si l'identification des personnes sur l'état desquelles ces données ont été recueillies est impossible.

(viii) Chapitre VI

DISPOSITIONS PÉNALES

Article 41

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Article 42

Le fait d'utiliser le Répertoire national d'identification des personnes physiques sans l'autorisation prévue à l'article 18 est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

Article 43

Est puni d'un an d'emprisonnement et de 100000 F d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :

1° Soit en s'opposant à l'exercice de vérifications sur place ;

2° Soit en refusant de communiquer à ses membres, à ses agents ou aux magistrats mis à sa disposition les renseignements et documents utiles à la mission qui leur est confiée par la commission ou en dissimulant lesdits documents ou renseignements, ou encore en les faisant disparaître ;

3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée ou qui ne le présentent pas sous une forme directement intelligible.

(2) DISPOSITIONS PÉNALES

Article 44

Abrogé par l'article 261 de la loi n° 92-1336 du 16 décembre 1992 relative à l'entrée en vigueur du nouveau code pénal et à la modification de certaines dispositions de droit pénal et de procédure pénale rendue nécessaire par cette entrée en vigueur.

(i) Chapitre VII

DISPOSITIONS DIVERSES

Article 45

Les dispositions des articles 25, 27, 28, 29, 29-1, 30, 31, 32 et 33 relatifs à la collecte, l'enregistrement et la conservation des informations nominatives sont applicables aux fichiers non automatisés ou mécanographiques autres que ceux dont l'usage relève du strict exercice du droit à la vie privée.

Le premier alinéa de l'article 26 est applicable aux mêmes fichiers, à l'exception des fichiers publics désignés par un acte réglementaire.

Toute personne justifiant de son identité a le droit d'interroger les services ou organismes qui détiennent des fichiers mentionnés au premier alinéa du présent article en vue de savoir si ces fichiers contiennent des informations nominatives le concernant. Le titulaire du droit d'accès a le droit d'obtenir communication de ces informations ; il peut exiger qu'il soit fait application des trois premiers alinéas de l'article 36 de la présente loi relatifs au droit de rectification. Les dispositions des articles 37, 38, 39 et 40 sont également applicables. Un décret en Conseil d'Etat fixe les conditions d'exercice du droit d'accès et de rectification ; ce décret peut prévoir la perception de redevances pour la délivrance de copies des informations communiquées.

Le Gouvernement, sur proposition de la Commission nationale de l'informatique et des libertés, peut décider, par décret en Conseil d'Etat, que les autres dispositions de la présente loi peuvent, en totalité ou en partie, s'appliquer à un fichier ou à des catégories de fichiers non automatisés ou mécanographiques qui présentent, soit par eux-mêmes, soit par la combinaison de leur emploi avec celui d'un fichier informatisé, des dangers quant à la protection des libertés.

Article 46

Des décrets en Conseil d'Etat fixeront les modalités d'application de la présente loi. Ils devront être pris dans un délai de six mois à compter de sa promulgation.

Ces décrets détermineront les délais dans lesquels les dispositions de la présente loi entreront en vigueur. Ces délais ne pourront excéder deux ans à compter de la promulgation de ladite loi.

Article 47

La présente loi est applicable à Mayotte et aux territoires d'outre-mer.

Par dérogation aux dispositions du deuxième alinéa de l'article 40-2, le comité consultatif dispose d'un délai de deux mois pour transmettre son avis au demandeur domicilié dans un territoire d'outre-mer ou à Mayotte. En cas d'urgence, ce délai peut être ramené à un mois.

Article 48

A titre transitoire, les traitements régis par l'article 15 ci-dessus, et déjà créés, ne sont soumis qu'à une déclaration auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues aux articles 16 et 17.

La commission peut toutefois, par décision spéciale, faire application des dispositions de l'article 15 et fixer le délai au terme duquel l'acte réglementant le traitement doit être pris.

A l'expiration d'un délai de deux ans à compter de la promulgation de la présente loi, tous les traitements régis par l'article 15 devront répondre aux prescriptions de cet article.

II. DIRECTIVE 95/46/CE DU 24 OCTOBRE 1995
RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES
À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES

(i) Chapitre premier

DISPOSITIONS GÉNÉRALES

Article premier

Objet de la directive

1. Les Etats membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

2. Les Etats membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre Etats membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.

Article 2

Définitions

Aux fins de la présente directive, on entend par :

a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

b) « traitement de données à caractère personnel » (traitement) : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

c) « fichier de données à caractère personnel » (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

d) « responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

e) « sous-traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

f) « tiers » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;

g) « destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers ; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires ;

h) « consentement de la personne concernée » : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Article 3

Champ d'application

1. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s'applique pas au traitement de données à caractère personnel :

-- mis en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'Etat (y compris le bien-être économique de l'Etat lorsque ces traitements sont liés à des questions de sûreté de l'Etat) et les activités de l'Etat relatives à des domaines du droit pénal,

-- effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

Article 4

Droit national applicable

1. Chaque Etat membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'Etat membre ; si un même responsable du traitement est établi sur le territoire de plusieurs Etats membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;

b) le responsable du traitement n'est pas établi sur le territoire de l'Etat membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public ;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit Etat membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

(ii) Chapitre II

CONDITIONS GÉNÉRALES DE LICÉITÉ DES TRAITEMENTS DE DONNÉES
À CARACTÈRE PERSONNEL

Article 5

Les Etats membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites.

Section I

Principes relatifs à la qualité des données

Article 6

1. Les Etats membres prévoient que les données à caractère personnel doivent être :

a) traitées loyalement et licitement ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les Etats membres prévoient des garanties appropriées ;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

Section II

Principes relatifs à la légitimation des traitements de données

Article 7

Les Etats membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a) la personne concernée a indubitablement donné son consentement

ou

b) il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c) il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis

ou

d) il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

e) il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1.

Section III

Catégories particulières de traitements

Article 8

Traitements portant sur des catégories particulières de données

1. Les Etats membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque :

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l'Etat membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

ou

b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

ou

c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement

ou

d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

ou

e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

4. Sous réserve de garanties appropriées, les Etats membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle.

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'Etat membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Les Etats membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l'autorité publique.

6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

7. Les Etats membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement.

Article 9

Traitements de données à caractère personnel et liberté d'expression

Les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression.

Section IV

Information de la personne concernée

Article 10

Informations en cas de collecte de données auprès de la personne concernée

Les Etats membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement auquel les données sont destinées ;

c) toute information supplémentaire telle que :

-- les destinataires ou les catégories de destinataires des données,

-- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,

-- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

Article 11

Informations lorsque les données n'ont pas été collectées
auprès de la personne concernée

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les Etats membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement ;

c) toute information supplémentaire telle que :

-- les catégories de données concernées,

-- les destinataires ou les catégories de destinataires des données,

-- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les Etats membres prévoient des garanties appropriées.

Section V

Droit d'accès de la personne concernée aux données

Article 12

Droit d'accès

Les Etats membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement :

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :

-- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

-- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

-- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1 ;

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Section VI

Exceptions et limitations

Article 13

Exceptions et limitations

1. Les Etats membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder :

a) la sûreté de l'Etat ;

b) la défense ;

c) la sécurité publique ;

d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

e) un intérêt économique ou financier important d'un Etat membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal ;

f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e) ;

g) la protection de la personne concernée ou des droits et libertés d'autrui.

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les Etats membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

Section VII

Droit d'opposition de la personne concernée

Article 14

Droit d'opposition de la personne concernée

Les Etats membres reconnaissent à la personne concernée le droit :

a) au moins dans les cas visés à l'article 7 points e) et f), de s'opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf en cas de disposition contraire du droit national. En cas d'opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut plus porter sur ces données ;

b) de s'opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection

ou

d'être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation.

Les Etats membres prennent les mesures nécessaires pour garantir que les personnes concernées ont connaissance de l'existence du droit visé au point b) premier alinéa.

Article 15

Décisions individuelles automatisées

1. Les Etats membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2. Les Etats membres prévoient, sous réserve des autres dispositions de la présente directive, qu'une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision :

a) est prise dans le cadre de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l'intérêt légitime de la personne concernée.

Section VIII

Confidentialité et sécurité des traitements

Article 16

Confidentialité des traitements

Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.

Article 17

Sécurité des traitements

1. Les Etats membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Les Etats membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que :

-- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

-- les obligations visées au paragraphe 1, telles que définies par la législation de l'Etat membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

Section IX

Notification

Article 18

Obligation de notification à l'autorité de contrôle

1. Les Etats membres prévoient que le responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à l'autorité de contrôle visée à l'article 28 préalablement à la mise en oeuvre d'un traitement entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même finalité ou des finalités liées.

2. Les Etats membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants :

-- lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données

et/ou

-- lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment :

-- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,

-- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

3. Les Etats membres peuvent prévoir que le paragraphe 1 ne s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

4. Les Etats membres peuvent prévoir une dérogation à l'obligation de notification ou une simplification de la notification pour les traitements visés à l'article 8 paragraphe 2 point d).

5. Les Etats membres peuvent prévoir que les traitements non automatisés de données à caractère personnel, ou certains d'entre eux, font l'objet d'une notification, éventuellement simplifiée.

Article 19

Contenu de la notification

1. Les Etats membres précisent les informations qui doivent figurer dans la notification. Elles comprennent au minimum :

a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant ;

b) la ou les finalités du traitement ;

c) une description de la ou des catégories de personnes concernées et des données ou des catégories de données s'y rapportant ;

d) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;

e) les transferts de données envisagés à destination de pays tiers ;

f) une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l'article 17.

2. Les Etats membres précisent les modalités de notification à l'autorité de contrôle des changements affectant les informations visées au paragraphe 1.

Article 20

Contrôles préalables

1. Les Etats membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle.

3. Les Etats membres peuvent aussi procéder à un tel examen dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Article 21

Publicité des traitements

1. Les Etats membres prennent des mesures pour assurer la publicité des traitements.

2. Les Etats membres prévoient que l'autorité de contrôle tient un registre des traitements notifiés en vertu de l'article 18.

Le registre contient au minimum les informations énumérées à l'article 19 paragraphe 1 points a) à e).

Le registre peut être consulté par toute personne.

3. En ce qui concerne les traitements non soumis à notification, les Etats membres prévoient que le responsable du traitement ou une autre instance qu'ils désignent communique sous une forme appropriée à toute personne qui en fait la demande au moins les informations visées à l'article 19 paragraphe 1 points a) à e).

Les Etats membres peuvent prévoir que la présente disposition ne s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

(iii) Chapitre III

RECOURS JURIDICTIONNELS, RESPONSABILITÉ ET SANCTIONS

Article 22

Recours

Sans préjudice du recours administratif qui peut être organisé, notamment devant l'autorité de contrôle visée à l'article 28, antérieurement à la saisine de l'autorité judiciaire, les Etats membres prévoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.

Article 23

Responsabilité

1. Les Etats membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d'obtenir du responsable du traitement réparation du préjudice subi.

2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 24

Sanctions

Les Etats membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

(iv) Chapitre IV

TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS

Article 25

Principes

1. Les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Les Etats membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les Etats membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Article 26

Dérogations

1. Par dérogation à l'article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les Etats membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2 peut être effectué, à condition que :

a) la personne concernée ait indubitablement donné son consentement au transfert envisagé

ou

b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée

ou

c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers

ou

d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice

ou

e) le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

f) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

2. Sans préjudice du paragraphe 1, un Etat membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L'Etat membre informe la Commission et les autres Etats membres des autorisations qu'il accorde en application du paragraphe 2.

En cas d'opposition exprimée par un autre Etat membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l'article 31 paragraphe 2.

Les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les Etats membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

(v) Chapitre V

CODES DE CONDUITE

Article 27

1. Les Etats membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les Etats membres en application de la présente directive.

2. Les Etats membres prévoient que les associations professionnelles et les autres organisations représentant d'autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l'examen de l'autorité nationale.

Les Etats membres prévoient que cette autorité s'assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l'estime opportun, l'autorité recueille les observations des personnes concernées ou de leurs représentants.

3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l'article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S'il l'estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.

(vi) Chapitre VI

AUTORITÉ DE CONTRÔLE ET GROUPE DE PROTECTION DES PERSONNES
À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

Article 28

Autorité de contrôle

1. Chaque Etat membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les Etats membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque Etat membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment  :

-- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

-- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

-- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'Etat membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre Etat membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les Etats membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.

Article 29

Groupe de protection des personnes à l'égard
du traitement des données à caractère personnel

1. Il est institué un groupe de protection des personnes à l'égard du traitement des données à caractère personnel, ci-après dénommé « groupe ».

Le groupe a un caractère consultatif et indépendant.

2. Le groupe se compose d'un représentant de l'autorité ou des autorités de contrôle désignées par chaque Etat membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission.

Chaque membre du groupe est désigné par l'institution, l'autorité ou les autorités qu'il représente. Lorsqu'un Etat membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d'un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.

3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.

4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.

5. Le secrétariat du groupe est assuré par la Commission.

6. Le groupe établit son règlement intérieur.

7. Le groupe examine les questions mises à l'ordre du jour par son président, soit à l'initiative de celui-ci, soit à la demande d'un représentant des autorités de contrôle ou de la Commission.

Article 30

1. Le groupe a pour mission :

a) d'examiner toute question portant sur la mise en oeuvre des dispositions nationales prises en application de la présente directive, en vue de contribuer à leur mise en oeuvre homogène ;

b) de donner à la Commission un avis sur le niveau de protection dans la Communauté et dans les pays tiers ;

c) de conseiller la Commission sur tout projet de modification de la présente directive, sur tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertés ;

d) de donner un avis sur les codes de conduite élaborés au niveau communautaire.

2. Si le groupe constate que des divergences, susceptibles de porter atteinte à l'équivalence de la protection des personnes à l'égard du traitement des données à caractère personnel dans la Communauté, s'établissent entre les législations et pratiques des Etats membres, il en informe la Commission.

3. Le groupe peut émettre de sa propre initiative des recommandations sur toute question concernant la protection des personnes à l'égard du traitement de données à caractère personnel dans la Communauté.

4. Les avis et recommandations du groupe sont transmis à la Commission et au comité visé à l'article 31.

5. La Commission informe le groupe des suites qu'elle a données à ses avis et recommandations. Elle rédige à cet effet un rapport qui est transmis également au Parlement européen et au Conseil. Ce rapport est publié.

6. Le groupe établit un rapport annuel sur l'état de la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans la Communauté et dans les pays tiers, qu'il communique à la Commission, au Parlement européen et au Conseil. Ce rapport est publié.

(vii) Chapitre VII

MESURES D'EXÉCUTION COMMUNAUTAIRES

Article 31

Comité

1. La Commission est assistée par un comité composé des représentants des Etats membres et présidé par le représentant de la Commission.

2. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l'urgence de la question en cause.

L'avis est émis à la majorité prévue à l'article 148 paragraphe 2 du traité. Lors des votes au sein du comité, les voix des représentants des Etats membres sont affectées de la pondération définie à l'article précité. Le président ne prend pas part au vote.

La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l'avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas :

-- la Commission diffère l'application des mesures décidées par elle d'un délai de trois mois à compter de la date de la communication,

-- le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.

(2) DISPOSITIONS FINALES

Article 32

1. Les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l'issue d'une période de trois ans à compter de son adoption.

Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les Etats membres.

2. Les Etats membres veillent à ce que les traitements dont la mise en oeuvre est antérieure à la date d'entrée en vigueur des dispositions nationales prises en application de la présente directive soient rendus conformes à ces dispositions au plus tard trois ans après cette date.

Par dérogation à l'alinéa précédent, les Etats membres peuvent prévoir que les traitements de données déjà contenues dans des fichiers manuels à la date d'entrée en vigueur des dispositions nationales prises en application de la présente directive seront rendus conformes aux articles 6, 7 et 8 de la présente directive dans un délai de douze ans à compter de la date d'adoption de celle-ci. Les Etats membres permettent toutefois à la personne concernée d'obtenir, à sa demande et notamment lors de l'exercice du droit d'accès, la rectification, l'effacement ou le verrouillage des données incomplètes, inexactes ou conservées d'une manière qui est incompatible avec les fins légitimes poursuivies par le responsable du traitement.

3. Par dérogation au paragraphe 2, les Etats membres peuvent prévoir, sous réserve des garanties appropriées, que les données conservées dans le seul but de la recherche historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la présente directive.

4. Les Etats membres communiquent à la Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

Article 33

Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l'article 32 paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l'application de la présente directive et l'assortit, le cas échéant, des propositions de modification appropriées. Ce rapport est publié.

La Commission examine, en particulier, l'application de la présente directive aux traitements de données constituées par des sons et des images, relatives aux personnes physiques, et elle présente les propositions appropriées qui pourraient s'avérer nécessaires en tenant compte des développements de la technologie de l'information et à la lumière de l'état des travaux sur la société de l'information.

Article 34

Les Etats membres sont destinataires de la présente directive.

ANNEXE 1
-
MODIFICATION DE LA LOI DE 1978 :
QUEL IMPACT EN TERMES DE SIMPLIFICATION ADMINISTRATIVE ?

_____


I. - L'impact de la nouvelle loi sur le secteur public
(estimation)

Actuellement

Nouvelle loi

4.000 demandes d'avis
du secteur public /an

Autorisations

10 %

400

Déclarations ordinaires

50 %

2.000

Déclarations simplifiées

20 %

800

Absence de toute formalité

20 %

800

       

6.000 déclarations simplifiées/an

Déclarations simplifiées

90 %

 

Absence de toute formalité

10 %

 
       

550 demandes d'avis
sites internet/an

Déclarations ordinaires

   

Déclarations simplifiées
ou absence de formalité

   


II. - L'impact de la nouvelle loi sur le secteur privé
(estimation)

Actuellement

Nouvelle loi

9.000 déclarations ordinaires/an

Autorisations

5 %

450

Déclarations ordinaires

55 %

4.950

Déclarations simplifiées

20 %

1.800

Absence de toute formalité

20 %

1.800

       

20.000 déclarations simplifiées/an

Déclarations simplifiées

90 %

 

Absence de toute formalité

10 %

 
       

6.800 déclarations de
sites internet/an

Déclarations ordinaires

   

Déclarations simplifiées
ou absence de formalité

   

La loi n'aura d'impact positif sur le secteur privé que si la CNIL développe deux catégories : les normes simplifiées et les traitements dispensés de déclaration.

(Source : CNIL)

ANNEXE 2

LISTE DES PERSONNES
AUDITIONNÉES PAR LE RAPPORTEUR

_____

- le Ministère de la Justice

- M. Guy BRAIBANT, auteur d'un rapport au Premier ministre sur la transposition de la directive 95/46/CE

- M. Michel GENTOT, président de la CNIL

- M. Christophe PALLEZ, secrétaire général de la CNIL
et Mme VUILLIET TAVERNIER, directrice des Affaires juridiques

- Mme Charlotte-Marie PITRAT, commissaire du Gouvernement auprès de la CNIL

- Mme Anne CARBLANC, magistrate, ancienne secrétaire générale de la CNIL

- M. Gérard GOUZES, rapporteur du texte en première lecture à l'Assemblée nationale

- DELIS (Droits et libertés face à l'informatisation de la société) collectif d'associations et de syndicats

- le cabinet Bensoussan

- le MEDEF

- CEGETEL

- la Fédération française des sociétés d'assurance

- le syndicat de presse magazine et d'information

- IMS Health et le cabinet Bird & Bird

- l'INSERM (Institut national de la santé et de la recherche médicale)

- le LEEM (les entreprises du médicament)

- le Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé

- le cabinet de M. MATTEI

*

Le rapporteur a également reçu des contributions écrites du CNRS, de la FEVAD (fédération des entreprises de vente à distance) et du Club de réflexion santé et citoyenneté.

* 1 Par un article paru dans le journal « Le Monde » du 21 mars 1974 et intitulé « SAFARI ou la chasse aux Français ».

* 2 Le nom du responsable, les caractéristiques et la « finalité » du traitement, le service chargé de sa mise en oeuvre, les catégories de personnes ayant accès aux informations, le caractère obligatoire ou facultatif des réponses, les conséquences d'un défaut de réponse, la liste des personnes physiques ou morales destinataires des informations, les dispositions prises pour assurer la sécurité du dispositif, les transferts éventuels de données vers l'étranger.

* 3 Le degré de sécurité est examiné lors de la déclaration du traitement, ainsi qu'à l'occasion des contrôles sur place effectués par la CNIL, qui adresse d'ailleurs régulièrement des avertissements.

* 4 Encore récemment s'agissant de son très remarqué rapport relatif à la cybersurveillance au travail.

* 5 Données extraites du 22ème rapport d'activité de la CNIL 2001.

* 6 Le rapport de M. Guy Braibant au Premier ministre « Données et personnelles et société de l'information » soulignait en effet que nul n'est en mesure d'estimer précisément le nombre de traitements automatisés d'informations nominatives : « La CNIL en a enregistré 500.000 environ. Encore ce chiffre doit-il être minoré d'environ 20 %, pour tenir compte des traitements qui ont disparu sans que leur suppression ait été déclarée. De toute façon, le nombre actuel de traitements en fonctionnement est sans commune mesure avec celui des traitements déclarés ou autorisés. Trois millions d'entreprises sont dotées d'un ou plusieurs traitements, parfois des centaines ... Au total, et même en tenant compte des traitements dispensés de déclaration, on peut avancer sans grand risque d'exagération que quelques millions de traitements ont échappé » au contrôle de la CNIL.

* 7 une trentaine, certains fichiers et traitements relevant par nature du domaine de la loi. Certains de ces textes constituent à eux seuls une loi, comme celles de 1980 sur le casier judiciaire, de 1990 sur les permis de conduire, de 1994 sur les recherches en matière de santé ou alors ne sont que l'une de ces dispositions d'ordre social ou financier qui coexistent dans une loi fourre-tout. Parfois, ces dispositions sont introduites dans des codes, comme ceux de la santé publique, de la sécurité sociale ou du travail ou viennent modifier un texte ancien, comme le décret-loi du 30 octobre 1935 sur les chèques.

* 8 Résolution n° 45/95 du 14 décembre 1990.

* 9 Le Conseil d'Etat est intervenu sur la base des circulaires du Premier ministre de 1992 et 1993 exprimant la volonté du Gouvernement de l'associer à la préparation du droit communautaire.

* 10 Données personnelles et société de l'information, rapport au Premier ministre de M. Guy Braibant, la documentation française, 2ème trimestre 1998.

* 11 dont le Conseil constitutionnel a fait une première application dans sa décision du 20 janvier 1984 relative aux libertés universitaires et qui fut constamment réaffirmée par la suite (par exemple décision du Conseil constitutionnel 210 DC du 29 juillet 1986 relative au statut des entreprises de presse).

* 12 Rapport public du Conseil d'Etat 1998 : « Pour une meilleure transparence de l'administration, étude sur l'accès des citoyens aux données publiques ».

* 13 L'article 182 B du code général des impôts parle ainsi de « l'installation permanente » de l'entreprise, l'article 1470 du même code parlant de « l'installation fixe » d'un contribuable.

* 14 La déclaration prévoit que le génome humain en son état naturel ne peut donner lieu à des gains pécuniaires ; qu'une recherche, un traitement ou un diagnostic portant sur le génome humain nécessite le consentement préalable, libre et éclairé de l'intéressé ; que nul ne doit faire l'objet de discriminations fondées sur ses caractéristiques génétiques ; que la confidentialité des données génétiques associées à une personne identifiable, conservées ou traitées à des fins de recherche ou dans tout autre but, doit être protégé ; que les limitations aux principes du consentement et de la confidentialité ne peuvent être apportées que par la loi, pour des raisons impérieuses et dans les limites du droit international public et du droit international des droits de l'homme.

* 15 décret n° 78-774 du 17 juillet 1978

* 16 Avis de la CNIL du 26 septembre 2000 relatif à l'avant projet de loi sur la protection des données personnelles.

* 17 en vertu de la loi organique n° 2001-692 du 1er août 2001 relative aux lois de finances.

* 18 On distingue différents types d'autorités de contrôle : le modèle du commissaire à la protection des données -Allemagne, Luxembourg, Royaume-Uni-, le modèle de l'autorité collégiale, composée de magistrats, de parlementaires et d'autres personnalités - Italie, Portugal, Grèce, Danemark - et le modèle de la commission représentative - Suède, Espagne-.

* 19 Article 26 du règlement de l'Assemblée nationale et article 9 du règlement du Sénat

* 20 Cette disposition unifie le régime des députés et sénateurs puisqu'actuellement les sénateurs sont désignés membres de la CNIL non pas pour cinq ans, ni même après chaque renouvellement triennal du Sénat, mais pour la durée de leur mandat de sénateur, soit neuf ans.

* 21 Délibération n° 87-25 du 10 février 1987 modifiée à plusieurs reprises par les délibérations n° 92-087 du 22 septembre 1992, n° 93-048 du 8 juin 1993 et n° 99-43 du 9 septembre 1999.

* 22 S'agissant des données dites sensibles, des données génétiques, des données portant sur des infractions, des condamnations ou des mesures de sûreté, des données ayant pour objet de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, des traitements ayant pour but l'interconnexion de fichiers, des données sur lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ainsi que les appréciations sur les difficultés sociales des personnes et les données biométriques.

* 23 Loi n° 94-126 du 11 février 1994 relative à l'initiative et à l'entreprise individuelle.

* 24 Par exemple la délibération n° 94-112 du 20 décembre 1994 (JO du 3 janvier 1995) portant adoption d'une norme simplifiée concernant les traitements automatisés d'informations nominatives mis en oeuvre à l'aide d'autocommutateurs téléphoniques desservant des postes téléphoniques mis à la disposition de la clientèle contre facturation.

* 25 « Le nombre de traitements automatisés de données personnelles s'élève en France à plusieurs millions. Il ne serait pas raisonnable d'imposer à leurs responsables de les déclarer tous ni de submerger l'autorité de contrôle sous une marée de documents inutiles. Certains ont exprimé le voeu d'une déclaration obligatoire de tous les traitements afin de faire de l'autorité de contrôle un conservatoire. Mais il vaut beaucoup mieux, dans l'intérêt même des libertés et des droits de l'homme, qu'elle consacre ses efforts à la surveillance efficace des traitements réellement ou potentiellement dangereux ».

* 26 pages 115 et 116.

* 27 Avis de la CNIL du 26 septembre 2000.

* 28 Celui-ci soulignait qu'en cas d'avis défavorable de la CNIL, « les gouvernements hésitaient à faire en quelque sorte « appel » de la CNIL au Conseil d'Etat et à se trouver ainsi enfermés entre deux avis d'autorités qui dans les deux cas et de façon inhabituelle dans notre droit, le lient ; ils préfèrent continuer à négocier avec la CNIL pour aboutir à un compromis hypothétique ».

* 29 dont la loi n° 2000-230 du 13 mars 2000 relative à la signature électronique a pour l'essentiel assuré la transposition en droit interne.

* 30 Article 5 ter de l'ordonnance n° 67-833 du 28 septembre 1967 modifiée par la loi n° 89-531 du 2 août 1989.

* 31 en vertu de l'article L. 621-12 du code monétaire et financier.

* 32 Décisions 88-248 DC du 17 janvier 1989 sur le Conseil supérieur de l'audiovisuel, 89-260 DC du 28 juillet 1989 sur la Commission des opérations de bourse, 96-378 DC du 23 juillet 1996 sur l'Autorité de régulation des télécommunications et 97-395 DC sur la loi de finances pour 1998.

* 33Notamment la décision du 23 octobre 1995, Gradinger c/ Autriche.

* 34L'arrêt Kress contre France de la Cour européenne des droits de l'Homme du 7 juin 2001 a considéré que la présence du commissaire du Gouvernement auprès du Conseil d'Etat au délibéré constituait une violation de l'article 6§1 relatif au droit à un procès équitable.

* 35 Délibération n° 97-008 du 4 février 1997

* 36 Délibération n° 01-011 du 8 mars 2001

* 37 Loi n° 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé.

* 38 Loi n° 99-641 du 27 juillet 1999 relative à la création de la couverture maladie universelle.

* 39 Par sa décision n° 94-352 DC du 18 janvier 1995 relative à la loi de programmation sur la sécurité, le Conseil constitutionnel avait considéré à propos de la demande d'autorisation prévue auprès du préfet pour la mise en place de systèmes de vidéosurveillance qu'elle devait être expresse, s'agissant d'un domaine touchant aux libertés individuelles et publiques.

* 40 Délibération n° 95-012 du 24 janvier 1995 portant recommandation relative aux données personnelles traitées ou utilisées par des organismes de la presse écrite ou audiovisuelle à des fins journalistiques et rédactionnelles.

* 41 Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel créé par l'article 29 de la directive avait recommandé le 25 février 1997 le respect du principe de proportionnalité dans l'octroi des dérogations - notamment en fonction des garanties accordées aux personnes par la législation sur la presse- et une limitation des dérogations et exemptions aux traitements de données à des fins de journalisme, aucune dérogation ne pouvant être prévue au chapitre III (recours juridictionnel, responsabilité, sanctions).

* 42 « L'abaissement des sanctions ne parait pas justifié. Une telle initiative pourrait de surcroît altérer l'esprit de la réforme : la protection des données personnelles et de la vie privée n'a pas une moindre valeur aujourd'hui qu'hier » : avis de la CNIL sur le présent projet de loi - septembre 2000.

* 43 Rapport approuvé le 13 novembre 2001.

* 44 Un traitement loyal et licite, des collectes pour des finalités déterminées, explicites et légitimes, pas de traitement ultérieur incompatible, des données adéquates, pertinentes et non excessives au regard des finalités, exactes et si nécessaire mises à jour, conservées sous une forme permettant l'identification des personnes pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités.