Allez au contenu, Allez à la navigation



Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique

 

EXAMEN EN COMMISSION

MERCREDI 24 FÉVRIER 2010

_______

Puis la commission a examiné le rapport de M. Christian Cointat et établi le texte qu'elle propose pour la proposition de loi n° 93 (2009-2010), présentée par M. Yves Détraigne et Mme Anne-Marie Escoffier, visant à mieux garantir le droit à la vie privée à l'heure du numérique.

M. Christian Cointat, rapporteur, a rappelé que la proposition de loi de M. Yves Détraigne et Mme Anne-Marie Escoffier faisait suite au rapport d'information des mêmes auteurs, publié au nom de la commission des lois le 27 mai 2009, et traduisait plusieurs recommandations formulées dans ce rapport.

Après avoir relevé que les sujets abordés par ce texte sont sensibles et complexes, il a insisté sur la nécessité pour le législateur de trouver un équilibre entre l'accompagnement du développement des nouvelles technologies, facteur de progrès indiscutables, et un encadrement juridique destiné à combattre ses dérives, en particulier au regard de la protection des données personnelles et, plus généralement, de la vie privée, protection réclamée par les citoyens. A cet égard, il a regretté que de nombreux représentants d'entreprises et d'administrations aient, au cours de leur audition, plaidé pour le statu quo dans ce domaine.

Il a souhaité que la proposition de loi soit perçue à l'étranger comme un nouveau signal fort de la France en faveur d'un renforcement de la protection des données personnelles, à l'heure où des initiatives sont lancées pour faire évoluer le cadre juridique communautaire - et à terme international - de cette protection, trente ans après la loi « informatique et libertés » du 6 janvier 1978, texte précurseur en la matière.

Tout en souscrivant largement aux objectifs de la proposition de loi, il a souhaité la modifier afin qu'elle soit mieux comprise par les entreprises et par l'administration. Ainsi :

- sur l'article premier, il a indiqué que celui-ci complétait l'article L. 312-9 du code de l'éducation afin que l'initiation des élèves à l'usage d'Internet intègre autant les questions liées au téléchargement illégal que celles, tout aussi essentielles, de la protection des données personnelles et, plus généralement, de la vie privée. Son amendement n° 1 tend à en aménager la rédaction afin, en particulier, de prévoir que les enseignants ne doivent pas être « préalablement formés » sur la question de la protection des données mais « expérimentés en la matière ». En effet, la sensibilisation aux enjeux de la protection de la vie privée relève moins d'une discipline académique que d'une expérience et d'une appétence particulière de certains enseignants pour ce type de problématique. En conséquence, il s'est déclaré prêt à retirer son amendement au profit de celui déposé par Mme Catherine Morin-Desailly, rapporteur pour avis au nom de la commission de culture, de l'éducation et de la communication, tendant à inscrire la sensibilisation des élèves aux enjeux de la protection de la vie privée dans le cadre de l'éducation civique et non dans celui des cours consacrés aux nouvelles technologies. Ce rattachement est tout à fait cohérent avec le rapport d'information sur la vie privée à l'heure des mémoires numériques qui estime que cette sensibilisation peut être dispensée à l'occasion des cours d'éducation civique, dès lors qu'il s'agit de transmettre des valeurs plus que des connaissances techniques ;

- il a rappelé que l'article 2 visait à clarifier le statut de l'adresse IP. En effet, cette adresse constitue, selon le rapport d'information précité, un moyen indiscutable d'identification, fût-elle indirecte, d'un internaute, au même titre qu'une adresse postale ou un numéro de téléphone. Il a souhaité modifier la rédaction de cet article afin de faire clairement apparaître que l'adresse IP ne permet pas à elle seule d'identifier un internaute et ne constitue que l'élément d'un « faisceau d'indices » permettant d'identifier une personne physique ;

- il a expliqué que l'article 3 rendait obligatoires les correspondants « informatique et libertés » (CIL) lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre. Il a approuvé le principe posé par cet article, considérant que ce correspondant ne devait pas être perçu comme « un espion » qui entrave l'action de la structure dans laquelle il est désigné, mais comme une aide, une garantie et un conseil qui permet, d'une part, la diffusion de la culture « informatique et libertés » dans les structures dans lesquelles il a été désigné, d'autre part, et symétriquement, la diffusion de la culture « administration » ou « entreprises » au sein de la Commission nationale de l'informatique et des libertés (CNIL). Il a souhaité apporter quelques aménagements à l'article 3 jugeant fondées certaines craintes dont celle que la mutualisation des CIL serait dorénavant exclue. En conséquence, il a souhaité, d'une part, préciser que la désignation obligatoire du CIL pourrait intervenir dans un cadre mutualisé, d'autre part, maintenir la possibilité de mutualisation lorsque la création du CIL n'est pas obligatoire.

En outre, il a contesté que la mise en place de CIL soit coûteuse pour les structures dans lesquelles ils seront obligatoires, entreprises comme administrations pouvant respecter cette nouvelle obligation à moyens constants.

Enfin, s'agissant du seuil de 50 salariés ayant accès à un traitement de données personnelles, il a indiqué que celui-ci constituait une incitation pour les entreprises et administrations à limiter les accès aux fichiers tout en se déclarant ouvert à des amendements visant à relever ce seuil ;

- il a rappelé que l'article 4 réservait au législateur la compétence exclusive pour autoriser les catégories de fichiers nationaux de police et pour définir les principales caractéristiques de ces catégories (services responsables, finalités et durée de conservation des informations traitées), alors que les fichiers de police peuvent actuellement être autorisés par arrêté ou, s'ils comportent des données sensibles, par décret en Conseil d'Etat. Il a souhaité s'écarter de la rédaction proposée par la proposition de loi, pour deux raisons principales :

- d'une part, la rédaction de l'article 4 pourrait être dépourvue de caractère normatif, le législateur ordinaire n'étant pas susceptible de définir pour l'avenir sa propre compétence ;

- d'autre part, l'Assemblée nationale a adopté, le 2 décembre 2009, un article 29 bis lors de la première lecture de la proposition de loi de simplification et d'amélioration de la qualité du droit, présentée par M. Jean-Luc Warsmann. Cet article modifie l'article 26 de la loi « informatique et libertés » dans un sens qui préserve un équilibre entre la garantie des droits et libertés et la souplesse nécessaire pour permettre au Gouvernement de mettre en oeuvre des fichiers opérationnels dans des délais raisonnables. Le dispositif prévoit que tout fichier créé par arrêté ou par décret doit répondre à l'une des finalités qu'il énumère. A défaut, seul le législateur serait compétent.

Dans un souci de compromis, face aux objections du Gouvernement, le rapporteur s'est déclaré prêt à reprendre, sous réserve de quelques adaptations, ce dispositif qui présente l'avantage de mieux encadrer les fichiers de police au regard du droit actuel ;

- il a rappelé que l'article 6 apportait deux modifications importantes au régime juridique des « cookies ». D'une part, il renforce l'obligation d'information incombant au responsable du traitement. Tel qu'il est actuellement rédigé, l'article 32 de la loi « informatique et libertés » dispose que l'information doit être « claire et complète ». La rédaction proposée demande une information « spécifique, claire, accessible et permanente ». D'autre part, il impose le consentement de l'utilisateur avant tout stockage de « cookies » sur son ordinateur. Il a indiqué avoir cherché à assouplir ce dernier principe qui, appliqué de manière trop rigide, obligerait les internautes à réitérer trop fréquemment leur choix d'accepter ou de refuser les cookies pour chaque site, voire chaque page web, consultés. Les utilisateurs se verraient ainsi contraints en pratique d'interrompre leur navigation pour cliquer sur des fenêtres ou « pop-up » sur leur écran, ce qui, d'une part, constituerait une entrave à la navigation fluide et rapide des internautes, d'autre part, mettrait en grandes difficultés les professionnels du commerce en ligne. En conséquence, il a souhaité, d'une part, prévoir une information globale, et non au cas par cas, en matière de « cookies », d'autre part, que cette information renvoie l'utilisateur aux possibilités de paramétrage du navigateur Internet afin qu'il puisse exprimer un choix préalable, quel qu'il soit, en matière de « cookies », ce qui semble conforme aux choix récents du législateur communautaire ;

-  il a rappelé que l'article 8 concernait le droit à l'oubli : il permet à chaque individu, pour des motifs légitimes, de demander à retirer d'Internet des données personnelles, qu'elles aient été livrées par la personne elle-même ou par des tiers. Il a expliqué que, n'ayant pu trouver une rédaction de nature à ne créer aucune difficulté d'interprétation, il avait jugé plus prudent de ne pas revenir sur la notion de « motifs légitimes », qui figure dans la proposition de loi tout en précisant, à l'inverse, que le droit à la suppression des données ne pourrait être exercé dans quatre nouveaux cas de figure :

- lorsque les données sont nécessaires à la finalité du traitement : il s'agit d'éviter que les données soient effacées dans le cas, par exemple, où un bien est toujours sous garantie ou n'a pas été entièrement payé par le consommateur ;

- lorsque le traitement est nécessaire à la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;

- lorsque le droit de suppression porte atteinte à une liberté publique garantie par la loi : il s'agit essentiellement de protéger la liberté de la presse ;

- lorsque les données constituent un fait historique : le droit de suppression ne peut avoir pour objet ou pour effet de réécrire ou de falsifier l'histoire ;

- il a rappelé que l'article 10 rendait systématiquement publiques les audiences de la formation restreinte de la CNIL alors que les audiences ne sont aujourd'hui publiques qu'à la demande des parties. Toutefois, il a estimé que la CNIL ne pouvait être regardée comme une juridiction et qu'elle n'avait donc pas à se conformer à toutes les exigences du procès équitable. En conséquence, il s'est prononcé en faveur de la suppression de cet article.

Mme Anne-Marie Escoffier a remercié le rapporteur pour le travail accompli en tenant informés les auteurs de la proposition de loi de l'avancement de ses travaux. Elle a souligné que, face aux nouvelles menaces qui pèsent sur la protection des données, la première réponse réside dans la responsabilisation d'individus éclairés sur les enjeux pour leur propre protection.

Saluant à son tour la qualité du travail du rapporteur, M. Yves Détraigne a souligné que, si la proposition de loi pouvait apparaître comme technique, voire ésotérique, elle n'en était pas moins au coeur d'enjeux fondamentaux. Il a indiqué avoir reçu comme Mme Anne-Marie Escoffier de très nombreuses sollicitations (demandes d'entretiens, de participation à des colloques, conférences...) à la suite de la publication du rapport d'information et de la proposition de loi, car ces questions suscitent de nombreuses attentes mais aussi certaines inquiétudes. En conséquence, il a plaidé pour un dispositif équilibré qui tienne compte des différents intérêts en présence.

Mme Catherine Troendle s'est déclarée défavorable à l'obligation de désignation des CIL, jugeant préférable d'en rester au système actuel basé sur le volontariat.

M. Alain Anziani a demandé quelles conséquences juridiques s'attachaient à la qualification de l'adresse IP en donnée personnelle. Il a par ailleurs souligné que la question du droit à l'oubli ne se posait pas que sur Internet, prenant l'exemple d'une photographie qui pouvait être diffusée sur un support papier trente ans après sa réalisation. Enfin, il s'est interrogé sur l'opportunité de légiférer en matière de « cookies », les navigateurs actuels permettant tous aux utilisateurs de les refuser a priori ou de les effacer a posteriori. En revanche il est important que les navigateurs offrent un réglage fin permettant aux internautes de gérer des préférences en fonction des caractéristiques des « cookies » qui sont généralement différentes d'un site à l'autre.

M. Pierre-Yves Collombat, rapporteur, s'est interrogé sur les moyens de lutte contre les courriels non sollicités.

Mme Virginie Klès a mis en garde contre une pratique consistant à transférer des courriels comportant « des chaines » d'adresses mails.

M. Christian Cointat, rapporteur, a indiqué :

- que l'obligation de désignation des CIL constitue une des mesures les plus importantes de la proposition de loi. Or, le principe d'indépendance du CIL n'est pas incompatible avec le statut de la fonction publique, pas plus que ne le sont, dans les ministères, les corps d'inspection, de contrôle ou de comptables publics. Enfin, il est essentiel de resserrer les liens entre la CNIL et le réseau des CIL ;

- que la clarification du statut juridique de l'adresse IP permet d'apporter à celle-ci la protection de la loi « informatique et libertés » ;

- que l'amendement qu'il propose consacre la pratique actuelle en matière de possibilités de paramétrage des navigateurs ;

- que la captation des courriels, responsables du phénomène des « spams », peut notamment résulter de la pratique des chaines décrite par Mme Virginie Klès.

Il a souligné que le droit à l'oubli devait couvrir toutes les hypothèses, y compris la suppression des liens persistants des moteurs de recherche. En effet, même quand les pages Internet ont disparu, les moteurs de recherche continuent à donner en quelques mots l'information contenue dans ces pages. Il importe donc que les moteurs de recherche améliorent leur système de désindexation automatique des pages Internet supprimées et qu'à défaut ils fassent droit rapidement aux demandes d'opposition qui leur sont adressées.

M. Jean-Jacques Hyest, président, s'est étonné que le Gouvernement semble parfois accueillir avec circonspection les initiatives parlementaires. De même, certains représentants d'entreprises qualifient ces initiatives de « sympathiques » mais vouées à ne pas être appliquées.

La commission a ensuite examiné les amendements, déposés par le rapporteur, Mme Catherine Morin-Desailly, au nom de la commission de la culture, de l'éducation et de la communication, M. Charles Gautier et les membres du groupe socialiste, apparentés et rattachés, M. Alex Türk et le Gouvernement.

A l'article premier (sensibilisation des jeunes aux enjeux de la protection de la vie privée sur Internet), le rapporteur a retiré son amendement n° 1 au bénéfice de l'amendement n° 36 de Mme Catherine Morin-Desailly, rapporteur pour avis au nom de la commission de culture, de l'éducation et de la communication, tendant à inscrire la sensibilisation des élèves aux enjeux de la protection de la vie privée dans le cadre de l'éducation civique et non dans celui des cours sur les nouvelles technologies.

Mme Catherine Morin-Desailly, rapporteur pour avis de la commission de la culture, de l'éducation et de la communication, a souligné la nécessité de former les élèves au développement d'une attitude critique et réfléchie vis-à-vis de l'information disponible et à l'acquisition d'un comportement responsable dans l'utilisation des outils interactifs, lors de leur utilisation d'Internet, que cela soit pour la recherche d'informations ou pour échanger avec leurs amis. Cet objectif fait partie intégrante de l'acquisition de la maîtrise des nouvelles technologies demandée à chaque élève au titre du socle commun de connaissances et de compétences défini par la loi du 23 avril 2005.

M. Jean-Jacques Hyest, président, a douté du caractère législatif de nombreuses dispositions figurant dans le code de l'éducation.

Mme Nicole Borvo Cohen-Seat a regretté que la culture générale des élèves ne passe presque plus que par l'éducation civique.

La commission a adopté l'amendement n° 36.

La commission a ensuite examiné l'amendement n° 3 du rapporteur, tendant à insérer un article additionnel après l'article 2. Le rapporteur a expliqué que cet amendement avait deux objets :

- d'une part, il donne un caractère contradictoire au rapport public annuel de la CNIL ; il prévoit le recueil des observations des ministres, personnes et organismes concernés avant la publication du rapport annuel de la CNIL : cette dernière ferait connaître les observations provisoires pour lesquelles elle estime nécessaire de susciter les remarques des personnes susvisées, remarques qui auraient vocation à figurer en annexe du rapport annuel. Cette procédure contradictoire permettrait de mettre en place un dialogue formalisé qui ne pourra qu'améliorer les relations entre la CNIL et les responsables de traitement concernés ;

- d'autre part, il assure une représentation pluraliste lors de la désignation, par les présidents des assemblées parlementaires, des membres de ces assemblées appelés à siéger dans cette commission.

M. Alex Türk s'est déclaré défavorable au premier objet de l'amendement, estimant que la procédure contradictoire qu'elle imposait, d'une part, rendrait très complexe l'établissement du rapport annuel de la CNIL, d'autre part, n'était pas conforme à la nature de la CNIL, qui n'est pas une juridiction, à la différence de la Cour des comptes.

Rejoignant cette analyse, M. Jean-Pierre Michel a souligné en outre que l'adoption de cet amendement conduirait à étendre cette procédure à toutes les autorités administratives indépendantes, ce qui ne lui a pas paru souhaitable.

En conséquence, le rapporteur a retiré son amendement n° 3 et la commission a adopté l'amendement n° 35 de M. Charles Gautier, tendant à assurer la représentation pluraliste de la CNIL.

La commission a ensuite examiné l'amendement n° 4 rectifié du rapporteur, tendant à insérer un article additionnel après l'article 2. M. Christian Cointat, rapporteur, a expliqué que cet amendement visait à permettre la mise en oeuvre plus rapide des traitements soumis à déclaration préalable. Dans sa rédaction actuelle, l'article 23 de la loi « informatique et libertés » subordonne la mise en oeuvre d'un traitement soumis à déclaration à la transmission par la CNIL d'un récépissé. Or, ce récépissé retarde la mise en oeuvre du traitement. En conséquence, l'amendement prévoit que « le demandeur peut mettre en oeuvre le traitement dès réception de la preuve de l'accomplissement de la formalité préalable ».

M. Alex Türk s'est déclaré favorable à cet amendement, même s'il a relevé que les responsables de traitements continueraient sans doute, en pratique, à réclamer ledit récépissé « par sécurité ».

La commission a adopté l'amendement n° 4 rectifié.

A l'appui de ses amendements n°s 28, 29, 30 et 31 tendant à confier à la CNIL le contrôle et l'évolution de l'ensemble des systèmes de vidéosurveillance, M. Charles Gautier a fait valoir qu'ils formalisaient une recommandation de son rapport d'information élaboré conjointement avec M. Jean-Patrick Courtois, consacré à la vidéosurveillance et adopté à l'unanimité par la commission des lois en décembre 2008. Cette recommandation rejoint celle formulée dans le rapport d'information consacré à la vie privée à l'heure du numérique des auteurs de la présente proposition de loi, adopté par la commission des lois en mai 2009.

M. Christian Cointat, rapporteur, a souligné, d'une part, que de nombreuses dispositions concernant la vidéosurveillance avaient été adoptées lors de l'examen par l'Assemblée nationale en première lecture du projet de loi sur la sécurité intérieure, dite « LOPPSI », d'autre part, que le dispositif proposé était incomplet : il ne précise pas, notamment, de quelle manière et selon quelles procédures s'exercerait le contrôle de l'installation des systèmes, confié à la CNIL, ni la nature de l'évaluation qui serait réalisée. Il a indiqué que, si l'amendement, après avoir été précisé et complété, était redéposé à l'occasion de l'examen du projet de loi dit « « LOPPSI », il y serait, à titre personnel, favorable.

M. Charles Gautier a retiré ses amendements n°s 28, 29, 30 et 31.

La commission a ensuite examiné l'amendement n° 5 du rapporteur portant sur les correspondants « informatique et libertés » (CIL).

M. Alex Türk a indiqué que les correspondants étaient en augmentation constante : au 1er janvier 2010, ils étaient 1466, représentant quelque 5951 organismes. Ils sont toutefois faiblement implantés dans les collectivités territoriales et les ministères, cette situation semblant résulter d'une certaine hostilité des autorités publiques à l'égard de personnes reconnues comme indépendantes dans l'exercice de leurs fonctions, indépendance qui s'accorderait mal avec le principe d'obéissance hiérarchique de la fonction publique.

Il a souligné que :

- les CIL sont obligatoires en Allemagne depuis près de quarante ans, sans que cela soulève d'objection particulière ;

- la désignation d'un CIL permet la dispense de déclaration préalable auprès de la CNIL ;

- le CIL a l'obligation de dresser un inventaire de tous les traitements effectués dans la structure dans laquelle il se trouve, ce qui est une mission très utile au regard de la protection des données ;

- aucune entreprise ayant désigné un CIL depuis sa création en 2005 ne l'a ensuite supprimé, ce qui tend à prouver que le système donne satisfaction ;

- la CNIL entretient des liens privilégiés de conseil et de formation avec les CIL ;

- la désignation obligatoire des CIL marquait l'aboutissement du processus engagé en 2003-2004, à l'occasion de l'examen de la loi transposant la directive de 1995 sur la protection des données. Il a indiqué qu'alors qu'il était rapporteur pour la commission des lois du Sénat de ce texte, M. Dominique Perben, alors garde des sceaux, avait indiqué en séance que les CIL avaient vocation à devenir un jour obligatoires.

M. Jean-Pierre Vial a noté qu'une réglementation excessive conduirait à complexifier le droit et a jugé que le CIL risquait de se transformer en inspecteur. Il a souligné l'impact de l'amendement proposé tant pour les entreprises, compte tenu du nombre encore limité des CIL, que pour la CNIL elle-même, qui aurait à gérer un réseau considérable de correspondants. En outre, il a indiqué que l'adoption de l'amendement conduirait à doter le CIL d'un statut très précis. En conséquence, il s'est déclaré très réservé quant à l'opportunité d'adopter l'amendement du rapporteur, et a souhaité, à tout le moins, relever sensiblement le seuil déclenchant l'obligation de désigner un CIL.

Mme Catherine Troendle a réaffirmé son opposition à la désignation obligatoire des CIL, mettant en avant le risque de passage progressif d'une mission de conseil à un rôle de contrôleur. Elle a souligné, en outre, que le CIL représentait une charge de travail supplémentaire pour les entreprises.

M. Jean-Jacques Hyest, président, a souligné que l'obligation de désignation d'un CIL dans les collectivités territoriales permettrait, dans l'intérêt de ces derniers, d'examiner attentivement l'ensemble des traitements utilisés et de se prémunir contre toute poursuite. Il s'est réjoui que le rapporteur propose de rétablir le texte actuel de la loi « informatique et libertés » qui prévoit un avis simple de la CNIL, et non un avis conforme comme le proposait la proposition de loi, en cas de démission d'office du correspondant. Ce rétablissement répond ainsi aux critiques craignant de voir le CIL perçu comme un espion ou un nouveau salarié protégé.

A son tour, M. Jean-Pierre Michel a jugé nécessaire la désignation obligatoire d'un CIL dans les collectivités territoriales, soulignant qu'en tant que membre de la CNIL pendant dix ans, il avait pu constater de nombreuses irrégularités, faites le plus souvent de bonne foi, dans les fichiers détenus par ces dernières. Il a estimé satisfaisant le seuil de 50 salariés ou agents inscrit dans la proposition de loi.

M. Christian Cointat a réaffirmé que le dispositif proposé devait être perçu comme une garantie compte tenu des enjeux.

M. Yves Détraigne a insisté sur l'intérêt de désigner un CIL, qui permet de diffuser la culture « informatique et libertés » au sein des entreprises et des administrations et de leur apporter une plus grande sécurité juridique dans ce domaine.

La commission a adopté l'amendement n° 5 du rapporteur.

La commission a ensuite examiné l'amendement n° 18 du rapporteur, tendant à réécrire l'article 4 de la proposition de loi (autorisation de création des fichiers de police).

M. Bernard Frimat a exprimé la crainte que la présente proposition de loi ne soit jamais inscrite à l'ordre du jour de l'Assemblée nationale, et que les dispositions de l'amendement concernant les fichiers de police, reprises de la proposition de simplification et d'amélioration de la qualité du droit de M. Jean-Luc Warsmann, ne puissent donc pas être adoptées dans ce cadre.

Il a toutefois estimé que les dispositions en cause ne relevaient en aucun cas de la simplification du droit, et souhaité que la proposition de loi de M. Jean-Luc Warsmann précitée puisse être transmise au Conseil Constitutionnel afin que celui-ci puisse se prononcer sur sa constitutionnalité.

M. Jean-Jacques Hyest, président, a regretté que plusieurs textes importants adoptés par le Sénat ne soient pas encore inscrits à l'ordre du jour de l'Assemblée nationale, dont la proposition de loi relative à l'exécution des décisions de justice et aux conditions d'exercice de certaines professions réglementées de M. Laurent Béteille.

Répondant à M. François Pillet, qui l'interrogeait sur les modifications apportées par l'amendement n°18 au régime des fichiers concernant la sûreté de l'Etat ou la défense, M. Christian Cointat, rapporteur, a indiqué que ces fichiers pourraient toujours, comme dans le droit en vigueur, bénéficier d'une dispense de publication par décret en Conseil d'Etat. Par ailleurs, il a estimé que la modification de l'article 4 qu'il proposait rendent plus probable son inscription à l'ordre du jour de l'Assemblée nationale.

La commission a adopté l'amendement n° 18 du rapporteur.

A l'appui de son amendement n° 7 à l'article 6 (obligations d'information du responsable de traitement), M. Christian Cointat, rapporteur, a expliqué qu'il visait à assouplir le principe de consentement préalable en matière de « cookies » en renvoyant l'utilisateur aux possibilités de paramétrage du navigateur Internet afin qu'il puisse exprimer un choix préalable, quel qu'il soit, ce qui semble conforme aux choix récents du législateur communautaire.

M. Alex Türk a souligné que la proposition de loi opérait une évolution profonde en passant de la logique actuelle d'opposition dite « d'opt-out » à une logique de consentement dite d' « opt-in ». Il est en effet très différent d'avoir un droit de refus des « cookies » ou d'avoir un droit au consentement. Dans le premier cas, le silence de l'utilisateur vaut acceptation ; dans le second, il vaut refus. En conséquence, il a souligné que l' « opt-out » était moins protecteur que l' « opt-in », illustrant son propos de la polémique actuelle autour de « Street View », l'application que la société Google a mise en place sur la base d'un « opt-out ». En revanche, il a reconnu que l' « opt-in » pouvait constituer une entrave au développement d'Internet et des outils innovants et conviviaux.

M. Christian Cointat, rapporteur, a indiqué que son amendement n'avait pas tranché le débat « opt-in »/« opt-out » mais laissait aux acteurs le soin de débattre de ces questions.

A l'article 7 (notification des failles de sécurité), M. Alex Türk a indiqué qu'il convenait de rappeler que le responsable de l'entreprise avait la charge de rétablir la situation en cas de faille de sécurité.

Sur l'article 13 (dispositions relatives aux actions juridictionnelles), la commission a examiné les amendements n°16, tendant à supprimer un alinéa inutile, et l'amendement n°43 du Gouvernement tendant à supprimer l'article.

M. François Zocchetto s'est déclaré favorable à la suppression de l'article, jugeant inopportune l'intervention de la CNIL devant les juridictions, fût-ce en tant qu'expert.

M. Pierre Fauchon s'est interrogé sur l'opportunité de légiférer sur cette question, considérant qu'il était possible pour les magistrats de solliciter toute expertise jugée utile.

M. Jean-Jacques Hyest, président, s'est étonné que l'exposé des motifs de l'amendement de suppression du Gouvernement mette en avant l'objectif de stabilité de la norme, objectif quelque peu démenti par la multiplication d'initiatives gouvernementales dans certaines branches du droit, notamment du droit pénal.

M. Christian Cointat a indiqué que les dispositions de l'article 13, en facilitant l'intervention de la CNIL devant les juridictions, avaient pour but de permettre à ces dernières de disposer d'un avis technique dans une matière souvent complexe et à laquelle les magistrats sont peu familiarisés. Il a également souligné que ces dispositions s'inspiraient de celles retenues pour la HALDE et de celles qui sont insérées dans le projet de loi relatif au Défenseur des droits.

La commission a adopté l'amendement n° 16 et rejeté l'amendement n° 43.

La commission des lois a ensuite adopté la proposition de loi ainsi rédigée.

Le sort de l'ensemble des amendements examinés par la commission est retracé dans le tableau suivant :

Article premier
Sensibilisation des jeunes aux enjeux
de la protection de la vie privée sur Internet

Auteur

Objet

Sort de l'amendement

M. Christian Cointat, rapporteur

1

Modifications rédactionnelles

Retiré

Mme Morin-Desailly, rapporteur pour avis

36

Insertion des dispositions de l'article 1er modifiées dans la partie du code de l'éducation consacrée à l'éducation civique

Adopté

Article 2
Qualification juridique de l'adresse IP

M. Christian Cointat, rapporteur

2

Rédactionnel

Adopté

Gouvernement

38

Suppression de l'article

Tombé

Articles additionnels après l'article 2

M. Christian Cointat, rapporteur

3

Caractère contradictoire du rapport public annuel de la CNIL et composition pluraliste de la commission

Retiré

M. Charles Gautier et les membres du groupe socialiste apparentés et rattachés

35

Composition pluraliste de la commission

Adopté

M. Christian Cointat, rapporteur

4 rect.

Mise en oeuvre plus rapide des traitements soumis à déclaration préalable

Adopté

M. Charles Gautier et les membres du groupe socialiste apparentés et rattachés

34

Publicité des avis de la CNIL

Rejeté

28

Contrôle et évaluation de la vidéosurveillance par la CNIL

Retiré

Division additionnelle après l'article 13

M. Charles Gautier et les membres du groupe socialiste apparentés et rattachés

29

Rédactionnel

Retiré

Article additionnel après l'article 13

M. Charles Gautier et les membres du groupe socialiste apparentés et rattachés

30

Suppression des dispositions sur la vidéosurveillance dans la loi du 21 janvier 1995

Retiré

 

31

Coordination avec le n°28

Retiré

Article 3
Renforcement du correspondant « informatique et libertés »

M. Christian Cointat, rapporteur

5

Obligation de création des correspondants « informatique et libertés »

Adopté

Gouvernement

39

Suppression de l'article

Tombé

Article 4
Autorisation de création des fichiers de police

M. Christian Cointat, rapporteur

18

Nouveau régime des fichiers de police

Adopté

Gouvernement

40

Suppression de l'article

Tombé

M. Charles Gautier et les membres du groupe socialiste apparentés et rattachés

32

Autorisation par la loi des fichiers ou catégories de fichiers de police

Tombé

33

Mention figurant dans les lois autorisant des fichiers de police

Tombé

Articles additionnels après l'article 4

M. Christian Cointat, rapporteur

25

Coordination

Adopté

21

Création d'une formation spécialisée « fichiers de police » au sein de la CNIL

Adopté

19

Intervention du bureau de la CNIL dans la nouvelle procédure expérimentale pour les fichiers de police

Adopté

20 rect

Inscription des durées maximales de conservation des données et des modalités de traçabilité des consultations dans les actes réglementaires

Adopté

22

Transmission à la délégation au renseignement des actes réglementaires de création de fichiers « sûreté/défense »

Adopté

23

Renforcement du contrôle judiciaire des fichiers de police

Adopté

24 rect

Droits de la défense dans les comparutions immédiates

Adopté

Article additionnel après l'article 5

M. Alex Türk

26

Publicité des avis de la CNIL

Adopté

Article 6
Obligations d'information du responsable de traitement

M. Christian Cointat, rapporteur

6

Assouplissement de l'obligation d'information sur la durée de conservation des données

Adopté

7

Assouplissement du principe de consentement préalable en matière de cookies

Adopté

Article 7
Notification des failles de sécurité

M. Christian Cointat, rapporteur

8

Champ d'application de l'obligation de notifier les failles de sécurité

Adopté

9

Information sur les failles de sécurité

Adopté

10 rect

Exclusion des fichiers de police de l'obligation d'information sur les failles de sécurité

Adopté

Gouvernement

41

Suppression de l'article

Tombé

Article 8
Droit d'opposition à un traitement

M. Christian Cointat, rapporteur

11

Clarification

Adopté

12

Clarification de l'exercice du droit de suppression des données

Adopté

13

Rédactionnel

Adopté

Gouvernement

42

Suppression de l'article

Tombé

Article 9
Obligation pour le responsable de traitement
d'indiquer l'origine de la donnée

M. Christian Cointat, rapporteur

14

Clarification

Adopté

Article additionnel après l'article 9

Gouvernement

37

Possibilité d'effectuer
des visites inopinées

Adopté

M. Alex Türk

27

Possibilité d'effectuer
des visites inopinées

Retiré

Article 10
Publicité des audiences
de la formation restreinte de la CNIL

M. Christian Cointat, rapporteur

15

Suppression de l'article

Adopté

Article 13
Dispositions relatives aux actions juridictionnelles

M. Christian Cointat, rapporteur

16

Suppression des dispositions prévoyant que les observations écrites de la CNIL sont recevables quelle que soit la procédure applicable

Adopté

Gouvernement

43

Suppression de l'article

Tombé

Article additionnel après l'article 13

M. Christian Cointat, rapporteur

17

Clarification sur l'application outre-mer de la loi « informatique et libertés »

Adopté